🖥 Basic Java Deserialization (2 part)

Теперь поговорим о том, как защищаться от десериализации

Пример безопасного кода:

import java.io.*;
import java.net.ServerSocket;
import java.net.Socket;
import java.util.HashSet;
import java.util.Set;

public class SecureServer {
    private static final Set<String> ALLOWED_CLASSES = new HashSet<>();
    static {
        ALLOWED_CLASSES.add("java.lang.String");
        ALLOWED_CLASSES.add("java.util.ArrayList");
    }

    public static void main(String[] args) {
        try (ServerSocket serverSocket = new ServerSocket(1234)) {
            System.out.println("Сервер запущен. Ожидание подключений...");
            while (true) {
                try (Socket clientSocket = serverSocket.accept();
                     ObjectInputStream ois = new ObjectInputStream(clientSocket.getInputStream()) {
                         @Override
                         protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {
                             if (!ALLOWED_CLASSES.contains(desc.getName())) {
                                 throw new InvalidClassException("Недопустимый класс", desc.getName());
                             }
                             return super.resolveClass(desc);
                         }
                     }) {
                    
                    Object obj = ois.readObject();
                    System.out.println("Получен объект: " + obj);
                    
                } catch (Exception e) {
                    e.printStackTrace();
                }
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

Исправления:
➡️Создан белый список разрешенных классов (ALLOWED_CLASSES).
➡️Переопределен метод resolveClass для проверки классов перед десериализацией.
➡️Выбрасывается исключение при попытке десериализовать недопустимый класс.

Также есть другие практики по защите от десеров. К примеру Java SecurityManager, transient. С другой стороны вы можете закостылить защиту через сторонние библиотеки: SerialKiller, fastjson2, YamlBeans

➡️ В завершение хочу сказать, что если вы нашли у меня ошибку, напишите об этом, пожалуйста в комментариях)
➡️ А если вам понравилось и вы хотите продолжить изучение, то предлагаю почитать Java Deserialization Cheat Sheet

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

❗️ Как реагировать на атаки шифровальщиков: рекомендации для CISO ❗️
#ciso

Атаки вирусов-шифровальщиков остаются серьезной угрозой информационной безопасности компаний. От них не застрахованы даже корпорации с многоуровневыми системами защиты, целыми армиями ИБ-специалистов и арсеналами СЗИ.

Если корпоративная сеть подверглась такой атаке, ИБ-службе и CISO лучше поскорее подключить команду реагирования. Однако бизнес и штатные сотрудники службы безопасности могут самостоятельно снизить риск атак программ-вымогателей, дополнительно защитить критичные файлы и облегчить расследование, если избежать инцидента все же не удалось. Как именно? Рассказывает Семен Рогачев, руководитель отдела реагирования на инциденты Бастиона.

➡️ Читать далее

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

🔵 Инженер техподдержки? Получи оффер в YADRO всего за неделю!

У тебя есть возможность поучаствовать в One Week Offer от крупнейшей технологической компании России - лидера инженерной индустрии.

Если ты хорошо знаешь принципы серверной архитектуры и СХД и хочешь стать частью масштабных проектов:

• Пришли своё резюме и заполни форму участия до 22 сентября.
• Пройди техническое интервью.
• Получи оффер после успешного собеседования.

Скорее переходи по ссылке, оставляй заявку и стань частью команды.

✨ Хочешь получить доступ к приватным программам на платформе Standoff Bug Bounty?

Конечно хочешь. Вот короткая инструкция, что делать:

1️⃣ Перейди по ссылке и заполни небольшой опрос.

2️⃣ Попади в список из 50 счастливчиков с самыми классными навыками и опытом. Если пройдешь отбор, мы сразу же тебе напишем.

3️⃣ Ищи баги в свеженьком закрытом скоупе.

❗️ Важное условие: у тебя не должно быть ни одной приватной программы.

Еще читаешь? Бросай это дело — анкета сама себя не заполнит.

Не забывайте отдыхать :)

p.s.p.s. завтра первый рабочий день в новой компании🌚

🌚 @poxek

VK Security Confab
#мероприятие

Ивент для AppSec, DevSecOps, разработчиков и в целом безопасников

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

Автоматизированный пентест GraphQL
#graphql #pentest

➡️GraphQL - это открытая технология для создания и взаимодействия с API. Она была создана в 2012 году как альтернативный подход к REST - архитектурному стилю, определяющему принципы взаимодействия клиента и сервера через HTTP-запросы, стандартизированные URL и форматы данных JSON и XML.

В отличие от REST API, где ответ на запрос приходит в формате JSON и требует дальнейшего анализа для извлечения нужной информации, GraphQL позволяет получить только необходимые данные за один запрос, даже если они распределены по разным источникам. Это делает GraphQL более эффективным и удобным методом извлечения данных по сравнению с REST.

➡️Основные преимущества GraphQL

▪️Не нужно создавать несколько REST-запросов. Чтобы извлечь данные, достаточно ввести один запрос.
▪️Не привязан к конкретной базе данных или механизму хранения.
▪️Используется целая система типов данных.

Более подробно можете ознакомиться в этом видео или в этой статье.

❤️ А теперь перейдём к самой вкусной части | Пентест GraphQL
Начнём с классики, это Hacktricks. Но это скучно)

Список тулз, которые рекомендуют в интернетах:
➡️graphw00f - тулза делает аудит на основе GraphQL Threat Matrix Project и после скана она выводит отчёт смапленный по этой матрице уязвимостей.
➡️InQL - довольно популярное расширение для BurpSuite, которое позволяет просканировать ендпоинты GraphQL, также можете загрузить json схему в него. Этот режим позволит собрать все эндпоинты в одну центролизованную кучку. Затем перекидываете конкретный эндпоинт во вкладку Attacker и там уже можете в ручном режиме изменять запрос.
➡️Куда же мы без ffuf и хорошего словаря для GraphQL
➡️GraphQL Cop - данная тулза подходит и для пентестеров, и для appsec/devsecops, т.к. очень легко заворачивается в CI/CD. Есть визуально красивый текстовый вывод в консоль, а есть Json вывод. Тулза обнаруживает атаки типа DOS, Раскрытие информации, CSRF. Но как говорится, где одна бага, там и вторая)
➡️Graphinder - добывает все graphql эндпоинты для конкретного домена
➡️GraphQLmap - интересный интерактивный режим. Пример работы
➡️Auto GraphQL Scanner - бурповское расширение по совету от Bo0om
➡️Два визуализатора схем GraphQL, GraphQL Voyager и GraphQL Online
➡️Уже все имплементировали nuclei в свои DAST, поэтому вот шаблон под детект GraphQL
➡️В случае если интроспекция выключена, используем Clairvoyance. Он соберёт для вас json схему.

⚠️ Типичные уязвимости для GraphQL

➡️DOS. GraphQL будут подвержены для этого типа атак, если нет ограничений на глубину запросов.
➡️Сбатченные (batched) запросы и алиасы. К примеру вы установили rate limit на ваши эндпоинты, НО если вы разрешили сбатченные запросы, то хахакер может впихнуть множество запросов в один и тем самым это приведет к DOS или к обходу рейтов.
➡️Некорректная или отсутствующая аутентификация и авторизация
➡️XSS
➡️Arbitrary File Upload & Path Traversal
➡️RCE

🛠 Лабы для тренировок

➡️Portswigger - не очень много тасков, нет прям сложных
➡️DVGA (Damn Vulnerable GraphQL Application) - самая популярная лаба
➡️vuln-graphql-api - малоизвестная лаба (сам ещё не раскатывал)

📌Почитать ещё

➡️Статья от ООО Бастион
➡️Pentesting GraphQL 101 Part 1 / 2 / 3
➡️GraphQL Pentesting for Dummies! Part- 1 / 2
➡️GraphQL Cheat Sheet
➡️Документация GraphQL

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

Классическое ИБ афтерпати
#meme

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

🐧 Cupshax - RCE через службу печати в UNIX
#unix #RCE #CVE

CVE-2024-47176 CVE-2024-47076 CVE-2024-47175 CVE-2024-47177

Вчера вечером интернет наводнился новостью о новой баге в UNIX системах, которая позволяет выполнить неавторизованный RCE. Но были особые условия, к примеру что должна быть очередь на печать. В прикрепленном видосе демонстрируется PoC.

🛠 Изучить райтап ТУТ

Авторы эксплойта изучили коммит в OpenPrinting CUPS, в котором была исправлена бага и написали эксплойт. Он использует dns-sd обнаружение принтера, требуя, чтобы цель могла получить широковещательное сообщение, т.е. находилась в той же сети.

➡️Использование

usage: cupshax.py [-h] [--name NAME] --ip IP [--command COMMAND] [--port PORT]

A script for executing commands remotely

options:
  -h, --help         show this help message and exit
  --name NAME        The name to use (default: RCE Printer)
  --ip IP            The IP address of the machine running this script
  --command COMMAND  The command to execute (default: 'touch /tmp/pwn')
  --port PORT        The port to connect on (default: 8631)

➡️Пример использования

python cupshax.py --name "Print to PDF (Color)" \
                  --command "id>/tmp/pwn" \
                  --ip 10.0.0.3

📱 Github и мой форк, на случай удаления репы

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек