Топ-10 техник атак веб-приложений 2024 года
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
👍3
Offensive/Deffensive лаборатория, для тренировки навыков Red/Blue team, проверки работы утилит и навыков пентеста Win/Linux систем. Лаба развертывается в виде Proxmox гипервизора с возможностью добавления тимплейтов. https://ludus.cloud/
👍4
https://paragraph.xyz/@cybred/supply-chain-bug-bounty
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Cybred
Как мы заработали $50 000 на взломе цепочки поставок
В 2021 году я всё ещё был в начале своего пути в наступательной безопасности. Я уже взломал несколько компаний и стабильно зарабатывал на Bug Bounty — этичной практике поиска уязвимостей, за которые исследователи получают денежные вознаграждения. Однако я…
👍4
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Эти уязвимости подпадают под две модели угроз:
1. Уязвимости, которые могут быть использованы любым неаутентифицированным мобильным устройством. Мобильному устройству не нужна SIM-карта, нужно иметь возможность отправлять правильную последовательность модифицированных пакетов в начале сотового соединения (например, с помощью SDR). Традиционно эти атаки были ограничены по области действия устройствами, которые находятся в пределах радиодиапазона атакуемого ядра LTE/5G. Однако с широким распространением услуг Wi-Fi Calling эти же атаки может использовать любой субъект в Интернете, просто отправив несколько пакетов — SIM-карта или оборудование SDR не требуются.
2. Уязвимости, которые может использовать атакующий, имеющий доступ к базовой станции/ядру сотовой связи. Это либо скомпрометированная базовая станция/фемтосота, либо доступ к сети IPsec, используемой базовыми станциями для связи с ядром сотовой связи через неправильную конфигурацию или утечку ключей.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
- Понимание текущих AI-моделей
- Использование и управление
- Сценарии атак
https://josephthacker.com/hacking/2025/02/25/how-to-hack-ai-apps.html
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Содержит фишлеты для:
- MS365 Business
- Outlook Mail
- Okta
- возможность кастомных тимплейтов
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Киберкомандованию США поручено приостановить планирование всех операций, в т.ч. наступательных против России.
Источники сообщили, что приказ не распространяется на Агентство национальной безопасности и его работу по радиотехнической разведке, направленную против России.
https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning
Источники сообщили, что приказ не распространяется на Агентство национальной безопасности и его работу по радиотехнической разведке, направленную против России.
https://therecord.media/hegseth-orders-cyber-command-stand-down-russia-planning
1👍5
Forwarded from Кибервойна
Военные учёные предлагают создать российские кибервойска
В мартовском номере журнала Минобороны «Военная мысль» вышла статья «Предложения по обоснованию создания кибервойск как нового вида Вооруженных Сил Российской Федерации». Авторы: полковник запаса, доктор военных наук Юрий Стародубцев (Военная академия связи), полковник, доктор военных наук Василий Иванов (Военно-научный комитет Главного управления связи ВС РФ), подполковник, кандидат технических наук Павел Закалкин (Академия ФСО).
Авторы обосновывают необходимость создания кибервойск тем, что другие государства признаю киберпространство пространством ведения военных действий и уже создали аналогичные структуры (прежде всего авторы ориентируются на опыт США):
«Осуществляется милитаризация киберпространства, создаются элементы кибероружия, а в значительном числе технологически развитых государств для действий в киберпространстве на государственном уровне созданы новые структуры, предназначенные для ведения военных действий в киберпространстве и обладающие признаками нового вида вооруженных сил».
Рассуждая о необходимости создать кибервойска, авторы предлагают учитывать такие соображения, как возможный урон от кибератак как военной технике, так и гражданским системам; отсутствие в международном праве понятия «боевые действия в киберпространстве»; отсутствие развитых методов мониторинга фактов воздействия и оценки ущерба в киберпространстве; неприменимость категорий мирного и военного времени к процессу борьбы в киберпространстве.
В статье рассматривается три варианта создания кибервойск:
1) распределение задач, связанных с киберпространством, по существующим видам, родам и специальным войскам (путь, по которому изначально пошли США, где первые структуры появились в ВВС);
2) «слепое копирование чужого опыта» (прежде всего речь о модели Киберкомандования США);
3) по сути, осознанное (не слепое) копирование опыта США с учётом существующей структуры видов ВС РФ.
Начать авторы предлагают со следующих мероприятий:
«В рамках стратегического планирования разработать поэтапный план создания нового вида ВС РФ. На первоначальном этапе определить его цели и задачи, приступить к разработке организационно-штатной структуры. Это позволит подойти к военным конфликтам (войнам) в киберпространстве с более высокой степенью готовности. [...] Оценить возможности перераспределения сил и средств традиционных видов, родов и особенно специальных войск для создания первоначального ядра нового вида ВС с уточнением ранее стоящих задач. Определить высшие учебные заведения, осуществляющие подготовку специалистов для нового вида ВС РФ. Разработать учебные программы и квалификационные требования к ним».
Это уже не первая статья за последние годы, в которых российские военные и внешнеполитические эксперты предлагают более активно действовать в киберпространстве, что свидетельствует о возросшем интересе к проблемам противоборства в этой сфере.
При этом, все эти обсуждения ведутся в довольно абстрактном ключе без учёта существующего российского опыта. Не анализируются не только приписываемые России действия в киберпространстве, но и вполне официальная история создания в войск информационных операций, которая освещалась в 2012-2017 годах (вплоть до сообщений о создании отдельной части в Крыму, задачами которой были названы «нарушение работы информационных сетей вероятного противника и в результате нарушение функционирования его системы управления войсками» и «обеспечение кибербезопасности своих информационных сетей»).
В мартовском номере журнала Минобороны «Военная мысль» вышла статья «Предложения по обоснованию создания кибервойск как нового вида Вооруженных Сил Российской Федерации». Авторы: полковник запаса, доктор военных наук Юрий Стародубцев (Военная академия связи), полковник, доктор военных наук Василий Иванов (Военно-научный комитет Главного управления связи ВС РФ), подполковник, кандидат технических наук Павел Закалкин (Академия ФСО).
Авторы обосновывают необходимость создания кибервойск тем, что другие государства признаю киберпространство пространством ведения военных действий и уже создали аналогичные структуры (прежде всего авторы ориентируются на опыт США):
«Осуществляется милитаризация киберпространства, создаются элементы кибероружия, а в значительном числе технологически развитых государств для действий в киберпространстве на государственном уровне созданы новые структуры, предназначенные для ведения военных действий в киберпространстве и обладающие признаками нового вида вооруженных сил».
Рассуждая о необходимости создать кибервойска, авторы предлагают учитывать такие соображения, как возможный урон от кибератак как военной технике, так и гражданским системам; отсутствие в международном праве понятия «боевые действия в киберпространстве»; отсутствие развитых методов мониторинга фактов воздействия и оценки ущерба в киберпространстве; неприменимость категорий мирного и военного времени к процессу борьбы в киберпространстве.
В статье рассматривается три варианта создания кибервойск:
1) распределение задач, связанных с киберпространством, по существующим видам, родам и специальным войскам (путь, по которому изначально пошли США, где первые структуры появились в ВВС);
2) «слепое копирование чужого опыта» (прежде всего речь о модели Киберкомандования США);
3) по сути, осознанное (не слепое) копирование опыта США с учётом существующей структуры видов ВС РФ.
Начать авторы предлагают со следующих мероприятий:
«В рамках стратегического планирования разработать поэтапный план создания нового вида ВС РФ. На первоначальном этапе определить его цели и задачи, приступить к разработке организационно-штатной структуры. Это позволит подойти к военным конфликтам (войнам) в киберпространстве с более высокой степенью готовности. [...] Оценить возможности перераспределения сил и средств традиционных видов, родов и особенно специальных войск для создания первоначального ядра нового вида ВС с уточнением ранее стоящих задач. Определить высшие учебные заведения, осуществляющие подготовку специалистов для нового вида ВС РФ. Разработать учебные программы и квалификационные требования к ним».
Это уже не первая статья за последние годы, в которых российские военные и внешнеполитические эксперты предлагают более активно действовать в киберпространстве, что свидетельствует о возросшем интересе к проблемам противоборства в этой сфере.
При этом, все эти обсуждения ведутся в довольно абстрактном ключе без учёта существующего российского опыта. Не анализируются не только приписываемые России действия в киберпространстве, но и вполне официальная история создания в войск информационных операций, которая освещалась в 2012-2017 годах (вплоть до сообщений о создании отдельной части в Крыму, задачами которой были названы «нарушение работы информационных сетей вероятного противника и в результате нарушение функционирования его системы управления войсками» и «обеспечение кибербезопасности своих информационных сетей»).
👍4👎2
Последнее время замечен наплыв ботов в комментариях к публикациям в телеграм-каналах, раньше это называлось "первонахи", сейчас это автоматизированные скрипты с нейронкой (на скрине видны типовые паттерны ответов AI) типа этого или продвинутые скреперы/постеры (например с pipet под капотом) и парсингом tgstat по ключевикам.
Возможно, вы не заметили, но интернет "умер" пять лет назад.
👍3
Эксплоит (PoC) позволяет злоумышленникам маскировать вредоносные APK-файлы под видеофайлы, что потенциально приводит к несанкционированной установке вредоносного ПО на устройства пользователей.
EvilLoader манипулирует обработкой видеофайлов в Telegram, позволяя вредоносному приложению автоматически загружаться и выполняться под видом медиаконтента. Когда пользователь пытается воспроизвести одно из этих специально созданных «видео», Telegram предлагает ему открыть файл во внешнем приложении.
Уязвимость в данный момент остается неисправленной в последней версии Telegram для Android 11.7.4.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1