Всем привет! Давно не было постов, не переживайте, автор просто не успевает ничего))

Если серьёзно, то как обычно Q4 и под самый Новый Год привалило пару проектов с большим скоупом, так что даже времени на сон не всегда хватает, но в целом баги находятся, презентации отчётов проводятся)

0. Сегодня приехал новый мерч, в скором времени сделаю анонс отдельным постом
1. Завтра буду на КОД ИБ ИТОГИ 2024 в Москве
2. Завтра же вечером приеду на Assume Birch
3. Выступлю в колледже МИРЭА в рамках CTF Redshift Eclipse
4. Буду на VK Security Confab Max
5. И ещё пара приватных ивентов)

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🎉 Nuclei Templates v10.1.0
#nuclei

Теперь nuclei стал немного полезнее для инфраструктурщиков, которые работают по AD. В последнем апдейте добавили очень много шаблонов связанных с low-hangling fruite в AD, к примеру smb v1/not sign, winrm, UAC, LSA и т.д.

Сейчас вендоры как сделают git pull и будут продавать сканирование внутрянки под соусом своей экспертизы)) Но это я так, шутки шучу, вы же знаете

А если серьезно, то поможет на очень большом скоупе, в остальных случаях: руки + nmap, всегда хватало

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

💻 Любовь и ненависть к NextJS

На Bugs Zone был доклад от @ratel_xx про NextJS (подписчики в чате, знают как я его "люблю")

Недавно вышла Headless CMS Payload 3 версии, которая в том числе поддерживает NextJS 15.*. Я бы не обозревал этот момент в целом, если бы Vercel официально бы не запартнёрилось с Payload.

Во сне как-то приснилось, что мой знакомый серфил интернет и случайно наткнулся на Payload 3 (Wappalyzer'ом она не определяется кстати, на чуйке чисто проверил). Эмпирическим методом выяснилось, что у неё проблемы с проверкой авторизации на фронтенде. Самый тупой frontend hijacking сработал, меняешь 401 на 200 и всё, ты якобы авторизован.

Если конкретнее говорить про то как это защищать, то делайте защиты не на уровне страницы, не на уровне layout, а на уровне middleware. Т.к. сначала все запросы обрабатываются по правилам из middleware, а затем только уже роутятся.

ℹ️ Github Payload

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Телепортация на Assume Birch 🕺

Фиолетовый Вадим рассказывает про Purple Team ))

Запрягаем ламу. Как использовать Llama для поиска критичных данных в коде
#LLM #нейросети #llama #appsec

В этой статье автор расскажет, зачем аппсек‑инженеру следить за тем, какие данные живут у него в разрабатываемых продуктах, как извлечь из кода сервисов структуру передаваемых данных, как раскрасить поля найденных объектов по заранее заведенным правилам или как попросить локальную опенсорсную LLM-модель, чтобы она раскрашивала данные за тебя.

🔓 Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Новый мерч уже на сайте
#мерч #похек

На сайте уже появились новые мерчевые футболки.

🔺 В наличии 14 белых и 14 чёрных футболок

🔥 Отправка футболок ограничена 20 декабря. Все футболки купленные после этой даты, будут отправлены уже в следующем году.

Футболки с новым принтом имеют более приятный ценник)

🔺 Футболки не оверсайз, а классические. Учитывайте это при выборе размера.
Размерная сетка есть на сайте в описании товара.

➡️https://shop.poxek.cc

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча