Многим известен ресторан: "Хочу пури". Одна из их фишек - можно оплатить заказ с помощью qr кода, пример приложили. Так вот, нашли у них небольшую уязвимость. Qr код ведёт по следующей ссылке: https://tapper.cloud/hochu-puri-9048/28
Где 28 - номер столика. 9048 вероятно номер заведения. В данной ссылке отсутствует какая-либо система проверки и любой может перебрать номер столика и попранковать над официантами и посетителями. Например вызвать официанта и попросить что-то сделать.
Весёлых пранков. 😁
Где 28 - номер столика. 9048 вероятно номер заведения. В данной ссылке отсутствует какая-либо система проверки и любой может перебрать номер столика и попранковать над официантами и посетителями. Например вызвать официанта и попросить что-то сделать.
Весёлых пранков. 😁
👎5😎4😁2🌭2🤬1🖕1💘1💊1
Не мог не зарепостить с другого нашего канала ))). Добавили крутые фичи: VM, SNMP brute, сриншотер. Тестируйте, отписывайтесь по доработкам, багам и т.п.
Forwarded from SeteZor - Network Intelligence Solution
https://github.com/lmsecure/Setezor/releases/tag/0.10.0b
# Что нового?
- SNMP
- Подбор community string по IP адресу с определением прав доступа
- Web Screenshoter
- Интеграция с Playwright. Теперь можно получать снимок страницы по ссылке
- Vulnerabilities manager
- Ручное добавление уязвимостей
- Возможность прикреплять подтверждающие скриншоты для уязвимости
- Network Map
- Добавлена возможность вручную создавать, удалять и редактировать узлы и грани
- Инструменты были объединены в группы на странице Tools
# Что нового?
- SNMP
- Подбор community string по IP адресу с определением прав доступа
- Web Screenshoter
- Интеграция с Playwright. Теперь можно получать снимок страницы по ссылке
- Vulnerabilities manager
- Ручное добавление уязвимостей
- Возможность прикреплять подтверждающие скриншоты для уязвимости
- Network Map
- Добавлена возможность вручную создавать, удалять и редактировать узлы и грани
- Инструменты были объединены в группы на странице Tools
GitHub
Release Released version v0.10.0b · lmsecure/Setezor
What's new?
SNMP
Brute community strings by IP with definition of access rights
Screenshoter
Integration with Playwright. Now you can create screenshots by URL
Vulnerabilities manager
Y...
SNMP
Brute community strings by IP with definition of access rights
Screenshoter
Integration with Playwright. Now you can create screenshots by URL
Vulnerabilities manager
Y...
⚡2👍1
Здравствуйте, наши маленькие любители хакинга. 🤓
Вот уже на протяжении двух лет, мы развиваем Setezor. Думаем, что те кто им пользовался уже наверняка оценили наш вклад в опенсоурс сообщество. А те кто ещё не успел - настоятельно рекомендуем. ))
В этом году мы собрали отличную команду разработчиков, которые не оставляют в покое свои засаленные клавиатуры и пилят фичи днём и ночью, специально для Вас.
Настало время обратиться к Вам, за помощью. Проекту очень нужна обратная связь. Мы выходим на новый уровень и собираем требования по функционалу. Пожалуйста, отпишитесь в комментариях, что по вашему мнению стоит добавить в Setezor
Вот уже на протяжении двух лет, мы развиваем Setezor. Думаем, что те кто им пользовался уже наверняка оценили наш вклад в опенсоурс сообщество. А те кто ещё не успел - настоятельно рекомендуем. ))
В этом году мы собрали отличную команду разработчиков, которые не оставляют в покое свои засаленные клавиатуры и пилят фичи днём и ночью, специально для Вас.
Настало время обратиться к Вам, за помощью. Проекту очень нужна обратная связь. Мы выходим на новый уровень и собираем требования по функционалу. Пожалуйста, отпишитесь в комментариях, что по вашему мнению стоит добавить в Setezor
👍2
Всех с наступающим новым годом. Уходящий год был трудным, но не менее интересным. Мы многое сделали. Ещё больше сделаем в следующем году.
От лица всей команды желаем всего самого доброго. ❤️ Спасибо, что Вы с нами.
От лица всей команды желаем всего самого доброго. ❤️ Спасибо, что Вы с нами.
🎄4❤3👍1
Лайфхак: получаем бесплатную пиццу в Додо Пицца
Уязвимости бывают не только в компьютерных системах и людях. Все то что сделано человеком - может быть взломано человеком. 3го дня нашли уязвимость в бизнес процессе приготовления додо пиццы.
Если не хочется читать то вот инструкция: в пятницу вечером (18:00) заказываем большую пиццу - получаем еще одну бесплатно.
В чем суть: основной поток на конвейере приготовления пицц поставлен на средние пиццы. Оно и понятно. Заказывают в основном средние пиццы. Мы делали заказ на большую пиццу - кассир сообщил время приготовления, 15 минут. Как это происходит. Сначала они делают заказы на средние пиццы. Только после этого приступают к нестандартным заказам. При этом конвейер по производству значительно начинает тормозить, поскольку движения поворов отточены до автоматизма на средние пиццы. В итоге время ожидания увеличилось до 30-40 минут. В приложении от заказа до доставки даётся 1 час. В противном случае Додо - пиццу дарят в подарок.
Т.о. заказав большую пиццу в час пик мы кратно увеличиваем вероятность того, что они не успевают за час приготовить и доставить.
P.S.: поэксперементируйте. Есть большая вероятность, что и в обычное время они не успеют, например заказ мы делали на большую и маленькую пиццу в субботу днём. Сработало. )
Уязвимости бывают не только в компьютерных системах и людях. Все то что сделано человеком - может быть взломано человеком. 3го дня нашли уязвимость в бизнес процессе приготовления додо пиццы.
Если не хочется читать то вот инструкция: в пятницу вечером (18:00) заказываем большую пиццу - получаем еще одну бесплатно.
В чем суть: основной поток на конвейере приготовления пицц поставлен на средние пиццы. Оно и понятно. Заказывают в основном средние пиццы. Мы делали заказ на большую пиццу - кассир сообщил время приготовления, 15 минут. Как это происходит. Сначала они делают заказы на средние пиццы. Только после этого приступают к нестандартным заказам. При этом конвейер по производству значительно начинает тормозить, поскольку движения поворов отточены до автоматизма на средние пиццы. В итоге время ожидания увеличилось до 30-40 минут. В приложении от заказа до доставки даётся 1 час. В противном случае Додо - пиццу дарят в подарок.
Т.о. заказав большую пиццу в час пик мы кратно увеличиваем вероятность того, что они не успевают за час приготовить и доставить.
P.S.: поэксперементируйте. Есть большая вероятность, что и в обычное время они не успеют, например заказ мы делали на большую и маленькую пиццу в субботу днём. Сработало. )
❤1👍1🔥1💊1
Forwarded from SeteZor - Network Intelligence Solution
https://github.com/lmsecure/Setezor/releases/tag/0.20.1b
Dashboard
Был полностью переработан Dashboard
Изменено отображение графиков
Добавлены таблицы cpe2.3 и уязвимости
Добавлена общая таблица показывающая программное обеспечение которое находится на 4 уровне модели OSI
Зимнее оформление
Программные_агенты
Раньше сканирование производил сервер - это была имитация агента, сейчас мы создали полонценнного программного агента.
Наш "Агент Смит" сканирует сеть взаимодействуя со всеми инструментам «Сетезор», он умеет подключаться не только через сервер, но и через другого "Агента Смита".
Было добавлено
Возможность запуска инструментов с агентов
Теперь агентов можно подключить по цепочке и запускать с них инструменты, каждый агент обладает своим AES-256 ключом шифруя все передаваемые данные
При создании агентов добавлена возможность выбрать его родителя, для создания цепочки вызовов, после чего необходимо подключить нужные для работы интерфейсы
Изменены таблицы с информацией
Теперь во вкладке информации находятся следующие таблицы:
L7_SOFTWARE - отображает программное обеспечение на 7 уровне модели OSI.
L4_SOFTWARE - отображает программное обеспечение на 4 уровне модели OSI.
IP_MAC_PORT - показывает информацию о найденных связках IP-адресах, портах и MAC-адресах.
DOMAIN_IP - показываетп принадлежность доменов к IP-адресу.
L7_SOFT_VULN_LINK - показывает уязвимости найденные на 7 уровне модели OSI.
l4_SOFT_VULN_LINK - показывает уязвимости найденные на 4 уровне модели OSI
Task manager
Был добавлен task manager, в котором есть 4 вкладки с текущим состоянием задач
Created - страница с создаными задачами с их параметрами, с этой страницы происходит запуск задач
Started - страница с запущенными задачами
Failed - страница с провалеными задачами
Finished - страница с завершенными задачами, которые можно перезапустить с теми же параметрами
Переработали sidebar
Dashboard
Был полностью переработан Dashboard
Изменено отображение графиков
Добавлены таблицы cpe2.3 и уязвимости
Добавлена общая таблица показывающая программное обеспечение которое находится на 4 уровне модели OSI
Зимнее оформление
Программные_агенты
Раньше сканирование производил сервер - это была имитация агента, сейчас мы создали полонценнного программного агента.
Наш "Агент Смит" сканирует сеть взаимодействуя со всеми инструментам «Сетезор», он умеет подключаться не только через сервер, но и через другого "Агента Смита".
Было добавлено
Возможность запуска инструментов с агентов
Теперь агентов можно подключить по цепочке и запускать с них инструменты, каждый агент обладает своим AES-256 ключом шифруя все передаваемые данные
При создании агентов добавлена возможность выбрать его родителя, для создания цепочки вызовов, после чего необходимо подключить нужные для работы интерфейсы
Изменены таблицы с информацией
Теперь во вкладке информации находятся следующие таблицы:
L7_SOFTWARE - отображает программное обеспечение на 7 уровне модели OSI.
L4_SOFTWARE - отображает программное обеспечение на 4 уровне модели OSI.
IP_MAC_PORT - показывает информацию о найденных связках IP-адресах, портах и MAC-адресах.
DOMAIN_IP - показываетп принадлежность доменов к IP-адресу.
L7_SOFT_VULN_LINK - показывает уязвимости найденные на 7 уровне модели OSI.
l4_SOFT_VULN_LINK - показывает уязвимости найденные на 4 уровне модели OSI
Task manager
Был добавлен task manager, в котором есть 4 вкладки с текущим состоянием задач
Created - страница с создаными задачами с их параметрами, с этой страницы происходит запуск задач
Started - страница с запущенными задачами
Failed - страница с провалеными задачами
Finished - страница с завершенными задачами, которые можно перезапустить с теми же параметрами
Переработали sidebar
GitHub
Release Released version 0.20.1b · lmsecure/Setezor
Dashboard
Был полностью переработан Dashboard
Изменено отображение графиков
Добавлены таблицы cpe2.3 и уязвимости
Добавлена общая таблица показывающая программное обеспечение которое находится на ...
Был полностью переработан Dashboard
Изменено отображение графиков
Добавлены таблицы cpe2.3 и уязвимости
Добавлена общая таблица показывающая программное обеспечение которое находится на ...
❤2⚡2👍1
https://habr.com/ru/companies/lmsecurity/articles/860016/
Наша статья по атакам на 1с. Первая часть. Клиентская частт
Наша статья по атакам на 1с. Первая часть. Клиентская частт
Хабр
Как атакуют системы 1С: клиентские версии
Приветствуем всех любителей информационной безопасности! Мы ЛианМедиа и информационная безопасность наша главная специализация! В данной статье мы бы хотели поделиться с вами практикой пентеста...
🔥2👍1
https://github.com/lmsecure/Setezor/releases/tag/0.24.0b
Новый релиз Сетезора.
Начали свои изыскания в области групповой работы с сетезором в рамках тестирования на проникновение. А именно добавили возможность инвайтить пользователей в проекты. Добавили возможность добавлять комментарии к узлу.
На следующей неделе постараемся выкатить онлайн версию сетезора. Сейчас пока тестируем. В чем разница спросите вы? А все очень просто в онлайне будет больше аналитики и фич, которые не будут включены в опенсоурс версию. +Удобство. Не нужно разворачивать серверную часть на своих мощностях. Подключили агента и можно анализировать сеть.
Новый релиз Сетезора.
Начали свои изыскания в области групповой работы с сетезором в рамках тестирования на проникновение. А именно добавили возможность инвайтить пользователей в проекты. Добавили возможность добавлять комментарии к узлу.
На следующей неделе постараемся выкатить онлайн версию сетезора. Сейчас пока тестируем. В чем разница спросите вы? А все очень просто в онлайне будет больше аналитики и фич, которые не будут включены в опенсоурс версию. +Удобство. Не нужно разворачивать серверную часть на своих мощностях. Подключили агента и можно анализировать сеть.
GitHub
Release Released version 0.24.0b · lmsecure/Setezor
Что нового?
Scopes
возможность редактирования/удаления таргетов
добавление уже известных таргетов из базы
выгрузка всего scope в csv файл
удаление scope
Инструменты вынесены в модальные окна
Во...
Scopes
возможность редактирования/удаления таргетов
добавление уже известных таргетов из базы
выгрузка всего scope в csv файл
удаление scope
Инструменты вынесены в модальные окна
Во...
❤🔥1
У нас хорошие новости. Открыли онлайн версию Сетезора:
https://online.setezor.net
Чем отличается на данный момент от опенсоурс версии:
- Формирование отчётов
- Срезы по сканам
Из преимуществ:
- ненадо разворачивать серверную часть. Раскатили агента на вдске. Подключили к онлайну и можно работать.
https://online.setezor.net
Чем отличается на данный момент от опенсоурс версии:
- Формирование отчётов
- Срезы по сканам
Из преимуществ:
- ненадо разворачивать серверную часть. Раскатили агента на вдске. Подключили к онлайну и можно работать.
🔥2
https://habr.com/ru/articles/905506/
В честь релиза первой версии Setezor и официального открытия online.setezor.net накатали статью как пользоваться этим чудом техники на хабре. 😊
В честь релиза первой версии Setezor и официального открытия online.setezor.net накатали статью как пользоваться этим чудом техники на хабре. 😊
Хабр
Обзираем online.setezor.net
В данной статье мы расскажем о новом SaaS решении на базе ПО «Setezor», который находится по адресу https://online.setezor.net . Setezor – это инструмент по типу «Network Intelligence Solution»....
❤2
Forwarded from SeteZor - Network Intelligence Solution
Сервер (https://github.com/lmsecure/Setezor/releases/tag/1.0.2)
Что нового?
- Оптимизация схемы БД
- Установка домена узлу на карте
- Возможность установить узел на карте в качестве искусственного интерфейса для агента в случае парсинга логов
- Выложили агента с возможностью управления под NAT. Доступен на https://online.setezor.net
What's new?
- Optimization of the DB scheme
- Setting the domain for the node on the map
- Ability to set the node on the map as an artificial interface for the agent in case of log parsing
- Posted an agent with the ability to manage under NAT. Available at https://online.setezor.net
Агент (https://github.com/lmsecure/Setezor.Agent/releases/tag/1.0.2)
Что нового?
- Появилась версия Windows
- Опубликовали агента с расширенным функционалом, доступным на https://online.setezor.net. (Firewall check)
- Агент может работать как под "белым" IP, так и из-под NAT. NAT доступен на https://online.setezor.net.
What's new?
- Built for Windows
- Published an agent with extended functionality, available at https://online.setezor.net. (Firewall check)
- The agent can work both under a "white" IP and from under NAT. NAT mode is available on https://online.setezor.net.
Что нового?
- Оптимизация схемы БД
- Установка домена узлу на карте
- Возможность установить узел на карте в качестве искусственного интерфейса для агента в случае парсинга логов
- Выложили агента с возможностью управления под NAT. Доступен на https://online.setezor.net
What's new?
- Optimization of the DB scheme
- Setting the domain for the node on the map
- Ability to set the node on the map as an artificial interface for the agent in case of log parsing
- Posted an agent with the ability to manage under NAT. Available at https://online.setezor.net
Агент (https://github.com/lmsecure/Setezor.Agent/releases/tag/1.0.2)
Что нового?
- Появилась версия Windows
- Опубликовали агента с расширенным функционалом, доступным на https://online.setezor.net. (Firewall check)
- Агент может работать как под "белым" IP, так и из-под NAT. NAT доступен на https://online.setezor.net.
What's new?
- Built for Windows
- Published an agent with extended functionality, available at https://online.setezor.net. (Firewall check)
- The agent can work both under a "white" IP and from under NAT. NAT mode is available on https://online.setezor.net.
GitHub
Release Released version 1.0.2 · lmsecure/Setezor
Что нового?
Оптимизация схемы БД
Установка домена узлу на карте
Возможность установить узел на карте в качестве искусственного интерфейса для агента в случае парсинга логов
Выложили агента с возмо...
Оптимизация схемы БД
Установка домена узлу на карте
Возможность установить узел на карте в качестве искусственного интерфейса для агента в случае парсинга логов
Выложили агента с возмо...
❤🔥1
Forwarded from SeteZor - Network Intelligence Solution
Ну что, господа хорошие. Продукт вырос MVP. Посему - приняли волевое решение. Готовим к выходу крайний релиз сетезора первой версии. В дальнейшем продукт будет распространяться в двух видах:
1. https://online.setezor.net - в виде SaaS решения
2. Enterprise - В виде коммерческого продукта.
Все текущие баги будем естественно фиксить в OpenSource. Всем желаем удачных взломов. )
1. https://online.setezor.net - в виде SaaS решения
2. Enterprise - В виде коммерческого продукта.
Все текущие баги будем естественно фиксить в OpenSource. Всем желаем удачных взломов. )
🔥4❤🔥1❤1
Forwarded from SeteZor - Network Intelligence Solution
✅ Setezor Released version 1.1.0
Что нового?
🔹Добавлен новый инструмент WebGraber
🔹Обновлён инструмент WhoIs
🔹Добавлены расширенные логи в терминал
🔹Добавлена консольная команда по очистке базы
Изменения веб UI элементов:
- Обновлены окна для работы с инстументами
- Добавлено удобное пошаговое создание агента и добавление его в проект
- Вынесено из проекта назначение интерфейсов агента в общие настройки
- Добавлен перезапуск задач
- Добавлен доступ к логам во всех инструментах
______________
✅ Setezor.Agent Released version 1.0.6
Что нового?
🔹Внедрена модульная архитектура. Теперь все модули запрашиваются и скачиваются с сервера
🔹Добавлен новый инструмент WebGraber
🔹Обновлён инструмент WhoIs
🔹Добавлены CLI команды
🔹Добавлены расширенные логи в терминал
Что нового?
🔹Добавлен новый инструмент WebGraber
🔹Обновлён инструмент WhoIs
🔹Добавлены расширенные логи в терминал
🔹Добавлена консольная команда по очистке базы
Изменения веб UI элементов:
- Обновлены окна для работы с инстументами
- Добавлено удобное пошаговое создание агента и добавление его в проект
- Вынесено из проекта назначение интерфейсов агента в общие настройки
- Добавлен перезапуск задач
- Добавлен доступ к логам во всех инструментах
______________
✅ Setezor.Agent Released version 1.0.6
Что нового?
🔹Внедрена модульная архитектура. Теперь все модули запрашиваются и скачиваются с сервера
🔹Добавлен новый инструмент WebGraber
🔹Обновлён инструмент WhoIs
🔹Добавлены CLI команды
🔹Добавлены расширенные логи в терминал
👏2
Forwarded from Александр Овечкин
Друзья, привет! Решили собраться в эфире и рассказать, что накопилось.
Во-первых, пройдемся по последним доработкам — покажем, что улучшили и как это применять.
Во-вторых, и это самое интересное, поделимся опытом использования Сетезора в проекте с Домклик. Расскажем с какими вызовами столкнулись и как решали задачи с помощью платформы.
Запланировали серию встреч, чтобы успеть охватить всё. Ставьте реакции, если тема Домклик актуальна, в ближайшее время скину анонс!
Во-первых, пройдемся по последним доработкам — покажем, что улучшили и как это применять.
Во-вторых, и это самое интересное, поделимся опытом использования Сетезора в проекте с Домклик. Расскажем с какими вызовами столкнулись и как решали задачи с помощью платформы.
Запланировали серию встреч, чтобы успеть охватить всё. Ставьте реакции, если тема Домклик актуальна, в ближайшее время скину анонс!
❤🔥3🔥1