😈 IntruderPayloads

Коллекция полезных нагрузок BurpSuite Intruder, полезных нагрузок BurpBounty, списков fuzz листов и методов пентеста. Чтобы собрать все сторонние репозитории, запустите install.sh в той же директории, где находится папка IntruderPayloads.

🌚 @poxek

👋 привет.

Вот и первый выпуск дайджеста по безопасности ИИ. Материалы честно позаимствованы с hackstery, что-то дополнено и адаптировано. Но надеюсь, вы поставите ⚡️⚡️⚡️ и скажете в комментах – а нужно ли оно ?)

💬 Безопасность LLM

Wunderwuzzi написал статью и выложил PoC для эксфильтрации данных через Google Bard. Он реализовал эксфильтрацию в google docs и обошёл CSP, однако Google уже пофиксили это (((


Layier.AI выпустили свой бенчмарк, в котором при помощи нескольких сканеров промтов оценивается - как тот или иной сканер отработает на Prompt Injection. Среди средств анализа включены следующие инструменты - LLMGuard, Lakera Guard и RebuffAI. Подробнее о том, почему они это сделали – читайте в их статье. Также, они улучшили свою модель Deberta, которая используется для обнаружения Prompt Injection.

Компания Meta* выпустила новые инструменты (Llama Guard и Purple Llama) для защиты входных и выходных данных при взаимодействии с большими языковыми моделями и предложила эталон для оценки рисков кибербезопасности в моделях. (тык, тык и тык)

🎨 Безопасность ИИ

Huntr написали статью для багхантинга в AI/ML. Часть инструментов вы и сами знаете, а часть была описана в этом канале.

Google выпустил инструмент для подписей моделей через Sigstore. Это фреймворк для обеспечения безопасности цепочки поставок машинного обучения.

Trail Of Bits обнаружили 11 уязвимостей в популярной модели для обнаружения объектов в реальном времени YOLOv7. Snyk уже может сканировать эту модель на уязвимости.

Среди этих уязвимостей есть целых 5 RCE.

Для обнаружения исследователи использовали свой набор правил для semgrep, TorchScript и CodeQl.

Помимо этого, они дали рекомендации по защите модели и уже сообщили разработчикам о данных находках.

🛠 Новые инструменты ИИ для кибербезопасности

Cisco выпустила своего AI-ассистента. Этот инструмент призван помочь безопасникам в настройке и поддержке политик брандмауэра в решениях Cisco. Ранее также Microsoft сделали свой Security Copilot

🤔 Интересно почитать

Кто контролирует OpenAI - статья от Bloomberg

🤔Размышления

Заменит ли ИИ безопасника

Жду ваших репостов и комментариев на этот счёт

🌚 Опасная рыбалка. Как фишинговые ресурсы маскируют под легитимные

Что такое фишинг, зна­ет и стар и млад, но поль­зовате­ли все рав­но про­дол­жают попадать­ся на улов­ки зло­умыш­ленни­ков. В этой статье мы рас­смот­рим фишин­говые ссыл­ки, а точ­нее, спо­собы их мас­киров­ки с исполь­зовани­ем офи­циаль­ных сай­тов извес­тных ком­паний и сер­висов.

От­кры­тым редирек­том в «1С‑Бит­рикс» уже никого не уди­вишь. Давай луч­ше рас­смот­рим, как кибер­прес­тупни­ки умуд­ряют­ся исполь­зовать archive.org, evernote.com, bing.com, microsoft.com, adobe.com и дру­гие трас­товые домены для того, что­бы обма­нуть довер­чивых поль­зовате­лей.

😹 @poxek

🌚 Письмо с сюрпризом. Изучаем уловки и хитрости для доставки писем с малварью

По ста­тис­тике зна­читель­ная часть зараже­ний мал­варью про­исхо­дит из‑за того, что поль­зователь сам запус­тил на сво­ей машине вре­донос­ный файл. Имен­но в этом и зак­люча­ется основная задача зло­умыш­ленни­ков, исполь­зующих соци­аль­ную инже­нерию. Давай пос­мотрим, какие тех­ничес­кие улов­ки и хит­рости они при­меня­ют.

Мы рас­смот­рим ата­ки с фай­лами не с точ­ки зре­ния того, как их дос­тавля­ют во вре­мя пен­теста и что в них пишут, что­бы поль­зователь повел­ся. Об этом мы погово­рим в дру­гой раз. Сегод­ня мы кос­немся нес­коль­ких тех­ничес­ких аспектов, вклю­чая мас­киров­ку фай­лов и рас­ширений, и обсу­дим некото­рые лай­фха­ки.

🌚 @poxek

🌚 OverTheWire Bandit
#лаба

Спонтанный пост для тех, кто ищет чем заняться на выходных)
Полезная головоломка для начинающих специалистов и "повторение - мать учения" для прожжённых самоварчиков.

Смысл сей авантюры в том, что вы с 0 до 34 уровня должны подключаться по ssh к следующему уровню. А как это сделать вам и придется выяснить :))
Эта игра будет полезна в первую очередь для начинающих в освоении Linux на базовом уровне и по ходу решения уровней, сможете постигать тонкости нативных утилит.

ssh [email protected] -p 2220

🌲 @poxek

SSH ProxyCommand == RCE
CVE-2023-51385
#RCE

SSH’s ProxyCommand is a feature quite widely used to proxy ssh connections by allowing to specify custom commands to be used to connect to the server. Arguments to this directive may contain tokens like %h, %u which refer to hostname and username respectively.

When coming from untrusted sources, a hostname can be malicious and look something like malicious-command (backticks would allow a command to be executed in shell)

Malicious config:

Host *.example.com
  ProxyCommand /usr/bin/nc -X connect -x 192.0.2.0:8080 %h %p

Latest PoC:

url = ssh://'`open -aCalculator`'foo.example.com/bar

Exploit: https://github.com/vin01/poc-proxycommand-vulnerable-v2

For Remediation you need update to:
OpenSSH 9.6p1
libssh 0.10.6 and 0.9.8

🌚 @poxek

🌚 БагБаунти с АстраЛинус или то, что нужно знать о защищённости защищённой ОС

Автор захотел поделиться своим опытом участия в программе баг-хантинга ГК Астра (да, да - именно той, которая недавно совершила каминг‑аут IPO) на платформе BI.ZONE Bug Bounty.

Опыта участия в публичных программах поиска багов у него до этого не было, а первичной мотивацией было стремление посмотреть на Astra Linux в контексте информационной безопасности и в целом оценить собственные возможности в поиске дефектов данной ОС, ведь за плечами у него уже был богатый опыт ковыряния ядра да и вообще, линуксов.

🌚 @poxek

💰 С Наступающим Новым Годом!

🌲 @poxek

🌚 AuthLogParser
#linux #LPE

Если кратко, то скрипт на PowerShell парсит логи на наличие данных авторизации. На первый взгляд классная штука.

Как получится воспользоваться на проекте, отпишу фидбек)

🌚 @poxek

E-mail Injection; Инъекции в почтовую функциональность веб-приложений

Порой разработчикам необходимо создавать формы – разделы для сбора информации от пользователей веб-приложения. Было придумано множество способов обработки и сбора ответов пользователей на формы. Выбор подходящего зависит от спектра условий: вида и предполагаемого объёма данных, допустимого объёма выделенного хранилища, желаемых характеристик доступа, ... ;

Так сложилось, что одним из вариантов решения упомянутой задачи является использование электронной почты. Электронная почта – комплексная технология, в работе которой задействован целый список компонентов.

👉 Сохраняй

🌚 @poxek

GIGANEWS. Главные события 2023 года по версии «Хакера»

Год под­ходит к кон­цу, некото­рые уже начина­ют резать салаты, а зна­чит, приш­ло вре­мя огля­нуть­ся назад и вспом­нить самые важ­ные, инте­рес­ные и забав­ные события, которы­ми он нам запом­нится. По тра­диции мы сос­тавили для тебя под­борку наибо­лее ярких взло­мов, атак, уяз­вимос­тей, фей­лов и дру­гих событий ухо­дяще­го 2023 года. Будет инте­рес­но, пог­нали!

В статье подвели итоги по следующим аспектам:
- Атака года
- Уязвимость года
- Утечка года
- Исследование года
- Блокировка года
- Нарушитель приватности года
- Малварь года
- Хардверный взлом года
- Странность года
- Фейл года
- Хайп года

👉 Очень советую прочитать тем, кто особо не следил за ИБ новостями.

🌚 @poxek

Не ну вы поняли)

Новые программы для тех, кто не собирается отдыхать на новогодние праздники

🌚 @poxek