Офигеннейший подкаст от @d0znpp с самым известным юристом силиконовой долины Леонардом Грайвером:

https://youtu.be/ysOdh8nOl6U

В подкасте есть все: захватывающие истории кидания через х.й фаундеров инвесторами; тупые русские инвесторы; наивные CTO; как защититься Фаундеру в долине и пр.

10 пегих дудочников из 10

Судя по количеству звезд на репозитории, не все еще знают о прекрасном Cheat Sheet от @i_bo0om по обходу WAF/IPS/DLP:

https://github.com/Bo0oM/WAF-bypass-Cheat-Sheet

Юзайте на здоровье!

Хочу порекомендовать крайне годный инструмент для анализа веб-приложений: https://github.com/tomnomnom/waybackurls

Утилита ищет существующие URL в Wayback Machine по заданным доменам.
На каждом проекте помогает найти скрытие/устаревшие или не найденные точки входа на приложении.

Оказалось что в PHP может быть ситуация когда у ассоциативного массива есть два абсолютно одинаковых ключа, каждый из которых имеет по одному уникальному строковому значению.

Примерно вот так:

array(2) {
  ["foo"]=>
  string(4) "fooB"
  ["foo"]=>
  string(4) "fooA"
}

Подробности тут:
https://bugs.php.net/bug.php?id=77115
https://github.com/Blaklis/my-challenges/tree/master/shophp

Если коротко:

O:4:"Cart":2:{s:2:"id";s:2:"33";s:10:"\x00Entity\x00id";s:2:"11";} -> get_object_vars()

Сегодня пройдет новый OWASP Meetup Russia #10 под новым названием:
OWASP Moscow 2020/1

Программа:

19:00 «Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON.
19:15 «Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT.
19:30 «OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов.
19:55 Перерыв
20:10 «Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин.
20:35 «From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах»

Планируется видеотрансляция на YouTube-канале https://www.youtube.com/channel/UCCqNFXg3NRbRA6qNKFRecdw

Трансляция: https://t.co/02QMFAMUBY

Много коллег и знакомых из ИТ спрашивают: “где прокачаться в поиске уязвимостей веб?”. Мол, как стать тру веб хакером.

Во-первый, нах это у меня спрашивать?! Вы же меня видели.
Во-вторых, я давно понял, что нет никакой особенной книги или платформы, или курса, который из вас сделает веб-павнера вроде известных всем топовых. Просто НЕТ, запомните.

Все, кто сейчас силен ломании веба, все кто сейчас крутые и известные хакеры ломают веб больше 5-8-10 лет. Все что нужно это не переставать учиться, еб@шить и не терять энтузиазма.

К чему все это?

К тому, что нет платформ, книжек и прочего, но есть вот такие классные сборники одних из самых интересных багов с HackerOne, изучая которые вы можете немного прокачать свою эрудицию в разнообразии случаев и атак:

https://github.com/reddelexc/hackerone-reports/tree/master/tops_by_bug_type

Привет, странник!

Меня зовут Омар Ганиев, профессионально идентифицирую себя как хакер, занимаюсь предпринимательством в области информационной безопасности.

Зачастую мне приходят в голову различные мысли, которые я транслирую друзьям и коллегам в ряд чатов, в которых нахожусь.
Формат чата не располагает к вдумчивой формулировке мысли, а необходимость срочно поделиться гениальным откровением или новым знанием с различными группами людей располагает к прокрастинации, распылению, пустым дискуссиям и флуду.

В связи с этим решил предпринять попытку вести канал (хотя бы для себя), куда писать то, что может показаться интересным и не слишком очевидным.
Тематика постов может включать следующие области (в примерно убывающем по приоритету порядке), не ограничиваясь ими: компьютерная и информационная безопасность, технологии, IT-предпринимательство, стартапы, философия, математика, лингвистика, климатология.

Всем рекомендую мыслителя!)

Коллеги, поздравляю всех с этим памятным днем, когда в Репитере появилась поддержка UTF-8 для раздела RAW!!
Ура, товарищи!

https://www.amolbaikar.com/facebook-oauth-framework-vulnerability/

Изучайте OAUTH, дети.

Бага на 55.000$

Прошедший VolgaCTF порадовал своими интересными задачами.

Для тех кто хочет наловчиться анализировать GraphQL API, могу порекомендовать свой врайтап: https://github.com/empty-jack/ctf-writeups/blob/master/VolgaCTF-2020/web-library.md (Цепочка: GQL Introspection -> SQLi)

Для тех кому интересны необычные техники эксплуатации DOM-XSS при помощи DomClobbering или DOM Variables Hijacking см. врайтап от Blackfan: https://blog.blackfan.ru/2020/03/volgactf-2020-qualifier-writeup.html?m=1 (Цепочка: PTRAV -> DomClobbering -> DOM-XSS)

Друг подсказал отличную фичу в Firefox.

Firefox containers!

Вы можете изолировать окружение отдельных вкладок. Т.е. раньше, чтобы выйти в отдельный сеанс браузера надо было включить анонимный режим и там уже можно было работать без своих Куков, Сессий и т.д.
Теперь можно просто разграничивать окружение при помощи этого инструмента. Это очень удобно для тестирования перекрестных атак на пользователей, когда нужно одновременно иметь две и более актуальных сессий для тестирования.

https://addons.mozilla.org/ru/firefox/addon/multi-account-containers/

#FYI

В Телеграм есть бот: @ctftimebot

Можно подписываться на CTF события, смотреть информацию по мероприятиям, командам, игрокам и пр.

Очень рекомендую для тех, кто заинтересован в CTF турнирах.

Спасибо толковому парню за то, что поделился)

АРСИБ умер?? vos уже пляшет на костях?!)

Зато удобно с работы домой возвращаться.

Очередные чудеса Client-Side с прошедшего CTF.

Что если есть Reflected XSS в таком вот ответе (См. INJECTION):

HTTP/1.1 200 OK
Server: nginx/1.17.9
Date: Sun, 05 Apr 2020 11:21:23 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
X-Powered-By: PHP/5.6.40
X-XSS-Protection: 0
X-Frame-Options: deny
X-Content-Type-Options: nosniff
Content-Length: 291

<noscript>
setTimeout(function(){
    try{
        return location = '/?i_said_no_xss_4_u_:)';
        nodice=INJECTION;
    }catch(err){
        return location = '/?error='+INJECTION;
    }
    },500);
</noscript>
<noscript>
/*
    payload: INJECTION
*/
</noscript>
<body onload='location="/?no_xss_4_u_:)"'>hi. bye.</body>

И есть решение:

/?xss=alert(1);let location=1;<!--<noscript

Если чутка приглядеться, то поймешь, что вообще ни черта не понимаешь.

Объяснение и цепочка решения здесь:

https://github.com/empty-jack/ctf-writeups/blob/master/MidnightSunCTF-2020/crossintheroof-web.md

Подчерпнул для себя немножно нового прочитав статейку про подводные камнии и ловушки в конфигурации NGINX:

https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/

Очень рекомендую изучать работу и конфигурацию веб-серверов, т.к. это наиболее часто встречающееся ПО в вебе. Это дает свои плоды в понимании того, что происходит с обработкой запросов в вебе и того на что можно посмотреть если багов в приложении вы не нашли.

На последнем CTF увидел интересный кейс с эксплуатацией Self-XSS для вытаскивания данных админа через поддержание нескольких iframe.

Расширяем границы воображения)

Write up:
https://github.com/empty-jack/ctf-writeups/blob/master/ByteBandits-2020/notes-app-web.md

На бб нашелся забавный кейс.

Есть Stored XSS на приложении, но стоит WAF AWS ELB/2.0.

Встал вопрос: как байпасить?

Сначала попробовал вектора для хитрых пейлоадов, но все, что дальше одного слова, завернутого в кавычки, возвращет бан на реквест.

Тогда встал вопрос как байпасить не сигнатуры, а вообще парсинг.
И тут буквально с первой тычки прошел следующий трюк.

Данный WAF парсит заголовок Content-Type и в соответствии с ним парсит тело запроса.

Соответственно ломаем этот заголовок так, чтобы WAF его не съел, а nginx съел:

Решение:

Content-Type: application/x-www-form-urlencoded

Вместо пробела - табуляция!

Спасибо CTFам! 😄

Забавно, Firefox изменили обработку nosniff и один из трюков, которые многие использовали в прохождении таска User Center теперь не работает)

Content-Type: */*

https://blog.mozilla.org/security/2020/04/07/firefox-75-will-respect-nosniff-for-page-loads/