Forwarded from Anatoly
Вас заразили вирусом информативов. Если не скинете это сообщение трем друзьям, информативы вас будут преследовать весь следующий год
🔥2🥰1
Наконец-то выложили записи докладов с UNDERCONF.
Можете послушать как админ активно задаёт вопросы на докладе про IOT😁
https://plvideo.ru/channel/PzGSX_aQlhCB
Можете послушать как админ активно задаёт вопросы на докладе про IOT
https://plvideo.ru/channel/PzGSX_aQlhCB
Please open Telegram to view this post
VIEW IN TELEGRAM
Если вы читаете каналы ИБ специалистов, то знаете что сейчас активно орудуют скамеры, создавая фейк аккаунты ребят из ИБ сообщества.
Админ канала не является супер популярной личностью, но тем не менее на всякий случай скажу: мой единственный ник в телеграме - @GorgonzolaCTF
С других аккаунтов я никогда не пишу, если кто-то представляется мной, то напишите/позвоните на основной аккаунт
Stay returned
Админ канала не является супер популярной личностью, но тем не менее на всякий случай скажу: мой единственный ник в телеграме - @GorgonzolaCTF
С других аккаунтов я никогда не пишу, если кто-то представляется мной, то напишите/позвоните на основной аккаунт
Stay returned
👍5
Forwarded from Ильдар пишет (Ildar Kh.)
Это один из тех постов, который может показаться рекламным, но на самом деле это моя душевная рекомендация
Есть у нас в РФ очень крутой специалист, директор департамента противодействия киберугрозам в Информзащите, крутой физушник и просто очень приятный молодой человек — и зовут его Егор Зайцев
Егор является одним из тех немногих, кто делится своей широчайшей экспертизой в множественных форматах. Помимо курсов он регулярно вкидывает в сообщество видосы, посты, пдфки, и прочее прочее прочее прочее.... бесплатно
Сейчас, насколько мне известно, он планирует и дальше развиваться в этом направлении. Сегодня создал неплохой такой категоризованный чатик, а дальше на донаты (!!! вход бесплатный !!!) хочет выпускать и видео контент
Если у вас есть возможность, поддержите его в этом начинании! А ребят, которые с медийки и читают мой канал (привет вам однако) прошу обратить внимание)
Есть у нас в РФ очень крутой специалист, директор департамента противодействия киберугрозам в Информзащите, крутой физушник и просто очень приятный молодой человек — и зовут его Егор Зайцев
Егор является одним из тех немногих, кто делится своей широчайшей экспертизой в множественных форматах. Помимо курсов он регулярно вкидывает в сообщество видосы, посты, пдфки, и прочее прочее прочее прочее.... бесплатно
Сейчас, насколько мне известно, он планирует и дальше развиваться в этом направлении. Сегодня создал неплохой такой категоризованный чатик, а дальше на донаты (!!! вход бесплатный !!!) хочет выпускать и видео контент
Если у вас есть возможность, поддержите его в этом начинании! А ребят, которые с медийки и читают мой канал (привет вам однако) прошу обратить внимание)
Telegram
PRO:PENTEST CLUB
Egor Zaytsev invites you to join this group on Telegram.
👍3👎1🖕1
Forwarded from Информационная безопасность - Первенство
Наши соревнования подошли к концу!
Благодарим вас всех за участие
Официальный пост с результатами увидит свет немного позднее, ну а пока...
Чат соревнований открыт для обсуждения заданий, можете оставить фидбек о прошедших соревнований и покидаться друг в друга мемами
Предварительно:
🥇 Братья африки
🥈 Иксэлэс тим
🥉 Улица 1905
Спасибо, что были с нами в эти 24 часа
Please open Telegram to view this post
VIEW IN TELEGRAM
Интересный факт:
Зная номер телефона человека, можно найти информацию о модели его устройства.
1. Заходим на vk.com
2. Вводим номер телефона в поле входа
3. Выбираем способ верификации через push-уведомление
4. Profit!
Странно, что вк не скрыли данные об этом первично паролем
Товарищи которых я заспамил уведомлениями, извините. Всё ради комьюнити ¯\_(ツ)_/¯
Зная номер телефона человека, можно найти информацию о модели его устройства.
1. Заходим на vk.com
2. Вводим номер телефона в поле входа
3. Выбираем способ верификации через push-уведомление
4. Profit!
Странно, что вк не скрыли данные об этом первично паролем
🙏9🔥2
С новым годом, друзья!
Пусть в вашей жизни будет больше сданных отчётов и флагов, меньше печали и больше дисклозов!
Пусть в вашей жизни будет больше сданных отчётов и флагов, меньше печали и больше дисклозов!
🎉14❤1🔥1🖕1
Данные о ваших перемещениях, посещаемые сайты и метаданные ваших телефонных переговоров стоят... 3.5 рубля!
Интереснейший ресёрч на хабре от моего хорошего знакомого, в котором он осветил тему слива данных мобильными операторами по цене спичечного коробка
Читать
Интереснейший ресёрч на хабре от моего хорошего знакомого, в котором он осветил тему слива данных мобильными операторами по цене спичечного коробка
Читать
Очень прошу помочь с репостами, такой легальный пробив не должен существовать.
🔥9🖕1
Наткнулся на пост Жени о переиспользовании токенов и вспомнил интересный факт о jwt
Если в подписи jwt токена изменить последнюю букву на следующую в алфавите, то токен останется валидным.
Пример:
Мы сгенерировали токен
Изменили последнюю букву с "c" на "d":
Токен остался валидным, можно проверить на jwt.io или любом другом сервисе декодирования jwt токенов.
Связано это с особенностью кодировки base64. Протестировал в некоторых багбаунти программах и, используя его, смог получить импакт использования отозванных токенов в приложениях, добавляющих токены в блэклист.
К слову, на эту функцию был направлен один из моих тасков на Гойда CTF. Райтапы скоро будут, честно-честно)
Статья, из которой я узнал об уязвимости
Если в подписи jwt токена изменить последнюю букву на следующую в алфавите, то токен останется валидным.
Пример:
Мы сгенерировали токен
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Изменили последнюю букву с "c" на "d":
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5d
Токен остался валидным, можно проверить на jwt.io или любом другом сервисе декодирования jwt токенов.
Связано это с особенностью кодировки base64. Протестировал в некоторых багбаунти программах и, используя его, смог получить импакт использования отозванных токенов в приложениях, добавляющих токены в блэклист.
К слову, на эту функцию был направлен один из моих тасков на Гойда CTF. Райтапы скоро будут, честно-честно)
Статья, из которой я узнал об уязвимости
🔥13🐳3👍1🖕1
Банка пывна
Интересный факт: Зная номер телефона человека, можно найти информацию о модели его устройства. 1. Заходим на vk.com 2. Вводим номер телефона в поле входа 3. Выбираем способ верификации через push-уведомление 4. Profit! Странно, что вк не скрыли данные об…
Как подсказали ребята в чатике, в гугле есть такая же фишка.
Алгоритм всё тот же:
1. Вводим номер телефона
2. Начинаем восстанавливать пароль
3. Запрашиваем подтверждение по телефону
Политика компаний подразумевает, что данные о модели телефона не являются конфиденциальными, хотя по идее так можно спокойно собирать статистику, ну и банально это даёт поле для Osint расследований.
Ну и есть прикол, что у пользователей яблочной продукции зачастую в названии устройства стоит реальное имя.
Как по мне, немного странное решение, но не админу осуждать гугл ¯\_(ツ)_/¯
Алгоритм всё тот же:
1. Вводим номер телефона
2. Начинаем восстанавливать пароль
3. Запрашиваем подтверждение по телефону
Политика компаний подразумевает, что данные о модели телефона не являются конфиденциальными, хотя по идее так можно спокойно собирать статистику, ну и банально это даёт поле для Osint расследований.
Ну и есть прикол, что у пользователей яблочной продукции зачастую в названии устройства стоит реальное имя.
Как по мне, немного странное решение, но не админу осуждать гугл ¯\_(ツ)_/¯
🔥5🤝2🖕1
В последнее время очень часто приходят в голову идеи для новых интересных CTF тасок, которые хотелось бы реализовать. Но гойда CTF уже прошёл, а нового ждать долго, поэтому...
Если вдруг кто-то планирует организовать что-то хоть чуть-чуть масштабное, то я всегда готов помочь с тасками) Пишите в ЛС, обо всём договоримся🥰
Если вдруг кто-то планирует организовать что-то хоть чуть-чуть масштабное, то я всегда готов помочь с тасками) Пишите в ЛС, обо всём договоримся
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥2
Forwarded from BlackFan
Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
https://github.com/BlackFan/BFScan
BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.
Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.
@RestController
@RequestMapping("/api")
public class UserController {
@PostMapping("createUser")
public String create(@RequestParam Optional<String> someParamName, @RequestBody User user) {
return "response";
}
В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json
{
"name": "name",
"age": 1
}
Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.
Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.
👍1👎1🤔1
Очень приятно, что авторитетные издания заметили мой небольшой канал. Огромное спасибо сачку и пакету безопасности за проделанную работу, места в топе распределены крайне продуманно.
Дальше-больше!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥7👍2😴2🥴1