Дилерский доступ, недостаточно защищенный, давал возможность отслеживать местоположение автомобилей Subaru и осуществлять несакционированный физический доступ.
👍2👎1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
This media is not supported in your browser
VIEW IN TELEGRAM
Next-gen warfare repetition. Вспоминается рассказ Роберта Шекли "Битва".
👍4
Хайповая AGI deepseek позволяет выполнять произвольные команды, на виртуальном окружении, в котором запущен агент вашей сессии чат-бота с генеративным искусственным интеллектом. Это дает возможность, в том числе и злоумышленникам, использовать мощности этой экосистемы для атак или вредоносных действий.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5👎3
Любопытно, что PoC был написан после исследования патча от MS c помощью ghidriff.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍4
Причина большинства тупых багов в проде - time to market и раздолбайство.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍2
https://virustest.gov.ru
Национальный мультисканер.
https://opentip.kaspersky.com/
TI портал и платформа анализа Лаборатории Касперского.
https://www.virustotal.com
Обнаружение вредоносного ПО антивирусными движками.
https://tria.ge
Сервис-песочница для анализа вредоносных программ. Он позволяет пользователям бесплатно анализировать образцы вредоносных программ в настраиваемой среде.
https://www.hybrid-analysis.com
Бесплатный автоматизированный сервис анализа вредоносных программ, работающий на базе Falcon Sandbox. Пользователи могут загружать файлы или URL-адреса для мгновенного анализа, сервис обеспечивает анализ угроз с использованием машинного обучения, TI, антивирусных движков и статического анализа. Поддерживает сопоставление правил YARA.
https://analyze.intezer.com
Обеспечивает анализ вредоносных программ и TI. Помогает выявлять сходства между известными семействами вредоносных программ.
https://cuckoosandbox.org
Знаменитая Кукушка. Автоматизированная система анализа вредоносных программ с открытым исходным кодом. Она позволяет пользователям анализировать подозрительные файлы и URL-адреса в песочнице.
https://www.joesandbox.com
Автоматизированная платформа анализа вредоносных программ, которая анализирует файлы и URL-адреса разных архитектур: Windows, macOS, Linux и Android. Предоставляет подробные аналитические отчеты и поддерживает различные расширенные функции.
#malware
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍7
МОСКВА, 1 февраля. /ТАСС/. Мошенники стали просить своих жертв покупать золото вместо перевода денег на псевдобезопасные счета. Об этом сообщается в официальном телеграм-канале управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России.
"Мошенники стали действовать сложнее: гражданину звонят и убеждают, что его деньги в опасности, однако вместо перевода просят приобрести золото - слитки или инвестиционные монеты", - рассказали в управлении.
После этого жертве предлагают либо передать золото курьеру, либо продать в другом банке и уже после этого перевести деньги на якобы надежный счет.
Как пояснили в управлении, мошенники стали использовать такую схему, потому что покупку золота проще объяснить работнику банка. Часто используются аргументы, связанные с инфляцией и большим уровнем доверия к драгоценным металлам.
В управлении напомнили, что ни полиция, ни банки не требуют покупки золота. Это не имеет никакого отношения к защите средств. "Если вам звонят с тревожными новостями, положите трубку и сами перезвоните в банк или полицию по официальному номеру", - добавили в управлении.
"Мошенники стали действовать сложнее: гражданину звонят и убеждают, что его деньги в опасности, однако вместо перевода просят приобрести золото - слитки или инвестиционные монеты", - рассказали в управлении.
После этого жертве предлагают либо передать золото курьеру, либо продать в другом банке и уже после этого перевести деньги на якобы надежный счет.
Как пояснили в управлении, мошенники стали использовать такую схему, потому что покупку золота проще объяснить работнику банка. Часто используются аргументы, связанные с инфляцией и большим уровнем доверия к драгоценным металлам.
В управлении напомнили, что ни полиция, ни банки не требуют покупки золота. Это не имеет никакого отношения к защите средств. "Если вам звонят с тревожными новостями, положите трубку и сами перезвоните в банк или полицию по официальному номеру", - добавили в управлении.
👎1
Forwarded from WAF news
PCI DSS рекомендация использовать WAF (3.2.1) > требование использовать WAF (6.4.2)
Версия 3.2.1 стандарта рекомендовала межсетевые экраны веб-приложений (WAF). Однако к 25 марта 2025 года все организации, соблюдающие PCI DSS, должны иметь WAF перед своими общедоступными веб-приложениями для обнаружения и предотвращения атак.
Версия 3.2.1 стандарта рекомендовала межсетевые экраны веб-приложений (WAF). Однако к 25 марта 2025 года все организации, соблюдающие PCI DSS, должны иметь WAF перед своими общедоступными веб-приложениями для обнаружения и предотвращения атак.
👍1
Forwarded from s0i37_channel
Однажды в голову мне пришла идея разработать немного-немало свой собственный google. Чтоб его можно было запустить в локальной сети и отыскать там любые секреты где нибудь в глубине публичных сетевых дисков, ftp или вебе. И что бы такая система понимала не только текстовые файлы, но и офисные документы, архивы, исполняемые файлы, картинки, звук, словом всё что только может прийти в голову и что нельзя искать простым текстовым поиском.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
Хабр
Свой Google в локалке. Ищем иголку в стоге сена
В статье мы разработаем свой собственный Google, который можно будет запустить в любой локальной сети как атакующим, что ищут пароли, так и защитникам, которым небезразлична безопасность их родной...
👍5
Топ-10 техник атак веб-приложений 2024 года
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
👍3
Offensive/Deffensive лаборатория, для тренировки навыков Red/Blue team, проверки работы утилит и навыков пентеста Win/Linux систем. Лаба развертывается в виде Proxmox гипервизора с возможностью добавления тимплейтов. https://ludus.cloud/
👍4
https://paragraph.xyz/@cybred/supply-chain-bug-bounty
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Cybred
Как мы заработали $50 000 на взломе цепочки поставок
В 2021 году я всё ещё был в начале своего пути в наступательной безопасности. Я уже взломал несколько компаний и стабильно зарабатывал на Bug Bounty — этичной практике поиска уязвимостей, за которые исследователи получают денежные вознаграждения. Однако я…
👍4