#android #sec
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
GitHub
GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
A list of checks with tips for analyzing the security of Android applications - GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
#ctf #python #file_read
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
#ctf #web #misc
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
ctf-wiki.org
简介 - CTF Wiki
Forwarded from Cybershit
This media is not supported in your browser
VIEW IN TELEGRAM
GitHub прям врывается в безопасность открытого ПО, и вот почему:
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
Forwarded from OFFZONE
⚡️На старт, внимание, марш! Объявляем соревнования CTFZone открытыми. Более 700 команд поборются за выход в финал, который состоится на OFFZONE 2020.
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://news.1rj.ru/str/ctfzone2019
Желаем удачи!
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://news.1rj.ru/str/ctfzone2019
Желаем удачи!
Не пропустите OWASP Meetup Russia!
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
Meetup
Login to Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.
YAH
Не пропустите OWASP Meetup Russia! https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
YouTube
[OWASP Moscow Meetup #9] «Тестирование безопасности GraphQL», Егор Богомолов, Wallarm
«Тестирование безопасности GraphQL», Егор Богомолов, Wallarm. О подходах к тестированию GraphQL API: что искать, какие инструменты могут облегчить жизнь, а также интересные непопулярные атаки на GraphQL, открывающие новые возможности в эксплуатации.
Презентация:…
Презентация:…
#misc
Мало что можно найти айтишного (адекватного) среди сериалов и фильмов но, пролистывая список популярного на Netflix, я приметил один и не прогадал.
Вашему вниманию, один из лучших сериалов про OSINT, еще и с захватывающей историей: Don’t f**k with cats (https://www.netflix.com/noscript/81031373)
Мало что можно найти айтишного (адекватного) среди сериалов и фильмов но, пролистывая список популярного на Netflix, я приметил один и не прогадал.
Вашему вниманию, один из лучших сериалов про OSINT, еще и с захватывающей историей: Don’t f**k with cats (https://www.netflix.com/noscript/81031373)
Netflix
Watch Don't F**k with Cats: Hunting an Internet Killer | Netflix Official Site
A twisted criminal's gruesome videos drive a group of amateur online sleuths to launch a risky manhunt that pulls them into a dark underworld.
#misc
Для всех кто хочет стать гуру Vim.
Особенно полезно новичкам.
Link:
https://github.com/hakluke/how-to-exit-vim
Для всех кто хочет стать гуру Vim.
Особенно полезно новичкам.
Link:
https://github.com/hakluke/how-to-exit-vim
GitHub
GitHub - hakluke/how-to-exit-vim: Below are some simple methods for exiting vim.
Below are some simple methods for exiting vim. Contribute to hakluke/how-to-exit-vim development by creating an account on GitHub.
На очередном CTF столкнулся с интересным кейсом, предлагаю статью о прохождении.
https://ctftime.org/writeup/17998
На самом CTF задачу так и не решил, но желание закончить начатое было превыше всего.
История о атаках на Java десериализацию, Bash синтаксис и его трюки и другие интересные вещи.
https://ctftime.org/writeup/17998
На самом CTF задачу так и не решил, но желание закончить начатое было превыше всего.
История о атаках на Java десериализацию, Bash синтаксис и его трюки и другие интересные вещи.
ctftime.org
CTFtime.org / Insomni'hack teaser 2020 / Defiltrate - Part1 / Writeup
Capture The Flag, CTF teams, CTF ratings, CTF archive, CTF writeups
Полезные подсказки по тестированию Web API:
https://github.com/smodnix/31-days-of-API-Security-Tips/blob/master/README.md
Думаю, можно даже использовать как чеклист.
Для примера:
-API TIP: 4/31-
Testing a Ruby on Rails App & noticed an HTTP parameter containing a URL? Developers sometimes use "Kernel#open" function to access URLs == Game Over. Just send a pipe as the first character and then a shell command (Command Injection by design)
-API TIP:25/31-
Found an "export to PDF" feature? There's a good chance the developers use an external library to convert HTML --> PDF behind the scenes. Try to inject HTML elements and cause "Export Injection".
Learn more about Export Injection: https://medium.com/@inonst/export-injection-2eebc4f17117
https://github.com/smodnix/31-days-of-API-Security-Tips/blob/master/README.md
Думаю, можно даже использовать как чеклист.
Для примера:
-API TIP: 4/31-
Testing a Ruby on Rails App & noticed an HTTP parameter containing a URL? Developers sometimes use "Kernel#open" function to access URLs == Game Over. Just send a pipe as the first character and then a shell command (Command Injection by design)
-API TIP:25/31-
Found an "export to PDF" feature? There's a good chance the developers use an external library to convert HTML --> PDF behind the scenes. Try to inject HTML elements and cause "Export Injection".
Learn more about Export Injection: https://medium.com/@inonst/export-injection-2eebc4f17117
GitHub
31-days-of-API-Security-Tips/README.md at master · inonshk/31-days-of-API-Security-Tips
This challenge is Inon Shkedy's 31 days API Security Tips. - inonshk/31-days-of-API-Security-Tips
Прекрасный cheatsheet от Portswigger по XSS.
Думаю, что лучше я пока не видел.
Можно выбрать какие элементы вам доступны, какие действия и пр., отсортировать по типу взаимодействия. А также скопировать все полученные пейлоады по одной кнопке.
Кто не знал, наслаждайтесь:
https://portswigger.net/web-security/cross-site-noscripting/cheat-sheet
Думаю, что лучше я пока не видел.
Можно выбрать какие элементы вам доступны, какие действия и пр., отсортировать по типу взаимодействия. А также скопировать все полученные пейлоады по одной кнопке.
Кто не знал, наслаждайтесь:
https://portswigger.net/web-security/cross-site-noscripting/cheat-sheet
portswigger.net
Cross-Site Scripting (XSS) Cheat Sheet - 2025 Edition | Web Security Academy
Interactive cross-site noscripting (XSS) cheat sheet for 2025, brought to you by PortSwigger. Actively maintained, and regularly updated with new vectors.
На выходных поучаствовал в CodeGate2020.
Много не нарешал, но один таск закончил:
Nginx Alias Traversal -> urllib2 HTTP header injection -> Jinja2 Template Injection
Кому интересно: https://ctftime.org/writeup/18264
P.S. Решил не без помощи одного толкового парня. Долго пытался засплойтить неэксплуатабельное.
Много не нарешал, но один таск закончил:
Nginx Alias Traversal -> urllib2 HTTP header injection -> Jinja2 Template Injection
Кому интересно: https://ctftime.org/writeup/18264
P.S. Решил не без помощи одного толкового парня. Долго пытался засплойтить неэксплуатабельное.
ctftime.org
CTFtime.org / Codegate CTF 2020 Preliminary / renderer / Writeup
CTF writeups, renderer
А вот еще одна задача с CodeGate2020.
Веб таск на обход CSP политики, который я так и не решил. И после прочтения врайтапа понял, что никогда бы не решил. (Потому что black magick)
Но для себя решил разобрать врайтап, переписать его с корейского:D, и поделиться с остальными.
Если коротко про таск:
Цель: Утащить Cookie админа через XSS.
На странице CSP:
Можем в ответ страницы писать либо в хедер, либо в тело,по той причинине, что приложение разрешает нам подписать строку (Захешировать с секретом вначале строки) только для первого или второго варианта по отдлености (Но не вместе).
В итоге:
Hash length extension attack -> Header injection to bypass CSP -> XSS.
В задаче даже имея инъекцию HTTP заголовка в ответе невозомжны было повлиять на CSP политику явно. Зато был один способ, который не столько относится именно к байпасу CSP сколько говорит про тонкости работы Nginx и Chrome.
Само решение тут: https://github.com/empty-jack/ctf-writeups/blob/master/CodeGate-2020/web-csp.md
P.S. ссылка на источник в шапке статьи.
Веб таск на обход CSP политики, который я так и не решил. И после прочтения врайтапа понял, что никогда бы не решил. (Потому что black magick)
Но для себя решил разобрать врайтап, переписать его с корейского:D, и поделиться с остальными.
Если коротко про таск:
Цель: Утащить Cookie админа через XSS.
На странице CSP:
Content-Security-Policy: default-src 'self'; noscript-src 'none’; - т.е. скрипты вообще нельзя выполнять.Можем в ответ страницы писать либо в хедер, либо в тело,по той причинине, что приложение разрешает нам подписать строку (Захешировать с секретом вначале строки) только для первого или второго варианта по отдлености (Но не вместе).
В итоге:
Hash length extension attack -> Header injection to bypass CSP -> XSS.
В задаче даже имея инъекцию HTTP заголовка в ответе невозомжны было повлиять на CSP политику явно. Зато был один способ, который не столько относится именно к байпасу CSP сколько говорит про тонкости работы Nginx и Chrome.
Само решение тут: https://github.com/empty-jack/ctf-writeups/blob/master/CodeGate-2020/web-csp.md
P.S. ссылка на источник в шапке статьи.
GitHub
ctf-writeups/CodeGate-2020/web-csp.md at master · empty-jack/ctf-writeups
Contribute to empty-jack/ctf-writeups development by creating an account on GitHub.
YAH
А вот еще одна задача с CodeGate2020. Веб таск на обход CSP политики, который я так и не решил. И после прочтения врайтапа понял, что никогда бы не решил. (Потому что black magick) Но для себя решил разобрать врайтап, переписать его с корейского:D, и поделиться…
Если совсем коротко:
Изменится ли код ответа от PHP сервера (Вроде: php -s 127.0.0.1:80):
Изменится ли код ответа от PHP сервера (Вроде: php -s 127.0.0.1:80):
<?php
header("Content-Type: text/html; charset=UTF-8");
header("HTTP/1.1 404”);
?>
<!DOCTYPE html>
<html>
</html>
Forwarded from Pavel Shlundin
Команда пентестеров из «Информзащиты» набирает на стажировку молодых ребят, увлечённых кибербезопасностью.
Самых крутых возьмём в штат!
2-го марта мы разместим тестовое задание, по его результатам выберем 20 лучших, которых пригласим на очные занятия.
Почему нам это нужно? У нас открыто несколько вакансий: как для молодых специалистов, так и профессионалов с хорошим релевантным опытом. Мы ищем людей, которые готовы обучаться и развиваться и уделять этому достаточное количество времени.
С 10.02 до 02.03 мы проводим открытый набор желающих.
Любой, кто придет к нам, получит бесценные знания о том, чем занимаются пентестеры и как проводить атаки на современные инфраструктуры. Тренироваться будем только на реальных кейсах.
Курс будет включать теоретическую часть и практикумы под руководством наших экспертов. Ну и, конечно, домашки и выпускной экзамен (как без них?). Те, кто успешно справится с экзаменом, получат сертификат. Ну а самые лучшие – станут частью нашей команды.
Поторопитесь прислать ваши заявки до 2 марта. Их можно подать через telegram-бота @Infosec_career_bot.
А вопросы вы можете задать в специальной группе: https://news.1rj.ru/str/infosec_career
Самых крутых возьмём в штат!
2-го марта мы разместим тестовое задание, по его результатам выберем 20 лучших, которых пригласим на очные занятия.
Почему нам это нужно? У нас открыто несколько вакансий: как для молодых специалистов, так и профессионалов с хорошим релевантным опытом. Мы ищем людей, которые готовы обучаться и развиваться и уделять этому достаточное количество времени.
С 10.02 до 02.03 мы проводим открытый набор желающих.
Любой, кто придет к нам, получит бесценные знания о том, чем занимаются пентестеры и как проводить атаки на современные инфраструктуры. Тренироваться будем только на реальных кейсах.
Курс будет включать теоретическую часть и практикумы под руководством наших экспертов. Ну и, конечно, домашки и выпускной экзамен (как без них?). Те, кто успешно справится с экзаменом, получат сертификат. Ну а самые лучшие – станут частью нашей команды.
Поторопитесь прислать ваши заявки до 2 марта. Их можно подать через telegram-бота @Infosec_career_bot.
А вопросы вы можете задать в специальной группе: https://news.1rj.ru/str/infosec_career