TInjA: современный инструмент для тестирования веб-безопасности

TInjA — это инструмент, включённый в дистрибутив Kali Linux, который претерпел значительные изменения. В версии v1.2.0+ он переориентирован на веб-тестирование и более не поддерживает прямой анализ IoT-устройств и прошивок, как это было ранее.

🤩 Новые возможности инструмента
- Обнаружение уязвимостей в веб-приложениях (XSS, инъекции)
- Проверка на клиентские шаблонные инъекции (CSTI)
- Сканирование с кастомными HTTP-заголовками
- Поддержка работы через прокси
- Генерация отчётов в JSON-формате

🔹Установка
Поскольку TInjA входит в состав Kali Linux, его можно установить командой:

sudo apt update && sudo apt install tinja

Проверяем:

tinja --help

🔹Сканирование веб-интерфейса устройства

tinja url -u https://192.168.1.100

Проверяет веб-интерфейс на наличие уязвимостей

🔹Пакетное сканирование URL

tinja raw -R targets.txt

Где targets.txt содержит список URL (по одному на строку)

🔹Проверка с кастомными заголовками

tinja url -u https://example.com -H "Authorization: Basic YWRtaW46YWRtaW4="

⬇️Полезные флаги
--useragentchrome - использование Chrome User-Agent
--csti - проверка шаблонных инъекций
--timeout - установка таймаута (сек)
--reportpath - сохранение отчёта

‼️Важные предупреждения

- Используйте TInjA только для тестирования систем, на которые имеете право тестировать
- Некоторые проверки могут вызывать отказ в обслуживании
- Для IoT-тестирования используйте специализированные инструменты

Уязвимость MadeYouReset в протоколе HTTP/2 позволяет проводить масштабные DDoS-атаки. Исследователи из компаний Imperva и Deepness Lab обнаружили новую критическую уязвимость в протоколе HTTP/2 и присвоили ей идентификатор CVE-2025-8671. Обнаружена 13 августа 2025 года.

Уязвимость MadeYouReset представляет собой усовершенствованную версию разрушительной атаки Rapid Reset, которая была обнаружена в 2023 году и считалась крупнейшей DDoS-атакой на тот момент.

📕 Предыстория
Уязвимость Rapid Reset связана с тем, как HTTP/2 управляет жизненным циклом потоков. Клиент быстро открывает и закрывает потоки с помощью кадров RST_STREAM. Особенность заключается в том, что сервер интерпретирует эти сбросы как завершение работы потока и освобождения ресурсов, включая счётчик активных потоков, который ограничивает количество одновременных запросов от клиента. Фактически же поток остается задействованным, то есть сервер продолжает обрабатывать данные и очищать память, хотя логически он считался завершённым.

Это создаёт лазейку: сервер считает, что у него достаточно ресурсов для обработки большего количества потоков, и продолжает принимать новые, увеличивая нагрузку на ресурсы. Массовое повторение этого цикла может привести к перегрузке даже самой отказоустойчивой инфраструктуры.

✍️ Принцип работы новой атаки
Атака использует встроенные в HTTP/2 механизмы параллельной обработки данных, позволяя злоумышленникам создавать практически неограниченную параллельную работу на серверах, обходя встроенное ограничение параллельной обработки данных в HTTP/2.

1️⃣Злоумышленник начинает со стандартного установления соединения по HTTP/2 и открытия нескольких потоков. Вместо использования RST_STREAM злоумышленник отправляет корректные по структуре, но логически некорректные последовательности кадров, которые нарушают правила протокола.

2️⃣Каждый из таких примитивов по-разному нарушает спецификацию HTTP/2, и в соответствии с RFC 9113 сервер должен отвечать кадром RST_STREAM при обнаружении ошибки PROTOCOL_ERROR. При этом количество потоков может формально оставаться меньше лимита, хотя на самом деле сервер продолжает обрабатывать значительное число активных потоков. Это приводит к чрезмерной нагрузке на процессор и память, что в конечном счёте вызывает полный отказ в обслуживании.

В отличие от традиционных атак типа отказа в обслуживании, требующих значительных ресурсов, MadeYouReset позволяет злоумышленникам добиться максимального сбоя в работе системы с минимальными усилиями со стороны атакующего.

❗️Выявлено, что уязвимость MadeYouReset затрагивает несколько широко используемых реализаций HTTP/2 серверов, в том числе Netty, Jetty, Apache Tomcat, IBM WebSphere и BIG-IP.

🛡 Рекомендации по защите
⏺️более строгая проверка протокола;
⏺️применение жёсткого отслеживания состояний потоков для
⏺️блокировки некорректных переходов;
⏺️внедрение ограничений скорости на уровне соединений;
⏺️использование систем обнаружения аномалий и поведенческого мониторинга.

🪄 Pixiewps

Утилита для подбора пароля к защищенной сети Wi-Fi оффлайн. Написана на языке C и используется для автоматического подбора PIN-кода WPS с использованием низкой или отсутствующей энтропии в некоторых программных реализациях (атака Pixie Dust, обнаруженная Домиником Бонгаром в 2014 году).

В отличие от традиционной онлайн-атаки методом перебора, реализованной в таких инструментах, как Reaver или Bully, которые позволяют восстановить PIN-код за несколько часов, этот метод позволяет получить PIN-код всего за секунды или минуты, в зависимости от цели, если она уязвима.

Pixie Dust — офлайновая атака на WPS PIN. WPS — это функция, упрощающая подключение к Wi-Fi. Некоторые чипсеты (особенно от Broadcom и Ralink) используют недостаточно случайные числа (или вообще фиксированные) при генерации криптографических параметров в WPS, что позволяет рассчитать WPS PIN мгновенно, без перебора всех 10⁷ вариантов.

Как проходит атака
1️⃣Злоумышленник запускает WPS handshake с точкой доступа. Использует утилиту (например, Reaver) для захвата Public Key, Nonce и других параметров, отправленных точкой доступа.
2️⃣Если точка доступа уязвима:
⏺️Утилита офлайн высчитывает WPS PIN.
⏺️Получает WPA-PSK пароль Wi-Fi.

🍽 Установка

git clone https://github.com/wiire/pixiewps 
#OR
wget https://github.com/wiire/pixiewps/archive/master.zip && unzip master.zip
cd pixiewps/
make
sudo make install

✏️ Примеры использования
Базовый вызов для проведения Pixie Dust-атаки.

pixiewps -e 1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF -r ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890ABCDEF1234567890 -s AABBCCDDEEFF11223344556677889900AABBCCDDEEFF11223344556677889900 -z 11223344556677889900AABBCCDDEEFF11223344556677889900AABBCCDDEEFF -a 99887766554433221100FFEEDDCCBBAA99887766554433221100FFEEDDCCBBAA -n 0102030405060708090A0B0C0D0E0F10

Все параметры передаваемые в флагах (-e, -r, -s, -z, -a, -n) являются значениями, полученными с помощью инструмента Reaver или Bully во время WPS-сессии.

Вывод в файл и повышенная детализация.

pixiewps -e <PKE> -r <PKR> -s <E-Hash1> -z <E-Hash2> -a <AuthKey> -n <EnrolleeNonce> -v 3 -o pixie-output.txt

Атаки на некоторые уязвимые реализации (например, Ralink).

pixiewps -e <PKE> -r <PKR> -s <E-Hash1> -z <E-Hash2> -a <AuthKey> -n <EnrolleeNonce>  -m <RegistrarNonce>

🔑 SessionGopher — Утилита для извлечения сохранённых сессий удалённого доступа

SessionGopher — это PowerShell-утилита, разработанная Brandon Arvanaghi (изначально для FireEye), которая помогает выявлять и расшифровывать сохранённую информацию о сессиях удалённого доступа, таких как WinSCP, PuTTY, SuperPuTTY, FileZilla и Microsoft Remote Desktop. Утилита умеет работать локально и удалённо через WMI.

1️⃣ Установка и подготовка
⏺️ Клонирование репозитория:

git clone https://github.com/Arvanaghi/SessionGopher.git
cd SessionGopher

⏺️ Убедитесь, что есть права администратора или аналогичные — доступ к HKEY_USERS необходим для извлечения данных о сессиях.

2️⃣ Запуск утилиты
Локально:

. .\SessionGopher.ps1
Invoke-SessionGopher -Thorough

Удалённо:

Import-Module path\to\SessionGopher.ps1
Invoke-SessionGopher -Target HOSTNAME -Thorough

По списку хостов:

Invoke-SessionGopher -iL computerlist.txt -u domain.com\admin -p SecretPassword -o

Параметры:
⏺️ -Thorough — включает поиск по всему диску .ppk, .rdp, .sdtid файлов
⏺️ -iL — список хостов
⏺️ -AllDomain — опрос всех доменных машин
⏺️ -Target — конкретная цель
⏺️ -o — вывод результатов в папку с CSV

3️⃣ Пример вывода (Thorough)

[+] Digging on Win7-Arvanaghi ...
WinSCP Sessions
Session  : [email protected]
Username : admin-anthony
Password : Super*p@ssw0rd

FileZilla Sessions
Password : imr34llytheFl@sh

PuTTY Private Key Files (.ppk)
Path : C:\Users\Brandon\mykey.ppk
Private Key: {...}

Microsoft Remote Desktop .rdp Files
Hostname : dc01.corp.hackerplaypen.com
Prompts for Credentials : No

Утилита позволяет извлечь пароли, приватные ключи и конфигурацию сессий.
Возможности и особенности
⏺️ Извлечение сессий: WinSCP, FileZilla, SuperPuTTY, PuTTY, RDP (.rdp) и RSA-файлы (.sdtid)
⏺️ Расшифровка сохранённых паролей и приватных ключей
⏺️ Поддержка удалённого выполнения с использованием WMI
⏺️ CSV-вывод для удобной автоматизации и аудита

⚠️ Обнаружены вредоносные пакеты PyPI и npm, использующие зависимости при Supply Chain атаках

🧑‍💻 Исследователи по кибербезопасности из Zscaler ThreatLabz обнаружили вредоносный пакет в репозиториях Python Package Index (PyPI), который выполняет вредоносную активность через зависимость, позволяющий выполнять вредоносный код.

📦 Пакет "termncolor" реализовывает вредоносную активность через пакет зависимостей "colorinal". На сегодняшний момент обе библиотеки не доступны на PyPI, но пакет "termncolor" был скачан 355 раз, а "colorinal" - 529 раз.

🔗 Как утверждают исследователи из Zscaler ThreatLabz, при данной атаке используется сторонняя загрузка DLL для облегчения расшифровки и Command and Control (C2) с управляющем сервером.

📁 В частности, полезная нагрузка развёртывает легитимный двоичный файл "vcpktsvr.exe" и DLL-библиотеку "libcef.dll", которая запускается с помощью стороннего DLL-загрузчика. DLL, в свою очередь, способна собирать системную информацию и взаимодействовать с сервером командования (C2) с помощью Zulip , чат-приложения с открытым исходным кодом, чтобы скрыть свою активность.

🦠 Также в атаках фигурируют пакеты npm "redux-ace" (163 загрузок) и "rtk-logger" (394 загрузок) , предназначенные для загрузки и запуска скриптов Python, сбора системной информации, сканирования файловой системы на наличие конфиденциальных файлов и другой вредоносной активностью.

"Твоя private zone — мой public domain."

CamXploit

Это разведывательный инструмент, разработанный для того, чтобы помочь исследователям и специалистам по безопасности проверить, не размещена ли на IP-адресе незащищённая камера видеонаблюдения. Он сканирует распространённые порты камер, проверяет страницы входа, тестирует учётные данные по умолчанию и предоставляет полезные ссылки для дальнейшего исследования.

📕 Характиристика:
1️⃣Сканирует открытые порты (стандартные порты для систем видеонаблюдения)
2️⃣Проверяет наличие камеры
3️⃣Если камера обнаружена, то: Идёт поиск страниц входа, Проверка учётных данных по умолчанию, Определение производителя камеры и уязвимостей, Обнаружение прямых трансляций (RTSP, RTMP, HTTP, MMS), Предоставление информации о местоположении с картами, Показ сведений о сервере и типов аутентификации
4️⃣Предоставляет URL-адреса для ручного поиска для более глубокого анализа

💻 Установка:
1️⃣

git clone https://github.com/spyboy-productions/CamXploit.git

2️⃣

cd CamXploit

3️⃣

pip3 install -r requirements.txt --break-system-packages

📌Запуск:
1️⃣

python CamXploit.py

2️⃣

Вводим ip-адрес камеры

Flipper Zero: универсальный гаджет для физического пентеста

Карманный гаджет, который стал угрозой для корпоративной безопасности и незаменимым инструментом пентестеров.

В новой статье разбираем ключевые возможности устройства:
🔵Тестирование RFID и NFC систем
🔵Проведение BadUSB-атак
🔵Перехват и анализ радиосигналов Sub-GHz
🔵Работу с инфракрасными интерфейсами

А также исследуем топ-приложения из официального магазина ➡️ читайте подробнее.

❗️Важно: все методы — только для легального тестирования с разрешения владельца!