Forwarded from WAF news
PCI DSS рекомендация использовать WAF (3.2.1) > требование использовать WAF (6.4.2)
Версия 3.2.1 стандарта рекомендовала межсетевые экраны веб-приложений (WAF). Однако к 25 марта 2025 года все организации, соблюдающие PCI DSS, должны иметь WAF перед своими общедоступными веб-приложениями для обнаружения и предотвращения атак.
Версия 3.2.1 стандарта рекомендовала межсетевые экраны веб-приложений (WAF). Однако к 25 марта 2025 года все организации, соблюдающие PCI DSS, должны иметь WAF перед своими общедоступными веб-приложениями для обнаружения и предотвращения атак.
👍1
Forwarded from s0i37_channel
Однажды в голову мне пришла идея разработать немного-немало свой собственный google. Чтоб его можно было запустить в локальной сети и отыскать там любые секреты где нибудь в глубине публичных сетевых дисков, ftp или вебе. И что бы такая система понимала не только текстовые файлы, но и офисные документы, архивы, исполняемые файлы, картинки, звук, словом всё что только может прийти в голову и что нельзя искать простым текстовым поиском.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
Хабр
Свой Google в локалке. Ищем иголку в стоге сена
В статье мы разработаем свой собственный Google, который можно будет запустить в любой локальной сети как атакующим, что ищут пароли, так и защитникам, которым небезразлична безопасность их родной...
👍5
Топ-10 техник атак веб-приложений 2024 года
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
👍3
Offensive/Deffensive лаборатория, для тренировки навыков Red/Blue team, проверки работы утилит и навыков пентеста Win/Linux систем. Лаба развертывается в виде Proxmox гипервизора с возможностью добавления тимплейтов. https://ludus.cloud/
👍4
https://paragraph.xyz/@cybred/supply-chain-bug-bounty
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Cybred
Как мы заработали $50 000 на взломе цепочки поставок
В 2021 году я всё ещё был в начале своего пути в наступательной безопасности. Я уже взломал несколько компаний и стабильно зарабатывал на Bug Bounty — этичной практике поиска уязвимостей, за которые исследователи получают денежные вознаграждения. Однако я…
👍4
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Эти уязвимости подпадают под две модели угроз:
1. Уязвимости, которые могут быть использованы любым неаутентифицированным мобильным устройством. Мобильному устройству не нужна SIM-карта, нужно иметь возможность отправлять правильную последовательность модифицированных пакетов в начале сотового соединения (например, с помощью SDR). Традиционно эти атаки были ограничены по области действия устройствами, которые находятся в пределах радиодиапазона атакуемого ядра LTE/5G. Однако с широким распространением услуг Wi-Fi Calling эти же атаки может использовать любой субъект в Интернете, просто отправив несколько пакетов — SIM-карта или оборудование SDR не требуются.
2. Уязвимости, которые может использовать атакующий, имеющий доступ к базовой станции/ядру сотовой связи. Это либо скомпрометированная базовая станция/фемтосота, либо доступ к сети IPsec, используемой базовыми станциями для связи с ядром сотовой связи через неправильную конфигурацию или утечку ключей.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
- Понимание текущих AI-моделей
- Использование и управление
- Сценарии атак
https://josephthacker.com/hacking/2025/02/25/how-to-hack-ai-apps.html
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Содержит фишлеты для:
- MS365 Business
- Outlook Mail
- Okta
- возможность кастомных тимплейтов
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Киберкомандованию США поручено приостановить планирование всех операций, в т.ч. наступательных против России.
Источники сообщили, что приказ не распространяется на Агентство национальной безопасности и его работу по радиотехнической разведке, направленную против России.
https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning
Источники сообщили, что приказ не распространяется на Агентство национальной безопасности и его работу по радиотехнической разведке, направленную против России.
https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning
1👍5