Forwarded from /bin/zone
В 2020 году библиотека Threat Zone пополнилась крутыми и полезными материалами. До конца декабря мы будем публиковать подборки лучших из них. Надеемся, вы ничего не пропустите😉
Начнем с цикла статей о Threat Hunting, написанных в рамках тренинга Cyber Polygon. Получился полноценный гайд, который поможет разобраться в охоте за угрозами:
• Threat Hunting. Why might you need it — первая статья, которая рассказывает, что необходимо для внедрения этой технологии и откуда охотники за угрозами могут брать идеи для гипотез.
• Threat Hunting в действии — статья, в которой мы на конкретном примере показали, как охотники выдвигают гипотезы и проверяют их для выявления вредоносной активности.
• Threat Hunting. Охота на продвинутые тактики и техники атакующих — заключительный материал цикла, в котором мы взяли пример из второй статьи, «прокачали» злоумышленника и показали, как выявлять более сложные инциденты.
Начнем с цикла статей о Threat Hunting, написанных в рамках тренинга Cyber Polygon. Получился полноценный гайд, который поможет разобраться в охоте за угрозами:
• Threat Hunting. Why might you need it — первая статья, которая рассказывает, что необходимо для внедрения этой технологии и откуда охотники за угрозами могут брать идеи для гипотез.
• Threat Hunting в действии — статья, в которой мы на конкретном примере показали, как охотники выдвигают гипотезы и проверяют их для выявления вредоносной активности.
• Threat Hunting. Охота на продвинутые тактики и техники атакующих — заключительный материал цикла, в котором мы взяли пример из второй статьи, «прокачали» злоумышленника и показали, как выявлять более сложные инциденты.
С наступающим всех, кто это читает!
Крайне рад, что тут собралось много друзей и знакомых. Думаю даже что их тут большинство)
Надеюсь, что этот канальчик, который стал для меня еще одним способом запоминать всякие штучки, которые не оч хорошо укладываются в голове, стал и для вас чем-то полезным или может даже мотивирующим (было бы приятно, если это так).
Лично для меня год стал крайне полезным и успешным (если не смотреть новости и не слушать че творится за окном, то он вообще был идеальным:D). Еще больше новых людей, новых знаний, новых свершений, новых целей.
Надеюсь, что и у всех, кто это читает, было что-то подобное. Главное ребятки, хочу пожелать всем того, чего пожелал бы себе - качайте скилл! А все остальное придет! Хехе;)
Крайне рад, что тут собралось много друзей и знакомых. Думаю даже что их тут большинство)
Надеюсь, что этот канальчик, который стал для меня еще одним способом запоминать всякие штучки, которые не оч хорошо укладываются в голове, стал и для вас чем-то полезным или может даже мотивирующим (было бы приятно, если это так).
Лично для меня год стал крайне полезным и успешным (если не смотреть новости и не слушать че творится за окном, то он вообще был идеальным:D). Еще больше новых людей, новых знаний, новых свершений, новых целей.
Надеюсь, что и у всех, кто это читает, было что-то подобное. Главное ребятки, хочу пожелать всем того, чего пожелал бы себе - качайте скилл! А все остальное придет! Хехе;)
“Все знают, что хакеры работают только по ночам, поэтому многие годы люди просили PortSwigger реализовать тёмную тему. Когда они это сделали, хакеры повсюду радовались! Но некоторые все еще хотели большего... Пока не появился… Burp Customizer!”
https://github.com/CoreyD97/BurpCustomizer
Because just a dark theme wasn't enough!
Сяп, ims0lo
https://github.com/CoreyD97/BurpCustomizer
Because just a dark theme wasn't enough!
Сяп, ims0lo
GitHub
GitHub - CoreyD97/BurpCustomizer: Because just a dark theme wasn't enough!
Because just a dark theme wasn't enough! Contribute to CoreyD97/BurpCustomizer development by creating an account on GitHub.
На эти выходные поставил себе задачу прорешать все задания из [Portswigger Academy](https://portswigger.net/web-security/all-labs), и по результатам марафона хочу поскидывать сюда особенно понравившиеся мне задачки. Особенно понравившиеся - это с интересным материалом, с неизвестными мне техниками, с незатронутыми мной технологиями или с вещами, которые всегда было непросто попрактиковать.
В общем, буду постить сюда с дестяток того, что мне приглянулось.
Сегодня я на 70 процентах, но уже хочется закинуть интересный материал, которому я посвятил сегодняшний вечер.
Это атаки десериализации в #Ruby.
Конкретно, я практиковался на задании: https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-exploiting-ruby-deserialization-using-a-documented-gadget-chain
И мне ранее не доводилось глубоко погружаться в десер в Ruby, кроме как с атаками десериализации, которые применялись для GitLab, после получения секретного ключа приложения. (Читать тут: https://xakep.ru/2020/05/26/gitlab-exploit/)
Если когда-нибудь столкнетесь с подобной задачей, могу рекомендовать статью, которая, как я понял, и предполагалась для решения данного задания: [RUBY 2.X UNIVERSAL RCE DESERIALIZATION GADGET CHAIN](https://www.elttam.com/blog/ruby-deserialization/)
Отлично написанная статья, позволяющая легко пройтись по цепочке гаджетов, собранных из стандартных библиотек Ruby (и иногда предустановленных модулей) и понять как устроен десер в рубях, а также разобраться как работает эксплоит в деталях.
Также, по счастливой случайности, сегодня же подвернулась статья, рассказывающая о таком же универсальном эксплоите для Ruby версии 2.x и 3.x: [Universal Deserialisation Gadget for Ruby 2.x-3.x](https://devcraft.io/2021/01/07/universal-deserialisation-gadget-for-ruby-2-x-3-x.html)
Всем знаний!;)
В общем, буду постить сюда с дестяток того, что мне приглянулось.
Сегодня я на 70 процентах, но уже хочется закинуть интересный материал, которому я посвятил сегодняшний вечер.
Это атаки десериализации в #Ruby.
Конкретно, я практиковался на задании: https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-exploiting-ruby-deserialization-using-a-documented-gadget-chain
И мне ранее не доводилось глубоко погружаться в десер в Ruby, кроме как с атаками десериализации, которые применялись для GitLab, после получения секретного ключа приложения. (Читать тут: https://xakep.ru/2020/05/26/gitlab-exploit/)
Если когда-нибудь столкнетесь с подобной задачей, могу рекомендовать статью, которая, как я понял, и предполагалась для решения данного задания: [RUBY 2.X UNIVERSAL RCE DESERIALIZATION GADGET CHAIN](https://www.elttam.com/blog/ruby-deserialization/)
Отлично написанная статья, позволяющая легко пройтись по цепочке гаджетов, собранных из стандартных библиотек Ruby (и иногда предустановленных модулей) и понять как устроен десер в рубях, а также разобраться как работает эксплоит в деталях.
Также, по счастливой случайности, сегодня же подвернулась статья, рассказывающая о таком же универсальном эксплоите для Ruby версии 2.x и 3.x: [Universal Deserialisation Gadget for Ruby 2.x-3.x](https://devcraft.io/2021/01/07/universal-deserialisation-gadget-for-ruby-2-x-3-x.html)
Всем знаний!;)
portswigger.net
All labs | Web Security Academy
Mystery lab challenge Try solving a random lab with the noscript and denoscription hidden. As you'll have no prior knowledge of the type of vulnerability that ...
Еще один неплохой таск для джунов в Portswigger Academy! Это таск на атаки инъекции объектов в #PHP со сбором кастомной цепочки гаджетов на основе доступного кода приложения. В меру интересно и в меру сложно для джуна.
Ссылка на задание: https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-developing-a-custom-gadget-chain-for-php-deserialization
Таск хорош тем, что дает возможность попрактиковаться в сборке цепочек гаджетов для атак на десериализацию. Таких задачек в CTF встречается не много, а здесь можно на одном примере достаточно ясно понять о чем вообще речь в разговорах про Gadget Chains.
В общем, весьма рекомендую тем, кому кажется, что он уже начал что-то понимать в хакинге веба. Я бы рад повстречать такой таск в первые год-полтора своей работы.
P.S. Аналогичный таск на Custome Gadget Chains в Java оказался совсем не интересным. Да и гаджетов там по сути не было.
Ссылка на задание: https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-developing-a-custom-gadget-chain-for-php-deserialization
Таск хорош тем, что дает возможность попрактиковаться в сборке цепочек гаджетов для атак на десериализацию. Таких задачек в CTF встречается не много, а здесь можно на одном примере достаточно ясно понять о чем вообще речь в разговорах про Gadget Chains.
В общем, весьма рекомендую тем, кому кажется, что он уже начал что-то понимать в хакинге веба. Я бы рад повстречать такой таск в первые год-полтора своей работы.
P.S. Аналогичный таск на Custome Gadget Chains в Java оказался совсем не интересным. Да и гаджетов там по сути не было.
portswigger.net
Lab: Developing a custom gadget chain for PHP deserialization | Web Security Academy
This lab uses a serialization-based session mechanism. By deploying a custom gadget chain, you can exploit its insecure deserialization to achieve remote ...
#PortSwiggerAcademy #PHP
Ухх. А вот это действительно классный таск на атаки десериализации в PHP. Придется раскрутить чейн, каких вряд ли повстречаешь в жизни.
https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-using-phar-deserialization-to-deploy-a-custom-gadget-chain
Здесь и десериализация через мета в PHAR архиве, и файлы полиглоты, и custom gadget chain, и еще кое чего припасено.
Не сказать что это сложно, т.к. тут все перед глазами, и главное знать что с этим делать. Но для получения такой практики и опыта, это крайне годный таск. Обязателен к решению если не сталкивались хотя бы с одной из вышеперечисленных техник.
Ухх. А вот это действительно классный таск на атаки десериализации в PHP. Придется раскрутить чейн, каких вряд ли повстречаешь в жизни.
https://portswigger.net/web-security/deserialization/exploiting/lab-deserialization-using-phar-deserialization-to-deploy-a-custom-gadget-chain
Здесь и десериализация через мета в PHAR архиве, и файлы полиглоты, и custom gadget chain, и еще кое чего припасено.
Не сказать что это сложно, т.к. тут все перед глазами, и главное знать что с этим делать. Но для получения такой практики и опыта, это крайне годный таск. Обязателен к решению если не сталкивались хотя бы с одной из вышеперечисленных техник.
portswigger.net
Lab: Using PHAR deserialization to deploy a custom gadget chain | Web Security Academy
This lab does not explicitly use deserialization. However, if you combine PHAR deserialization with other advanced hacking techniques, you can still achieve ...
Forwarded from Поросёнок Пётр
Еще вчера багхантер Джастин (Rhynorater) обратился к отцам багхант с вопросом - "как можно крутануть слепую SSRF?". И это вполне себе резонный вопрос т.к ответ на него гарантированно добавить тысячи, а то и десятки тысяч денег. Франсен Розен дал советик. Наффи дал советик. А потом Шубс из Assetnote не долго думая запилил максимально годный Blind SSRF Bible. Просто супер круто, структурированно и все в одном месте.
https://blog.assetnote.io/2021/01/13/blind-ssrf-chains/
https://blog.assetnote.io/2021/01/13/blind-ssrf-chains/
Assetnote
A Glossary of Blind SSRF Chains
Application security issues found by Assetnote
👍1
Forwarded from ANTICHAT Channel
Без_башки_Эксплуатируем_динамический_рендеринг_для_захвата_веб.pdf
2.3 MB
Без башки. Эксплуатируем динамический рендеринг для захвата веб-приложений — «Хакер»
Burp Suite roadmap for 2021
Link: https://portswigger.net/blog/burp-suite-roadmap-for-2021
Действительно заметные изменения, которые ждут нас в бурпе в ближайшее время:
- Burp Intruder BugFix
- Native HTTP logging – Based on the popularity of some BApps (Logger++ and Flow), we will provide native, resource-efficient logging functionality..
- Performance improvements – We will improve the memory and processing efficiency of various Burp features and provide feedback of resource-hungry BApps that can impair performance.
Link: https://portswigger.net/blog/burp-suite-roadmap-for-2021
Действительно заметные изменения, которые ждут нас в бурпе в ближайшее время:
- Burp Intruder BugFix
- Native HTTP logging – Based on the popularity of some BApps (Logger++ and Flow), we will provide native, resource-efficient logging functionality..
- Performance improvements – We will improve the memory and processing efficiency of various Burp features and provide feedback of resource-hungry BApps that can impair performance.
PortSwigger Blog
Burp Suite roadmap for 2021
This roadmap has now been updated. Please see our July 2021 roadmap update. We’re all hoping that 2021 will prove to be a better year for humanity. And we’re also planning a great year for Burp Suite!
Как-то я упустил, но увидев понял, что это “почти” то, чего мы всегда ждали! Road Map для пентестеров (by Deteact)!
Ссыль: https://docs.google.com/spreadsheets/d/15w9mA5HB9uuiquIx8pavdxThwfMrH7HSv2zmagrekec/edit#gid=141308356
Конечно можно уточнять детали и конечно это не столько последовательность действий для вас, но это очень может помочь в понимании правильности вашего движения, или послужить списком self-check’ов.
Ссыль: https://docs.google.com/spreadsheets/d/15w9mA5HB9uuiquIx8pavdxThwfMrH7HSv2zmagrekec/edit#gid=141308356
Конечно можно уточнять детали и конечно это не столько последовательность действий для вас, но это очень может помочь в понимании правильности вашего движения, или послужить списком self-check’ов.
Google Docs
Матрица компетенций
👍1
Тру инструкция как отжимать свои заслуженные CVE’хи! @Rumata888 как всегда красавчик!
Forwarded from /bin/zone
🐞Что делать с багами, обнаруженными в продуктах компаний без Bug Bounty
Наш эксперт случайно нашел две уязвимости и потратил два года, чтобы получить CVE. Так бывает, если компания не заморачивается с процессом рассмотрения баг-репортов.
Вот что можно сделать тем, кто оказался в похожей ситуации:
• Написать вендору и указать сроки, в течение которых от него ждут ответа.
• Если вендор молчит, проверить, подходит ли баг под критерии каких-то других программ (например, The Internet от HackerOne), и затем стучаться в MITRE.
• Если MITRE тоже игнорит, негодовать в Twitter c отметкой @CVENew.
• Когда номера в CVE выделены, подготовить статью и отправить ее MITRE и вендору.
Полная версия истории с описанием самих багов и процесса исследования вышла на русском языке на «Хабре» и на английском — на Medium.
Наш эксперт случайно нашел две уязвимости и потратил два года, чтобы получить CVE. Так бывает, если компания не заморачивается с процессом рассмотрения баг-репортов.
Вот что можно сделать тем, кто оказался в похожей ситуации:
• Написать вендору и указать сроки, в течение которых от него ждут ответа.
• Если вендор молчит, проверить, подходит ли баг под критерии каких-то других программ (например, The Internet от HackerOne), и затем стучаться в MITRE.
• Если MITRE тоже игнорит, негодовать в Twitter c отметкой @CVENew.
• Когда номера в CVE выделены, подготовить статью и отправить ее MITRE и вендору.
Полная версия истории с описанием самих багов и процесса исследования вышла на русском языке на «Хабре» и на английском — на Medium.
Хабр
Через тернии к CVE: как зарегистрировать уязвимость, если у компании нет Bug Bounty
Автор: Иннокентий Сенновский (rumata888) Хочу поделиться опытом регистрации уязвимостей в продуктах компаний без Bug Bounty. У меня этот процесс занял целых два...
Давеча посмотрел отличную презу @muodov на тему проблем и особенностей использования Cookie:
https://www.youtube.com/watch?v=V7aI68YuXP4
Отличная формализация того, почему cookie должны умереть;)
Определенно перечислено и формализовано не все, но этого хватит и специалистам по веб-безопасности чтобы формализовать свои знания по работе кук, и разработчикам чтобы учитывать проблемы, с которыми они могут столкнуться.
Короче, два лойса этому господину.👍👍
https://www.youtube.com/watch?v=V7aI68YuXP4
Отличная формализация того, почему cookie должны умереть;)
Определенно перечислено и формализовано не все, но этого хватит и специалистам по веб-безопасности чтобы формализовать свои знания по работе кук, и разработчикам чтобы учитывать проблемы, с которыми они могут столкнуться.
Короче, два лойса этому господину.👍👍
YouTube
Maxim Tsoy - The Zen of Cookies
Maxim Tsoy at the WebCore [online] meetup (May 26, 2020)
Slides of this talk can be found here: https://slides.com/maximtsoy/the-zen-of-cookies
HTTP cookies is one of the most fundamental mechanisms of the Web. If you are doing something even remotely related…
Slides of this talk can be found here: https://slides.com/maximtsoy/the-zen-of-cookies
HTTP cookies is one of the most fundamental mechanisms of the Web. If you are doing something even remotely related…