Всем привет!🕵‍♂️
Недавно на проекте столкнулся с таким механизмом безопасности API, который использует ключи RSA для проверки целостности запросов. Казалось бы и что тут такого...💻
Реализованный механизм призван помешать злоумышленникам манипулировать запросами, но также затрудняет проведение тестирования на проникновение. В каждый запрос вставляется новый заголовок, который формируется с помощью подписи RSA. Как раз вот тут и очень сильно усложняется процесс тестирования. Только представьте каждый раз менять подпись вручную, при смене одной буквы, запятой, вообще любого символа .😰

Формирование подписи:
- приватный ключ
- ключ для проверки
- HTTP-метод запроса
- URI запроса (закодированный в формате URL)
- тело запроса
- объединение строк символом ( \n )

Решением стала автоматизация RSA-подписей. Для плагина Burp Suite я написал скрипт, которым хочу поделиться.

import base64
import subprocess
try:
    import urllib.parse as urlparse  # Try python 3 first
except ImportError:
    import urllib as urlparse  # Fallback for python 2

PRIVATE_KEY = "/path/to/key"
SIGNATURE_HEADER = 'XX-Signature'

if messageIsRequest:
    print("Executing signature code")
...

Свое решение более подробно с иллюстрацией работы скрипта и плагина, описал в статье, которую недавно опубликовал на habr.
- Статья
- GitHub

🕵‍♂️

Компания 🔠🔠🔠🔠🔠🔠
внедряет новый защитный механизм для устройств под управлением Android❗️

📌 Он будет автоматически
перезагружать заблокированные и неиспользуемые устройства после трех дней бездействия, возвращая их память в зашифрованное состояние.

📌Новая функция автоперезагрузки вошла в последнее обновление сервисов Google Play (25.14), в раздел Security & Privacy.

Благодаря этой функции ваше устройство автоматически перезагружается, если оно заблокировано в течение трех дней подряд — пишут разработчики.

💬Дело в том, что спонтанная перезагрузка переводит устройство из режима «после первой разблокировки» (After First Unlock, AFU), в котором данные пользователя расшифровываются, становясь доступными для извлечения, в режим «до первой разблокировки» (Before First Unlock, BFU), в котором большинство пользовательских данных остаются зашифрованными и недоступными до первой разблокировки устройства.

🔗Изъятые правоохранительными органами или украденные устройства, как правило, находятся в режиме AFU, поэтому даже если они заблокированы, эксперты могут извлечь хотя бы часть данных.

☝️Еще в 2024 году разработчики GrapheneOS предлагали внедрить в Android-устройства механизм автоперезагрузки, который перезагружал бы систему после 18 часов бездействия, возвращая устройство в режим BFU. Теперь Google действительно внедряет такую функциональность, только выбрав в качестве интервала не 18 часов простоя, а 72 часа.

🔖Напомним, что в прошлом году киберкриминалисты были удивлены странным поведением iPhone: устройства самостоятельно перезагружались, если какое-то время не подключались к сети сотового оператора. Позже подтвердилось, что с релизом iOS 18.1 разработчики Apple добавили в ОС защитную функцию автоматической перезагрузки.

Скомпрометированные экземпляры Craft CMS по странам ⤴️

🕵‍♂️
Сотни сайтов скомпрометированы через уязвимость нулевого дня в Craft CMS

Исследователи сообщают, что первые атаки были замечены еще 14 февраля 2025 года. В этих взломах злоумышленники объединяют в цепочку следующие уязвимости.

CVE-2024-58136 (9,0 баллов по шкале CVSS) — некорректная защита альтернативного пути в PHP-фреймворке Yii, используемом в Craft CMS. Уязвимость может использоваться для доступа к закрытым функциям или ресурсам (вариация проблемы CVE-2024-4990).

CVE-2025-32432 (10,0 баллов по шкале CVSS) — уязвимость удаленного выполнения кода (RCE) в Craft CMS (исправлена в версиях 3.9.15, 4.14.15 и 5.6.17).

По данным компании, проблема CVE-2025-32432 связана со встроенной функцией преобразования изображений, которая позволяет администраторам сайтов сохранять изображения в определенном формате.

Так, злоумышленники, стоящие за обнаруженной экспертами кампанией, выполняют множество POST-запросов до тех пор, пока не будет обнаружен действительный asset ID. После этого происходит выполнение Python-скрипта, который определяет, уязвим ли сервер, и если да, то загружает на него PHP-файл из репозитория на GitHub.

По состоянию на 18 апреля 2025 года эксперты выявили около 13 000 уязвимых экземпляров Craft CMS, и около 300 из них были скомпрометированы.

🕵‍♂️
Отличный материал от коллеги!!!
Курс Senior Web Penetration Tester (Hack The Box) за ноябрь 2024 года. Его стоимость на HTB по годовой подписке 1055€.

Краткое описание и ссылочка на материал в посте ниже ⤵️
https://t.iss.one/hackerbiker/77

🕵‍♂️

👽👽 Недавно провел пентест WiFi сети заказчика и наткнулся на интересный кейс: на стареньком Xiaomi Mi Router 3 оказался целый зоопарк открытых портов, около 25 штук! Испытал двоякое чувство. С одной стороны, как пентестер я был рад - есть что потестировать и где развернуться 🤨. С другой стороны, как специалист по информационной безопасности, я прекрасно понимаю, насколько сильно повышена угроза для компании с таким количеством открытых портов.

💬 Такое количество открытых портов значительно увеличивает поверхность атаки и потенциальные векторы проникновения в вашу сеть. Особенно опасно, когда речь идет о старом роутере. Устаревшая прошивка часто означает, что на открытых портах работают старые версии программного обеспечения, которые могут быть уязвимы к известным эксплойтам, включая RCE (Remote Code Execution) – удаленное выполнение кода.

🤬 Что делать?

🔷 Проверьте свой роутер: Воспользуйтесь онлайн-сканером портов (например, 2ip.ru) или установите программу вроде nmap, чтобы проверить, какие порты открыты у вашего роутера.
🔷 Обновите прошивку: Стоит убедиться, что установлена самая актуальная версия прошивки для роутера. Если производитель больше не выпускает обновления для вашей модели, возможно, пришло время задуматься о замене роутера на более современный.
🔷 Настройте брандмауэр: Закройте все ненужные порты в настройках брандмауэра вашего роутера.
🔷 Смените пароль по умолчанию: Обязательно смените пароль администратора роутера на сложный и уникальный.
🔷 Регулярно проверяйте настройки: Периодически проверяйте настройки вашего роутера, чтобы убедиться, что все в порядке.

😎 Защитить свою сеть проще, чем кажется. Начни с малого и будь в безопасности!

🕵‍♂️

Хочу поделиться важной новостью, хотя и немного с опозданием! 📆 Не так давно я получил сертификат Certified Ethical Hacker (CEH).

Тема сертификации меня интересует уже достаточно давно. Во-первых, это обучение и оно неслабо подтягивает знания. Во-вторых, наличие сертификатов, таких как: CEH, OSCP, OSWE, зачастую требуют заказчики и работодатели. Хотя CEH и не является таким продвинутым, как, например, OSCP, он служит отличной отправной точкой для начинающих специалистов.
Теоретический экзамен включал в себя тестирование из 125 вопросов на английском языке. Самое сложное было понять индийский акцент своего проктора перед началом экзамена 😅

В общем, начало положено. Дальше двигаюсь к сертификату OSCP 💻, там все гораздо сложнее и серьезнее — шутки в сторону. Не зря это топ-1 самых востребованных сертификатов в мире 🌎.

🕵‍♂️
Операция RapTor

В рамках международной операции под кодовым названием «Операция RapTor», направленной против продавцов и покупателей в даркнете, правоохранительные органы арестовали 270 человек из 10 стран.

Власти стран Европы, Южной Америки, Азии и США также сообщают об изъятии более 207 млн долларов наличными и в криптовалюте, более двух тонн наркотиков (включая амфетамины, кокаин, кетамин, опиоиды и каннабис) и более 180 единиц огнестрельного оружия.

«Международная операция правоохранительных органов, координируемая Европолом, нанесла серьезный удар по преступному подполью: в десяти странах арестованы 270 продавцов и покупателей даркнета, — сообщает Европол. — Операция RapTor привела к ликвидации сетей, занимающихся торговлей наркотиками, оружием и контрафактной продукцией, а также послужит четким сигналом для преступников, скрывающихся за мнимой анонимностью».

Используя оперативную информацию, собранную после захвата нескольких даркнет-маркетплейсов, включая Nemesis, Tor2Door, Bohemia и Kingdom Market.

Большинство подозреваемых были задержаны в США (130), Германии (42), Великобритании (37), Франции (29) и Южной Корее (19), а еще 13 человек — в Нидерландах, Австрии, Бразилии, Испании и Швейцарии.

🕵‍♂️

🔐 Тихие баги, которые приносят деньги

Когда люди думают про багбаунти, они сразу представляют себе RCE или SQLi. Но большинство реально оплачиваемых находок — это тихие, но очень цепкие баги.

🧩 IDOR — в 80% случаев недооценён

Параметр user_id=1234? — Меняй. Всегда.
Параметр email, username, account_id, document_id, image_id, order_id? — Меняй.
Не важно, что нет ошибки. Даже если ответ — просто 403, это уже может быть проверка на backend’е, и баг проявляется в другом методе.

📩 Смена почты — недооценённый вектор

Смена email — это точка управления аккаунтом.
Если можно сменить почту без подтверждения старой, без токена, или даже просто через IDOR — ты управляешь чужим аккаунтом.
Плюс: после смены многие системы позволяют сбросить пароль через новый email → Account Takeover.

📲 Старые токены, сессии, коды — не всегда инвалидируются

Остаётся ли старая сессия после смены пароля?
Работает ли старый 2FA код дважды?
Можно ли активировать Magic Link/OTP несколько раз?
Если да — это уже повод накатать репорт.

📊 Что реально приносит деньги

IDOR + логика
Отсутствие подтверждения действий (email, 2FA, delete)
Логика доступа между ролями
Баги в API, особенно с PUT, PATCH, DELETE

🛠 Что проверять первым

Email change / password reset flow
Sharing/token-based доступы
Скачивание и просмотр чужих файлов
API с параметрами user/account/id

🧠 Важно: если endpoint скучный — это хорошо.
Скучные баги почти всегда живут дольше и оплачиваются лучше.