SVG Filters / Clickjacking 2.0 — превращаем классический «слепой» кликджекинг в интерактивную real-time атаку
#SVG #Clickjacking #AppSec #pentest
Классический кликджекинг представляет собой простое наложение прозрачного iframe поверх интерактивного объекта. При этом из-за политики Same-Origin Policy атакующий не видит, что происходит внутри iframe.
SVG Clickjacking 2.0 обходит это ограничение через SVG-фильтры (
➡️ Как проходит атака
SVG-фильтры комбинируются так, чтобы они работали как логические вентили (
Атакующий накладывает SVG-фильтры на iframe с целевым сайтом.
Фильтры настраиваются так, чтобы реагировать на конкретные паттерны пикселей (цвет, яркость, форма, положение UI-элементов).
В зависимости от содержания iframe (какое состояние UI сейчас на экране) SVG-фильтр может динамически подменять отображаемую пользователю картинку, показывать или скрывать элементы, смещать кликабельные области и синхронизировать их с реальным состоянием целевого сайта.
➡️ Технические особенности
Фильтр настраивается как пороговый детектор с помощью
Используя оператор
Примитив
➡️ Защита
Единственным надежным методом защиты остается полный запрет на фрейминг на уровне HTTP-заголовков. JS-проверки (frame busting scripts) и визуальные искажения неэффективны против анализа на уровне композитора браузера.
🔗 Подробности
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#SVG #Clickjacking #AppSec #pentest
Классический кликджекинг представляет собой простое наложение прозрачного iframe поверх интерактивного объекта. При этом из-за политики Same-Origin Policy атакующий не видит, что происходит внутри iframe.
SVG Clickjacking 2.0 обходит это ограничение через SVG-фильтры (
feColorMatrix, feComposite, feDisplacementMap), которые использует для анализа пикселей целевого сайта. Техника позволяет строить сложные интерактивные сценарии, например, отображать фальшивую кнопку только после того, как в iframe загрузилась форма логина.SVG-фильтры комбинируются так, чтобы они работали как логические вентили (
AND, OR, XOR). Это позволяет собирать простейшие сценарии прямо внутри графического пайплайна браузера без доступа к DOM или JS целевого origin.Атакующий накладывает SVG-фильтры на iframe с целевым сайтом.
Фильтры настраиваются так, чтобы реагировать на конкретные паттерны пикселей (цвет, яркость, форма, положение UI-элементов).
В зависимости от содержания iframe (какое состояние UI сейчас на экране) SVG-фильтр может динамически подменять отображаемую пользователю картинку, показывать или скрывать элементы, смещать кликабельные области и синхронизировать их с реальным состоянием целевого сайта.
Фильтр настраивается как пороговый детектор с помощью
feColorMatrix. Матрица преобразует целевой цвет в чистый белый (Alpha = 1), все остальные — в прозрачный (Alpha = 0). Это создает бинарную карту присутствия нужного UI‑элемента.Используя оператор
dilate (через feMorphology с operator="dilate"), атакующий увеличивает область детектирования. Это сводит на нет защиту через anti‑clickjacking‑приемы или незначительные смещения верстки — фильтр среагирует, если искомый цвет появится где‑то в заданной области.Примитив
feComposite с операторами in, out, xor позволяет комбинировать результаты предыдущих шагов. Это дает условный рендеринг, когда оверлей атакующего становится видимым только тогда, когда пиксели в iframe соответствуют заданному паттерну.Единственным надежным методом защиты остается полный запрет на фрейминг на уровне HTTP-заголовков. JS-проверки (frame busting scripts) и визуальные искажения неэффективны против анализа на уровне композитора браузера.
Content-Security-Policy: frame-ancestors 'none'
X-Frame-Options: DENY / SAMEORIGIN.
Please open Telegram to view this post
VIEW IN TELEGRAM
Похек
Photo
Спасибо Контур за подарок! Вендоры в этом году видимо решили исправить критичный недостаток чайного сервиза. Большое спасибо ❤️
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23👍6🌚5
Stillepost: Проксирование C2-трафика через Chrome DevTools Protocol
#maldev #malware #C2 #evading #CDP #chrome #devtools
Исследователь x90x90.dev опубликовал PoC инструмента Stillepost, позволяющего скрытно проксировать HTTP-трафик C2 через легитимный браузер жертвы, используя Chrome DevTools Protocol (CDP).
Суть техники в том, что имплант делегирует сетевое взаимодействие установленному в системе браузеру (Chrome, Edge) вместо того, чтобы самому инициировать подозрительные соединения. Благодаря этому в рамках атаки сетевой трафик исходит от доверенного процесса chrome.exe или msedge.exe. В корпоративных средах этим процессам часто разрешен доступ в интернет через прокси и фаерволы, тогда как неизвестные бинарники блокируются.
Техника не требует внедрения кода в адресное пространство браузера или перехвата API. Это позволяет обходить методы детекции EDR, ориентированные на поиск следов инъекций или подозрительных потоков.
➡️ Как это работает
Имплант запускает браузер в headless-режиме с флагом
Получает WebSocket URL отладчика через запрос к
Вместо использования домена Network, имеющего ограниченные возможности для произвольных запросов, Stillepost использует метод Runtime.evaluate.
В контекст браузера передается JavaScript-функция, которая выполняет
Результат выполнения JS (статус, заголовки ответа, тело) сериализуется в JSON и возвращается импланту через WebSocket-канал CDP.
➡️ Ограничения
Техника работает только если C2-сервер корректно настроен для обработки CORS (Cross-Origin Resource Sharing). Так как запросы выполняются из контекста браузера (обычно с about:blank или другой страницы), сервер должен возвращать заголовки
🔗 Репозиторий: github.com
🔗 Источник: x90x90.dev
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#maldev #malware #C2 #evading #CDP #chrome #devtools
Исследователь x90x90.dev опубликовал PoC инструмента Stillepost, позволяющего скрытно проксировать HTTP-трафик C2 через легитимный браузер жертвы, используя Chrome DevTools Protocol (CDP).
Суть техники в том, что имплант делегирует сетевое взаимодействие установленному в системе браузеру (Chrome, Edge) вместо того, чтобы самому инициировать подозрительные соединения. Благодаря этому в рамках атаки сетевой трафик исходит от доверенного процесса chrome.exe или msedge.exe. В корпоративных средах этим процессам часто разрешен доступ в интернет через прокси и фаерволы, тогда как неизвестные бинарники блокируются.
Техника не требует внедрения кода в адресное пространство браузера или перехвата API. Это позволяет обходить методы детекции EDR, ориентированные на поиск следов инъекций или подозрительных потоков.
Имплант запускает браузер в headless-режиме с флагом
--remote-debugging-port=0 (или заданным портом) и временным профилем пользователя.Получает WebSocket URL отладчика через запрос к
http://127.0.0.1:<port>/json/list и подключается к CDP.Вместо использования домена Network, имеющего ограниченные возможности для произвольных запросов, Stillepost использует метод Runtime.evaluate.
В контекст браузера передается JavaScript-функция, которая выполняет
XMLHttpRequest (XHR) к C2-серверу с заданными параметрами (метод, URL, заголовки, данные).Результат выполнения JS (статус, заголовки ответа, тело) сериализуется в JSON и возвращается импланту через WebSocket-канал CDP.
Техника работает только если C2-сервер корректно настроен для обработки CORS (Cross-Origin Resource Sharing). Так как запросы выполняются из контекста браузера (обычно с about:blank или другой страницы), сервер должен возвращать заголовки
Access-Control-Allow-Origin или конкретный origin, чтобы браузер разрешил чтение ответа.Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Forwarded from Похек AI (Сергей Зыбнев)
OWASP Top 10 for Agentic Applications for 2026: Разбор главных угроз завтрашнего дня
#owasp #top10 #agent #ai #agenti
Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.
Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.
Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.
🔗 Моя статейка
🌚 @poxek_ai
#owasp #top10 #agent #ai #agenti
Сегодня мы разберем еще один важнейший документ от OWASP, который смотрит на шаг вперед — OWASP Top 10 for Agentic Applications for 2026.
Если LLM — это мозг, то агентные системы — это полноценный организм с руками и ногами. Это ИИ, которые не просто отвечают на вопросы, а могут самостоятельно ставить цели, планировать и выполнять многошаговые задачи, используя различные инструменты (API, shell, браузер). Они могут управлять вашим календарем, писать код, заказывать товары и многое другое. И, конечно, такая автономия порождает совершенно новый класс угроз.
Этот Top 10 — попытка осмыслить и классифицировать риски, которые несут в себе эти мощные системы. Мы пройдемся по каждому из 10 пунктов, разберем их на реальных примерах и поговорим о том, как от них защищаться.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Презентация книги Вирьё моё! по мотивам жизни безопасников. Книгу написали пара ребят из Касперский под псевдонимами)
🔥10❤🔥5👍3
Похек
Презентация книги Вирьё моё! по мотивам жизни безопасников. Написали ребята из Касперский под псевдонимами
Презентация книги Вирьё моё! по мотивам жизни безопасников. Написали ребята из Касперский под псевдонимами. Я лично еще не читал, появится время на НГ. Но приятно, что пригласили в ламповую обстановку)
p.s. почему-то телега не показывает подпись под картинками
🔥11❤🔥5
Forwarded from wr3dmast3r vs pentest
Данный материал подготовлен мной совместно с моим учеником для всех, кто пытается начать свой путь в области безопасности веб-приложений ☺️
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь🤓
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого🎧
Подробнее
На мой взгляд, PortSwigger является фаворитом среди всех обучающих материалов по информационной безопасности, и мне бы хотелось, чтобы вы в первую очередь пользовались именно бесплатными источниками знаний, а не платили за сомнительные курсы. Тем более, что большинство курсов на русском языке и так заимствуют значительную часть материалов, представленных здесь
Дальнейшее развитие репозитория возможно с вашей помощью: каждый из вас может внести вклад, добавляя решения лабораторных работ. Со своей стороны я буду по мере сил пополнять разделы, и вместе мы сделаем вход в изучение веб-безопасности бесплатным и доступным для каждого
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
В какое время вам удобнее читать посты?
Final Results
20%
7-9
15%
9-11
12%
11-14
18%
14-18
69%
18-22
0day джекпот: как мы нашли четыре критические дыры в SSO и ждали патчей
#0day #SSO #patch
Представьте: вы открываете письмо, кликаете по безобидной ссылке, и ваш корпоративный аккаунт теперь принадлежит кому-то другому. И это лишь один из четырех критических багов в коробочном SSO-решении, которые мы обнаружили во время рутинного пентеста.
Мы покажем, как одна логическая ошибка в продукте может привести к полному захвату аккаунтов, и объясним, как действовать, когда находишь подобный «подарок» в своей инфраструктуре.
Статья от коллеги из Бастиона, за что ему респект)
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#0day #SSO #patch
Представьте: вы открываете письмо, кликаете по безобидной ссылке, и ваш корпоративный аккаунт теперь принадлежит кому-то другому. И это лишь один из четырех критических багов в коробочном SSO-решении, которые мы обнаружили во время рутинного пентеста.
Мы покажем, как одна логическая ошибка в продукте может привести к полному захвату аккаунтов, и объясним, как действовать, когда находишь подобный «подарок» в своей инфраструктуре.
Статья от коллеги из Бастиона, за что ему респект)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16❤🔥6
NANOREMOTE: Windows-бэкдор с туннелированием через Google Drive API
#NANOREMOTE #REF7707 #WMLOADER #MalwareAnalysis #C2
Обнаружен в октябре этого года. Показывает сильное архитектурное сходство с имплантом FINALDRAFT китайской группировки REF7707: совпадает логика генерации GUID, структура HTTP-запросов, пейлоады из сэмплов на VirusTotal расшифровываются идентичным статичным AES-ключом.
Ключевая особенность заключается в использовании Google Drive API в качестве скрытого транспортного уровня для C2. Это позволяет обходить DPI и маскировать эксфильтрацию под легитимный TLS-трафик.
➡️ Структура атаки
Загрузчик WMLOADER реализует технику Masquerading, скрываясь под именем компонента Bitdefender (
Пейлоад (NANOREMOTE) — 64-битный имплант на C++ без обфускации. Поддерживает 22 типа команд. Основной C2-канал использует HTTP POST-запросы (
➡️ Google Drive API Exfiltration
Бэкдор строит скрытый туннель через REST API Google Drive, используя OAuth 2.0 Refresh Tokens для поддержки персистентной сессии.
Используются нативные вызовы WinHttpSendRequest к эндпоинтам типа
Учетные данные парсятся из кастомной pipe-delimited структуры (
Встроенный менеджер очередей обеспечивает асинхронное выполнение задач с возможностью управления состоянием транзакции и верификацией целостности по MD5.
➡️ Детектируемые аномалии
Несмотря на использование легитимного сервиса, реализация содержит специфические индикаторы:
специфический паттерн API-вызовов: перед скачиванием всегда запрашиваются метаданные через
🔗 Подробности и IoC
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#NANOREMOTE #REF7707 #WMLOADER #MalwareAnalysis #C2
Обнаружен в октябре этого года. Показывает сильное архитектурное сходство с имплантом FINALDRAFT китайской группировки REF7707: совпадает логика генерации GUID, структура HTTP-запросов, пейлоады из сэмплов на VirusTotal расшифровываются идентичным статичным AES-ключом.
Ключевая особенность заключается в использовании Google Drive API в качестве скрытого транспортного уровня для C2. Это позволяет обходить DPI и маскировать эксфильтрацию под легитимный TLS-трафик.
Загрузчик WMLOADER реализует технику Masquerading, скрываясь под именем компонента Bitdefender (
BDReinit.exe) с невалидной подписью. Декодирует шеллкод (Rolling XOR), который расшифровывает пейлоад из файла wmsetup.log (AES-CBC) и инъецирует его в память.Пейлоад (NANOREMOTE) — 64-битный имплант на C++ без обфускации. Поддерживает 22 типа команд. Основной C2-канал использует HTTP POST-запросы (
/api/client) с шифрованием AES-CBC и сжатием Zlib.Бэкдор строит скрытый туннель через REST API Google Drive, используя OAuth 2.0 Refresh Tokens для поддержки персистентной сессии.
Используются нативные вызовы WinHttpSendRequest к эндпоинтам типа
/upload/drive/v3/files. Это позволяет доставлять пейлоады и выгружать данные внутри защищенного TLS-соединения с доверенным хостом.Учетные данные парсятся из кастомной pipe-delimited структуры (
|*|, |-|) или переменной окружения NR_GOOGLE_ACCOUNTS. Есть поддержка ротации клиентов.Встроенный менеджер очередей обеспечивает асинхронное выполнение задач с возможностью управления состоянием транзакции и верификацией целостности по MD5.
Несмотря на использование легитимного сервиса, реализация содержит специфические индикаторы:
User-Agent NanoRemote/1.0 в запросах к API (если не изменен в билде),специфический паттерн API-вызовов: перед скачиванием всегда запрашиваются метаданные через
/drive/v3/files/%s?alt=media.Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥10🤯2
ReDisclosure. Разбираем инъекции в полнотекстовый поиск на примере MyBB
#mybb #php #sqli #sast #waf
В течение многих лет атаки с использованием SQL-инъекций в основном сводились к попыткам нарушить синтаксис запросов. Однако с развитием инструментов акцент сместился на создание «крутых нагрузок» и разбор предупреждений SAST, которые многие игнорируют. Я же попробовал поискать возможность инъекции без экранирования — с мыслью о том, что на это у SAST или WAF не будет правил.
Так я нащупал новую технику для внедрения в регулярные выражения. Сначала я немного расскажу о традиционных методах, которые были нам известны раньше, затем перейдем к моим находкам. В ходе тестирования мне удалось вскрыть уязвимость в MyBB, которая позволяла просматривать названия удаленных тем без аутентификации.
🔓 Ксакеп
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#mybb #php #sqli #sast #waf
В течение многих лет атаки с использованием SQL-инъекций в основном сводились к попыткам нарушить синтаксис запросов. Однако с развитием инструментов акцент сместился на создание «крутых нагрузок» и разбор предупреждений SAST, которые многие игнорируют. Я же попробовал поискать возможность инъекции без экранирования — с мыслью о том, что на это у SAST или WAF не будет правил.
Так я нащупал новую технику для внедрения в регулярные выражения. Сначала я немного расскажу о традиционных методах, которые были нам известны раньше, затем перейдем к моим находкам. В ходе тестирования мне удалось вскрыть уязвимость в MyBB, которая позволяла просматривать названия удаленных тем без аутентификации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2