Forwarded from Positive Events
Первым на поле битвы был реализован риск «Утечка конфиденциальной информации и ценных документов» в инфраструктуре нефтехимического завода компании Nuft (тот же риск относится и к объекту "нефтяное месторождение"). Команда back2oaz сумела проникнуть в сеть организации, получила доступ к компьютеру главы нефтяного департамента, откуда похитила файлы с информацией о тендерах. На реализацию риска команде потребовалось около 2 часов и 50 минут с момента начала противостояния. Напомним, что именно на инфраструктуру компании Nuft приходилось порядка 60% всех атак в первый день кибербитвы.
Далее команда DeteAct смогла нарушить работу системы продажи авиабилетов, теперь горожане не могут купить билеты через сайт. Также атакующие вызвали сбои в системе регистрации - пассажиры, у которых уже есть билет, не могут пройти регистрацию на рейс из личного кабинета на сайте, даже через форму представителя аэропорта.
Помимо этого, дважды за ночь был атакован деловой центр города! Команды SpbCTF и n0x с разницей в два часа смогли получить доступ к базе данных городского портала и удалить информацию о штрафах и задолженностях граждан.
Далее команда DeteAct смогла нарушить работу системы продажи авиабилетов, теперь горожане не могут купить билеты через сайт. Также атакующие вызвали сбои в системе регистрации - пассажиры, у которых уже есть билет, не могут пройти регистрацию на рейс из личного кабинета на сайте, даже через форму представителя аэропорта.
Помимо этого, дважды за ночь был атакован деловой центр города! Команды SpbCTF и n0x с разницей в два часа смогли получить доступ к базе данных городского портала и удалить информацию о штрафах и задолженностях граждан.
Вот такие штуки очень быстро забываю (Но и нахер они нужны, если их выпиливаются:D ). Рекомендую ознакомиться.
Forwarded from Xymfrx
По всей видимости, мы скоро можем попращаться с Reverse Tabnabbing.
Начиная с версии Chrome 88, браузер по-умолчанию будет считать ссылки с
В двух словах об атаке. Если кто не знает, в HTML-теге
#news
Начиная с версии Chrome 88, браузер по-умолчанию будет считать ссылки с
target=_blank как noopener и таким образом присоединится к Safari и Firefox, которые уже, к вашему сведению, так делают. В двух словах об атаке. Если кто не знает, в HTML-теге
<a>, предназначенном для создания ссылок, можно установить аттрибут target со значением _blank и тогда, по нажатию на такую ссылку в браузере, она будет открываться в новой вкладке. Сайт, на который ведет такая ссылка, может получить доступ к свойству window.opener и, к примеру, перенаправить пользователя на фишинговую страницу во вкладке, с которой он пришел.#news
Positive Events
Первым на поле битвы был реализован риск «Утечка конфиденциальной информации и ценных документов» в инфраструктуре нефтехимического завода компании Nuft (тот же риск относится и к объекту "нефтяное месторождение"). Команда back2oaz сумела проникнуть в сеть…
Кстати, может меня читают те кто играет в защите?
Если так, пишите в лс или в комменты свой фидбек. Какого вам там?)
Я пока столкнулся с кучей сломанных сервисов, над которыми явно не только оффенсивы постарались))
Если так, пишите в лс или в комменты свой фидбек. Какого вам там?)
Я пока столкнулся с кучей сломанных сервисов, над которыми явно не только оффенсивы постарались))
Блин, знаете какой был бы крутой пиар мув у позитивов, если бы мы вот хечили там все, что движется, эти пару дней.
А потом они такие: “А теперь мы приоткроем завесу тайны и представим вам свой новый продукт…”.
И короче, они запускают свой флюгегехаймен, и ни одна нагрузка просто не пролетает. Ни в вебе, ни в сервисах, все митмы отвалились, все респондеры разогрели ноутбуки офенсивов и те расплавились. Короче генеральный дефенс.
Вот тогда бы я понял, что пора возвращаться в PHP прогеры.
А потом они такие: “А теперь мы приоткроем завесу тайны и представим вам свой новый продукт…”.
И короче, они запускают свой флюгегехаймен, и ни одна нагрузка просто не пролетает. Ни в вебе, ни в сервисах, все митмы отвалились, все респондеры разогрели ноутбуки офенсивов и те расплавились. Короче генеральный дефенс.
Вот тогда бы я понял, что пора возвращаться в PHP прогеры.
Forwarded from Cybershit
Как говорится — не bWAPP'ом единым!
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Закончился The Standoff 2020.
Нашей команде он крайне доставил. Хочу поблагодарить всех кто участвовал и помогал в этом стендоффе.
Есть над чем работать и нам и оргам, но это было очень прикольно. Да - 6 дней без перерыва, да - отсутствие баланса, да - кто первый того и тапки, но в этом и кайф 😉 CTF'ов со строгим регламентом, балансом и плаксивыми участниками нам и так хватает. Пусть хоть тут остается уголочек хардкора, борьбы за шеллы и майнеры. Отдельно стоит отметить крутую легенду, великолепные стенды и маркетинг.
В общем, хочу поблагодарить и отметить своих ребят, кто участвовал в этом событии.
Команда Back2OAZ на The Standoff 2020 заняла почетнейшее второе место в составе:
Иван Булавин (Капитан команды)
Сергей Гилев
Андрей Рогожкин
Павел Шлюндин
Саид Эфендиев
Николай Топорков
Алексей Хайдин
Сергей Колесников
Егор Богомолов
Отдельно отмечу работу капитана. (Ваня тащил нонстопом и по моему субъективному принес больше всех очков команде руша скада системы и ломая город.)
Главное от меня: Игру делают не какие-то там большие названия, бренды и команды. Игру делают люди и поэтому они здесь ^
P.S. Вспоминая про регламент, помните про часовые пояса!
Нашей команде он крайне доставил. Хочу поблагодарить всех кто участвовал и помогал в этом стендоффе.
Есть над чем работать и нам и оргам, но это было очень прикольно. Да - 6 дней без перерыва, да - отсутствие баланса, да - кто первый того и тапки, но в этом и кайф 😉 CTF'ов со строгим регламентом, балансом и плаксивыми участниками нам и так хватает. Пусть хоть тут остается уголочек хардкора, борьбы за шеллы и майнеры. Отдельно стоит отметить крутую легенду, великолепные стенды и маркетинг.
В общем, хочу поблагодарить и отметить своих ребят, кто участвовал в этом событии.
Команда Back2OAZ на The Standoff 2020 заняла почетнейшее второе место в составе:
Иван Булавин (Капитан команды)
Сергей Гилев
Андрей Рогожкин
Павел Шлюндин
Саид Эфендиев
Николай Топорков
Алексей Хайдин
Сергей Колесников
Егор Богомолов
Отдельно отмечу работу капитана. (Ваня тащил нонстопом и по моему субъективному принес больше всех очков команде руша скада системы и ломая город.)
Главное от меня: Игру делают не какие-то там большие названия, бренды и команды. Игру делают люди и поэтому они здесь ^
P.S. Вспоминая про регламент, помните про часовые пояса!
Forwarded from Xymfrx
Assetnote делятся своими словарями для перебора и сообщают, что будут обновлять их каждый месяц. Помимо автоматически сгенерированных, на сайте есть словари сгенерированные с помощью Google BigQuery. Очень классно!
https://wordlists.assetnote.io
https://wordlists.assetnote.io
Twitter
shubs
Good wordlists are so important when discovering content on an asset. At @assetnote, we've built a wordlists site that updates itself on a monthly basis. For added value, we've included some of our best wordlists that we've manually collected too. https:…
Forwarded from SecAtor
Смешная история, наверняка многие уже в курсе.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
The Bell
РБК: «русских хакеров» для взломов в США искали на российских сайтах вакансий
РБК выяснил, что хакерская группировка FIN7, причастная ко взломам более 100 американских компаний и хищению данных 15 млн банковских карт, искала сотрудников через легальные российские сайты вакансий и компании-ширмы. Одна из них — Combi Security — уже рассекречена…
Реально хорошая подборка получилась.
Ответ всем, кто спрашивал какие плагины я юзаю.
Ответ всем, кто спрашивал какие плагины я юзаю.
Forwarded from Cybershit
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.
https://habr.com/ru/company/dsec/blog/529088/
https://habr.com/ru/company/dsec/blog/529088/
Хабр
Burp и его друзья
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили...
Forwarded from Xymfrx
А вы, при тестировании веб-приложения, проверяете как оно отвечает с разных User-Agent'ов?
Если еще нет, то предлагаю почитать интересный write-up про уязвимости в инструментах, предназначенных для динамического отображения страниц веб-приложений.
Вкратце, такие инструменты обычно используются при настройке SEO, сайтов на JavaScript. Они нужны, чтобы отобразить контент страницы для поисковых роботов, которые не умеют в JS.
Если еще нет, то предлагаю почитать интересный write-up про уязвимости в инструментах, предназначенных для динамического отображения страниц веб-приложений.
Вкратце, такие инструменты обычно используются при настройке SEO, сайтов на JavaScript. Они нужны, чтобы отобразить контент страницы для поисковых роботов, которые не умеют в JS.
semgrep.dev
Semgrep App Security Platform | AI-assisted SAST, SCA and Secrets Detection
An extensible developer-friendly application security platform that scans source code to surface true and actionable security issues with AI-assisted SAST, SCA, and Secrets Detection solutions.
Forwarded from Xymfrx
Ого, вышлая новая версия OWASP Web Security Testing Guide!
https://github.com/OWASP/wstg/releases/tag/v4.2
https://github.com/OWASP/wstg/releases/tag/v4.2
GitHub
Release Release v4.2 · OWASP/wstg
Published here: https://owasp.org/www-project-web-security-testing-guide/v42/
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...