Уууоу

GitHub прям врывается в безопасность открытого ПО, и вот почему:

1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.

Ну не лапочки?

Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/

Не забываем про годнейший CTF!

⚡️На старт, внимание, марш! Объявляем соревнования CTFZone открытыми. Более 700 команд поборются за выход в финал, который состоится на OFFZONE 2020.
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://news.1rj.ru/str/ctfzone2019
Желаем удачи!

Не пропустите OWASP Meetup Russia!

https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA

Ссылка на трансляцию OWASP Meetup Moscow:
https://clc.to/owasp_msk_9

Запись моего выступления на OWASP Meetup Moscow #9

Link: https://youtu.be/cb_Hc6GTi5A

С НГ

#misc

Мало что можно найти айтишного (адекватного) среди сериалов и фильмов но, пролистывая список популярного на Netflix, я приметил один и не прогадал.

Вашему вниманию, один из лучших сериалов про OSINT, еще и с захватывающей историей: Don’t f**k with cats (https://www.netflix.com/noscript/81031373)

#misc

Для всех кто хочет стать гуру Vim.
Особенно полезно новичкам.

Link:
https://github.com/hakluke/how-to-exit-vim

На очередном CTF столкнулся с интересным кейсом, предлагаю статью о прохождении.

https://ctftime.org/writeup/17998

На самом CTF задачу так и не решил, но желание закончить начатое было превыше всего.

История о атаках на Java десериализацию, Bash синтаксис и его трюки и другие интересные вещи.

Полезные подсказки по тестированию Web API:

https://github.com/smodnix/31-days-of-API-Security-Tips/blob/master/README.md

Думаю, можно даже использовать как чеклист.

Для примера:

-API TIP: 4/31-

Testing a Ruby on Rails App & noticed an HTTP parameter containing a URL? Developers sometimes use "Kernel#open" function to access URLs == Game Over. Just send a pipe as the first character and then a shell command (Command Injection by design)

-API TIP:25/31-
Found an "export to PDF" feature? There's a good chance the developers use an external library to convert HTML --> PDF behind the scenes. Try to inject HTML elements and cause "Export Injection".

Learn more about Export Injection: https://medium.com/@inonst/export-injection-2eebc4f17117

Прекрасный cheatsheet от Portswigger по XSS.
Думаю, что лучше я пока не видел.

Можно выбрать какие элементы вам доступны, какие действия и пр., отсортировать по типу взаимодействия. А также скопировать все полученные пейлоады по одной кнопке.

Кто не знал, наслаждайтесь:

https://portswigger.net/web-security/cross-site-noscripting/cheat-sheet

На выходных поучаствовал в CodeGate2020.

Много не нарешал, но один таск закончил:

Nginx Alias Traversal -> urllib2 HTTP header injection -> Jinja2 Template Injection

Кому интересно: https://ctftime.org/writeup/18264

P.S. Решил не без помощи одного толкового парня. Долго пытался засплойтить неэксплуатабельное.

А вот еще одна задача с CodeGate2020.

Веб таск на обход CSP политики, который я так и не решил. И после прочтения врайтапа понял, что никогда бы не решил. (Потому что black magick)
Но для себя решил разобрать врайтап, переписать его с корейского:D, и поделиться с остальными.

Если коротко про таск:

Цель: Утащить Cookie админа через XSS.

На странице CSP: Content-Security-Policy: default-src 'self'; noscript-src 'none’; - т.е. скрипты вообще нельзя выполнять.
Можем в ответ страницы писать либо в хедер, либо в тело,по той причинине, что приложение разрешает нам подписать строку (Захешировать с секретом вначале строки) только для первого или второго варианта по отдлености (Но не вместе).

В итоге:

Hash length extension attack -> Header injection to bypass CSP -> XSS.

В задаче даже имея инъекцию HTTP заголовка в ответе невозомжны было повлиять на CSP политику явно. Зато был один способ, который не столько относится именно к байпасу CSP сколько говорит про тонкости работы Nginx и Chrome.

Само решение тут: https://github.com/empty-jack/ctf-writeups/blob/master/CodeGate-2020/web-csp.md

P.S. ссылка на источник в шапке статьи.

Если совсем коротко:

Изменится ли код ответа от PHP сервера (Вроде: php -s 127.0.0.1:80):

<?php
header("Content-Type: text/html; charset=UTF-8");
header("HTTP/1.1 404”);
?>

<!DOCTYPE html>
<html>
</html>

Команда пентестеров из «Информзащиты» набирает на стажировку молодых ребят, увлечённых кибербезопасностью. 

Самых крутых возьмём в штат!

 2-го марта мы разместим тестовое задание, по его результатам выберем 20 лучших, которых пригласим на очные занятия. 

Почему нам это нужно? У нас открыто несколько вакансий: как для молодых специалистов, так и профессионалов с хорошим релевантным опытом. Мы ищем людей, которые готовы обучаться и развиваться и уделять этому достаточное количество времени.

С 10.02 до 02.03 мы проводим открытый набор желающих. 

Любой, кто придет к нам, получит бесценные знания о том, чем занимаются пентестеры и как проводить атаки на современные инфраструктуры. Тренироваться будем только на реальных кейсах. 

Курс будет включать теоретическую часть и практикумы под руководством наших экспертов. Ну и, конечно, домашки и выпускной экзамен (как без них?). Те, кто успешно справится с экзаменом, получат сертификат. Ну а самые лучшие – станут частью нашей команды.

Поторопитесь прислать ваши заявки до 2 марта. Их можно подать через telegram-бота @Infosec_career_bot.

А вопросы вы можете задать в специальной группе: https://news.1rj.ru/str/infosec_career

Ооо, это рили годно:
https://github.com/randorisec/MobileHackingCheatSheet

Mobile Hacking Cheat Sheet

http://1u.ms/ - крутейший сервис для атак типа DNS Rebinding, SSRF, etc... Позволяет быстро управлять IP адресом по заданному доменному имени и имеет еще кучу фитч.

Пример:

If you want to get a record that resolves to an IP, use the following subdomain:
make-<IP>-rr.1u.ms

Или:

For example, the domain name make-1.2.3.4-rebind-169.254-169.254-rr.1u.ms will first resolve to 1.2.3.4 and then to 169.254.169.254

P.S. Все благодарности: https://github.com/neex
P.P.S. По адресу http://1u.ms/ есть руководство к сервису.

Офигеннейший подкаст от @d0znpp с самым известным юристом силиконовой долины Леонардом Грайвером:

https://youtu.be/ysOdh8nOl6U

В подкасте есть все: захватывающие истории кидания через х.й фаундеров инвесторами; тупые русские инвесторы; наивные CTO; как защититься Фаундеру в долине и пр.

10 пегих дудочников из 10

Судя по количеству звезд на репозитории, не все еще знают о прекрасном Cheat Sheet от @i_bo0om по обходу WAF/IPS/DLP:

https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet

Юзайте на здоровье!