🤨 Галя, отмена!

Совсем недавно я даже не задумывался о том, в каких случаях Brute force атака действительно является таковой. Я считал, что перебор паролей с использованием радужных таблиц (то есть больших текстовых файлов с подготовленными паролями) — это и есть Brute force атака. Оказалось, что это не так.

Выяснилось, что я путал Brute force с понятием Dictionary attack!

Дело в том, что перебор по списку (как в случае, когда мы подбираем пароль к логину из радужной таблицы) — это именно атака по словарю, то есть Dictionary attack.

Brute force же в случае, когда нет заранее подготовленного списка, и мы перебираем случайные символы в надежде найти нужную комбинацию.

Путание этих понятий может привести к ошибке на теоретическом экзамене CEH (сертификация "Certified Ethical Hacker").

Так что давайте их не путать😁

🤠 Безопасности Вашим данным!

🥵 Прогрев

Выкатил новую полезную нагрузку XSS уязвимости — XSS Freezer, которая моментально нагружает процессор до 100% и не даёт браузеру пошевелиться. Закрыть вкладку не получится, помогает только полное закрытие браузера через крестик или диспетчер задач.

XSS (Cross-Site Scripting) — это уязвимость, когда злоумышленник может внедрить вредоносный код на сайт, который выполнятся в браузере других пользователей.

Нагрузка на процессор достигается за счёт WebGL 2.0 (API для отображения 3D-графики в браузере) с экстремальными настройками, сложными шейдерами, массовым рендерингом частиц, интерактивностью и негативной оптимизацией кода (т.е. не в пользу, а во вред пользователю).

▎Скрипт будет работать, если на странице отсутствуют:
➡️SOP (Same-Origin Policy);
➡️CSP (Content Security Policy);
➡️Валидация ввода (на сервере в том числе);
➡️И другие технологии, предотвращающие XSS.

Для работы скрипта также необходима поддержка WebGL 2.0 браузером.

Данный скрипт есть в GitHub репозитории.

🖥 Ссылка на GitHub репозиторий

⚠️ Предупреждение: Использование вне тестовых стендов — нарушение закона. Автор не несёт ответственности за злоупотребление полезной нагрузки.

#github

🗞 Думаю, многие уже слышали о взломе нового ИИ от китайцев DeepSeek, в результате которого были слиты секретные ключи, логи чатов и прочие внутренние материалы из-за ClickHouse-базы без пароля и логина.

Мне удалось выкачать БД со слитыми вопросами для ИИ от пользователей! Предоставляю скрин слитой БД.
// шутка

Но DeepSeek реально скомпрометировали, в данный момент уязвимость устранена, а команда безопасности уже занялась расследованием инцидента.

Пост ради шутки и предупреждения, что нельзя оставлять СУБД без настроек авторизации или использовать данные по умолчанию (например, admin/admin). Звучит банально, но может привести к непоправимым последствиям.

🗣 Всем привет!

В первый пост канала я добавил новые хэштеги в навигации.
Вчера вечером также внес #bugbounty, где буду описывать найденные уязвимости на Bug Bounty программах.

Bug Bounty — это платформа с системой вознаграждений, где компании платят за найденные уязвимости в их системах. Компания создаёт программу, в которой прописывает правила: какие системы можно тестировать, какие уязвимости искать и сколько за них заплатят. Исследователи (этичные хакеры) ищут дыры в безопасности, а компании их вознаграждают. Это выгодно всем: компании защищают свои данные и репутацию, а исследователи получают деньги за свои навыки и опыт.

Найти там что-то шансов меньше из-за конкуренции, чем на проектах на моей основной занятости, но изредка буду сюда что-то отправлять. Bug Bounty прекрасен тем, что в свободное время без ограничений по срокам можно тестировать системы на безопасность.

На данный момент есть пару сданных отчётов в Bug Bounty, поэтому будет контент в ближайшее время.

🤨 Скрытая подмена

На днях открыл для себя новый вид атаки — Tabnabbing attack. Гениальная атака методом социальной инженерии, открытая в 2010 году безопасником Aza Raskin из США.

Её суть заключается в том, что злоумышленник изменяет содержимое неактивной вкладки браузера, чтобы обмануть пользователя и заставить его ввести конфиденциальные данные (например, логин и пароль) на поддельной странице.

В чём отличие от обычного фишинга? А в том, что по началу пользователю предоставляется легитимный контент. Главная задумка — дождаться, пока пользователь уйдет с вкладки и забудет про данный сайт. Далее, когда он будет вновь проходиться по открытым вкладкам, наткнётся на тот же мошеннический сайт, но там уже будет, например, поддельная страница авторизации в Google.

А ещё есть Reverse Tabnabbing — атака, которая работает в обратную сторону. Вместо того чтобы обманывать пользователя поддельным сайтом (социальной инженерией), она использует уязвимости на сайте. Не путайте с обычной Tabnabbing атакой. Если интересно, сделаю пост именно про Reverse Tabnabbing в будущем.

А как часто у вас накапливаются вкладки браузера? :)

#хакинг

🔊 Спикерим

Сегодня вечером я провел онлайн-семинар для студентов из моей университетской группы на тему безопасности API и тестированию на проникновение на практике в веб-приложении VAmPI в Kali — всё прямо на семинаре! Материал для презентации был взят из моей Habr статьи на эту же тему.

Спасибо всем тем, кто пришел, проявлял активность в чате и писал слова поддержки. Всё это правда очень важно для меня.

Этот опыт очень ценен для меня. Учту свои ошибки, но, кажется, для первого публичного выступления всё прошло успешно. Это отличная практика для развития спикерских навыков и возможность передать знания другим.

🔗 Ссылка на запись семинара

#выступление

😈 ОТРываемся

Прошлым месяцем на программе Bug Bounty нашел способ регистрировать аккаунты на несуществующие номера телефонов путём обхода OTP — OWASP A01:2021 (Broken Access Control).

Произошло это из-за неправильной архитектуры веб-приложения. При регистрации нужно подтвердить свой номер телефона кодом из СМС (англ. OTP — One-Time Password). Таким образом система должна убедиться, что регистрирующийся пользователь и правда владеет введённым номером. Но при анализе ответов с сервера я обнаружил, что мне возвращается 200-ый код и accessToken (см. скриншот). Это означает, что данные об аккаунте заносятся в базу данных еще до подтверждения кода из СМС. Мне было достаточно перейти в личный кабинет по ссылке https://<...>/profile через 2-3 минуты, после чего у меня был полный доступ к аккаунту. Причем интересно, почему именно спустя какое-то время (если у вас есть идеи почему так, жду комментарии).

Разработчикам необходимо переработать логику создания аккаунта — сначала подтверждение OTP, а после уже вносить аккаунт в базу данных. Конкретно в данном проекте нет возможности отказаться от подтверждения кода, поэтому этот момент должен быть проработан, иначе можно создавать множество аккаунтов на несуществующие номера.

К сожалению, уязвимость в репорте оказалась дубликатом: ровно месяц назад эту же дыру нашел другой специалист.

#bugbounty #кейс

💻 Игра по-крупному

6 часов назад к холодному кошельку биржи Bybit был получен несанкционированный доступ, в результате чего хакерами было выведено 401346 ETH (~1 млрд долларов). Об этом заявил CEO биржи.

Это крупнейшая кража в истории криптовалюты.

С данного момента мультиподпись и аппаратные кошельки не гарантируют безопасность. Ожидаем новые методы защиты?

Берегите свои активы!

#новость

📕 Мой путь к проектам

Хочу оставить развёрнутый отзыв об академии пентестеров в ИБ кооперативе RAD COP в виде вопрос-ответ (заодно получится и FAQ). С чем пришел, чему научился, чем занимаюсь сейчас.

▎Как я попал в академию?
➡️Продолжительное время пытался найти работу по пентесту изначально просто для опыта, а не ради денег. Я мечтал влиться в команду пентестеров, активно получать новые знания и расширять свой кругозор атак. Через headhunter попасть никуда не смог. Да, приглашали, но не подходили по моим ожиданиям (20 часов в неделю, желательно удалёнку и т.д.). Остальные не воспринимали меня по возрасту или требовали оконченного высшего образования (или 3-4 курс). Почти в отчаянном состоянии, когда были мысли по типу "ничего не светит до 3-го курса", решил через Google написать ИБ компаниям по контактам на их сайте. Утром получил ответ от RAD COP с предложением провести созвон. Я уже пришёл с хорошей теоретической и практической базой, поэтому были знания, от которых я отталкивался для погружения далее. Огромная благодарность моему Тимлиду @CuriV, который помогает мне во всём до сих пор и в целом благодарность всему кооперативу за тёплое принятие в свои ряды.

▎Как я прошёл отбор в академию?
➡️На собеседовании обсудили все мои сильные и слабые стороны. После этого в срок выполнил тестовое задание (CTF), в котором надо было собрать все флаги и написать отчет с последующей его защитой. С работой справился хорошо.

▎Как происходило обучение в академии?
➡️Нам давали задания на неделю по принципу минимум-максимум. Я старался выкладываться по полной и выполнять максимум из расписанных заданий. Включалась еще какая-нибудь CTF лаба, к которой ещё надо написать отчёт. В созвонах каждую неделю мы собирались в групповой звонок, где каждый презентовал свой отчёт, делился впечатлениями и сложностями. Если возникали какие-либо вопросы или трудности, друг другу во всем помогали разобраться.

▎Сколько длилось моё обучение в академии?
➡️Почти 2 месяца.

▎Что я сделал в академии?
➡️Изучил OWASP top 10 API 2019 и 2023 годов.
➡️Изучил Swagger.
➡️Решил API лабы в Portswigger.
➡️Прошёл лабу VAmPI.
➡️Написал статью по пентесту лабы VAmPI.
➡️Прошёл лабу FVWA.
➡️Прошёл лабу Metasploitable3.
➡️Прошёл Bandit до 13 лвл (отложил на будущее).
➡️Пробовал новые инструменты.
➡️Прошёл лабу из тестового задания другой ИБ компании.
➡️Научился делать более детальное оформление отчёта без шаблона.
➡️Изучил методы личной эффективности: метод Zettelkasten, техника Pomodoro, метод GTD, метод Фейнмана, метод SMART в постановке задач, цикл Деминга (PDCA), конус обучения Эдгара Дейла, кривая забывания Эббингауза, "карта и территория".
➡️Освежил предыдущие знания и приготовился двигаться дальше.
➡️И, возможно, что-то ещё (мог упустить при написании поста).

▎С каким результатом я закончил академию?
➡️Полученные знания применяю на коммерческих проектах до сих пор, а методы личной эффективности помогли организоваться: не забывать запланированные дела и оптимизировать своё время.

▎Что мне даёт этот сертификат (см. скриншот)?
➡️Юридически ничего, но за ним скрывается большая история, которой грех не поделиться. Поэтому этот сертификат даёт мне ощущение достижения, уверенность в своих силах и доказательство того, что я смог преодолеть такой объёмный и насыщенный путь обучения.

▎Чем я начал заниматься после окончания академии?
➡️Работать над коммерческими проектами Заказчиков. Это на голову сложнее и интереснее CTF, поэтому прохождение академии помогло мне подготовиться к таким переменам.

Хоть академия и закончилась для меня в роли обучающегося, но сама учёба не закончится никогда. Продолжаю совершенствоваться на реальных проектах, решаю найденные лабы в интернете, читаю теорию OSCP и так далее. Настало время передавать свои знания новым джунам в академии в роли ментора/препода :)

🤨 С вас 1e-1 рублей

На практике часто приходится сталкиваться с тестированием платёжных систем. Данная методичка поможет пентестерам проводить более тщательный анализ безопасности таких систем. На проекте также воспользовался данным материалом.

▎Краткое содержание:
➡️Уязвимости типа Time-of-Check-Time-of-Use (TOCTOU) и Race Condition;
➡️Манипуляции с параметрами;
➡️Атаки повторного воспроизведения (Replay Attacks);
➡️Ошибки округления;
➡️Проблемы обработки числовых данных;
➡️Уязвимости, связанные с номерами карт;
➡️Динамическое ценообразование, цены с допуском и реферальные схемы;
➡️Перебор и угадывание данных (Enumeration and Guessing);
➡️Проблемы криптографии;
➡️Загружаемые и виртуальные товары;
➡️Скрытые и небезопасные backend-API;
➡️Использование тестовых данных в production-среде;
➡️Арбитраж валют при пополнении/покупке и выводе/возврате средств.

Документ переведён на русский язык, но оригинал на английском также сохранён. Когда встретится кривой перевод, всегда можно свериться с оригинальным текстом страницей выше.

Сохраняйте себе, чтобы не потерять!

#материал

🤨 Костылёк на костыльке...

Однажды появилась задача поисследовать Bitrix на уязвимости. Нашёл очень классные материалы по атакам на данную CMS на русском языке. С помощью них обнаружил несколько некритических уязвимостей на проекте, а потом отпала необходимость ковырять данный вектор. Ну и ладно)

Всегда держу ссылочки при себе на всякий случай, вам тоже советую их сохранить.

🔗 Ссылка на методичку PDF [Автор crlf]
🔗 Ссылка на скачивание шпаргалки PDF [Автор Антон Лопаницын]
🔗 Ссылка на Bitrix Ultimate Pentest Guide [Автор FaLLenSkiLL]

#материал