Forwarded from Токсичная цифра
Уже на флажке РИФ-2023 заскочил на стенд к Авито. Там давали вкусное шампанское и сэндвичи, но любим мы их не за это.
На самом деле анонсировал их сессию про технологии и людей в ряду интересных сегодня. Потому что парням из Авито, в данном случае Андрею Рыбинцеву, всегда есть рассказать о технических решениях, а еще были Егор Бигун из билайновского клауда, Александр Дворянский из Ситроникса, Алексей Глотов из Tele 2 и Владимир Синельников из Aero.
И понятно, что в конечном счете все свелось к вопросам безопасности пользователей и того, как ее достигать. И вообще - реально ли, чтобы щит превзошел меч. Спойлер – нет.
Тезисов несколько.
1️⃣Безопасность – это скучно и сложно, поэтому геймификация и интуитивность – наше все. Владимир Синельников напомнил, как многократно повысило секьюрность внедрение Touch ID на смартфонах. Даже те люди, которые ранее не ставили на смартфоны пароль, потому что это лишние действия, установили Touch ID и начали его использовать, потому что это удобно и это WOW.
2️⃣Людей надо учить. Большинство, особенно старшего поколения, не всегда понимает уровень возможностей по защите с одной стороны, и уровень и близость угроз – с другой.
Полная безопасность недостижима, но ее всегда можно опустить до уровня приемлемого. Так, по словам Рыбинцева, на Авито число случаев фрода снизилось более чем в 60 раз за последние три года. В первую очередь за счет повышения стоимости атаки для злоумышленников.
3️⃣При этом, как отметил Алексей Глотов, мошенничество не является статичным. Поэтому даже системы искусственного интеллекта необходимо постоянно дообучать, чтобы они оставались актуальными и способными защищать пользователей. И здесь необходим постоянный фидбек от них.
4️⃣Самая эффективная безопасность – незаметная. Если же люди видят инструменты безопасности – они сопротивляются или ищут возможность срезать углы, отметил г-н Дворянский. Опять же г-н Рыбинцев привел пример мессенджера Авито, где в рамках банальной отправки сообщений и фото друг другу (был еще клевый тезис про то, что Авито – это дейтинг) используется машинный анализ переписки, отлов ссылок со спамом и на фишинг и многое другое. И все это абсолютно незаметно для пользователей. В результате большинство обычных людей реагируют на безопасность, только когда ее кто-то преодолевает.
Ну что тут скажешь, Андрей. Только так это обычно и работает.
На самом деле анонсировал их сессию про технологии и людей в ряду интересных сегодня. Потому что парням из Авито, в данном случае Андрею Рыбинцеву, всегда есть рассказать о технических решениях, а еще были Егор Бигун из билайновского клауда, Александр Дворянский из Ситроникса, Алексей Глотов из Tele 2 и Владимир Синельников из Aero.
И понятно, что в конечном счете все свелось к вопросам безопасности пользователей и того, как ее достигать. И вообще - реально ли, чтобы щит превзошел меч. Спойлер – нет.
Тезисов несколько.
1️⃣Безопасность – это скучно и сложно, поэтому геймификация и интуитивность – наше все. Владимир Синельников напомнил, как многократно повысило секьюрность внедрение Touch ID на смартфонах. Даже те люди, которые ранее не ставили на смартфоны пароль, потому что это лишние действия, установили Touch ID и начали его использовать, потому что это удобно и это WOW.
2️⃣Людей надо учить. Большинство, особенно старшего поколения, не всегда понимает уровень возможностей по защите с одной стороны, и уровень и близость угроз – с другой.
Полная безопасность недостижима, но ее всегда можно опустить до уровня приемлемого. Так, по словам Рыбинцева, на Авито число случаев фрода снизилось более чем в 60 раз за последние три года. В первую очередь за счет повышения стоимости атаки для злоумышленников.
3️⃣При этом, как отметил Алексей Глотов, мошенничество не является статичным. Поэтому даже системы искусственного интеллекта необходимо постоянно дообучать, чтобы они оставались актуальными и способными защищать пользователей. И здесь необходим постоянный фидбек от них.
4️⃣Самая эффективная безопасность – незаметная. Если же люди видят инструменты безопасности – они сопротивляются или ищут возможность срезать углы, отметил г-н Дворянский. Опять же г-н Рыбинцев привел пример мессенджера Авито, где в рамках банальной отправки сообщений и фото друг другу (был еще клевый тезис про то, что Авито – это дейтинг) используется машинный анализ переписки, отлов ссылок со спамом и на фишинг и многое другое. И все это абсолютно незаметно для пользователей. В результате большинство обычных людей реагируют на безопасность, только когда ее кто-то преодолевает.
Ну что тут скажешь, Андрей. Только так это обычно и работает.
👍7❤1
🔑 Расширение Burp Suite для поиска уязвимостей в OAUTHv2 и OpenID
OAUTHScan - это расширение Burp Suite для обеспечения некоторых автоматических проверок безопасности, которые могут быть полезны во время тестирования на проникновение приложений, реализующих стандарты OAUTHv2 и OpenID.
Плагин ищет различные уязвимости OAUTHv2/OpenID и распространенные ошибки в настройках конфигурации.
⏺ Ссылка на расширение
#Web #SSO #oauth #BurpSuite
OAUTHScan - это расширение Burp Suite для обеспечения некоторых автоматических проверок безопасности, которые могут быть полезны во время тестирования на проникновение приложений, реализующих стандарты OAUTHv2 и OpenID.
Плагин ищет различные уязвимости OAUTHv2/OpenID и распространенные ошибки в настройках конфигурации.
#Web #SSO #oauth #BurpSuite
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍4🔥1
Как за 1 секунду узнать пароль от чужого вай-фая?
А еще прочитать переписку любого человека в радиусе 10м, по блютузу подключиться к чьей-то камере и без интернета смотреть ютуб.
Здесь находят фишки и уязвимости разных устройств и объясняют, как ими пользоваться.
Подпишись и твой старый телефон превратится в универсальное оружие: @white_hack
А еще прочитать переписку любого человека в радиусе 10м, по блютузу подключиться к чьей-то камере и без интернета смотреть ютуб.
Здесь находят фишки и уязвимости разных устройств и объясняют, как ими пользоваться.
Подпишись и твой старый телефон превратится в универсальное оружие: @white_hack
💩39👍5
🦠 Загрузка и выполнение в памяти кода на C#
Инструмент под названием Invoke-SharpLoader позволяет загрузить зашифрованный и сжатый код C# с удаленного веб-сервера или из локального файла прямо в память и выполнить его там.
Здесь используются два сценария. Invoke-SharpEncrypt можно использовать для шифрования существующих файлов C#. Зашифрованные файлы, сгенерированные Invoke-SharpEncrypt, затем могут быть размещены на веб-сервере в Интернете или сохранены на диске в целевой системе. Invoke-SharpLoader можно использовать для расшифровки и выполнения файлов в памяти.
Шифруя собственные исполняемые файлы с помощью пользовательского пароля и, размещая их где-то в Интернете, можно обойти локальную и прокси защиту антивирусов и AMSI.
⏺ Ссылка на GitHub
#Redteam #AV
Инструмент под названием Invoke-SharpLoader позволяет загрузить зашифрованный и сжатый код C# с удаленного веб-сервера или из локального файла прямо в память и выполнить его там.
Здесь используются два сценария. Invoke-SharpEncrypt можно использовать для шифрования существующих файлов C#. Зашифрованные файлы, сгенерированные Invoke-SharpEncrypt, затем могут быть размещены на веб-сервере в Интернете или сохранены на диске в целевой системе. Invoke-SharpLoader можно использовать для расшифровки и выполнения файлов в памяти.
Шифруя собственные исполняемые файлы с помощью пользовательского пароля и, размещая их где-то в Интернете, можно обойти локальную и прокси защиту антивирусов и AMSI.
#Redteam #AV
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Commix (COMMand Injection eXploiter) - это инструмент с открытым исходным кодом для автоматизации обнаружения и эксплуатации уязвимостей внедрения команд ОС.
Способен использовать различные техники и обходить фильтрацию средств защиты, используя tamper-скрипты. Это как SQLMap, но только для Command Injection.
На скрине ниже, в качестве примера, показано использование данного инструмента для обнаружения и эксплуатации уязвимости внедрения команд ОС в GraphQL.
#Web #RCE
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14👏2
This media is not supported in your browser
VIEW IN TELEGRAM
🔎 Автоматический конструктор запросов для Google доркинга
Если вы устали набирать множество гугл-дорков для различных файлов, во время вашей OSINT разведки, то можно использовать FilePhish — автоматический конструктор запросов для самых популярных расширений файлов.
Для корректной работы в Chrome и Firefox требуется разрешить FilePhish отправлять всплывающие окна и использовать перенаправления в меню настроек браузера.
В Chrome:
Settings > Security and privacy > Pop-ups and redirects > Allowed
В Firefox:
Privacy & Security >
Block pop-up windows > Exceptions
⏺ Ссылка на инструмент
#Web #Recon #Google
Если вы устали набирать множество гугл-дорков для различных файлов, во время вашей OSINT разведки, то можно использовать FilePhish — автоматический конструктор запросов для самых популярных расширений файлов.
Для корректной работы в Chrome и Firefox требуется разрешить FilePhish отправлять всплывающие окна и использовать перенаправления в меню настроек браузера.
В Chrome:
Settings > Security and privacy > Pop-ups and redirects > Allowed
В Firefox:
Privacy & Security >
Block pop-up windows > Exceptions
#Web #Recon #Google
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8💩2
This media is not supported in your browser
VIEW IN TELEGRAM
Если вам лень все время писать полезную нагрузку в Burp Suite, то вы можете использовать расширение под названием HopLa.
Данное расширение добавляет поддержку автозаполнения и выбора полезной нагрузки, чтобы упростить процесс атаки. Кроме того, при необходимости вы можете добавить свои собственные списки.
#Web #BurpSuite
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍4🤡2❤1
📑 Локальная версия XSS Hunter
Теперь вы можете запустить собственную версию XSS Hunter для быстрого поиска и тестирования Blind XSS.
Инструмент можно установить и настроить за 5 минут. Он так же автоматически устанавливает и обновляет сертификаты через letsencrypt для минимального обслуживания.
⏺ Ссылка на GitHub
#Web #XSS #Hunter
Теперь вы можете запустить собственную версию XSS Hunter для быстрого поиска и тестирования Blind XSS.
Инструмент можно установить и настроить за 5 минут. Он так же автоматически устанавливает и обновляет сертификаты через letsencrypt для минимального обслуживания.
#Web #XSS #Hunter
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2💩1
This media is not supported in your browser
VIEW IN TELEGRAM
🗳 Инструмент для создания вредоносных Zip-файлов, не требующих разархивации
ZipExec - это инструмент для выполнения полезной нагрузки, хранящейся в защищенных паролем zip-файлах, без их извлечения.
Инструмент передает zip-файлы на диск, используя JScript и COM-объекты, для создания zip-файла на диске и последующего их выполнения. Защита zip-файла паролем позволяет обходить EDR и механизмы сканирования антивирусов.
⏺ Ссылка на GitHub
#Redteam #Malware #AV
ZipExec - это инструмент для выполнения полезной нагрузки, хранящейся в защищенных паролем zip-файлах, без их извлечения.
Инструмент передает zip-файлы на диск, используя JScript и COM-объекты, для создания zip-файла на диске и последующего их выполнения. Защита zip-файла паролем позволяет обходить EDR и механизмы сканирования антивирусов.
#Redteam #Malware #AV
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18👎2💩2
🍪 Поиск уязвимостей неправильной настройки сеансов
Недавно был представлен небольшой инструмент для обнаружения неверно настроенных реализаций сеансов в веб-приложениях.
CookieMonster быстро находит неверно настроенные секретные ключи в приложениях, использующих Laravel, Flask, JWT и многое другое. Более подробно читайте в блоге автора.
Для массового сканирования данным инструментом можно использовать данный шаблон Nuclei и выполнить однострочник:
⏺ Ссылка на GitHub
#Web
Недавно был представлен небольшой инструмент для обнаружения неверно настроенных реализаций сеансов в веб-приложениях.
CookieMonster быстро находит неверно настроенные секретные ключи в приложениях, использующих Laravel, Flask, JWT и многое другое. Более подробно читайте в блоге автора.
Для массового сканирования данным инструментом можно использовать данный шаблон Nuclei и выполнить однострочник:
echo "https://example.com" | nuclei -t cookie-extractor.yaml | cut -d "=" -f 2 | cut -d ";" -f 1 > cookies && for cookie in $(cat cookies); do ./cookiemonster -cookie $cookie; done
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14👎1
Данный OSINT проект позволяет найти на веб-сайте уязвимые страницы и файлы с конфиденциальной информацией, используя 45 типов Google Dorks.
Инструмент может находить популярные админ-панели, распространённые типы файлов и Path Traversal.
#Web #Dork #Recon #Google
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14🤯3🎉2💩1
Ещё один неплохой инструмент для поиска уязвимостей, под названием Garud.
Он позволяет собирать поддомены, проверять возможность их захвата, а также собирать URL адреса и находить распространённые уязвимости, такие как XSS, SSTI, SSRF, SQLi и другие.
Схема работы инструмента представлена на скрине выше.
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🔥3❤1🤡1
📁 Быстрый поиск конфиденциальных данных в SMB
Для выполнения этой цели, можно использовать SMBSR. Это скрипт принимает адрес или список хостов, находит все открытые службы SMB (445) и пытается аутентифицироваться.
Если аутентификация прошла успешно, то все папки посещаются рекурсивно, в поисках секретов.
Для сканирования портов SMB используется модуль masscan. Интересные ключевые слова, которые должен искать инструмент, определяются в командной строке.
⏺ Ссылка на GitHub
#Redteam #SMB
Для выполнения этой цели, можно использовать SMBSR. Это скрипт принимает адрес или список хостов, находит все открытые службы SMB (445) и пытается аутентифицироваться.
Если аутентификация прошла успешно, то все папки посещаются рекурсивно, в поисках секретов.
Для сканирования портов SMB используется модуль masscan. Интересные ключевые слова, которые должен искать инструмент, определяются в командной строке.
#Redteam #SMB
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13💩3❤2
JIRA - это коммерческая система отслеживания проблем, разработанная Atlassian, которая позволяет отслеживать ошибки и гибко управлять проектами. На днях на гитхабе появился новый сканер уязвимостей написанный на Python для JIRA, под названием Jira-Lens.
Этот инструмент выполняет более 25 проверок, включая CVE и угрозы раскрытия информации в предоставленном экземпляре JIRA.Чтобы немного автоматизировать, можно с помощью Nuclei определить какие хосты относятся к JIRA и просканировать их все:
cat alive.domains | nuclei -c 50 -silent -t ~/nuclei-templates/exposed-panels/jira-detect.yaml | awk '{print $6}' | anew jira.domains && python3 Jira-Lens.py -f jira.domains
#Web #Jira #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥2❤1🤯1
This media is not supported in your browser
VIEW IN TELEGRAM
Парсинг имён и мэйлов дело обычное, но если вам вдруг понадобилось спарсить биткоин кошельки, то с этой задачей отлично справится SpiderFoot.
Кроме того, SpiderFoot может даже сообщить вам баланс биткойн-кошельков. Инструмент работает в вебе и в консоле.
#Web #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔11❤🔥5👍4🥰1
📃 Списки слов для различных версий распространенных веб-приложений
Репозиторий, содержащий списки слов для различных версий распространенных веб-приложений и систем управления контентом (CMS).
Может быть полезно при фаззинге.
⏺ Ссылка на GitHub
#Web #Wordlist #Recon
Репозиторий, содержащий списки слов для различных версий распространенных веб-приложений и систем управления контентом (CMS).
Может быть полезно при фаззинге.
#Web #Wordlist #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14💩4
🖇 Команды для доступа к страницам с кодом ответа
⏺ Ссылка на GitHub
#Web #Fuzz
403
Коллекция списков слов, команд FFUF и шаблонов Nuclei для обхода страниц с кодом ответа 403 (доступ запрещён)#Web #Fuzz
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21💩4
📑 Инструмент поиска XSS в AngularJS
Инструмент SSTI-XSS-Finder позволяет собирать из Shodan поддомены, которые используют технологию AngularJS, и предоставляет нам полезную нагрузку XSS, связанную с AngularJS-версией этого поддомена.
⏺ Ссылка на GitHub
#Web #XSS
Инструмент SSTI-XSS-Finder позволяет собирать из Shodan поддомены, которые используют технологию AngularJS, и предоставляет нам полезную нагрузку XSS, связанную с AngularJS-версией этого поддомена.
./SSTI-XSS-Finder.sh <Shodan-Dork>
Примеры дорков:org:target
hostname:target.com
net:127.0.0.1
#Web #XSS
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10💩3❤2
This media is not supported in your browser
VIEW IN TELEGRAM
📄 Создание списка слов из истории BurpSuite
Если вы хотите создать специальный список слов, адаптированный под вашу конкретную цель, то в BurpSuite это можно сделать с помощью расширения Scavenger.
Расширение просматривает историю BurpSuite и выделяет слова, специфичные для вашей цели.
Пример использования данного инструмента в реальной практике можно найти по данной ссылке.
⏺ Ссылка на GitHub
#Web #BurpSuite #Recon
Если вы хотите создать специальный список слов, адаптированный под вашу конкретную цель, то в BurpSuite это можно сделать с помощью расширения Scavenger.
Расширение просматривает историю BurpSuite и выделяет слова, специфичные для вашей цели.
Пример использования данного инструмента в реальной практике можно найти по данной ссылке.
#Web #BurpSuite #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6💩4
Большой список интересных инструментов и ресурсов, связанных с использованием машинного обучения для кибербезопасности.
#Redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤🔥5💩3❤2