P.S. Сам там буду, всех приглашаю там повидаться 😉

Всех заинтересованных приглашаю поучаствовать, у ребят обычно отменные таски.

Регистрация команд на CTFZone 2021 открыта!

Она завершится 23 июня в 13:00 (10:00 UTC) за 3 дня до начала соревнований — поэтому аккуратно, не пропустите.

🚩
Начало CTFZone: 26 июня в 13:00 (10:00 UTC)
Длительность: 13 часов 37 минут
Формат: гибридный — Jeopardy + A/D + Game Task
Призовые: $10 000, $5 000, $3 000
🚩

Пару слов о новинках. В этом году мы решили провести CTFZone в совершенно новом формате — Jeopardy + A/D + Game Task!

Задания в Jeopardy и A/D останутся в своем классическом исполнении, а вот об игровом таске участники узнают уже на самом CTF. Коротко его механику можно описать так: «машины сражаются с машинами в памяти компьютера».

Будет весело! Всех ждем!

Подробности и регистрация: https://ctf.bi.zone/rules

⁤Мне наконец-то удалось плотно поработать с реверсом Android-приложений. Если раньше хватало Burp'а для анализа трафика, чтобы посмотреть простенькие запросы к API (для OSINT'а, например), а дальше заглядывать было лень, то в этот раз сама жизнь заставила и пришлось немного углубиться в тему.

В основном, я использовал Frid'у (просто незаменимый и очень-очень удобный фреймворк) и некоторые тулзы для сборки/декомпиляции/подписи/просмотра исходного кода, о которых, возможно, напишу в следующих постах.

Для тех, кто хотел вкатиться, вот все ресурсы, которые были мною использованы для обучения, думаю, будет полезно.

Вводные статьи по Java:
https://docs.oracle.com/javase/tutorial/
https://beginnersbook.com/java-tutorial-for-beginners-with-examples/
https://www.tutorialspoint.com/java/java_tutorial.pdf

Шпаргалка по Smali на русском:
*выше на канале*

Цикл видосов по Android Reverse Engineering:
https://www.youtube.com/watch?v=BijZmutY0CQ

Канал "Android AppSec" на Youtube:
https://www.youtube.com/channel/UC5bY16WSEa_ttTPqj8aTeIw/videos

Подробнейшая инструкция по настройке рабочего окружения:
https://blog.cobalt.io/getting-started-with-android-application-security-6f20b76d795b

Документация Frida + Codeshare и сниппеты:
https://frida.re/docs/javanoscript-api/
https://codeshare.frida.re/
https://github.com/iddoeldor/frida-snippets

Бложики со статьями, наполненные одами о Frida:
https://grepharder.github.io/blog/
https://neo-geo2.gitbook.io/adventures-on-security/
https://joshspicer.com/android-frida-1
https://11x256.github.io/
(на русском: https://forum.reverse4you.org/t/android-frida/1128)

Статья на Zennolab о Frida:
https://zennolab.com/discussion/threads/android-na-post-get-s-pomoschju-frida-server-burpsuite-i-bonus.79264/

Статья на Xakep о Frida:
https://xakep.ru/2018/03/19/android-frida/

Самые полезные и полные гайды с большим количеством примеров (Tiktok и Frida):
https://www.fatalerrors.org/a/code-and-example.html
https://www.fatalerrors.org/a/0d901j8.html

Райтапы ØxＯＰＯＳɆＣ, связанные с криптографией:
https://inesmartins.github.io/oposec-don-joe/
https://inesmartins.github.io/oposec-secrets/
https://inesmartins.github.io/htb-crypto-challenge-call/
https://inesmartins.github.io/htb-crypto-challenge/
https://inesmartins.github.io/oxopos-c-summer-challenge-2020-web-challenges-write-up/
https://inesmartins.github.io/0xoposec/

Отдельно выделю их же цикл статей "Undeground Leaks":
https://inesmartins.github.io/oposec-underground-leaks/
https://inesmartins.github.io/oposec-underground-leaks-part-ii/
https://inesmartins.github.io/opoleaks-underground-leaks-part-iii/

Если есть что добавить, кидайте в обратную связь, - запилю отдельный пост.

Всем привет.

Перенос даты ZeroNights на август 2021

Друзья!
Организаторы готовились к юбилейному мероприятию и ждали встречи с вами два года: забронировали одну из лучших и самых живописных площадок города, отобрали самые сильные доклады и сформировали мощную программу.

Однако в связи с неутихающим распространением инфекции и недавним ужесточением антиковидных мер в г. Санкт-Петербург в планах произошли непредсказуемые изменения. Теперь наша долгожданная встреча переносится на август.

Новая дата конференции – 25 августа 2021. Место остается то же – “Севкабель Порт”.

Для участников, которым не подходит эта дата, мы предусмотрели процедуру возврата билетов.

При возврате до 30 июня стоимость всех купленных билетов будет возмещена в полном объеме. После 30 июня – от суммы будет удержана комиссия. Если возникнут вопросы, смело пишите на visitor@zeronights.org.

Десятая конференция ZeroNights не может не состояться! Дополнительное время мы уделим организации еще большего количества активностей и расширению программы.

Посидел тут пару вечеров с Client-Side Template Injection (CSTI) в AngularJS и с обходом сендбоксов конкретно в в нем же. Показалось, что тема обхода сэндбоксов вообще юзлесс.

Сендбоксы в AngularJS есть только в версии >= 1.2 и < 1.6 (Сейчас версия 1.8). Да-да, после версии 1.6 их [убрали](http://blog.angularjs.org/2016/09/angular-16-expression-sandbox-removal.html).

Выглядит пример CSTI может так:

<section class=blog-header>
  <noscript>
    angular.module('labApp', []).controller('vulnCtrl',
      function($scope, $parse) {
        $scope.value = $parse("<INJECTION HERE>")($scope);
      });
  </noscript>
  <h1 ng-controller=vulnCtrl>10 search results for {{value}}</h1>
</section>

или так:

<section class=blog-header>
  <noscript>angular.module('labApp', []);</noscript>
  <h1>10 search results for {{<INJECTION HERE>}}</h1>
</section>

Основной вектор для CSTI это инъекция выражения в область парсинга. В $parse(‘…’), или прямо в {{…}}.

Т.к. в этих выражениях надо обращаться к идентификаторам (Т.е. к константам в области видимости выражения), то возможный пэйлоад обычно выглядит как-то так:

'a'.constructor.constructor('alert(1)')()

Почему учиться обходить AngularJS сэндбоксы юзлесс?

1) Потому что есть много вещей по полезнее этой.
2) Байпасы сэндбоксов для разных браузеров могут работать по разному и большинство байпасов из списков не будет работать для современных версий браузеров.
3) Сендбоксы отрубили в версиях AngularJS >= 1.6. Даже если вы эти версии увидите, все что вам остается, за то время что у вас обычно есть, это поюзать читшиты по байпасу сендбоксов в ангуляре. Конечно же эти: https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/XSS%20Injection/XSS%20in%20Angular.md

Короче, не тратьте время зря. Учитесь чему-нибудь более полезному. Например не забывайте по чаще кодить и мыть руки с мылом.

“Change my mind”

Если ищите работу в кибербезе, желаю вам иметь такую же волю к новому как у этого дядьки.

В BurpSuite появилась новая полезная тула для помощи в поиске DOM-Based XSS. И кажется что она реально толковая.

Отслеживание пути пользовательских данных и попадание их в синки (Sinks - раковины, так называют опасные методы, свойства, функции, куда могут попасть пользовательские данные и привести к различным манипуляциям), мониторинг постмессаджей, удобная отладка и работа с трейсами. Крайне рекомендовано к ознакомлению и попыткам применения;)

https://portswigger.net/blog/introducing-dom-invader

Всем print(), пацаны:

https://portswigger.net/research/alert-is-dead-long-live-print

Приходите к нам на трансляцию, расскажем о стендоффе и о нас самих:

https://youtube.com/channel/UCOqgGIuKCezKVbz-ipIuPaA

Ух ты, только что заметил что моя статья зашла и теперь красуется на главной странице;D

Спасибо всем кто поддержал!)

Чуешь? Чуешь? Race, сынок! Этот запах ни с чем не спутаешь. Любю запах Race Condition в криптобирже, по утрам...

Всем, кто забывает про проблемы "состояния гонки", или тем, кто пытается искать их в приложениях;) Посмотрите отличное видео про проблемы безопасности связанные с одновременными транзакциями:

Link: https://www.youtube.com/watch?v=AYWiRVdJFTI&list=WL&index=16

Top 25 Penetration Testing Skills and Competencies (Detailed)

Могу сказать, что не слишком оторванная от реальности подборочка, но и не стоит думать что это актуально прямо сейчас т.к. где здесь AWS,GCP, где слова про блокчейн и смартконтракты, ну и в конце концов, кто вообще по серьезке запускает Nikto?!

Тем не менее, для начинающих “атакеров” будет полезным увидеть, где у вас есть пробелы в знаниях и какие разделы вы бы поставили себе в приоритет к изучению.

Link: https://www.infosecmatter.com/top-25-penetration-testing-skills-and-competencies-detailed/

Впервые поучаствовал в большом интервью. В целом общались об общих вещах, но уверен что может проскользнуть что-то интересное для вас:

О пентестерах, их скиллах, злоумышленниках, криптобиржах и о том почему мы остаемся белыми хакерами! ;)

Link: https://youtu.be/Noalsadn6fc

Кстати, мы там конкурс запустили. Приз даем если в комментах к видео в YouTube расскажете о своей истории о том, как вы участвовали в инциденте информационной безопасности (возможно он произошел из-за вас;) ). Возможно это произошло в личной жизни еще интереснее если это про коммерческий опыт. Победит самая интересная история!

Приз: Любой модуль из линейки курсов для физ. лиц школы HackerU (https://hackeru.pro). Вы сами сможете выбрать любой модуль из линейки и подключиться к группе, у которой вскоре стартует обучение на нем.

Словари!

Хотел себе сделать словарик на простые популярные пароли админов, чтобы буквально 100-200 попыток на учетку делать. И сделал - https://github.com/empty-jack/YAWR/blob/master/passwords/realyBest.txt

Но мир не стоит на месте, и само собой таких интересных конструкций куда больше. Поэтому держите словарь на десятки тысяч таких паролей от моего коллеги: https://github.com/sorokinpf/cth_wordlists/tree/master/passwords/keyboard

Оч годным будет для Password Spraying’a и для оффлайн брута. Все лойсы в репозиторий автора!

Так насыщенно получилось, что было сразу несколько интервью в короткий промежуток времени. Но тут уже я не интервьюируемый, а интервьюер!)

Говорим с моим другом и коллегой Сергеем Гилевым (Руководителем отдела тестирования на проникновение компании Ангара) о прошедшем турнире PHDays The Standoff, о его хакинге, о начале карьеры, о том что цепляет, об инструментах и о многом другом.

Можете заодно оценить мой скилл интервьюера;)

Link: https://youtu.be/BXHeEq65sbo

Международная конференция по информационной безопасности "ZeroNights 2021"

Десятая международная конференция ZeroNights пройдет во время белых ночей на берегу Финского залива.

Участников ждет насыщенный день с полным погружением в атмосферу технобезумия: эксклюзивные выступления, тематические конкурсы, долгожданная встреча с единомышленниками.

Неизменной остается направленность на достойнейшие доклады, представленные признанными экспертами-практиками информационной безопасности.

Дата и место проведения:
25 августа 2021 г.,
г. Санкт-Петербург, Севкабель Порт

Купить билеты

Ищу коллег!

Моему маленьком предприятию нужна свежая кровь!;D

Ищу несколько позиций:

Стажер Pentester - (До 3х месяцев стажировка) (Возможна частичная оплата) (Возможно совмещать как part-time)
Junior Pentester - ЗП ~50 т.р. (ЗП обсуждаема, зависит от скиллов)
Middle- Web Pentester - ЗП ~150 т.р. (ЗП обсуждаема, зависит от скиллов.

Если вам интересно попасть в нашу бурнорастующую команду, учиться вместе с нами и заниматься любимым делом то:

Присылайте свои резюме в ЛС @empty_jack.

К резюме обязательно приложите свою “траекторию развития”. Т.е. Какой бекграунд имеете? Как за последние год-два учились, где участвовали (турниры, курсы, платформы)? Чего хотите от работы?

По траектории буду серьезнее всего судить.

Посмотрю всех, ответы буду давать не сразу.

Удаленка возможна*

Вроде всем поотвечал. Спасибо за то что откликнулись. Очень порадовало количество мощных резюме. Особенно иногда радовало, что в мощных резюме я сам принял участие;))

Объясню здесь кратко по какому принципу я выбираю:

Понятно что почти каждый, кто написал, имел некий минимум с каким уже можно начинать. За мной конечно же остаётся желание отбирать лучших.

На что я смотрю:

- на то сколько времени человек потратил на изучение и конкретно на поиск и решение практических задач. Соответственно смотрю на успехи людей на различных платформах. CTF, Bugbounty, EverCTFs (PortSwigger Academy, HTB, Vulnhub, etc)
- какой у человека бекграунд. При одинаково потраченном времени на изучения нашей области у кандидатов, я смотрю на то где они учились и где работали. Думаю мысль ясна, разработчики, сетевики, админы в прошлом определенно получают свои плюсы в карму.
- пыталаюсь замерить перспективность по тому что человек уже успел. Брал призовые места, создавал наработки, делал статьи и исследования. Это конечно же говорит о том как человек относится к своему делу.

Если вы не прошли, не отчаивайтесь. Абсолютное большинство из вас с вашими знаниями найдут себе и работу и команду. Учитесь и больше попыток!)