🗣 Всем привет, гости моего канала!

Появилось желание создать Telegram-канал, в котором бы я делился своими материалами, мыслями, целями и новостями из мира пентестов и кибербезопасности в целом.

Вы, возможно, задаетесь вопросом: почему именно "пентестер на мотоцикле"?😁
Давайте разберемся!

С одной стороны, мотоциклы (спортивки, нейкеды, стриты, круизеры) — это моя любовь, страсть и цель на ближайшее будущее. Тут обязательно буду публиковать фотографии своего мотика (как только сдам на права и куплю его), красивые фоточки с покатушек и прочее.

С другой стороны, мотоцикл ассоциируется со скоростью. Учитывая, что я уже на первом курсе и являюсь частью команды пентестеров кооператива RAD COP, связь становится очевидной. Я стремлюсь узнавать как можно больше и как можно раньше. Хватаю любую интересную информацию и готов делиться ею с вами!

Я открыт для общения, сотрудничества и буду рад любому участнику канала. Ваши вопросы, комментарии и предложения всегда приветствуются!

⚠️ Дополнение к каналу! Я НЕ призываю вас ни к каким противозаконным действиям. Вся информация в канал публикуется лишь в образовательных целях! За злоумышленные деяния грозит уголовная ответственность.

⚠️ Channel disclaimer! I do NOT encourage any illegal activities. All information shared here is for educational purposes only! Malicious acts are subject to criminal prosecution.


▔▔▔▔▔▔▔▔◥👩‍💻◤▔▔▔▔▔▔▔▔
Боты:
@hackerbiker_memes_bot — предложка мемов для сториса

Навигация по каналу:
#кейс — разбор инцидента на реальном проекте.
#OSCP — новость про мою подготовку и сдачу OSCP+.
#hacktricks — новость про мою подготовку и сдачу HackTricks.
#github — интересный GitHub репозиторий.
#статья — интересная и познавательная статья.
#хакинг — описание интересной уязвимости/атаки, не связанной с проектом.
#bugbounty — разбор найденной уязвимости на программе Bug Bounty.
#выступление — новость про моё выступление где-то.
#материал — полезный материал-методичка для проведения атак и не только.
#новость — разбор важной новости из СМИ.
#инструмент — интересный/полезный инструмент для пентеста.

❗️ НЕ СМОТРЕТЬ НА НОЧЬ

Одна из самых моих любимых веб-уязвимостей — это XSS! С ней можно очень хорошо повеселиться😁

Кто не знает, у меня есть своя полезная нагрузка для хранимого XSS со скримерами))

▎Функции моего payload (полезной нагрузки):
➡️Страшная музыка.
➡️Постепенно изменяющийся цвет фона на красный.
➡️Прыгающий и мигающий текст.
➡️Нельзя вернуться на предыдущую страницу (зависит от браузера).
➡️Замена всех изображений на скример.
➡️Замена текста в тегах "p", "h1", "a".
➡️Замена всех тегов "a" на "p".
➡️Скример на весь экран с криком в течение какого-то времени.

Данный "вредонос" я использовал в дипломной работе проф курсов в Нетологии во время пентеста одного из веб-приложений черным ящиком. Не завидую другим сдающим дипломку в тот момент студентам, которых я мог напугать😁

Вы тоже можете где-то НА ТЕСТОВЫХ ПРОЕКТАХ запустить данный код)
Код для запуска есть на GitHub.

🖥 Ссылка на GitHub репозиторий

⚠️ Предупреждение: Использование вне тестовых стендов — нарушение закона. Автор не несёт ответственности за злоупотребление полезной нагрузки.

#github

👩‍💻 Наконец-то дошли руки перекинуть Кали с основного пк на свой ноут)

upd. Как же телеграм шакалит качество😁

🤨 Безопасность API
Application programming interface

В рамках академии в кооперативе RAD COP я проходил одну лабу — VAmPI. В ней я на практике изучил топ уязвимости API, которые могут быть в реальных проектах! И уже есть реальные кейсы😉

Мне настолько понравилась эта лаба, что решил написать статью по ее подробному разбору и прохождению на Habr.

▎В рамках данной статьи мы узнаем:
➡️Какие API уязвимости есть в VAmPI?
➡️Из-за чего эти уязвимости существуют и эксплуатируются?
➡️Какие есть способы защитить веб-приложение?
➡️Какой есть дополнительный материал для самостоятельного изучения?

Буду рад положительному голосу за статью и хороший комментарий😁

🔗 Ссылка на чтиво

#статья

Сегодня в университете освежил знания по одной интересной информации из мира ИБ: уровни возможностей нарушителей. Чем выше уровень — тем бóльшую опасность они представляют.

Таблица 8.1 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021).

Сколько их и в чем отличия? Вот краткий конспектик.

===============================

🔐 Уровень 1: Базовые возможности нарушителей

Нарушители на этом уровне обладают минимальными навыками и используют известные уязвимости и инструменты, доступные в Интернете. Их действия часто ограничены физическим доступом к оборудованию и направлены на применение общедоступных методов.

👤 Виды нарушителей:
➡️Хакеры с базовыми знаниями
➡️Поставщики и обслуживающий персонал
➡️Авторизованные пользователи
➡️Бывшие сотрудники

===============================

🔐 Уровень 2: Повышенные возможности нарушителей

Нарушители на этом уровне обладают всеми навыками базовых нарушителей, но имеют более глубокое понимание инструментов и технологий. Они могут модифицировать доступные средства для повышения эффективности атак и самостоятельно разрабатывать сценарии угроз. Обычно состоят в группировках, где два лица и более, действующие по единому плану.

🛠 Ключевые характеристики:
➡️Используют фреймворки и наборы инструментов для реализации угроз.
➡️Знают, как работают системы и сети, а также защитные механизмы.
➡️Могут атаковать как известные, так и неизвестные уязвимости.

👥 Виды нарушителей:
➡️Преступные группы
➡️Конкурирующие организации
➡️Поставщики вычислительных услуг
➡️Специалисты по установке и настройке систем
➡️Системные администраторы

===============================

🔐 Уровень 3: Средние возможности нарушителей

Нарушители на этом уровне обладают всеми навыками предыдущих уровней и способны прорабатывать более сложные атаки. Они могут приобретать информацию об уязвимостях и инструменты на специализированных платных ресурсах, а также разрабатывать собственные инструменты для реализации угроз.

🛠 Ключевые характеристики:
➡️Анализ программного обеспечения для выявления уязвимостей.
➡️Глубокие знания о системах и защитных механизмах.
➡️Возможность проводить атаки в группах.

👥 Виды нарушителей:
➡️Террористические и экстремистские группировки.
➡️Разработчики программного обеспечения и средств для атак.

===============================

🔐 Уровень 4: Высокие возможности нарушителей

Нарушители на этом уровне обладают всеми навыками предыдущих уровней и имеют доступ к исходному коду программного обеспечения и аппаратных средств. Они способны внедрять уязвимости и закладки, а также разрабатывать сложные методы атак с привлечением специалистов.

🛠 Ключевые характеристики:
➡️Доступ к уязвимостям "нулевого дня" (0-day — новые уязвимости, против которых еще не разработаны меры защиты).
➡️Внедрение закладок на этапе поставки ПО.
➡️Создание специализированных средств для скрытного проникновения.
➡️Долговременное и незаметное осуществление атак.

👥 Виды нарушителей:
➡️Специальные службы иностранных государств.

#материал

😈 Перечисление пользователей

Да, такая очевидная проблема может оказаться полезным преимуществом для злоумышленников.

Перечислением пользователей злоумышленник сможет убедиться, а точно ли существует такой пользователь. Сервер может выдавать ответ "Такого пользователя нет" или "Введен неверный пароль для данного аккаунта". Далее это может использоваться для brute-force атак (перебор логина и пароля).

Я заметил, что эта проблема часто встречается, в том числе и на проектах. На одном из проектов при переборе номеров телефона в ответе выдавало еще часть email пользователя. Давайте будем честными, в каком случае у злоумышленника будет больше желания атаковать пользователей: когда ему система прямо пишет, что такого юзера нет, либо когда всегда выдается нейтральный ответ по типу "Введен неверный логин или пароль"?

Тут стоит выбирать между удобством для пользователей и безопасностью — часто конфликтующие понятия.

Зачем лишний раз приманивать злоумышленников, когда проще избавиться от такого риска?

#кейс

❗️ Новый способ угона Telegram-аккаунтов. Будьте крайне внимательны!

https://pikabu.ru/story/novyiy_vid_ugona_akkauntov_v_telegram_12115688

😂 Забавный мой диалог с поддержкой хостинга:

— Здравствуйте, не получается к другому серверу по telnet подключиться. Кажется, причина не в моем конкретно сервере (ufw 25 allow), а что-то на уровнях выше меня блочит.
— Добрый день. У нас блокируется 25 порт по умолчанию . Что хотите отправлять?
— Проводятся работы по тестированию на проникновение в рамках договора, необходимо выполнить проверки безопасности SMTP сервера.
— Более подробно опишите.
— https://book.hacktricks.xyz/network-services-pentesting/pentesting-smtp Кажется, тут подробнее описано, чем я могу словами кратко
— У нас запрещено сканирование, спам, размещать вирусы: и то что указано тут https://<...> Если будет жалоба на вирусы или проникновение будет блокировка услуги.

Решил ничего не писать в ответ😁

Когда говоришь техподдержке, что у тебя проблемы с сервером, они отвечают: "Это не проблема, это вызов!" 💪

🗣 Всем привет!

Как я и говорил, на данном канале буду разбирать некоторые кейсы с реальных проектов. В основном стараюсь отобрать самые интересные и простые примеры для понимания.

Все посты с разбором кейсов будут отмечены хештегом #кейс в конце, так что теперь вы сможете легко их находить😁

😈 Вчера нашел уязвимость, которую легко пофиксить, но при этом может нанести достаточно вреда.

Она позволяет флудить письмами "Подтверждение адреса электронной почты" на любой электронный почтовый адрес.

В настройках профиля есть раздел "Информация о профиле", куда можно вписать любой email и сохранить. А снизу кликабельный текст: "Нажмите здесь, чтобы переслать повторно письмо подтверждения".

Проблема кроется в том, что меня не ограничивают по количеству нажатий, нет никаких задержек на отправку и т.д.

▎Риски:
➡️Нарушение доступности: если злоумышленник будет этим злоупотреблять, рейтинг у домена упадет, из-за чего все важные письма от компании будут улетать в "спам".
➡️Неограниченное потребление ресурсов: злоумышленник может вызвать отказ в обслуживании сервера. Также отправка письма может тратить деньги компании (если используется облачный провайдер) или даже привести к блокировке аккаунта.
➡️Репутационные риски: у пользователя может остаться негативная ассоциация с компанией, которая прислала ему 100+ сообщений на почту в течение одной минуты.

▎Рекомендации по устранению уязвимости:
✅Реализовать ограничение на количество отправок писем, а также капчу.

#кейс

📕 При попытках перевести мануал OSCP постоянно натыкался на лимит размера файла. PDF документ весит почти 50 мб, а разрешается загружать файлы по 5-15 мб в топ переводчиках (DeepL, Google Translate, Yandex Translate, ...)

Нашел хорошее и удобное решение!

Расширение/сайт Immersive Translate спокойно дает загрузить файл на почти 900 страниц, перевод идет в момент скролла документа. Слева предоставляется оригинал, справа перевод на выбранный язык.

Все абзацы и заголовки в переведенном документе начинаются почти на одной линии с оригиналом. В случае с русским, он объемнее английского, поэтому абзацы могут не влезать в свои рамки: для этого есть возможность пролистывать сам абзац (пример на скриншоте в конце 3.6 пункта, на самом деле там не простой обрез, а присутствует возможность пролистать текст).

Для пользования необходимо установить расширение в браузер. Для мобилок есть и другие варианты.

🔗 Ссылка на сайт
🔗 Ссылка на расширение

Начинаю постепенное погружение в OSCP :)

#OSCP #материал

😈 Бу, испугался?

Недавно на проекте была найдена (жаль, что не мной) критическая уязвимость!

К сайту подключен сервис SMS Aero, который для регистрации отсылает код подтверждения на номер телефона.

Проблема была в том, что сервер в ответе на запрос раскрывал логин и приватный токен на домене проекта с регистрацией личного кабинета😳

▎В результате было получено следующее:
➡️Баланс личного кабинета SMS Aero;
➡️Возможность читать все отправленные смс (коды) – регать новые аккаунты;
➡️Раскрытие прочей информации и номеров телефонов;
➡️Отправлять любое смс на любой номер телефона (скриншот).

▎Рекомендации:
✅Заменить API токен, т.к. он мог быть уже угнан злоумышленником;
✅Исключить раскрытие API токена на стороне клиента;
✅На стороне SMS Aero настроить белый список доступа по IP.

Невнимательность привела к пропуску критической уязвимости. Казалось, что это публичный токен, поэтому не стал ничего пробовать загуглить. Благо Тимлид обратил на это внимание😁
Будет мне уроком.

Enumeration is a key...

#кейс