Некоторые коллеги до сих пор руками изучают логи nmap при тестировании на проникновение. Хорошо, когда сеть /24. Но что вы делаете с такими сетями? SeteZor вам в помощь. Красота, правда? 😊

https://habr.com/ru/articles/840766/
Написали туториал. Как рулить окунем. Через SeteZor.

Многим известен ресторан: "Хочу пури". Одна из их фишек - можно оплатить заказ с помощью qr кода, пример приложили. Так вот, нашли у них небольшую уязвимость. Qr код ведёт по следующей ссылке: https://tapper.cloud/hochu-puri-9048/28
Где 28 - номер столика. 9048 вероятно номер заведения. В данной ссылке отсутствует какая-либо система проверки и любой может перебрать номер столика и попранковать над официантами и посетителями. Например вызвать официанта и попросить что-то сделать.

Весёлых пранков. 😁

Не мог не зарепостить с другого нашего канала ))). Добавили крутые фичи: VM, SNMP brute, сриншотер. Тестируйте, отписывайтесь по доработкам, багам и т.п.

https://github.com/lmsecure/Setezor/releases/tag/0.10.0b
# Что нового?
- SNMP
- Подбор community string по IP адресу с определением прав доступа
- Web Screenshoter
- Интеграция с Playwright. Теперь можно получать снимок страницы по ссылке
- Vulnerabilities manager
- Ручное добавление уязвимостей
- Возможность прикреплять подтверждающие скриншоты для уязвимости
- Network Map
- Добавлена возможность вручную создавать, удалять и редактировать узлы и грани
- Инструменты были объединены в группы на странице Tools

Ещё немного красоты. На этот раз построили спарсив snmp ))

Здравствуйте, наши маленькие любители хакинга. 🤓
Вот уже на протяжении двух лет, мы развиваем Setezor. Думаем, что те кто им пользовался уже наверняка оценили наш вклад в опенсоурс сообщество. А те кто ещё не успел - настоятельно рекомендуем. ))
В этом году мы собрали отличную команду разработчиков, которые не оставляют в покое свои засаленные клавиатуры и пилят фичи днём и ночью, специально для Вас.
Настало время обратиться к Вам, за помощью. Проекту очень нужна обратная связь. Мы выходим на новый уровень и собираем требования по функционалу. Пожалуйста, отпишитесь в комментариях, что по вашему мнению стоит добавить в Setezor

Всех с наступающим новым годом. Уходящий год был трудным, но не менее интересным. Мы многое сделали. Ещё больше сделаем в следующем году.

От лица всей команды желаем всего самого доброго. ❤️ Спасибо, что Вы с нами.

Лайфхак: получаем бесплатную пиццу в Додо Пицца

Уязвимости бывают не только в компьютерных системах и людях. Все то что сделано человеком - может быть взломано человеком. 3го дня нашли уязвимость в бизнес процессе приготовления додо пиццы.

Если не хочется читать то вот инструкция: в пятницу вечером (18:00) заказываем большую пиццу - получаем еще одну бесплатно.

В чем суть: основной поток на конвейере приготовления пицц поставлен на средние пиццы. Оно и понятно. Заказывают в основном средние пиццы. Мы делали заказ на большую пиццу - кассир сообщил время приготовления, 15 минут. Как это происходит. Сначала они делают заказы на средние пиццы. Только после этого приступают к нестандартным заказам. При этом конвейер по производству значительно начинает тормозить, поскольку движения поворов отточены до автоматизма на средние пиццы. В итоге время ожидания увеличилось до 30-40 минут. В приложении от заказа до доставки даётся 1 час. В противном случае Додо - пиццу дарят в подарок.
Т.о. заказав большую пиццу в час пик мы кратно увеличиваем вероятность того, что они не успевают за час приготовить и доставить.

P.S.: поэксперементируйте. Есть большая вероятность, что и в обычное время они не успеют, например заказ мы делали на большую и маленькую пиццу в субботу днём. Сработало. )

https://github.com/lmsecure/Setezor/releases/tag/0.20.1b

Dashboard

Был полностью переработан Dashboard

Изменено отображение графиков
Добавлены таблицы cpe2.3 и уязвимости
Добавлена общая таблица показывающая программное обеспечение которое находится на 4 уровне модели OSI
Зимнее оформление

Программные_агенты

Раньше сканирование производил сервер - это была имитация агента, сейчас мы создали полонценнного программного агента.
Наш "Агент Смит" сканирует сеть взаимодействуя со всеми инструментам «Сетезор», он умеет подключаться не только через сервер, но и через другого "Агента Смита".
Было добавлено

Возможность запуска инструментов с агентов

Теперь агентов можно подключить по цепочке и запускать с них инструменты, каждый агент обладает своим AES-256 ключом шифруя все передаваемые данные

При создании агентов добавлена возможность выбрать его родителя, для создания цепочки вызовов, после чего необходимо подключить нужные для работы интерфейсы

Изменены таблицы с информацией

Теперь во вкладке информации находятся следующие таблицы:

L7_SOFTWARE - отображает программное обеспечение на 7 уровне модели OSI.
L4_SOFTWARE - отображает программное обеспечение на 4 уровне модели OSI.
IP_MAC_PORT - показывает информацию о найденных связках IP-адресах, портах и MAC-адресах.
DOMAIN_IP - показываетп принадлежность доменов к IP-адресу.
L7_SOFT_VULN_LINK - показывает уязвимости найденные на 7 уровне модели OSI.
l4_SOFT_VULN_LINK - показывает уязвимости найденные на 4 уровне модели OSI

Task manager

Был добавлен task manager, в котором есть 4 вкладки с текущим состоянием задач

Created - страница с создаными задачами с их параметрами, с этой страницы происходит запуск задач
Started - страница с запущенными задачами
Failed - страница с провалеными задачами
Finished - страница с завершенными задачами, которые можно перезапустить с теми же параметрами

Переработали sidebar

https://habr.com/ru/companies/lmsecurity/articles/860016/

Наша статья по атакам на 1с. Первая часть. Клиентская частт

https://github.com/lmsecure/Setezor/releases/tag/0.24.0b

Новый релиз Сетезора.
Начали свои изыскания в области групповой работы с сетезором в рамках тестирования на проникновение. А именно добавили возможность инвайтить пользователей в проекты. Добавили возможность добавлять комментарии к узлу.

На следующей неделе постараемся выкатить онлайн версию сетезора. Сейчас пока тестируем. В чем разница спросите вы? А все очень просто в онлайне будет больше аналитики и фич, которые не будут включены в опенсоурс версию. +Удобство. Не нужно разворачивать серверную часть на своих мощностях. Подключили агента и можно анализировать сеть.

Кто узнает кадр из фильма? ))

У нас хорошие новости. Открыли онлайн версию Сетезора:
https://online.setezor.net
Чем отличается на данный момент от опенсоурс версии:
- Формирование отчётов
- Срезы по сканам

Из преимуществ:
- ненадо разворачивать серверную часть. Раскатили агента на вдске. Подключили к онлайну и можно работать.

https://habr.com/ru/articles/905506/

В честь релиза первой версии Setezor и официального открытия online.setezor.net накатали статью как пользоваться этим чудом техники на хабре. 😊

Сервер (https://github.com/lmsecure/Setezor/releases/tag/1.0.2)

Что нового?
- Оптимизация схемы БД
- Установка домена узлу на карте
- Возможность установить узел на карте в качестве искусственного интерфейса для агента в случае парсинга логов
- Выложили агента с возможностью управления под NAT. Доступен на https://online.setezor.net

What's new?
- Optimization of the DB scheme
- Setting the domain for the node on the map
- Ability to set the node on the map as an artificial interface for the agent in case of log parsing
- Posted an agent with the ability to manage under NAT. Available at https://online.setezor.net

Агент (https://github.com/lmsecure/Setezor.Agent/releases/tag/1.0.2)

Что нового?
- Появилась версия Windows
- Опубликовали агента с расширенным функционалом, доступным на https://online.setezor.net. (Firewall check)
- Агент может работать как под "белым" IP, так и из-под NAT. NAT доступен на https://online.setezor.net.

What's new?
- Built for Windows
- Published an agent with extended functionality, available at https://online.setezor.net. (Firewall check)
- The agent can work both under a "white" IP and from under NAT. NAT mode is available on https://online.setezor.net.

Ну что, господа хорошие. Продукт вырос MVP. Посему - приняли волевое решение. Готовим к выходу крайний релиз сетезора первой версии. В дальнейшем продукт будет распространяться в двух видах:
1. https://online.setezor.net - в виде SaaS решения
2. Enterprise - В виде коммерческого продукта.
Все текущие баги будем естественно фиксить в OpenSource. Всем желаем удачных взломов. )

✅ Setezor Released version 1.1.0

Что нового?

🔹Добавлен новый инструмент WebGraber
🔹Обновлён инструмент WhoIs
🔹Добавлены расширенные логи в терминал
🔹Добавлена консольная команда по очистке базы

Изменения веб UI элементов:
- Обновлены окна для работы с инстументами
- Добавлено удобное пошаговое создание агента и добавление его в проект
- Вынесено из проекта назначение интерфейсов агента в общие настройки
- Добавлен перезапуск задач
- Добавлен доступ к логам во всех инструментах
______________

✅ Setezor.Agent Released version 1.0.6

Что нового?

🔹Внедрена модульная архитектура. Теперь все модули запрашиваются и скачиваются с сервера
🔹Добавлен новый инструмент WebGraber
🔹Обновлён инструмент WhoIs
🔹Добавлены CLI команды
🔹Добавлены расширенные логи в терминал

Друзья, привет! Решили собраться в эфире и рассказать, что накопилось.

Во-первых, пройдемся по последним доработкам — покажем, что улучшили и как это применять.
Во-вторых, и это самое интересное, поделимся опытом использования Сетезора в проекте с Домклик. Расскажем с какими вызовами столкнулись и как решали задачи с помощью платформы.

Запланировали серию встреч, чтобы успеть охватить всё. Ставьте реакции, если тема Домклик актуальна, в ближайшее время скину анонс!