🤔 Как еще можно найти и проэксплуатировать XXE, кроме загрузки XML через форму?

Многие форматы файлов используют XML в качестве основы и могут привести к XXE. В качестве примеров можно привести SVG, документы Microsoft (docx, xlsx и другие) и другие языки разметки, такие как KML.

Кроме того, сервисы SOAP используют запросы в формате XML. В некоторых случаях API, которые по умолчанию используют входные данные в формате JSON, также будут принимать те же входные данные, что и XML.

Где искать XXE?
✅ Веб-сервисы и API
✅ Загрузка файлов
✅ Обработка XML в мобильных приложениях
✅ Обработка документов в формате XML
✅ SOAP-запросы и обработка SAML-ответов

#tips #bugbounty #pentest #вопросы_с_собесов

📌 Несколько интересных — в нашей подборке:

📺 «‎Систематизируем багбаунти с помощью аномалий» — доклад Анатолия Иванова о том, как можно обучиться поиску крутых уязвимостей и даже выработать для этого определенный паттерн
📺 «‎Продвинутые client-side атаки» — доклад Всеволода Кокорина про конкретные техники атак, которые не ограничиваются простой вставкой тегов, а также про атаки с использованием XS-Leaks
📺 «Как выжить на bug bounty: история исследователя безопасности» — доклад Артема Кулакова о личном опыте участия в программе bug bounty
📺 «Багбаунти vs. red team: как найти тот самый эндпоинт» — ответы на важные вопросы

👉 Standoff Talks #4
👉 Standoff 12

#чтопроисходит #secevent

🧰 Коллекция задач для изучения Frida на примере Android-приложений. Они не похожи на хардкорные таски из CTF, но помогут вам начать знакомство с Frida и ее API.

📌 Что внутри:
🔹Challenge 0x1 : Frida setup, Hooking a method
🔹Challenge 0x2 : Calling a static method
🔹Challenge 0x3 : Changing the value of a variable
🔹Challenge 0x4 : Creating a class instance
🔹Challenge 0x5 : Invoking methods on an existing instance
🔹Challenge 0x6 : Invoking a method with an object argument
🔹Challenge 0x7 : Hooking the constructor
🔹Challenge 0x8 : Introduction to native hooking
🔹Challenge 0x9 : Changing the return value of a native function
🔹Challenge 0xA : Calling a native function
🔹Challenge 0xB : Patching instructions using X86Writer and ARM64Writer

#reverse #practice

👩‍💻 Представлен один из самых распространенных хакерских дистрибутивов Kali Linux 2023.4

Как заявляют разработчики, очень много работы остается за кулисами. Поэтому скоро можно ждать что-то интересное.

📌 Что внутри:

☑️ ARM64 Cloud на Amazon AWS и Microsoft Azure
☑️ Поддержка Vagrant Hyper-V и Raspberry Pi 5
☑️ GNOME 45 — тема Kali доступна в последних версиях
☑️ Переработанная внутренняя инфраструктура
☑️ Новые инструменты — как всегда, различные новые и обновленные пакеты

#tools

🤩 Команда PortSwigger радует новыми разделами в Академии веб-безопасности. Выпущены руководства по уязвимостям GraphQL API и RESTful + JSON API. Посмотрим последнее последнее👇

🔎 Разведка API

Первый шаг — сбор информации об API. Например, нужно найти эндпоинты API, такие как /api/books для получения списка книг, и понять, как с ними взаимодействовать (какие типы запросов они принимают, какие параметры требуются и т. д.).

🔎 Документация API — важный ключ к пониманию всей структуры API

/api
/swagger/index.html
/openapi.json

🔎 Определение эндпоинтов API

Ищите в URL-адресах и JS-файлах шаблоны, указывающие на API:/api/, /api/v1.1/ и т. д.

🔎 Взаимодействие с эндпоинтами API

После того, как вы определили эндпоинты API, взаимодействуйте с ними с помощью инструментов Burp. Это позволяет вам наблюдать за поведением API и обнаруживать дополнительную поверхность атаки. Например, вы можете изучить, как API реагирует на изменение метода HTTP или типа media.

Не стоит также забывать про определение скрытых параметров и тестирование уязвимостей mass assignment. Читайте подробнее в руководстве и отрабатывайте навыки на практике с помощью лабораторий.

#tips #bugbounty #pentest

🤔Где учиться на хакера?

Три ИБ-специалиста на Standoff 12 дискутируют о важной теме и разбираются, нужна ли этичному хакеру вышка, где эффективнее получать знания, нужны ли хакеру стажировки и многое другое. Одним словом, маст-хэв для новичка в ИБ-сфере.

📺 Смотреть

#secevent #career