Пентестерские хиханьки и хаханьки 😎
Компания Awillix проводит третье ежегодное мероприятие для offensive-специалистов — Pentest Award.
Инструкция для моих любимых пентестеров:
1. Знакомимся с кейсами победителей за 2023 (сайт), и 2024 года (сайт, статьи о кейсах на Хакере), вдохновляемся.
2. Проводим ревизию интересных кейсов, читаем номинации этого года и правила.
3. Публикуемся!) Wish you luck.
Инструкция для моих любимых синих команд:
1. Знакомимся с кейсами за 2023 и 2024.
2. Сравниваем наличие алертов на итоги этого года🔥
———
Среди интересных похеков в 2024, относящихся к безопасности опенсорса, можно выделить ресёрч Михаила Сухова @Im10n, где он из сорсов расковырял недостаток работы FreeIPA, если кратко: можно было запросить user-to-user ticket чужого юзера, который шифруется напрямую ключом жертвы, вычисленным из её открытой соли и пароля.
Получив такой ticket, атакующий может брутфорсить пароли офлайн, что позволяет вскрыть учётки со слабыми паролями. Кейс признан вендором🙌 и получил идентификатор CVE-2024-3183
———
Классно, что такие мероприятия проводятся — получается очень хороший обмен опытом. Прием заявок до 30 июня, бегите скорее)
#pentest
@disasm_me_ch
Компания Awillix проводит третье ежегодное мероприятие для offensive-специалистов — Pentest Award.
Инструкция для моих любимых пентестеров:
1. Знакомимся с кейсами победителей за 2023 (сайт), и 2024 года (сайт, статьи о кейсах на Хакере), вдохновляемся.
2. Проводим ревизию интересных кейсов, читаем номинации этого года и правила.
3. Публикуемся!) Wish you luck.
Инструкция для моих любимых синих команд:
1. Знакомимся с кейсами за 2023 и 2024.
2. Сравниваем наличие алертов на итоги этого года
———
Среди интересных похеков в 2024, относящихся к безопасности опенсорса, можно выделить ресёрч Михаила Сухова @Im10n, где он из сорсов расковырял недостаток работы FreeIPA, если кратко: можно было запросить user-to-user ticket чужого юзера, который шифруется напрямую ключом жертвы, вычисленным из её открытой соли и пароля.
Получив такой ticket, атакующий может брутфорсить пароли офлайн, что позволяет вскрыть учётки со слабыми паролями. Кейс признан вендором
———
Классно, что такие мероприятия проводятся — получается очень хороший обмен опытом. Прием заявок до 30 июня, бегите скорее)
#pentest
@disasm_me_ch
Please open Telegram to view this post
VIEW IN TELEGRAM
award.awillix.ru
Ежегодная премия для пентестеров Awillix Pentest Award
Первая в России ежегодная независимая премия для пентестеров.