В BurpSuite появилась новая полезная тула для помощи в поиске DOM-Based XSS. И кажется что она реально толковая.
Отслеживание пути пользовательских данных и попадание их в синки (Sinks - раковины, так называют опасные методы, свойства, функции, куда могут попасть пользовательские данные и привести к различным манипуляциям), мониторинг постмессаджей, удобная отладка и работа с трейсами. Крайне рекомендовано к ознакомлению и попыткам применения;)
https://portswigger.net/blog/introducing-dom-invader
Отслеживание пути пользовательских данных и попадание их в синки (Sinks - раковины, так называют опасные методы, свойства, функции, куда могут попасть пользовательские данные и привести к различным манипуляциям), мониторинг постмессаджей, удобная отладка и работа с трейсами. Крайне рекомендовано к ознакомлению и попыткам применения;)
https://portswigger.net/blog/introducing-dom-invader
PortSwigger Blog
Introducing DOM Invader: DOM XSS just got a whole lot easier to find
Of the three main types of XSS, DOM-based XSS is by far the most difficult to find and exploit. But we come bearing good news! PortSwigger just released a new tool for Burp Suite Professional and Burp
Приходите к нам на трансляцию, расскажем о стендоффе и о нас самих:
https://youtube.com/channel/UCOqgGIuKCezKVbz-ipIuPaA
https://youtube.com/channel/UCOqgGIuKCezKVbz-ipIuPaA
Чуешь? Чуешь? Race, сынок! Этот запах ни с чем не спутаешь. Любю запах Race Condition в криптобирже, по утрам...
Всем, кто забывает про проблемы "состояния гонки", или тем, кто пытается искать их в приложениях;) Посмотрите отличное видео про проблемы безопасности связанные с одновременными транзакциями:
Link: https://www.youtube.com/watch?v=AYWiRVdJFTI&list=WL&index=16
Всем, кто забывает про проблемы "состояния гонки", или тем, кто пытается искать их в приложениях;) Посмотрите отличное видео про проблемы безопасности связанные с одновременными транзакциями:
Link: https://www.youtube.com/watch?v=AYWiRVdJFTI&list=WL&index=16
YouTube
От букваря до кровавого энтерпрайза: транзакции, локи, паттерны. Иван Работяга
На простых примерах разберемся, как работают на практике транзакции и локи, и где они работают совсем не так, как можно ожидать; с какими задачами сталкивается любой разработчик крупных систем, какие существуют решения, где границы их применимости.
Top 25 Penetration Testing Skills and Competencies (Detailed)
Могу сказать, что не слишком оторванная от реальности подборочка, но и не стоит думать что это актуально прямо сейчас т.к. где здесь AWS,GCP, где слова про блокчейн и смартконтракты, ну и в конце концов, кто вообще по серьезке запускает Nikto?!
Тем не менее, для начинающих “атакеров” будет полезным увидеть, где у вас есть пробелы в знаниях и какие разделы вы бы поставили себе в приоритет к изучению.
Link: https://www.infosecmatter.com/top-25-penetration-testing-skills-and-competencies-detailed/
Могу сказать, что не слишком оторванная от реальности подборочка, но и не стоит думать что это актуально прямо сейчас т.к. где здесь AWS,GCP, где слова про блокчейн и смартконтракты, ну и в конце концов, кто вообще по серьезке запускает Nikto?!
Тем не менее, для начинающих “атакеров” будет полезным увидеть, где у вас есть пробелы в знаниях и какие разделы вы бы поставили себе в приоритет к изучению.
Link: https://www.infosecmatter.com/top-25-penetration-testing-skills-and-competencies-detailed/
InfosecMatter
Top 25 Penetration Testing Skills and Competencies (Detailed) - InfosecMatter
List of 25 penetration testing skills every professional penetration tester or ethical hacker should have. Also applicable to red teamers and security auditors.
Впервые поучаствовал в большом интервью. В целом общались об общих вещах, но уверен что может проскользнуть что-то интересное для вас:
О пентестерах, их скиллах, злоумышленниках, криптобиржах и о том почему мы остаемся белыми хакерами! ;)
Link: https://youtu.be/Noalsadn6fc
О пентестерах, их скиллах, злоумышленниках, криптобиржах и о том почему мы остаемся белыми хакерами! ;)
Link: https://youtu.be/Noalsadn6fc
YouTube
Интервью с БЕЛЫМ ХАКЕРОМ / БЕЛЫЙ ХАКИНГ/ Заработок на BUG BOUNTY / Cybercryme / Ситхи и МИСТЕР РОБОТ
Здорова! В офисе Егор Богомолов - белый хакер со стажем. Рассказал про то, что такое пентестинг, сколько можно заработать на bug bounty, отношении к черным хакерам и сериале Мистер Робот. Не забудьте подписаться на канал!)
-------
Оставайтесь с нами на связи…
-------
Оставайтесь с нами на связи…
YAH
Впервые поучаствовал в большом интервью. В целом общались об общих вещах, но уверен что может проскользнуть что-то интересное для вас: О пентестерах, их скиллах, злоумышленниках, криптобиржах и о том почему мы остаемся белыми хакерами! ;) Link: https:/…
Кстати, мы там конкурс запустили. Приз даем если в комментах к видео в YouTube расскажете о своей истории о том, как вы участвовали в инциденте информационной безопасности (возможно он произошел из-за вас;) ). Возможно это произошло в личной жизни еще интереснее если это про коммерческий опыт. Победит самая интересная история!
Приз: Любой модуль из линейки курсов для физ. лиц школы HackerU (https://hackeru.pro). Вы сами сможете выбрать любой модуль из линейки и подключиться к группе, у которой вскоре стартует обучение на нем.
Приз: Любой модуль из линейки курсов для физ. лиц школы HackerU (https://hackeru.pro). Вы сами сможете выбрать любой модуль из линейки и подключиться к группе, у которой вскоре стартует обучение на нем.
Словари!
Хотел себе сделать словарик на простые популярные пароли админов, чтобы буквально 100-200 попыток на учетку делать. И сделал - https://github.com/empty-jack/YAWR/blob/master/passwords/realyBest.txt
Но мир не стоит на месте, и само собой таких интересных конструкций куда больше. Поэтому держите словарь на десятки тысяч таких паролей от моего коллеги: https://github.com/sorokinpf/cth_wordlists/tree/master/passwords/keyboard
Оч годным будет для Password Spraying’a и для оффлайн брута. Все лойсы в репозиторий автора!
Хотел себе сделать словарик на простые популярные пароли админов, чтобы буквально 100-200 попыток на учетку делать. И сделал - https://github.com/empty-jack/YAWR/blob/master/passwords/realyBest.txt
Но мир не стоит на месте, и само собой таких интересных конструкций куда больше. Поэтому держите словарь на десятки тысяч таких паролей от моего коллеги: https://github.com/sorokinpf/cth_wordlists/tree/master/passwords/keyboard
Оч годным будет для Password Spraying’a и для оффлайн брута. Все лойсы в репозиторий автора!
Так насыщенно получилось, что было сразу несколько интервью в короткий промежуток времени. Но тут уже я не интервьюируемый, а интервьюер!)
Говорим с моим другом и коллегой Сергеем Гилевым (Руководителем отдела тестирования на проникновение компании Ангара) о прошедшем турнире PHDays The Standoff, о его хакинге, о начале карьеры, о том что цепляет, об инструментах и о многом другом.
Можете заодно оценить мой скилл интервьюера;)
Link: https://youtu.be/BXHeEq65sbo
Говорим с моим другом и коллегой Сергеем Гилевым (Руководителем отдела тестирования на проникновение компании Ангара) о прошедшем турнире PHDays The Standoff, о его хакинге, о начале карьеры, о том что цепляет, об инструментах и о многом другом.
Можете заодно оценить мой скилл интервьюера;)
Link: https://youtu.be/BXHeEq65sbo
Международная конференция по информационной безопасности "ZeroNights 2021"
Десятая международная конференция ZeroNights пройдет во время белых ночей на берегу Финского залива.
Участников ждет насыщенный день с полным погружением в атмосферу технобезумия: эксклюзивные выступления, тематические конкурсы, долгожданная встреча с единомышленниками.
Неизменной остается направленность на достойнейшие доклады, представленные признанными экспертами-практиками информационной безопасности.
Дата и место проведения:
25 августа 2021 г.,
г. Санкт-Петербург, Севкабель Порт
Купить билеты
Десятая международная конференция ZeroNights пройдет во время белых ночей на берегу Финского залива.
Участников ждет насыщенный день с полным погружением в атмосферу технобезумия: эксклюзивные выступления, тематические конкурсы, долгожданная встреча с единомышленниками.
Неизменной остается направленность на достойнейшие доклады, представленные признанными экспертами-практиками информационной безопасности.
Дата и место проведения:
25 августа 2021 г.,
г. Санкт-Петербург, Севкабель Порт
Купить билеты
Ищу коллег!
Моему маленьком предприятию нужна свежая кровь!;D
Ищу несколько позиций:
Стажер Pentester - (До 3х месяцев стажировка) (Возможна частичная оплата) (Возможно совмещать как part-time)
Junior Pentester - ЗП ~50 т.р. (ЗП обсуждаема, зависит от скиллов)
Middle- Web Pentester - ЗП ~150 т.р. (ЗП обсуждаема, зависит от скиллов.
Если вам интересно попасть в нашу бурнорастующую команду, учиться вместе с нами и заниматься любимым делом то:
Присылайте свои резюме в ЛС @empty_jack.
К резюме обязательно приложите свою “траекторию развития”. Т.е. Какой бекграунд имеете? Как за последние год-два учились, где участвовали (турниры, курсы, платформы)? Чего хотите от работы?
По траектории буду серьезнее всего судить.
Посмотрю всех, ответы буду давать не сразу.
Удаленка возможна*
Моему маленьком предприятию нужна свежая кровь!;D
Ищу несколько позиций:
Стажер Pentester - (До 3х месяцев стажировка) (Возможна частичная оплата) (Возможно совмещать как part-time)
Junior Pentester - ЗП ~50 т.р. (ЗП обсуждаема, зависит от скиллов)
Middle- Web Pentester - ЗП ~150 т.р. (ЗП обсуждаема, зависит от скиллов.
Если вам интересно попасть в нашу бурнорастующую команду, учиться вместе с нами и заниматься любимым делом то:
Присылайте свои резюме в ЛС @empty_jack.
К резюме обязательно приложите свою “траекторию развития”. Т.е. Какой бекграунд имеете? Как за последние год-два учились, где участвовали (турниры, курсы, платформы)? Чего хотите от работы?
По траектории буду серьезнее всего судить.
Посмотрю всех, ответы буду давать не сразу.
Удаленка возможна*
Вроде всем поотвечал. Спасибо за то что откликнулись. Очень порадовало количество мощных резюме. Особенно иногда радовало, что в мощных резюме я сам принял участие;))
Объясню здесь кратко по какому принципу я выбираю:
Понятно что почти каждый, кто написал, имел некий минимум с каким уже можно начинать. За мной конечно же остаётся желание отбирать лучших.
На что я смотрю:
- на то сколько времени человек потратил на изучение и конкретно на поиск и решение практических задач. Соответственно смотрю на успехи людей на различных платформах. CTF, Bugbounty, EverCTFs (PortSwigger Academy, HTB, Vulnhub, etc)
- какой у человека бекграунд. При одинаково потраченном времени на изучения нашей области у кандидатов, я смотрю на то где они учились и где работали. Думаю мысль ясна, разработчики, сетевики, админы в прошлом определенно получают свои плюсы в карму.
- пыталаюсь замерить перспективность по тому что человек уже успел. Брал призовые места, создавал наработки, делал статьи и исследования. Это конечно же говорит о том как человек относится к своему делу.
Если вы не прошли, не отчаивайтесь. Абсолютное большинство из вас с вашими знаниями найдут себе и работу и команду. Учитесь и больше попыток!)
Объясню здесь кратко по какому принципу я выбираю:
Понятно что почти каждый, кто написал, имел некий минимум с каким уже можно начинать. За мной конечно же остаётся желание отбирать лучших.
На что я смотрю:
- на то сколько времени человек потратил на изучение и конкретно на поиск и решение практических задач. Соответственно смотрю на успехи людей на различных платформах. CTF, Bugbounty, EverCTFs (PortSwigger Academy, HTB, Vulnhub, etc)
- какой у человека бекграунд. При одинаково потраченном времени на изучения нашей области у кандидатов, я смотрю на то где они учились и где работали. Думаю мысль ясна, разработчики, сетевики, админы в прошлом определенно получают свои плюсы в карму.
- пыталаюсь замерить перспективность по тому что человек уже успел. Брал призовые места, создавал наработки, делал статьи и исследования. Это конечно же говорит о том как человек относится к своему делу.
Если вы не прошли, не отчаивайтесь. Абсолютное большинство из вас с вашими знаниями найдут себе и работу и команду. Учитесь и больше попыток!)
Любопытный инструмент
На недавнем ZN, играя в CTF'чик, зайдя на хост, увидел любопытный инструмент - pspy64. Раньше такого не встречал.
Запустив, понял что этот инструмент находясь в *user space* показывает все запущенные процессы системы с их cmdline и т.д. (В том числе рутовые процессы и процессы других пользователей системы).
Понял что тут примешено чутка хакерской магии, т.к. просто дампнуть процессы пользователя root мы конечно же не можем. Я понимал, что можно спарсить
Так вот, я решил почитать о нем и также захотелось рассказать вам. Опишу идею кратко, а вы если захотите разберетесь глубже.
Встречайте: https://github.com/DominicBreuker/pspy
pspy - unprivileged Linux process snooping
pspy - это инструмент командной строки, предназначенный для наблюдения за процессами без необходимости получения прав root. Он позволяет просматривать команды, запущенные другими пользователями, задания cron и т.д. по мере их выполнения. Отлично подходит для исследования систем Linux в CTF. Также отлично подходит для демонстрации коллегам, почему передача секретов в качестве аргументов в командной строке - плохая идея.
Как это работает
Существуют инструменты, позволяющие перечислить все процессы, выполняемые в системах Linux, включая те, которые завершились. Например, существует forkstat. Он получает уведомления от ядра о событиях, связанных с процессами, таких как fork и exec.
Эти инструменты требуют привилегий root, но это не должно вызывать у вас ложного чувства безопасности. Ничто не мешает вам подглядывать за процессами, запущенными в системе Linux. Много информации видно в procfs до тех пор, пока процесс запущен. Единственная проблема заключается в том, что вам нужно поймать недолговечные процессы за очень короткий промежуток времени, в течение которого они живы. Сканирование каталога
Более скрытный способ - использовать следующий трюк. Процессы обычно обращаются к таким файлам, как библиотеки в
Мы можем использовать события файловой системы как триггер для сканирования
Что сказать? Гениально!
На недавнем ZN, играя в CTF'чик, зайдя на хост, увидел любопытный инструмент - pspy64. Раньше такого не встречал.
Запустив, понял что этот инструмент находясь в *user space* показывает все запущенные процессы системы с их cmdline и т.д. (В том числе рутовые процессы и процессы других пользователей системы).
Понял что тут примешено чутка хакерской магии, т.к. просто дампнуть процессы пользователя root мы конечно же не можем. Я понимал, что можно спарсить
/proc, но это не настолько подробно и мне казалось что это весьма долго.Так вот, я решил почитать о нем и также захотелось рассказать вам. Опишу идею кратко, а вы если захотите разберетесь глубже.
Встречайте: https://github.com/DominicBreuker/pspy
pspy - unprivileged Linux process snooping
pspy - это инструмент командной строки, предназначенный для наблюдения за процессами без необходимости получения прав root. Он позволяет просматривать команды, запущенные другими пользователями, задания cron и т.д. по мере их выполнения. Отлично подходит для исследования систем Linux в CTF. Также отлично подходит для демонстрации коллегам, почему передача секретов в качестве аргументов в командной строке - плохая идея.
Как это работает
Существуют инструменты, позволяющие перечислить все процессы, выполняемые в системах Linux, включая те, которые завершились. Например, существует forkstat. Он получает уведомления от ядра о событиях, связанных с процессами, таких как fork и exec.
Эти инструменты требуют привилегий root, но это не должно вызывать у вас ложного чувства безопасности. Ничто не мешает вам подглядывать за процессами, запущенными в системе Linux. Много информации видно в procfs до тех пор, пока процесс запущен. Единственная проблема заключается в том, что вам нужно поймать недолговечные процессы за очень короткий промежуток времени, в течение которого они живы. Сканирование каталога
/proc в поисках новых PID в бесконечном цикле делает этот трюк, но потребляет много CPU.Более скрытный способ - использовать следующий трюк. Процессы обычно обращаются к таким файлам, как библиотеки в
/usr, временные файлы в /tmp, файлы журналов в /var, ... Используя API inotify, вы можете получать уведомления всякий раз, когда эти файлы создаются, изменяются, удаляются, к ним обращаются и т.д. Linux не требует прав привилегированных пользователей для работы с этим API, поскольку он необходим для многих невинных приложений (например, текстовых редакторов, показывающих актуальный проводник файлов). Таким образом, хотя пользователи без права root не могут напрямую следить за процессами, они могут следить за влиянием процессов на файловую систему.Мы можем использовать события файловой системы как триггер для сканирования
/proc, надеясь, что мы сможем сделать это достаточно быстро, чтобы поймать процессы. Именно это и делает pspy. Нет гарантии, что вы не пропустите ни одного процесса, но в моих экспериментах шансы кажутся высокими. В общем, чем дольше идут процессы, тем больше шансов их поймать.Что сказать? Гениально!
GitHub
GitHub - DominicBreuker/pspy: Monitor linux processes without root permissions
Monitor linux processes without root permissions. Contribute to DominicBreuker/pspy development by creating an account on GitHub.
👍1
YAH
Запись моего выступления на OWASP Meetup Moscow #9 Link: https://youtu.be/cb_Hc6GTi5A
В позопрошлом году рассказывал про GraphQL Batching, а тут ребята запилили уберскрипт, который проверяет разные виды батчинга, а также рассказали о разных популярных багах в GraphQL. Скрипт очень удобен, чтобы быстро зачекать несколько техник и дальше ковырять ручками.
Статья об инструменте и прочих техниках тут: https://blog.assetnote.io/2021/08/29/exploiting-graphql/
Статья об инструменте и прочих техниках тут: https://blog.assetnote.io/2021/08/29/exploiting-graphql/
Подгон от моего коллеги;)
Итак-на прошлой неделе произошел взлом абузоустойчивого хостера mskHost. Не будем останавливаться на этичности произошедшего- на данный момент меня больше интересует-как же все таки наши доблестные господа фишеры(а в основном именно они были главными клиентами данного хостера- по крайней мере судя по сливу директории /home одного из серверов) пишут код? Думают ли они сами о безопасности или copy-paste и monkey code повсюду следуют за нашими маленькими и не слишком умными друзьями?
https://medium.com/@welcomed_glacier_frog_761/%D1%80%D0%B0%D0%B7%D0%B1%D0%BE%D1%80-%D0%BE%D1%88%D0%B8%D0%B1%D0%BE%D0%BA-%D0%B8%D0%BB%D0%B8-%D0%BA%D0%B0%D0%BA-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C-%D0%BD%D0%B5-%D0%BD%D0%B0%D0%B4%D0%BE-38fc3e97f5ef
Итак-на прошлой неделе произошел взлом абузоустойчивого хостера mskHost. Не будем останавливаться на этичности произошедшего- на данный момент меня больше интересует-как же все таки наши доблестные господа фишеры(а в основном именно они были главными клиентами данного хостера- по крайней мере судя по сливу директории /home одного из серверов) пишут код? Думают ли они сами о безопасности или copy-paste и monkey code повсюду следуют за нашими маленькими и не слишком умными друзьями?
https://medium.com/@welcomed_glacier_frog_761/%D1%80%D0%B0%D0%B7%D0%B1%D0%BE%D1%80-%D0%BE%D1%88%D0%B8%D0%B1%D0%BE%D0%BA-%D0%B8%D0%BB%D0%B8-%D0%BA%D0%B0%D0%BA-%D0%B4%D0%B5%D0%BB%D0%B0%D1%82%D1%8C-%D0%BD%D0%B5-%D0%BD%D0%B0%D0%B4%D0%BE-38fc3e97f5ef
Medium
Разбор ошибок или как делать не надо
Итак-на прошлой неделе произошел взлом абузоустойчивого хостера mskHost. Не будем останавливаться на этичности произошедшего- на данный…
Подъехали наши (Команды True0xA3) комментарии к прошедшему The Standoff.
Любопытно поглядеть на то, как и кто относится к мероприятию.
Любопытно поглядеть на то, как и кто относится к мероприятию.
Forwarded from AM Live
Команды киберполигона The Standoff:
💭 об идеи киберполигона The Standoff
💭 об отличии Capture the Flag от киберполигона
💭 о том, чего не хватает в киберучениях
https://www.anti-malware.ru/interviews/2021-09-14/36919
💭 об идеи киберполигона The Standoff
💭 об отличии Capture the Flag от киберполигона
💭 о том, чего не хватает в киберучениях
https://www.anti-malware.ru/interviews/2021-09-14/36919
Anti-Malware
Команды The Standoff: Цель CTF — захват флага, а цель киберполигона — научиться слаженно работать в команде
Киберполигон The Standoff привлекает многих специалистов, работающих в информационной безопасности. На очередном мероприятии он будет моделировать не город, а страну, что усложнит задачу для
Фраза спикера: “Настоящее название этого доклада: Ochko123 - Почему вам не стоит использовать очко123 как пароль к вашей хакерской империи.”
В зале засмеялся один русский.
Доклад заинтриговал с первой минуты:
https://www.youtube.com/watch?v=6Chp12sEnWk
В зале засмеялся один русский.
Доклад заинтриговал с первой минуты:
https://www.youtube.com/watch?v=6Chp12sEnWk
YouTube
Ochko123 - How the Feds Caught Russian Mega-Carder Roman Seleznev
Best of Black Hat USA 2017 Briefings Winner
How did the Feds catch the notorious Russian computer hacker Roman Seleznev - the person responsible for over 400 point of sale hacks and at least $169 million in credit card fraud? What challenges did the government…
How did the Feds catch the notorious Russian computer hacker Roman Seleznev - the person responsible for over 400 point of sale hacks and at least $169 million in credit card fraud? What challenges did the government…