В недавней атаке на Твиттер, атакующие не только разослали сообщения с предложением удвоения средств отправленных на btc кошелек, но ещё и выгрузили персональную информации через выгрузку архива данных аккаунта.

https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html

Как говорится:
Anything that can go wrong will go wrong

Кстати, очень интересно по-моему, что, например, тех поддержка из Яндекса, чтобы получить данные о вас, должна получить от вас OTP (One Time Password), что если не исключает, то сильно снижает вероятность проведения подобной атаки на Яндекс. Если так, то Яндексу респект.

Хоть мне и кажется, что приучать пользователей выдавать свои OTP может быть плохой идеей.

Гениально!)

False Positive: Dependency Check, Dependency Track and Nexus IQ

Просканировал уязвимый java-проект dvja тремя инструментами SCA: open-source Dependency Check, Dependency Track и платным продуктом Nexus IQ. Для каждой выявленной CVE сделал ревью и вот что предварительно получилось - 65% фолзов для Dependency Check, 52% для Dependency Track и только 10 для Nexus IQ.

Казалось бы, откуда тут фолзы? Так как open source инструменты строят на базе выявленной компоненты CPE-строку, после чего лезут в NVD за CVE для этой компоненты, то могут возникать ошибки - несоответствие CVE к выявленной компоненте, несоответствие CVE к выявленной версии и дублирование CVE (отображение несколько CVE об одной и той же уязвимости). Nexus в данном случае выиграет за счет того, что Sonatype расширили каждую CVE, указав уязвимый класс, функцию и проведя дополнительные ресерчи.

Чуть попозже надеюсь, что оформим это все в статью, чтобы все могли познакомиться с ревью поглубже.

#sca #tools

Пусть и старый, но еще немного годный материал по примерам эксплуатации уязвимостей Host header injection.

Как миниму ради примера с отправкой писем, стоит изучить.

Link: https://www.slideshare.net/DefconRussia/http-host-header-attacks?from_action=save

Хочу поддержать проект: https://www.kickstarter.com/projects/flipper-devices/flipper-zero-tamagochi-for-hackers

Сам сделал предзаказ. И буду следить за развитием проекта.

Мне кажется эта штука будет сродни отмычкам в рюкзаке или на полке каждого хакера. (Т.е. будет почти у всех.)

Так, тут @bykva наконец-то сделал что-то годное.

И это кроссворд, который ты должен попробовать:
https://onlinetestpad.com/ru/crossword/100493-devops-i-sisadminam

Особенно если ты девопс.

Заполенненый кроссворд мне в ЛС. Готов буду промоутить вас как девопса)

Написал пару “сложных” тасочек для нашего CTF. Предлагаю принять участие тем кому нравится ковырять вебчик:

https://ctf.hackeru.pro/

В CTF две линейки по несколько тасков. Easy и Hard.

Думаю, что Hard получился достаточно интересным. Предлагаю проверить;)

Понравилась статья о том, как устроен рынок взлома почт. Я думал, что чего-то не знаю и наверное этот рынок шагнул вперед и уже имеет какие-то Advanced Techniques, но оказалось, что все куда прозаичнее:

https://habr.com/ru/company/selectel/blog/513560/

Памятка для всех кто считает, что завести телеграмм канал о хакинге это хорошая идея... И такие перцы пишут день через день. :D

Вернемся к основной теме;)

Для тех, кто хочет чуть лучше понимать почему JavaScript в браузере выполняет ваш код в непредвиденной последовательности, советую изучить следующую статью про внутренности движка JS:
https://medium.com/better-programming/javascript-internals-under-the-hood-of-a-browser-f357378cc922

Узнал о еще одном подвиде XSS.

Обычно речь идет о трех-четырех видах. Это:
- Reflected
- Stored
- Dom-based
- Universal

И вот что-то новенькое:
mXSS - mutation XSS

Первоисточник: mXSS Attacks: Attacking well-secured Web-Applications by using innerHTML Mutations - https://cure53.de/fp170.pdf

Вся суть такой атаки основана на мутации HTML при использовании метода innerHTML, который изменяет полученный HTML в соответствии с правилами из движка браузера.

Пример

Выполняем код:
element.innerHTML = '<u>Some <i>HTML’

Какой код появится в объекте element, если element это какой-нибудь div?

Ответ:
<u>Some <i>HTML</i></u>

Боевой пример для выполнения XSS приведен на приложенном изображении.

mXSS принято использовать для обхода фильтраций, в том числе для обхода методов санитизации библиотеки DOMPurify.

Важное замечание, что для выполнения mXSS нужно несколько таких мутаций. Которые как раз таки происходят из-за применения Purify функций над фильтруемой стройкой. Первая мутация происходит во время применения функции sanitize объекта DOMPurify, а вторая во время присвоения свойства innerHTML.

Наверное правильнее это вывести в подвид Reflected XSS.

Подробности: https://research.securitum.com/dompurify-bypass-using-mxss/

Всем qq!

Сегодня в 18.00 проведу воркшоп на тему эффективных атак на веб-приложения (Как вы могли понять, поговорим про инъекции)

Если коротко:

— Рассказ о современных веб-приложениях
— Разговор о самых опасных уязвимостях веб-приложений
— Разбор уязвимостей инъекции управляющих конструкций
— Проработка двух примеров атак (простого и сложного) на уязвимые веб-приложения, разработанные на языках PHP и Java

Длительность 2 часа

Регистрация тут:
https://is.gd/Azj1vY

Ссылочка на воркшоп:
https://us02web.zoom.us/j/85334169137?pwd=aHllbmp6Q3FwQVZmU01RNE0rOFdZQT09

#r2con2020 will be online & FREE! - 4 days in September (from 2020-09-02 to 2020-09-05)

Stream: https://www.youtube.com/channel/UCZo6gyBPj6Vgg8u2dfIhY4Q
r2wars: https://rada.re/con/2020/#r2wars
CTF: https://ctf.radare.org/welcome.html and https://rada.re/con/2020/#CTF
Schedule: https://rada.re/con/2020/assets/r2con2020schedule.pdf

Chiptune party: https://rada.re/con/2020/#Chiptune

#reverse #videos #conference #r2con #ctf #dukeBarman

Чтобы сделать фишинговую почтовую рассылку через уязвимый почтовый сервер мы с другом давным давно написали инструмент для автоматизированной отправки писем. Вот он: https://github.com/empty-jack/MailHammer

Я долго им пользовался, чтобы проводить атаки с применением методов социальной инженерии. В том числе он был написан, чтобы проводить атаки с подменой отправителя, о которой мы рассказывали на DefCon 7499 #13.

Но сегодня мир рухнул, я неожиданно осознал, что CURL умеет работать с smtp:// схемой. (Нет, я конечно знал что он может многое, но как-то не осмеливался задуматься что он умеет еще больше).

В очередной раз убеждаюсь что все, что может быть нужно пентестеру можно написать однострочником на баше;)

Пример работы с SMTP черзе CURL:

curl -k --url "smtp://127.0.0.1" --mail-from "[email protected]" --mail-rcpt "[email protected]" --upload-file ./message --user '[email protected]:password' --ssl

Заметки на полях: детектирование действий в AD

Каждый уважающий себя RedTeam специалист при совершении каких-либо действий должен думать о двух вещах:

1. как его действия видит команда защитников
2. как рассказать защитникам о детектировании совершенных действий

Со вторым пунктом все более или менее понятно - в AD для каждого события есть свои Event ID (windows event ID), на наличие которых в логах, можно настраивать SIEM системы. Подробнее про различные windows event ID можно почитать тут:
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/default.aspx?i=j

А на первом пункте остановимся чуть подробнее и посмотрим какие действия чаще всего приходится делать во внутренней сети и как это все может отражаться в мониторинговых системах заказчика.

1. Password Spraying

Event ID = 4625. Если на один и тот же ресурс, за один и тот же короткий период пытается залогиниться больше 2 пользователей. Скорость проведения атаки - автоматизированные инструменты все-таки совершают большое количество попыток залогиниться в систему - это и становится алертом для защитников, что кто-то пытается найти валидную пару логин/пароль

2. Брутфорс

Event ID = 4740. Большое количество залоченных аккаунтов (аккакунт лочится, когда закончилось предусмотренное доменной политикой количество попыток ввести пароль).

3. Попытки использовать залоченные учетные записи

Event ID = 4625, код 0xC0000072. Поскольку список пользователей составляется путем рекона, либо путем перебора логинов по словарю (на ресурсах, где есть такая возможность), то всегда есть шанс нарваться на учетную запись, которая присутствует в системе, но залочена, потому что сотрудник уволился, учетную запись заблокировали, но не удалили.

4. Pass-the-hash и overpass-the-hash

Pass-the-hash (Event ID = 4624, тип логина - 3), overpass-the-hash (Event ID = 4624, тип логина - 9). Использовать хеш для перемещения между ресурсами сети - невероятно удобно (не нужно знать пароль пользователя, который не всегда удается узнать), однако есть отличия в типах логина с помощью хеша и с помощью пароля.
И эти отличия очень неплохо детектируются.

5. Mimikatz DCSync

Event ID = 4662 и Event ID = 5136. Репликация всех изменений каталога - ключевое свойство, которое показывает, что вероятнее всего произошла атака DCSync.

6. Ключи DPAPI

Event ID = 4692. Извлечение и бэкап DPAPI ключей также отражается в логах и сигнализирует о том, что злоумышленник пошел за ключами на контроллер домена и что нужно принимать активные действия. Подробнее про применение DPAPI можно почитать здесь

https://habr.com/ru/post/434514/

Мы рассмотрели несколько ключевых направлений, которые используются RedTeam специалистами. Конечно, это далеко не все. Помните, что нужно всегда думать о том, что вы делаете.

Всем привет, через 10 минут будем с Иваном Афанасьевым (Экспертом по sSDLc и Application Security) общаться о Секьюрити Чемпионах и о том, при чем тут DevSecOps и sSDLc)

Подключайтесь:

https://us02web.zoom.us/j/83035368780?pwd=Ym1LZ2FLTkJMK2FLclFnR0ZGcW1OZz09

Может кому будет интересно. По ту сторону BugBounty было меньше народу чем по нашу с вами (Offensive рулит;D )

Остался 1 час до старта вебинара «Организуем собственный Bug Bounty на Hackerone»🔥

Ссылка на трансляцию👇🏻
https://us02web.zoom.us/j/85713575092?pwd=VTU3MGtORTVuazIzcWR5Q0FCVjNHdz09

Проведет вебинар и ответит на ваши вопросы Иван Афанасьев — Application Security Specialist и эксперт Vulnerability Management, Penetration Testing и Application Security.

Всех ждём✊🏻