Вот такие штуки очень быстро забываю (Но и нахер они нужны, если их выпиливаются:D ). Рекомендую ознакомиться.
Forwarded from Xymfrx
По всей видимости, мы скоро можем попращаться с Reverse Tabnabbing.
Начиная с версии Chrome 88, браузер по-умолчанию будет считать ссылки с
В двух словах об атаке. Если кто не знает, в HTML-теге
#news
Начиная с версии Chrome 88, браузер по-умолчанию будет считать ссылки с
target=_blank как noopener и таким образом присоединится к Safari и Firefox, которые уже, к вашему сведению, так делают. В двух словах об атаке. Если кто не знает, в HTML-теге
<a>, предназначенном для создания ссылок, можно установить аттрибут target со значением _blank и тогда, по нажатию на такую ссылку в браузере, она будет открываться в новой вкладке. Сайт, на который ведет такая ссылка, может получить доступ к свойству window.opener и, к примеру, перенаправить пользователя на фишинговую страницу во вкладке, с которой он пришел.#news
Positive Events
Первым на поле битвы был реализован риск «Утечка конфиденциальной информации и ценных документов» в инфраструктуре нефтехимического завода компании Nuft (тот же риск относится и к объекту "нефтяное месторождение"). Команда back2oaz сумела проникнуть в сеть…
Кстати, может меня читают те кто играет в защите?
Если так, пишите в лс или в комменты свой фидбек. Какого вам там?)
Я пока столкнулся с кучей сломанных сервисов, над которыми явно не только оффенсивы постарались))
Если так, пишите в лс или в комменты свой фидбек. Какого вам там?)
Я пока столкнулся с кучей сломанных сервисов, над которыми явно не только оффенсивы постарались))
Блин, знаете какой был бы крутой пиар мув у позитивов, если бы мы вот хечили там все, что движется, эти пару дней.
А потом они такие: “А теперь мы приоткроем завесу тайны и представим вам свой новый продукт…”.
И короче, они запускают свой флюгегехаймен, и ни одна нагрузка просто не пролетает. Ни в вебе, ни в сервисах, все митмы отвалились, все респондеры разогрели ноутбуки офенсивов и те расплавились. Короче генеральный дефенс.
Вот тогда бы я понял, что пора возвращаться в PHP прогеры.
А потом они такие: “А теперь мы приоткроем завесу тайны и представим вам свой новый продукт…”.
И короче, они запускают свой флюгегехаймен, и ни одна нагрузка просто не пролетает. Ни в вебе, ни в сервисах, все митмы отвалились, все респондеры разогрели ноутбуки офенсивов и те расплавились. Короче генеральный дефенс.
Вот тогда бы я понял, что пора возвращаться в PHP прогеры.
Forwarded from Cybershit
Как говорится — не bWAPP'ом единым!
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Подборка заранее уязвимых приложений, сервисов, ОС и пр. для вашего обучения, либо тестирования различного рода сканеров.
https://github.com/vavkamil/awesome-vulnerable-apps/
Закончился The Standoff 2020.
Нашей команде он крайне доставил. Хочу поблагодарить всех кто участвовал и помогал в этом стендоффе.
Есть над чем работать и нам и оргам, но это было очень прикольно. Да - 6 дней без перерыва, да - отсутствие баланса, да - кто первый того и тапки, но в этом и кайф 😉 CTF'ов со строгим регламентом, балансом и плаксивыми участниками нам и так хватает. Пусть хоть тут остается уголочек хардкора, борьбы за шеллы и майнеры. Отдельно стоит отметить крутую легенду, великолепные стенды и маркетинг.
В общем, хочу поблагодарить и отметить своих ребят, кто участвовал в этом событии.
Команда Back2OAZ на The Standoff 2020 заняла почетнейшее второе место в составе:
Иван Булавин (Капитан команды)
Сергей Гилев
Андрей Рогожкин
Павел Шлюндин
Саид Эфендиев
Николай Топорков
Алексей Хайдин
Сергей Колесников
Егор Богомолов
Отдельно отмечу работу капитана. (Ваня тащил нонстопом и по моему субъективному принес больше всех очков команде руша скада системы и ломая город.)
Главное от меня: Игру делают не какие-то там большие названия, бренды и команды. Игру делают люди и поэтому они здесь ^
P.S. Вспоминая про регламент, помните про часовые пояса!
Нашей команде он крайне доставил. Хочу поблагодарить всех кто участвовал и помогал в этом стендоффе.
Есть над чем работать и нам и оргам, но это было очень прикольно. Да - 6 дней без перерыва, да - отсутствие баланса, да - кто первый того и тапки, но в этом и кайф 😉 CTF'ов со строгим регламентом, балансом и плаксивыми участниками нам и так хватает. Пусть хоть тут остается уголочек хардкора, борьбы за шеллы и майнеры. Отдельно стоит отметить крутую легенду, великолепные стенды и маркетинг.
В общем, хочу поблагодарить и отметить своих ребят, кто участвовал в этом событии.
Команда Back2OAZ на The Standoff 2020 заняла почетнейшее второе место в составе:
Иван Булавин (Капитан команды)
Сергей Гилев
Андрей Рогожкин
Павел Шлюндин
Саид Эфендиев
Николай Топорков
Алексей Хайдин
Сергей Колесников
Егор Богомолов
Отдельно отмечу работу капитана. (Ваня тащил нонстопом и по моему субъективному принес больше всех очков команде руша скада системы и ломая город.)
Главное от меня: Игру делают не какие-то там большие названия, бренды и команды. Игру делают люди и поэтому они здесь ^
P.S. Вспоминая про регламент, помните про часовые пояса!
Forwarded from Xymfrx
Assetnote делятся своими словарями для перебора и сообщают, что будут обновлять их каждый месяц. Помимо автоматически сгенерированных, на сайте есть словари сгенерированные с помощью Google BigQuery. Очень классно!
https://wordlists.assetnote.io
https://wordlists.assetnote.io
Twitter
shubs
Good wordlists are so important when discovering content on an asset. At @assetnote, we've built a wordlists site that updates itself on a monthly basis. For added value, we've included some of our best wordlists that we've manually collected too. https:…
Forwarded from SecAtor
Смешная история, наверняка многие уже в курсе.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
The Bell
РБК: «русских хакеров» для взломов в США искали на российских сайтах вакансий
РБК выяснил, что хакерская группировка FIN7, причастная ко взломам более 100 американских компаний и хищению данных 15 млн банковских карт, искала сотрудников через легальные российские сайты вакансий и компании-ширмы. Одна из них — Combi Security — уже рассекречена…
Реально хорошая подборка получилась.
Ответ всем, кто спрашивал какие плагины я юзаю.
Ответ всем, кто спрашивал какие плагины я юзаю.
Forwarded from Cybershit
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.
https://habr.com/ru/company/dsec/blog/529088/
https://habr.com/ru/company/dsec/blog/529088/
Хабр
Burp и его друзья
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили...
Forwarded from Xymfrx
А вы, при тестировании веб-приложения, проверяете как оно отвечает с разных User-Agent'ов?
Если еще нет, то предлагаю почитать интересный write-up про уязвимости в инструментах, предназначенных для динамического отображения страниц веб-приложений.
Вкратце, такие инструменты обычно используются при настройке SEO, сайтов на JavaScript. Они нужны, чтобы отобразить контент страницы для поисковых роботов, которые не умеют в JS.
Если еще нет, то предлагаю почитать интересный write-up про уязвимости в инструментах, предназначенных для динамического отображения страниц веб-приложений.
Вкратце, такие инструменты обычно используются при настройке SEO, сайтов на JavaScript. Они нужны, чтобы отобразить контент страницы для поисковых роботов, которые не умеют в JS.
semgrep.dev
Semgrep App Security Platform | AI-assisted SAST, SCA and Secrets Detection
An extensible developer-friendly application security platform that scans source code to surface true and actionable security issues with AI-assisted SAST, SCA, and Secrets Detection solutions.
Forwarded from Xymfrx
Ого, вышлая новая версия OWASP Web Security Testing Guide!
https://github.com/OWASP/wstg/releases/tag/v4.2
https://github.com/OWASP/wstg/releases/tag/v4.2
GitHub
Release Release v4.2 · OWASP/wstg
Published here: https://owasp.org/www-project-web-security-testing-guide/v42/
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
OpenSSF CVE Benchmark
День назад OpenSSF релизнули проект OpenSSF CVE Benchmark. Основная цель проекта - сравнивать инструменты SAST на реальных кодовых базах, в которых была найдена CVE до и после патча. По сути, это репо, содержащее скрипты, которые запускают на текущий момент ESLint, NodeJSScan и CodeQL против различных open-source проектов на GitHub. Ссылки, версии и уязвимость содержатся в JSON-файлах для каждой CVE (пока что только JavaScript и TypeScript). После запуска сканирования автоматически генерируется сравнение результатов в веб-морде с указанием на ложные срабатывания. В roadmap обещают больше тулов и CVE.
Похожий проект 4 года назад делала команда OWASP. Они написали 2740 test cases на Java и натравили на них различные инструменты SAST, в том числе туда попал DAST - OWASP ZAP. Среди SAST были и коммерческие инструменты. Запустить бенчмарки можно и сейчас на их репо. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репо.
#sast #dev
День назад OpenSSF релизнули проект OpenSSF CVE Benchmark. Основная цель проекта - сравнивать инструменты SAST на реальных кодовых базах, в которых была найдена CVE до и после патча. По сути, это репо, содержащее скрипты, которые запускают на текущий момент ESLint, NodeJSScan и CodeQL против различных open-source проектов на GitHub. Ссылки, версии и уязвимость содержатся в JSON-файлах для каждой CVE (пока что только JavaScript и TypeScript). После запуска сканирования автоматически генерируется сравнение результатов в веб-морде с указанием на ложные срабатывания. В roadmap обещают больше тулов и CVE.
Похожий проект 4 года назад делала команда OWASP. Они написали 2740 test cases на Java и натравили на них различные инструменты SAST, в том числе туда попал DAST - OWASP ZAP. Среди SAST были и коммерческие инструменты. Запустить бенчмарки можно и сейчас на их репо. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репо.
#sast #dev