Ловите вкусные баги прошедшей недели
#CVE #RCE #DoS #React # React2Shell #RSC #WISE #cpp #Mattermost
➡️ React2Shell / React Server Components (RSC) (CVE-2025-55182, CVSS 10.0) — небезопасная десериализация данных, передаваемых через проприетарный протокол Flight, используемый для связи между клиентом и серверными компонентами. Злоумышленник может отправить специально сформированный HTTP-запрос, содержащий манипуляции с цепочкой прототипов или инструкции по внедрению вредоносных объектов. Сервер React, пытаясь собрать компонент из этих данных, выполняет произвольный JavaScript-код в контексте процесса Node.js. PoC + PoC.
➡️ C++ библиотека cpp-httplib (CVE-2025-66570, CVSS 10.0) — логическая ошибка обработки дублирующихся HTTP-заголовков. Метод получения значения заголовка (get_header_value) возвращает первое найденное вхождение ключа без проверки приоритета источника. Это позволяет атакующему внедрить в запрос собственные заголовки, которые библиотека считает и обработает раньше, чем добавленные доверенным reverse-proxy.
➡️ Advantech WISE-DeviceOn (CVE-2025-34256, CVSS 10.0) — захардкоженный ключ (статичный HS512 HMAC) для подписи JWT-токенов аутентификации в серверной части ПО Advantech WISE-DeviceOn. Поскольку ключ одинаков для всех инсталляций, атакующий может самостоятельно сгенерировать валидный токен с правами root superadmin зная лишь формат токена и email жертвы.
➡️ Mattermost (CVE-2025-12419, CVSS 9.9) — некорректная валидация параметра state при завершении аутентификации через протокол OpenID Connect (OIDC/OAuth). Из-за ошибки в логике связывания токена и сессии атакующий с учеткой с правами на создание команд (Team Creation) или администратора может манипулировать процессом OAuth-входа. Это позволяет подменить идентификатор жертвы и перехватить ее аккаунт без знания пароля. Github Advisory
➡️ XWiki Remote Macros (CVE-2025-65036, CVSS 8.3) — уязвимость в плагине, используемом для миграции контента из Atlassian Confluence и позволяющем отображать динамические макросы. Проблема заключается в отсутствии проверки прав доступа при обработке макросов на details pages. Атакующий с правами на редактирование любой страницы или создание контента может внедрить вредоносный Velocity-скрипт, который будет выполнен сервером.
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#CVE #RCE #DoS #React # React2Shell #RSC #WISE #cpp #Mattermost
Please open Telegram to view this post
VIEW IN TELEGRAM
HTB Season Gacha | Gavel — Полный путь от SQLi до root
#htb #sqli #root #rce #lab
Машина Gavel оказалась весьма интересной и познавательной, но также она заставляет немного приложить усилий, терпения и логики. Не скажу, что у меня не было проблем с прохождением, но я думаю, что испытал внутреннее удовлетворение после прохождения, давайте приступим!
🔗 Райтап
P.s. давно не было подобного контента. Интересно ли вам такое?
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#htb #sqli #root #rce #lab
Машина Gavel оказалась весьма интересной и познавательной, но также она заставляет немного приложить усилий, терпения и логики. Не скажу, что у меня не было проблем с прохождением, но я думаю, что испытал внутреннее удовлетворение после прохождения, давайте приступим!
P.s. давно не было подобного контента. Интересно ли вам такое?
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36❤🔥8👾2
Forwarded from Похек AI (Сергей Зыбнев)
Хотите гайд по ai разработке, максимально без воды и максимально с ссылками + мой опыт?
Final Results
73%
Да
27%
Опять этот ваш ЫЫ
🐳5
PWNAI: Артём Семёнов о том, почему AI — это не SkyNet, а уязвимая система
#подкаст #chatgpt #llm #claude #deepseek #qwen #mistral
В этом выпуске подкаста «Обсуждаем Похек» мы погружаемся в мир безопасности искусственного интеллекта вместе с Артёмом Семёновым, автором популярного телеграм-канала PWNAI @pwnai. Узнайте, как выглядит AI Security изнутри: от практического применения OWASP Top 10 для LLM до глубоких дискуссий о будущем AI и его социальных последствиях. Артём делится своим опытом в области MLSecOps, раскрывая реальные кейсы атак на нейросети через prompt injection и jailbreaking, и объясняет, почему бесконечное масштабирование вычислительных мощностей — это технологический тупик.
Разбираем практические аспекты безопасности AI: как проводить Red Teaming для нейросетевых моделей, какие уязвимости скрываются в архитектуре современных LLM, и почему «отравление» обучающих данных может стать главной угрозой. Обсуждаем, как меняется ландшафт киберугроз с развитием AI, какие навыки необходимы современному AI Security Engineer, и как противостоять новым видам атак. Особое внимание уделяется фреймворку OWASP, который становится стандартом для защиты AI-приложений, и философским вопросам о пределах развития искусственного интеллекта.
Этот выпуск будет полезен AI Security Engineers, AI/LLM Engineers, специалистам по Red Team и пентесту, а также исследователям безопасности, которые хотят понять, как защищать AI-системы от современных и будущих киберугроз и какие фундаментальные ограничения есть у технологии.
🔗 Ссылки:
💬 Слушать в Telegram
📹 YouTube
📺 RuTube
💙 VK Видео
🎵 Apple Podcasts
🎵 Яндекс.Музыка
🔤 Mave
Обязательно смотрите/слушайте до конца!
P.s. натыкайте на этот пост много😪 , чтобы Артём высыпался перед подкастами)
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#подкаст #chatgpt #llm #claude #deepseek #qwen #mistral
В этом выпуске подкаста «Обсуждаем Похек» мы погружаемся в мир безопасности искусственного интеллекта вместе с Артёмом Семёновым, автором популярного телеграм-канала PWNAI @pwnai. Узнайте, как выглядит AI Security изнутри: от практического применения OWASP Top 10 для LLM до глубоких дискуссий о будущем AI и его социальных последствиях. Артём делится своим опытом в области MLSecOps, раскрывая реальные кейсы атак на нейросети через prompt injection и jailbreaking, и объясняет, почему бесконечное масштабирование вычислительных мощностей — это технологический тупик.
Разбираем практические аспекты безопасности AI: как проводить Red Teaming для нейросетевых моделей, какие уязвимости скрываются в архитектуре современных LLM, и почему «отравление» обучающих данных может стать главной угрозой. Обсуждаем, как меняется ландшафт киберугроз с развитием AI, какие навыки необходимы современному AI Security Engineer, и как противостоять новым видам атак. Особое внимание уделяется фреймворку OWASP, который становится стандартом для защиты AI-приложений, и философским вопросам о пределах развития искусственного интеллекта.
Этот выпуск будет полезен AI Security Engineers, AI/LLM Engineers, специалистам по Red Team и пентесту, а также исследователям безопасности, которые хотят понять, как защищать AI-системы от современных и будущих киберугроз и какие фундаментальные ограничения есть у технологии.
Обязательно смотрите/слушайте до конца!
P.s. натыкайте на этот пост много
Please open Telegram to view this post
VIEW IN TELEGRAM
SVG Filters / Clickjacking 2.0 — превращаем классический «слепой» кликджекинг в интерактивную real-time атаку
#SVG #Clickjacking #AppSec #pentest
Классический кликджекинг представляет собой простое наложение прозрачного iframe поверх интерактивного объекта. При этом из-за политики Same-Origin Policy атакующий не видит, что происходит внутри iframe.
SVG Clickjacking 2.0 обходит это ограничение через SVG-фильтры (
➡️ Как проходит атака
SVG-фильтры комбинируются так, чтобы они работали как логические вентили (
Атакующий накладывает SVG-фильтры на iframe с целевым сайтом.
Фильтры настраиваются так, чтобы реагировать на конкретные паттерны пикселей (цвет, яркость, форма, положение UI-элементов).
В зависимости от содержания iframe (какое состояние UI сейчас на экране) SVG-фильтр может динамически подменять отображаемую пользователю картинку, показывать или скрывать элементы, смещать кликабельные области и синхронизировать их с реальным состоянием целевого сайта.
➡️ Технические особенности
Фильтр настраивается как пороговый детектор с помощью
Используя оператор
Примитив
➡️ Защита
Единственным надежным методом защиты остается полный запрет на фрейминг на уровне HTTP-заголовков. JS-проверки (frame busting scripts) и визуальные искажения неэффективны против анализа на уровне композитора браузера.
🔗 Подробности
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#SVG #Clickjacking #AppSec #pentest
Классический кликджекинг представляет собой простое наложение прозрачного iframe поверх интерактивного объекта. При этом из-за политики Same-Origin Policy атакующий не видит, что происходит внутри iframe.
SVG Clickjacking 2.0 обходит это ограничение через SVG-фильтры (
feColorMatrix, feComposite, feDisplacementMap), которые использует для анализа пикселей целевого сайта. Техника позволяет строить сложные интерактивные сценарии, например, отображать фальшивую кнопку только после того, как в iframe загрузилась форма логина.SVG-фильтры комбинируются так, чтобы они работали как логические вентили (
AND, OR, XOR). Это позволяет собирать простейшие сценарии прямо внутри графического пайплайна браузера без доступа к DOM или JS целевого origin.Атакующий накладывает SVG-фильтры на iframe с целевым сайтом.
Фильтры настраиваются так, чтобы реагировать на конкретные паттерны пикселей (цвет, яркость, форма, положение UI-элементов).
В зависимости от содержания iframe (какое состояние UI сейчас на экране) SVG-фильтр может динамически подменять отображаемую пользователю картинку, показывать или скрывать элементы, смещать кликабельные области и синхронизировать их с реальным состоянием целевого сайта.
Фильтр настраивается как пороговый детектор с помощью
feColorMatrix. Матрица преобразует целевой цвет в чистый белый (Alpha = 1), все остальные — в прозрачный (Alpha = 0). Это создает бинарную карту присутствия нужного UI‑элемента.Используя оператор
dilate (через feMorphology с operator="dilate"), атакующий увеличивает область детектирования. Это сводит на нет защиту через anti‑clickjacking‑приемы или незначительные смещения верстки — фильтр среагирует, если искомый цвет появится где‑то в заданной области.Примитив
feComposite с операторами in, out, xor позволяет комбинировать результаты предыдущих шагов. Это дает условный рендеринг, когда оверлей атакующего становится видимым только тогда, когда пиксели в iframe соответствуют заданному паттерну.Единственным надежным методом защиты остается полный запрет на фрейминг на уровне HTTP-заголовков. JS-проверки (frame busting scripts) и визуальные искажения неэффективны против анализа на уровне композитора браузера.
Content-Security-Policy: frame-ancestors 'none'
X-Frame-Options: DENY / SAMEORIGIN.
Please open Telegram to view this post
VIEW IN TELEGRAM
Похек
Photo
Спасибо Контур за подарок! Вендоры в этом году видимо решили исправить критичный недостаток чайного сервиза. Большое спасибо ❤️
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍6🌚5
Stillepost: Проксирование C2-трафика через Chrome DevTools Protocol
#maldev #malware #C2 #evading #CDP #chrome #devtools
Исследователь x90x90.dev опубликовал PoC инструмента Stillepost, позволяющего скрытно проксировать HTTP-трафик C2 через легитимный браузер жертвы, используя Chrome DevTools Protocol (CDP).
Суть техники в том, что имплант делегирует сетевое взаимодействие установленному в системе браузеру (Chrome, Edge) вместо того, чтобы самому инициировать подозрительные соединения. Благодаря этому в рамках атаки сетевой трафик исходит от доверенного процесса chrome.exe или msedge.exe. В корпоративных средах этим процессам часто разрешен доступ в интернет через прокси и фаерволы, тогда как неизвестные бинарники блокируются.
Техника не требует внедрения кода в адресное пространство браузера или перехвата API. Это позволяет обходить методы детекции EDR, ориентированные на поиск следов инъекций или подозрительных потоков.
➡️ Как это работает
Имплант запускает браузер в headless-режиме с флагом
Получает WebSocket URL отладчика через запрос к
Вместо использования домена Network, имеющего ограниченные возможности для произвольных запросов, Stillepost использует метод Runtime.evaluate.
В контекст браузера передается JavaScript-функция, которая выполняет
Результат выполнения JS (статус, заголовки ответа, тело) сериализуется в JSON и возвращается импланту через WebSocket-канал CDP.
➡️ Ограничения
Техника работает только если C2-сервер корректно настроен для обработки CORS (Cross-Origin Resource Sharing). Так как запросы выполняются из контекста браузера (обычно с about:blank или другой страницы), сервер должен возвращать заголовки
🔗 Репозиторий: github.com
🔗 Источник: x90x90.dev
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#maldev #malware #C2 #evading #CDP #chrome #devtools
Исследователь x90x90.dev опубликовал PoC инструмента Stillepost, позволяющего скрытно проксировать HTTP-трафик C2 через легитимный браузер жертвы, используя Chrome DevTools Protocol (CDP).
Суть техники в том, что имплант делегирует сетевое взаимодействие установленному в системе браузеру (Chrome, Edge) вместо того, чтобы самому инициировать подозрительные соединения. Благодаря этому в рамках атаки сетевой трафик исходит от доверенного процесса chrome.exe или msedge.exe. В корпоративных средах этим процессам часто разрешен доступ в интернет через прокси и фаерволы, тогда как неизвестные бинарники блокируются.
Техника не требует внедрения кода в адресное пространство браузера или перехвата API. Это позволяет обходить методы детекции EDR, ориентированные на поиск следов инъекций или подозрительных потоков.
Имплант запускает браузер в headless-режиме с флагом
--remote-debugging-port=0 (или заданным портом) и временным профилем пользователя.Получает WebSocket URL отладчика через запрос к
http://127.0.0.1:<port>/json/list и подключается к CDP.Вместо использования домена Network, имеющего ограниченные возможности для произвольных запросов, Stillepost использует метод Runtime.evaluate.
В контекст браузера передается JavaScript-функция, которая выполняет
XMLHttpRequest (XHR) к C2-серверу с заданными параметрами (метод, URL, заголовки, данные).Результат выполнения JS (статус, заголовки ответа, тело) сериализуется в JSON и возвращается импланту через WebSocket-канал CDP.
Техника работает только если C2-сервер корректно настроен для обработки CORS (Cross-Origin Resource Sharing). Так как запросы выполняются из контекста браузера (обычно с about:blank или другой страницы), сервер должен возвращать заголовки
Access-Control-Allow-Origin или конкретный origin, чтобы браузер разрешил чтение ответа.Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Forwarded from Похек AI (Сергей Зыбнев)
OWASP Top 10 for Agentic Applications for 2026: Разбор главных угроз завтрашнего дня
#owasp #top10 #agent #ai #agenti
Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.
Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.
Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.
🔗 Моя статейка
🌚 @poxek_ai
#owasp #top10 #agent #ai #agenti
Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.
Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.
Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Презентация книги Вирьё моё! по мотивам жизни безопасников. Книгу написали пара ребят из Касперский под псевдонимами)
🔥10❤🔥5👍3
Похек
Презентация книги Вирьё моё! по мотивам жизни безопасников. Написали ребята из Касперский под псевдонимами
Презентация книги Вирьё моё! по мотивам жизни безопасников. Написали ребята из Касперский под псевдонимами. Я лично еще не читал, появится время на НГ. Но приятно, что пригласили в ламповую обстановку)
p.s. почему-то телега не показывает подпись под картинками
🔥11❤🔥5
Forwarded from wr3dmast3r vs pentest
Данный материал подготовлен мной совместно с моим учеником для всех, кто пытается начать свой путь в области безопасности веб-приложений ☺️
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь🤓
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого🎧
Подробнее
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
В какое время вам удобнее читать посты?
Final Results
20%
7-9
15%
9-11
12%
11-14
18%
14-18
69%
18-22