Request Smuggling в HTTP/2 для фреймворка Netty:
Очень хорошо объяснена проблема, которая уже возникала в других исследованиях:
https://github.com/netty/netty/security/advisories/GHSA-wm47-8v5p-wjpj
Очень хорошо объяснена проблема, которая уже возникала в других исследованиях:
https://github.com/netty/netty/security/advisories/GHSA-wm47-8v5p-wjpj
GitHub
Possible request smuggling in HTTP/2 due missing validation
### Impact
If a Content-Length header is present in the original HTTP/2 request, the field is not validated by `Http2MultiplexHandler` as it is propagated up. This is fine as long as the request ...
If a Content-Length header is present in the original HTTP/2 request, the field is not validated by `Http2MultiplexHandler` as it is propagated up. This is fine as long as the request ...
CEH:
In other words, you are trying to penetrate an otherwise impenetrable system.
How would you proceed?
A. Look for "zero-day" exploits at various underground hacker websites in Russia and China and buy the necessary exploits from these hackers and target the bank's network
Говорят, что это не верный ответ, но я в этом сильно сомневаюсь...
In other words, you are trying to penetrate an otherwise impenetrable system.
How would you proceed?
A. Look for "zero-day" exploits at various underground hacker websites in Russia and China and buy the necessary exploits from these hackers and target the bank's network
Говорят, что это не верный ответ, но я в этом сильно сомневаюсь...
Forwarded from /bin/zone
Гайд по охоте на атаки MS Exchange. Часть 1: ProxyLogon
С конца 2020 года резко выросло число инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его компонентов. Мы решили подробно изучить векторы атак на сервер, разработать методы их обнаружения и поделиться своим опытом.
Первую часть гайда посвятили уязвимостям ProxyLogon (CVE-2021-26855, 26858, 27065, 26857). Эксплуатируя их, атакующий, например, может выдать себя за администратора и аутентифицироваться в панели управления Exchange (ECP), а потом перезаписать любой файл в системе.
Мы показали, как при помощи штатных событий операционной системы и журналов Exchange можно в реальном времени засечь атаки с использованием ProxyLogon, а также обнаружить следы атак, осуществленных в прошлом.
Подробнее читайте в нашем материале.
С конца 2020 года резко выросло число инцидентов, так или иначе связанных с компрометацией сервера MS Exchange и его компонентов. Мы решили подробно изучить векторы атак на сервер, разработать методы их обнаружения и поделиться своим опытом.
Первую часть гайда посвятили уязвимостям ProxyLogon (CVE-2021-26855, 26858, 27065, 26857). Эксплуатируя их, атакующий, например, может выдать себя за администратора и аутентифицироваться в панели управления Exchange (ECP), а потом перезаписать любой файл в системе.
Мы показали, как при помощи штатных событий операционной системы и журналов Exchange можно в реальном времени засечь атаки с использованием ProxyLogon, а также обнаружить следы атак, осуществленных в прошлом.
Подробнее читайте в нашем материале.
Хабр
Охота на атаки MS Exchange. Часть 1. ProxyLogon (CVE-2021-26855, 26858, 27065, 26857)
Авторы статьи: Антон Медведев, Демьян Соколин, Вадим Хрыков Microsoft Exchange — один из самых распространенных почтовых серверов, который используют сотни тысяч...
Не то чтобы я параною, но мне понравилось:
https://www.youtube.com/watch?v=3f66kBwfMto
Да, да, да, всякие видяшки и прикольчикиникогда не скоро кончатся. Со дня на день упадет прикольный контент, just wait…
https://www.youtube.com/watch?v=3f66kBwfMto
Да, да, да, всякие видяшки и прикольчики
YouTube
'I wish I could...' (2019)
'I wish I Could...' (2019)
This artwork is part of a series of AI generated 'deep fake' artworks created for 'Spectre' - an immersive installation that explores the power of the digital influence industry, technology and their impacts on privacy and democracy.…
This artwork is part of a series of AI generated 'deep fake' artworks created for 'Spectre' - an immersive installation that explores the power of the digital influence industry, technology and their impacts on privacy and democracy.…
Список однострочных веб-серверов для раздачи статики: https://gist.github.com/willurd/5720255
Gist
Big list of http static server one-liners
Big list of http static server one-liners. GitHub Gist: instantly share code, notes, and snippets.
Сегодня отвыступался на PHDays. Для тех кто не успел, но хотел: https://youtu.be/ZNW19Cu2SAw
YouTube
Путешествие в страну внутрячков, или Страшный сон администратора сети с Active Directory
Докладчик формализовал все техники повышения привилегий, которые предоставляет Microsoft Active Directory вместе с первоначальной настройкой в локальной сети. Расскажет, почему для пентестера в локальной сети с Active Directory поднять свои привилегии до…
В этот раз мы (True0xA3) отвоевали первое место на The Standoff!
Это было офигенно. Даже если не смотреть на результат это было мега крутое приключение.
В этом турнире нельзя победить без технической эрудиции, скорости и отточенности действий, слаженности команды. Это не в коем случае не цтф. Это такой же сложный процесс как и тот что происходит в реальной жизни.
Если ты не успел - ты опоздал, если ты не знал - ты проиграл. И от этого этот процесс становится ещё азартнее. Некоторые возможности возникают в игре только однажды, и только самый подготовленный, удачливый, сообразительный может их взять. Жестоко? Да! Не справедливо? Не думаю. Будь сильным, будь готовым, делай все что у тебя есть, и ты становишься победителем!
Огромная благодарность моей команде. Ни кто из нас не был лучшим по отдельности, ни кто из нас не перетягивал одеяло. Каждый внёс свой вклад, который нельзя оценить. Без любого из нас, мы могли поиграть.
Здесь я перечислю победителей, чтобы вы знали их имена. Это сильнейшие командные игроки, хакеры, эксперты:
Иван Булавин - капитан команды!
Павел Шлюндин
Роман Алфёров
Азиз Алимов
Сергей Гилев
Андрей Рогожкин
Константин Костеневский
Алексей Хайдин
Сергей Колесников
Саид Эфендиев
Николай Топорков
Илья Яценко
Никита Чистяков
Егор Богомолов
Огромное спасибо организаторам, что своими усилиями дали возможность нам себя проявить!
Ждём следующего раза!
Это было офигенно. Даже если не смотреть на результат это было мега крутое приключение.
В этом турнире нельзя победить без технической эрудиции, скорости и отточенности действий, слаженности команды. Это не в коем случае не цтф. Это такой же сложный процесс как и тот что происходит в реальной жизни.
Если ты не успел - ты опоздал, если ты не знал - ты проиграл. И от этого этот процесс становится ещё азартнее. Некоторые возможности возникают в игре только однажды, и только самый подготовленный, удачливый, сообразительный может их взять. Жестоко? Да! Не справедливо? Не думаю. Будь сильным, будь готовым, делай все что у тебя есть, и ты становишься победителем!
Огромная благодарность моей команде. Ни кто из нас не был лучшим по отдельности, ни кто из нас не перетягивал одеяло. Каждый внёс свой вклад, который нельзя оценить. Без любого из нас, мы могли поиграть.
Здесь я перечислю победителей, чтобы вы знали их имена. Это сильнейшие командные игроки, хакеры, эксперты:
Иван Булавин - капитан команды!
Павел Шлюндин
Роман Алфёров
Азиз Алимов
Сергей Гилев
Андрей Рогожкин
Константин Костеневский
Алексей Хайдин
Сергей Колесников
Саид Эфендиев
Николай Топорков
Илья Яценко
Никита Чистяков
Егор Богомолов
Огромное спасибо организаторам, что своими усилиями дали возможность нам себя проявить!
Ждём следующего раза!
А вот и русские хакИры подъехали:
https://abcnews.go.com/Technology/video/hacker-conference-brings-top-cyber-players-russia-78030162
https://abcnews.go.com/Technology/video/hacker-conference-brings-top-cyber-players-russia-78030162
ABC News
Video Hacker conference brings together top cyber players in Russia
ABC News’ Patrick Reevell reports on a hacker’s convention in Russia as ransomware attacks appears to ramp up.
Десятая конференция ZeroNights пройдет 30 июня в летнем Санкт-Петербурге! 📢
В 2021 году в десятый раз пройдет ZeroNights – ежегодная международная конференция, посвященная практическим аспектам информационной безопасности.
Ничто не заменит нам энергию живого общения! Поэтому приглашаем отметить свое десятилетие в неформальной обстановке 30 июня в пространстве «Севкабель Порт». Вас ждет насыщенный день и мощная программа с тематическими активностями.
Для кого?
Для технических специалистов, администраторов, руководителей и сотрудников служб ИБ, пентестеров, программистов и всех, кто интересуется прикладными аспектами отрасли.
Что будет?
– Доклады ключевых спикеров и выступления основной программы (клуб «МОРЗЕ»).
– Выступления секций Defensive Track, Web Village и Hardware Zone в формате open-air.
Подробности, программа и билеты на сайте — https://zeronights.ru/
В 2021 году в десятый раз пройдет ZeroNights – ежегодная международная конференция, посвященная практическим аспектам информационной безопасности.
Ничто не заменит нам энергию живого общения! Поэтому приглашаем отметить свое десятилетие в неформальной обстановке 30 июня в пространстве «Севкабель Порт». Вас ждет насыщенный день и мощная программа с тематическими активностями.
Для кого?
Для технических специалистов, администраторов, руководителей и сотрудников служб ИБ, пентестеров, программистов и всех, кто интересуется прикладными аспектами отрасли.
Что будет?
– Доклады ключевых спикеров и выступления основной программы (клуб «МОРЗЕ»).
– Выступления секций Defensive Track, Web Village и Hardware Zone в формате open-air.
Подробности, программа и билеты на сайте — https://zeronights.ru/
Forwarded from OFFZONE
Регистрация команд на CTFZone 2021 открыта!
Она завершится 23 июня в 13:00 (10:00 UTC) за 3 дня до начала соревнований — поэтому аккуратно, не пропустите.
🚩
Начало CTFZone: 26 июня в 13:00 (10:00 UTC)
Длительность: 13 часов 37 минут
Формат: гибридный — Jeopardy + A/D + Game Task
Призовые: $10 000, $5 000, $3 000
🚩
Пару слов о новинках. В этом году мы решили провести CTFZone в совершенно новом формате — Jeopardy + A/D + Game Task!
Задания в Jeopardy и A/D останутся в своем классическом исполнении, а вот об игровом таске участники узнают уже на самом CTF. Коротко его механику можно описать так: «машины сражаются с машинами в памяти компьютера».
Будет весело! Всех ждем!
Подробности и регистрация: https://ctf.bi.zone/rules
Она завершится 23 июня в 13:00 (10:00 UTC) за 3 дня до начала соревнований — поэтому аккуратно, не пропустите.
🚩
Начало CTFZone: 26 июня в 13:00 (10:00 UTC)
Длительность: 13 часов 37 минут
Формат: гибридный — Jeopardy + A/D + Game Task
Призовые: $10 000, $5 000, $3 000
🚩
Пару слов о новинках. В этом году мы решили провести CTFZone в совершенно новом формате — Jeopardy + A/D + Game Task!
Задания в Jeopardy и A/D останутся в своем классическом исполнении, а вот об игровом таске участники узнают уже на самом CTF. Коротко его механику можно описать так: «машины сражаются с машинами в памяти компьютера».
Будет весело! Всех ждем!
Подробности и регистрация: https://ctf.bi.zone/rules