💻 А Вася сегодня зайдёт?

21 марта провайдер Lovit подвергся крупной DDoS-атаке, которая подвергла нарушению доступности.

Жильцы, использующие мобильное приложение для доступа в подъезд, оказались в ловушке: Lovit, как сообщает ТГК SHOT, глушит мобильные сети, чтобы пользователи подключались только к их Wi-Fi. В результате те, у кого нет магнитных ключей, не могут открыть домофон через приложение.

▎Как люди нашли временное решение проблемы?
➡️Стучались соседям в окна, чтобы те открыли двери.
➡️Вызывали курьеров на свой адрес, ведь у них есть магнитные ключи от подъездов.
➡️Оставляли двери подъездов открытыми.

По данной новости мы можем точно понять, что нарушение доступности (одного из ключевых критериев защищённости — КЦД), может вызвать катастрофические последствия. Тысячи россиян не могли попасть в дома, накормить своих животных, выключить утюги/чайники/плиты и так далее.

Многие люди просто не понимают, как ИБ влияет на их жизнь. Они думают: "Я не работаю в IT, у меня нет важных данных, мне нечего бояться". Однако ИБ касается практически каждого, даже тех, кто далёк от интернета и гаджетов. Это не абстракция, а реальная защита вашего комфорта, безопасности и жизни.

#новость

💻 Почему скрытность — профессиональная обязанность пентестера

Сегодня был опыт поприсутствовать на созвоне с бывшим blackhat-хакером с многолетним опытом, который перешёл на светлую сторону и занимается кибербезопасностью. Обсудили важность редтим-подхода даже в обычном пентесте.

До этого считал, что скрывать следы и не шуметь — дело Red Team специалистов, которые больше нацелены на тестирование SOC-отдела (мониторщиков) в компании Заказчика, чем на составление отчёта с большим перечнем найденных уязвимостей. Но оказалось, это критично и для классического пентеста.

▎ Какую проблему создаёт пентестер своим шумом?
➡️Панику в SOC-отделе — триггерит алерты на ровном месте;
➡️Заставляет нервничать админов — начинают хаотично чистить логи и менять конфиги;
➡️Руководство злится — винит свой ИБ-отдел в "некомпетентности";
➡️Из-за излишнего мониторинга за действиями пентестера могут накрыться важные векторы атак.

▎ Почему редтим-аккуратность в обычном пентесте — норма?
➡️Админы нам не враги, но их реакция непредсказуема;
➡️Следы = репутационные потери для всех;
➡️Чистота и тишина — уважение к Заказчику.

▎ Советы при проведении внутреннего пентеста:
✅Не сохраняем историю команд в .bash_history;
✅Проверяем, не наблюдает ли кто-то за сессией;
✅Маскируем процессы под системные (например, под gpg-agent или dbus-broker — эти легитимные сервисы часто работают в фоне и не вызывают подозрений у мониторинга);
✅Не храним файлы в домашней папке, она под мониторингом HIDS (системы обнаружения вторжений). Выбираем /tmp, /var/run, /dev/shm — файлы здесь обычно удаляются примерно через неделю;
✅Не храним результаты в открытом виде — упаковываем в архив с добавлением случайных данных через /dev/urandom (чтобы файл не определялся как архив стандартными сигнатурами);
✅Выгружаем данные сразу к себе и разбираем локально;
✅Следим за скоростью различных инструментов для сканирования или брутфорса (относится и к внешнему тестированию). Слишком частые запросы вызовут алерты в SIEM;
✅И много другого...

Многолетний опыт невозможно пересказать в короткий промежуток времени, уж тем более уместить в Telegram-посте. Этому учатся годами.

Помните, что на хосте мы — гости. Необходимо проявлять уважение и соблюдать чистоту в инфраструктуре Заказчика.

Хороший специалист по безопасности оставляет после себя только отчёт — не следы.

🤨 Искал медь, а нашёл золото

Наткнулся на настоящее сокровище для веб-пентестера — огромную подборку расширений для Burp Suite (Community и Pro) с их описанием на GitHub. Здесь есть всё, чтобы прокачать ваш инструмент до боевого монстра!

▎ Внутри репозитория:
➡️Scanners — сканеры уязвимостей;
➡️Custom Features — уникальные доработки для Burp Suite;
➡️Beautifiers and Decoders — форматирование и декодирование данных;
➡️Cloud Security — тестирование облачных сервисов;
➡️Scripting — расширения для работы со скриптами и автоматизации тестирования;
➡️OAuth and SSO — инструменты для тестирования аутентификации;
➡️Information Gathering — сбор информации о целевой системе;
➡️Vulnerability Specific Extensions — инструменты под конкретные уязвимости;
➡️Web Application Firewall Evasion — обход систем веб-защиты;
➡️Logging and Notes — ведение логов и заметок во время тестов;
➡️Payload Generators and Fuzzers — генераторы полезных нагрузок и фаззеры;
➡️Cryptography — инструменты для работы с шифрами/хэшами;
➡️Tool Integration — расширения, связанные с интеграцией Burp Suite с другим программным обеспечением/инструментами;
➡️Misc — разные полезные расширения;
➡️Burp Extension Training Resources — обучающие материалы по работе с расширениями.

А какие добавленные расширения вам больше всего понравились?

🔗 Ссылка на подборку расширений Burp Suite

#github #материал

💻 Деньги на ветер

На днях, гуляя по теневому ресурсу, обнаружил сомнительный мануал по крупному заработку. Автор утверждает, что за 3 дня заработал этим способом ~$3000. Я решил изучить мануал и эксплойт.

Первое, на что я обратил внимание, — это на позитивные комментарии к посту, а именно на эти аккаунты. Они были созданы в один и тот же день, а также комментируют одни и те же посты с подобными сомнительными заработками.

▎ В чём суть легенды мануала?

В прикрепленном PDF (чист от вирусов) мануал по использованию эксплойта для сервиса G2A (торговая площадка, специализирующаяся на игровой продукции). Эксплойт, вставленный в браузер расширением Tampermonkey, якобы меняет часовой пояс браузера всякий раз, когда мы делаем новый заказ на G2A. Это приводит к тому, что заказ будет отмечен как "Истёк" на платежном процессоре G2A - Bitbay (биржа по торговле криптовалютой), однако заказ не будет отмечен как истёкший на стороне G2A. Деньги будут мгновенно возвращены на кошелек Bitbay, если эта транзакция на большую сумму (более 0,001 BTC ≈ 6518 руб на данный момент). В итоге товар получен, а деньги возвращены. Также в мануале совет, что именно покупать на G2A с данным скриптом — купоны Amazon на $100-500, которые потом можно перепродать другим.

Звучит привлекательно для злоумышленника. Но в образовательных целях решил взяться за изучение эксплойта и его использования на практике. Первым делом обнаружил, что код в скрипте обфусцирован, то есть он трудночитаемый и сложный для анализа. Закинул код нейросетям и попросил провести анализ. Вирусная активность не была обнаружена, но нашлась одна тонкость, которая упущена в легенде мануала.

▎ Разбираемся

Оказывается, существует вероятность (точно не выявлено, но множество подозрений), что в страницу подставляется мошеннический QR-код для оплаты вместо официального. И под видом того, что вылезает оплата со сменой часового пояса, на самом деле деньги улетят мошеннику — автору скрипта.

Решил проверить, работает ли вообще данный развод на практике. На всякий случай скрипт я вставлял в чистой песочнице Windows, мало ли что в этом скрипте может храниться. И да. После нажатия "Оформить заказ" в корзине мне вылез alert "Timezone changed! Press OK to continue". На странице вылезло окно оплаты биткоинами QR-кодом. Если набрать слишком маленькую корзину (до 0,001 BTC), то вылезает alert с предупреждением, что эксплойт не сработает.

Дополнительное замечание: без использования данного кода в расширении браузера из корзины идёт редирект на вариацию оплаты, а после выбора оплаты биткоинами происходит ещё редирект на страницу с оплатой. Но с использованием "эксплойта" окно оплаты биткойнами появляется поверх корзины (которое ещё и нельзя закрыть), что дополнительно вызывает сильные подозрения в правдивости эксплойта.

Я пробовал поосинтить BTC адреса, но никакой информации в интернете я про них не нашел. Это новые кошельки. Генерируются каждый раз при повторной попытке оплатить заказ.

Не стал пытаться оплачивать, потому что был уверен в том, что это просто развод социальной инженерией, где скамер скамит скамеров. С большей вероятностью эти деньги бы никто и не вернул, лишь бы проспонсировали злоумышленника-автора скрипта. Плюс непонятно, на что направлено такое спонсорство: в руки злоумышленника или каким-то запрещенным организациям в РФ? Будьте с этим предельно осторожны и в принципе не пробуйте чёрные способы заработка, иначе можно надолго присесть.

После подачи в репорт автор и ветка обсуждения были быстро заблокированы модерацией сайта.

📕 PHD в этом году – грандиозный масштаб!

В этом году Positive Technologies нас порадовали огромным масштабом мероприятия Positive Hack Days Fest. Нас будут ждать выступления более 500 спикеров — от начинающих специалистов до именитых экспертов со всего мира. Билет на PHD у меня оплачен, буду рад с кем-нибудь повидаться и пообщаться😉

Программа частична доступна и в настоящее время дополняется, следим за обновлениями!

🔗 Ссылка на программу PHD 2025

🤨 Наивные

Столкнулся с проблемой в ходе установки Microsoft Office 365 на ноутбук, выдавало ошибку "Command not supported" из-за санкций на РФ. Но есть одна лазейка...

В ключе реестра CountryCode в HKCU\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs следует установить любое значение, отличное от "RU", например, "US": "std::wstring|US".

Сделать это можно следующей командой в Powershell:

reg add "HKCU\Software\Microsoft\Office\16.0\Common\ExperimentConfigs\Ecs" /v "CountryCode" /t REG_SZ /d "std::wstring|US" /f

После этой команды ошибки больше нет, пакет офиса удачно установился. И не нужны никакие прокси/VPN. Пользуйтесь 😉

🤨 От крошки до хлебушка

Найден интересный разбор того, как даже одиночные уязвимости IDOR, XSS в сочетании с некорректной настройкой CSP могут привести к компрометации учётных записей в процессе SSO-авторизации.

Рекомендую к прочтению.

🔗 Ссылка на вектор атаки от Open Redirect до Account Takeover

#материал

📕 Тройни в сетях

Сегодня не про баги, а про основы, которые многие путают. URI, URL, URN согласно RFC 3986 — в чём разница и зачем это знать пентестеру?

➡️1) URI (Uniform Resource Identifier) — "Унифицированный идентификатор ресурса". Это общий термин для всего, что однозначно идентифицирует ресурс: документ, сервис, изображение, устройство и т.д.

Примеры:
• https://domain.ru/login (это и URI, и URL)
• mailto:[email protected] (URI, но не URL и не URN)
• urn:uuid:6e8bc430-9c3a-11d9-9669-0800200c9a66 (URN, а значит, и URI)

URI включает два основных подтипа:
• URL — указывает местоположение ресурса.
• URN — указывает уникальное имя, но не путь.

Везде, где есть идентификация ресурсов (API, веб-приложения, сетевые протоколы), используются URI. Понимание их структуры помогает находить уязвимости (например, инъекции в схемах "data:", "javascript:" или нестандартных URI).


➡️2) URL (Uniform Resource Locator) — "Унифицированный указатель ресурса". Это частный случай URI, который отвечает на вопросы:
• Где находится ресурс?
• Как к нему обратиться?

Разбор структуры URL:
https://domain.ru:443/api/pay?amount=1000#something
• https:// — схема (протокол) — определяет способ доступа.
• domain.ru — хост (домен или IP) — адрес сервера, где расположен ресурс.
• :443 — порт — необязательный параметр (по умолчанию 80 для HTTP, 443 для HTTPS).
• /api/pay — путь к файлу — указывает на конкретный ресурс на сервере.
• ?amount=1000 — параметр запроса — дополнительные данные для запроса (частая цель для атак).
• #something — якорь — ссылка на определённую часть страницы, которая не передаётся на сервер.

URL является основным вектором для атак, например, IDOR, reflected XSS, SQLi, Open Redirect и т.д.


➡️3) URN (Uniform Resource Name) — "Унифицированное имя ресурса". Это уникальный идентификатор, который не зависит от местоположения. В отличие от URL, URN не указывает, как получить ресурс, а только как его назвать.

Примеры:
urn:isbn:0451450523 — идентификатор книги.
urn:uuid:f81d4fae-7dec-11d0-a765-00a0c91e6bf6 — уникальный UUID.
urn:ietf:rfc:2648 — ссылка на RFC-документ.

В корпоративных системах URN могут использоваться для внутренней идентификации (например, в SOAP-сервисах). Также иногда в логах или API встречаются URN вместо URL — важно понимать, что это и как с ними работать.


▎ Итоги
➡️URI — общее понятие, включающее URL и URN, но не ограничивающееся ими (например, mailto:);
➡️URL указывает местоположение ресурса, URN — только его уникальное имя;
➡️Для пентестера URL — основной вектор атак, а URN — источник информации о системе;
➡️В реальных системах бывают гибридные схемы (например, git:// + URN) — это требует отдельного анализа.

Нашли пасхалку?

⚰️ Press F to pay respect

С сегодняшнего дня Microsoft больше не будет поддерживать файлообменник Skype.

Скааааааааайп

📕 Сеньёр-помидор

Нашёл для вас интересный, а самое главное — полезный материал: слитый курс Senior Web Penetration Tester (Hack The Box) за ноябрь 2024 года. На площадке HTB этот курс доступен по годовой подписке стоимостью 1055€.

▎ Содержание курса:
➡️Injection Attacks — Атаки инъекциями;
➡️Introduction to NoSQL Injection — Введение в NoSQL-инъекции;
➡️Attacking Authentication Mechanisms — Атаки на механизмы аутентификации;
➡️Advanced XSS and CSRF Exploitation — Продвинутая эксплуатация XSS и CSRF;
➡️HTTPs-TLS Attacks — Атаки на HTTPS/TLS;
➡️Abusing HTTP Misconfigurations — Абуз ошибочных конфигураций HTTP;
➡️HTTP Attacks — HTTP-атаки;
➡️Blind SQL Injection — Слепые SQL-инъекции;
➡️Intro to Whitebox Pentesting — Введение в тестирование методом белого ящика;
➡️Modern Web Exploitation Techniques — Современные техники эксплуатации веб-уязвимостей;
➡️Introduction to Deserialization Attacks — Введение в атаки на десериализацию;
➡️Whitebox Attacks — Атаки методом белого ящика;
➡️Advanced SQL Injections — Продвинутые SQL-инъекции;
➡️Advanced Deserialization Attacks — Продвинутые атаки на десериализацию;
➡️Parameter Logic Bugs — Логические уязвимости в параметрах.

Архив без вирусов, загружен на облако с моего твинка.

🔗 Ссылка на слитый курс Senior Web Penetration Tester

#материал

🙁 Хейт убивает open-source

Сегодня наткнулся на историю разработчика, который из-за одного токсичного письма решил закрыть свой проект "LDAP Client and Server API for node.js". Репозиторий годами поддерживался на энтузиазме и рефакторился, пока аноним не прислал угрозы из-за "неудобного API".

Open-source держится на людях, которые тратят своё время за бесплатно. Критикуйте конструктивно, предлагайте помощь или просто скажите "спасибо". Если проект заморожен — форкните и доработайте.

🔗 Ссылка на репозиторий GitHub

#github

🗣 Всем привет!

Как вы уже могли заметить, в сторисы канала я скидываю мемы на тему ИБ. Если у вас есть, чем поделиться (желательно на тему offensive в формате видео, но фото тоже приветствуется), присылайте в предложку — @hackerbiker_memes_bot. Самые интересные и приемлемые буду публиковать в сторис канала.

Мемы в формате .exe не присылайте, могу не удержаться

📕 RAD COP на PHD

Пришли небольшим коллективом из круга хакеров на Positive Hack Days. Если хотите познакомиться, обсудить крутые кейсы или просто поболтать за кофе, пишите в личку или в комменты. Будем рады пообщаться!

Пользуясь случаем, хочу сказать, мой хороший коллега на фотке на днях сдал CEH (Certified Ethical Hacker). Если хотите его поздравить с новым сертификатом, то напишите приятные слова в комментариях под его постом, ему будет приятно😁

😈 Ержан, вставай!

Давно не было разбора атак на моих проектах. Время исправляться, есть интересная находка. Впервые на проекте нашёл вектора для DoS-атаки, так еще и первая на практике критическая уязвимость.

Конечные точки API для осуществления денежного перевода на вход в JSON-запросе принимают экспоненциальное значение (1e-1) и обрабатывают её, выдавая в ответе рассчитанную сумму с учётом комиссии. При увеличении количества нулей в экспоненте (1e-100...) возрастает время ответа от сервера. На обычные запросы это ~100 мс, после 300, 1000, 8000 и так далее. Наткнулся на такое значение экспоненты, при котором ответ с сервера я получаю через 60000 мс (стандартное ограничение в некоторых браузерах) с 504 HTTP ошибкой.

Решили с Заказчиком провести более глубокое исследование потенциального DoS под наблюдением за сервером. Выяснилось, что экспонента 1e-100000000 и подобные нагружают сервер до 30% при отправке очередью (при ожидании ответа на каждый запрос), когда в обычном состоянии нагрузка не выше 5%. Физически такое число практически равно нулю, но математически нет. Если код пытается его обрабатывать "честно" (например, переводя в дробь или делая арифметику с высокой точностью), это может создать огромную вычислительную нагрузку. Всё говорит о серьёзной проблеме, учитывая то, что это было проделано лишь с помощью одного устройства. А если это сделать в кооперации с другими устройствами? Нагрузка выйдет куда выше.

▎ Риски:
➡️Отказ в обслуживании: один запрос нагружает сервер до 30%, а координированная атака способна нанести более серьёзный урон;
➡️Финансовые потери: запросы связаны с платёжным API, в случае его отказа возможны сбои в транзакциях пользователей;
➡️Репутационный ущерб: нестабильность сервиса подрывает доверие пользователей.

▎ Рекомендации по устранению уязвимости:
✅Валидация входных данных: запрет экспоненциальной записи;
✅Лимиты на обработку чисел: установка максимальной точности (например, округление до 5 знаков после запятой). Timeout на обработку запроса (например, 1 сек), при которой сервер автоматически будет откидывать запросы, которые обрабатывает более установленного времени;
✅Защита от DoS/DDoS: пропускать не более, например, 100 запросов/мин с одного IP, иметь детекты на атаку с различных IP-адресов и отражать вредоносные запросы на сервер;
✅Мониторинг и логирование: алерты при резком росте нагрузки на CPU, логирование подозрительных запросов.

Снова тот случай, когда недостаточная валидация входных данных может привести к катастрофическим последствиям. Нельзя доверять пользовательскому вводу.

"1e-100000000" — это не число, а таймер до перезагрузки сервера.

#кейс

👨‍💻 Награждение Red Team на Standoff 15