Forwarded from [MIS]ter & [MIS]sis Team
Заметки на полях
Довольно часто в Burp Suite требуется профазить какой-либо заенкоженный параметр, например, поле username в basic authorization, или значение userid внутри заенкоженного параметра cookie. Например, session=eyJhdXRoIjp7InVzZXJpZCI6ImFkbWluIiwidXNlcnRva2VuIjoiMTIzNDUifX0= ( {"auth":{"userid":"admin","usertoken":"12345"}} ).
В таком случае из стандартных средств нам подойдёт только Burp Intruder. Однако тогда не получится использовать Active Scan и дополнительные экстеншны, а устраивать танцы с бубнами вокруг составления итогового payload с последующим енкодингом - потраченное время и никакого удовольствия.
Но нас может выручить полезный экстеншн - Python Scripter. После его подключения появляется отдельная вкладка - Script, куда мы можем вписать свои скрипт для питона. Таким образом алгоритм работы следующий: декодим нужную cookie в Repeater или Intruder, устанавливаем место для фазинга (через scan manual insertion points или спец символ в Intruder), а во вкладке Script - пишем скрипт по енкодингу в base64. После этого - отправляем запрос на активное сканирование.
Для енкодинга нужных параметров мы используем следующие скрипты (https://github.com/mis-team/burpnoscripts):
1. В скрипте param-replacer.py необходимо указать:
- header и/или GET/POST параметр, который необходимо енкодить,
- функции енкодинга: processHeader, processParam (в скрипте написан base64)
- место, куда вставлять заенкоженный параметр (GET, POST, COOKIE).
2. Скрипт fuzz-replacer.py - альтернативный и более удобный вариант. Теперь наоборот - место енкодинга в запросе необходимо "обернуть" в FUZZ (как в знаменитом web фазере), а скрипт уже распознает его и сделает все сам.
Довольно часто в Burp Suite требуется профазить какой-либо заенкоженный параметр, например, поле username в basic authorization, или значение userid внутри заенкоженного параметра cookie. Например, session=eyJhdXRoIjp7InVzZXJpZCI6ImFkbWluIiwidXNlcnRva2VuIjoiMTIzNDUifX0= ( {"auth":{"userid":"admin","usertoken":"12345"}} ).
В таком случае из стандартных средств нам подойдёт только Burp Intruder. Однако тогда не получится использовать Active Scan и дополнительные экстеншны, а устраивать танцы с бубнами вокруг составления итогового payload с последующим енкодингом - потраченное время и никакого удовольствия.
Но нас может выручить полезный экстеншн - Python Scripter. После его подключения появляется отдельная вкладка - Script, куда мы можем вписать свои скрипт для питона. Таким образом алгоритм работы следующий: декодим нужную cookie в Repeater или Intruder, устанавливаем место для фазинга (через scan manual insertion points или спец символ в Intruder), а во вкладке Script - пишем скрипт по енкодингу в base64. После этого - отправляем запрос на активное сканирование.
Для енкодинга нужных параметров мы используем следующие скрипты (https://github.com/mis-team/burpnoscripts):
1. В скрипте param-replacer.py необходимо указать:
- header и/или GET/POST параметр, который необходимо енкодить,
- функции енкодинга: processHeader, processParam (в скрипте написан base64)
- место, куда вставлять заенкоженный параметр (GET, POST, COOKIE).
2. Скрипт fuzz-replacer.py - альтернативный и более удобный вариант. Теперь наоборот - место енкодинга в запросе необходимо "обернуть" в FUZZ (как в знаменитом web фазере), а скрипт уже распознает его и сделает все сам.
GitHub
GitHub - mis-team/burpnoscripts: Scripts for burp noscripter
Scripts for burp noscripter. Contribute to mis-team/burpnoscripts development by creating an account on GitHub.
Команда Информзащиты, и в частности несколько моих друзей, едут в Абу-Даби (ОАЭ), чтобы поучаствовать в HITB Cyberweek CTF, где поборются за приз в 100 000 долларов США.
Поэтому случаю они создали канал, где можно будет посмотреть за происходящим. Надеюсь события будут описываться максимально красочно и подробно)
Поэтому случаю они создали канал, где можно будет посмотреть за происходящим. Надеюсь события будут описываться максимально красочно и подробно)
Forwarded from True0xA3 Team
О чем речь?
В мае этого года на PHDays 9 Рома Алферов выиграл STANDOFF. Т. к. он работает в ИЗшечке, то победила команда True0xA3.
Главным призом были деньги, вечная слава и поездка на CTF в формате Attack-Deffence (это не точно).
И вы бы никогда не увидели этот канал, если поездка не была бы в Абу-Даби (ОАЭ) и мы не играми против самых топовых команд мира:
- PPP
- saarsec
- Bushwhackers
- True0xA3
- Dragon Sector
- LC↯BC
- etc
В этом канале я буду публиковать новости, личное мнение и фоточки))
В мае этого года на PHDays 9 Рома Алферов выиграл STANDOFF. Т. к. он работает в ИЗшечке, то победила команда True0xA3.
Главным призом были деньги, вечная слава и поездка на CTF в формате Attack-Deffence (это не точно).
И вы бы никогда не увидели этот канал, если поездка не была бы в Абу-Даби (ОАЭ) и мы не играми против самых топовых команд мира:
- PPP
- saarsec
- Bushwhackers
- True0xA3
- Dragon Sector
- LC↯BC
- etc
В этом канале я буду публиковать новости, личное мнение и фоточки))
#workshop
В HackerU (У станции метро Тульская) пройдет воркшоп на тему “Разработка Android-приложения с помощью Kotlin”.
Разрботка на котлин не самое веселое занятие, а вот описание очень привлекло “На воркшопе поговорим о том, что нового привнес Kotlin в мобильную разработку, и напишем приложение для анализа Wi-Fi сетей.”
Кому интересно, сюда:
https://hackeru.timepad.ru/event/1095706/
В HackerU (У станции метро Тульская) пройдет воркшоп на тему “Разработка Android-приложения с помощью Kotlin”.
Разрботка на котлин не самое веселое занятие, а вот описание очень привлекло “На воркшопе поговорим о том, что нового привнес Kotlin в мобильную разработку, и напишем приложение для анализа Wi-Fi сетей.”
Кому интересно, сюда:
https://hackeru.timepad.ru/event/1095706/
#news
Бизоны открыли свой канальчик: https://news.1rj.ru/str/bizone_channel
Подписываемся, ставим лайки, жмем на колокольчик!
Бизоны открыли свой канальчик: https://news.1rj.ru/str/bizone_channel
Подписываемся, ставим лайки, жмем на колокольчик!
Telegram
BI.ZONE
Компания по управлению цифровыми рисками
Мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Регистрация в РКН: https://www.gosuslugi.ru/snet/692986a779f7e53c3a54b508
Сайт: https://bi.zone
BI.ZONE Bug Bounty: @bizone_bb
Мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Регистрация в РКН: https://www.gosuslugi.ru/snet/692986a779f7e53c3a54b508
Сайт: https://bi.zone
BI.ZONE Bug Bounty: @bizone_bb
#zeronights
12го ноября в Питере пройдёт частая
хакерская вечеринка в крутом баре. Будет CTF, конкурсы, общение, бесплатные напитки.
Подробности тут: http://getshell.bar
12го ноября в Питере пройдёт частая
хакерская вечеринка в крутом баре. Будет CTF, конкурсы, общение, бесплатные напитки.
Подробности тут: http://getshell.bar
#android #sec
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
GitHub
GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
A list of checks with tips for analyzing the security of Android applications - GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
#ctf #python #file_read
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
#ctf #web #misc
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
ctf-wiki.org
简介 - CTF Wiki
Forwarded from Cybershit
This media is not supported in your browser
VIEW IN TELEGRAM
GitHub прям врывается в безопасность открытого ПО, и вот почему:
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
Forwarded from OFFZONE
⚡️На старт, внимание, марш! Объявляем соревнования CTFZone открытыми. Более 700 команд поборются за выход в финал, который состоится на OFFZONE 2020.
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://news.1rj.ru/str/ctfzone2019
Желаем удачи!
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://news.1rj.ru/str/ctfzone2019
Желаем удачи!
Не пропустите OWASP Meetup Russia!
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
Meetup
Login to Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.
YAH
Не пропустите OWASP Meetup Russia! https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
YouTube
[OWASP Moscow Meetup #9] «Тестирование безопасности GraphQL», Егор Богомолов, Wallarm
«Тестирование безопасности GraphQL», Егор Богомолов, Wallarm. О подходах к тестированию GraphQL API: что искать, какие инструменты могут облегчить жизнь, а также интересные непопулярные атаки на GraphQL, открывающие новые возможности в эксплуатации.
Презентация:…
Презентация:…