Как сделать аудит безопасности мобильного приложения? Продолжаем рассказывать про свой опыт на страницах Ciso club.

~ Цель аудита безопасности мобильных приложений.
~ Специфика первичного анализа приложения.
~ Зависимость от физического оборудования.
~ Инструменты для анализа защищенности на ОС Android и ОС iOS.
~ Практики успешного проведения оценки состояния защищенности мобильных приложений.

Много букв и много пользы :)
Читайте → https://cisoclub.ru/audit-bezopasnosti-mobilnyh-prilozhenij-osobennosti-instrumenty-i-luchshie-praktiki/

Готовим кое-что грандиозное 😏 скоро анонсируем 👉👈 stay tuned !

Уязвимости в функциях загрузки файлов очень распространены.

При проведении анализа защищенности веб-приложений, важно знать, как обойти ограничения, так как это часто приводит к полной компрометации системы. А для разработчиков и инженеров полезно знать, как такие атаки происходят, чтобы корректно реализовать механизмы защиты.

Минимальный набор проверок File Upload:

→ Попробуйте различные расширения файлов: используйте разные варианты расширений файлов, например, php3, php4, php5, phtml для PHP-скриптов, asp, aspx и ashx для IIS. Список можно взять тут: https://github.com/danielmiessler/SecLists

→ Добавьте дополнительное расширение файла: если приложение не проверяет правильность расширения файла — добавьте еще одно расширение, например, из noscript.php в noscript.gif.php

→ Неправильная реализация Regex: например, некорректное регулярное выражение ".png|.jpeg" можно обойти с помощью следующей нагрузки bypasspng.php.

→ Измените регистр расширения: попробуйте разные комбинации строчных и прописных букв, например, pHp, PhP, phP, Php и т.д.

→ Приложение позволяет загружать файлы .noscript?: SVG изображения — это просто данные XML. Используя XML, можно, например, добиться XSS.

→ Измените тип контента: при перехвате запроса с помощью Burp Suite, тип контента можно изменить, например, с "Content-type: application/x-php" на "Content-type: image/gif"

→ Добавьте magic байт в файл: магические байты служат подписями, которые используются веб-сервером для определения типа загружаемого файла. Например, добавив GIF87a в начало скрипта, сервер будет считать его файлом GIF. Например : Filename='1.php' , filetype: image/gif и начните содержимое файла с GIF29a

→ Попробуйте уменьшить размер файла: если используется ограничение размера файла, можно загрузить меньший скрипт для удаленного выполнения кода.

→ Попробуйте использовать исполняемые расширения: могут быть разрешены определенные исполняемые расширения, например .phtml, .shtml, .asa, .cer, .asax, .swf, или .xap.

→ Добавьте нулевой байт в имя файла: если сайт использует белые списки расширений файлов, их часто можно обойти, добавив %00 (HTML) или \x00 (hex) в конец имени файла. Например: php-reverse-shell.php%00.gif

→ Добавьте специальные символы перед расширением файла: на старых веб-серверах, добавление специальных символов, таких как ;%$&, сразу после имени файла, например, shell;.php, может помочь обойти белые списки расширений файлов.

→ Вставьте данные EXIF: исполняемый скрипт может быть вставлен в изображение в форме метаданных комментария, который затем будет выполнен, если веб-сервер обрабатывают эти данные.

→ Попробуйте использовать обозначение Windows 8.3 для имени файла: можно использовать короткую версию имени файла Windows 8.3. Например, shell.aspx станет SHELL~1.ASP

→ Попробуйте добавить нейтральные символы после имени файла: специальные символы, такие как пробелы или точки в Windows, или точки и слэши в Linux в конце имени файла, будут автоматически удалены (например, shell.aspx … … . . .. .., file.asp.).

→ Обход каталога: попробуйте использовать вместо имени файла ../../../../etc/passwd и подобные, возможно, вы наткнетесь на новую уязвимость

Полезные ссылки:

- Перезапись файла конфигурации сервера
- Обфускация расширений файлов
- Race condition при загрузке файлов
- Небезопасная десериализация, ведущая к полному захвату сервера
- OWASP Unrestricted File Upload

Накидывайте еще способы обхода и полезные ссылки по теме в комментарии!

Внимательный подписчик узнает в этой колонке наш недавний вебинар. А всем, кто его пропустил, рекомендуем прочитать выдержку в «Хакер» 👇

https://xakep.ru/2023/05/17/ideal-pentest/

Идеальный пентест. Как довести заказчика до экстаза

Пентест, то есть проверка инфраструктуры компании на возможность хакерского проникновения, — это распространенная услуга, которую предоставляют ИБ-компании. Однако пентесты бывают очень разными. В этой статье я расскажу, как, на мой взгляд, должны и как не должны выглядеть результаты таких работ. Думаю, мои советы пригодятся и заказчикам, и исполнителям.

https://xakep.ru/2023/05/17/ideal-pentest/

Туллинг для специалистов по безопасности контейнеров

В современной разработке контейнеризация радикально изменила способ, которым мы создаем, развертываем и управляем приложениями. Но с этой новой парадигмой приходит и критическая необходимость в безопасности контейнеров.

Вашему вниманию предлагается несколько категорий и инструментов, которые помогут поддержать уровень защищенности на приемлемом уровне (только free / opensource):

Container image scanning:

- Clair
- Trivy
- Anchore Engine
- Grype

Container orchestration:

- Kubernetes
- Apache Mesos
- Nomad

Runtime protection:

- Tracee
- Sysdig
- Falco
- KuberArmor

Configuration management:

- Ansible
- Chef
- Puppet

Vulnerability management:

- Greenbone
- DefectDojo

Container firewall:

- Calico
- Cilium
- Weave Net

Security information and event management (SIEM):

- ELK
- Wazuh

Identity and access management (IAM):

- Keycloak
- OpenIAM

Continuous integration and deployment (CI/CD):

- Jenkins
- GitLab CI/CD
- Travis CI
- GitHub Actions
- Bamboo

Incident response:

- TheHive

Kubernetes Security:

- Aqua Security
- Sysdig Secure
- Twistlock

Мы приняли участие, наверное, в самом забавном, открытом и смелом подкасте про безопасную разработку во всей истории кибербеза. Ни серьезных щей, ни галстуков, ни цензуры. Голый профессиональный опыт, кейсы и самоирония.

Видео выйдет 5 июня на этом канале, подписывайтесь, чтобы не пропустить!

В мире кибербезопасности всегда есть что-то новое, технологичное, иногда даже тревожное. Одно из последних явлений — злоупотребление доменами верхнего уровня (TLD), такими как .zip и .mov. Эти домены, которые выглядят как расширения файлов, стали новым полем для фишинговых атак и распространения вредоносного ПО.

В мае 2023 года Google запустил новые TLD, включая .zip и .mov. С тех пор было зарегистрировано более 1200 новых интернет-адресов, некоторые из которых уже злоупотребляют киберпреступники. Вот несколько примеров:

1. Домен microsoft-office[.]zip был использован для создания поддельной страницы входа в систему, которая имитирует страницу входа Microsoft и пытается украсть учетные данные.

2. Домен officeupdate[.]zip также был зарегистрирован и использован для фишинговых атак.

3. Независимый исследователь mr.d0x продемонстрировал, как злоумышленники могут имитировать интерфейс архиватора файлов в браузере и связывать его с доменом .zip. Фишинговый сайт, который выглядит как WinRAR… Только посмотрите: https://mrd0x.com/file-archiver-in-the-browser/

Эти новые TLD представляют собой серьезную угрозу безопасности. Они открывают новые возможности для фишинга и распространения вредоносного ПО.

Помните, что кибербезопасность — это не одноразовое действие, а постоянный процесс. Как и с любой другой угрозой, есть способы защититься, вот простые и всем понятные рекомендации:

1. Будьте осторожны с любыми файлами, загруженными из Интернета. Перед загрузкой файла можно воспользоваться сервисом https://www.virustotal.com

2. Организациям настоятельно рекомендуется блокировать домены .zip и .mov, поскольку они уже используются для фишинга и, вероятно, будут использоваться все активнее.

3. Образование и осведомленность пользователей имеют высокий вес в кибербезе.

Безопасная разработка плотно обосновалась на форумах, посвященных разработке и кибербезопасности, но стала ли она «нормой жизни» для российского IT? Многие компании не спешат внедрять SSDLC-подход в свою работу в силу разных причин, от финансовых затрат до неготовности самих сотрудников работать в новых условиях.

Анастасия Худоярова, DevSecOps-инженер из Awillix, и Владислав Вернер, backend-разработчик из Ozon Tech поговорили о своем видении безопасной разработки, опыте работы в условиях «повышенной кибербезопасности», влиянии SSDLC на рабочие процессы IT-специалиста и роли специалиста по кибербезопасности в этом процессе.

🔗Смотрите на канале Cyber Media

Pentest award by Awillix

Очередные новости об утечках, опять все обсуждают новую хакерскую группировку, снова русские хакеры во всем виноваты. Хватит это терпеть!
Доколе вся слава будет доставаться преступникам?

Давайте покажем, на что способны этичные хакеры!
Давайте расскажем, кто спасает ИТ-инфраструктуры бизнеса!
Давайте демонстрировать опыт, получать признание рынка и классные призы!

Пентест — самая творческая ИБ-дисциплина, так пусть и в нашей отрасли будет премия. Awillix создает первую независимую премию для этичных хакеров.

Подавайте заявки для участие на сайте. Каждый имеет шанс на победу.
Поддержите новый проект, поделившись новостью с коллегами!

#pentestaward

FIRST BLOOD!

Один мистер из чатика BI.ZONE Bug Bounty умыл нас, заявив про XSS, за что ему почет и уважение! Хороший пример для всех, поддавайтесь, мы ждем)

Но если посмотреть дальше нашего промо-лендинга на тильде, то первая вдумчивая и серьезная заявка пришла уже в день первого анонса премии. Автор описал очень красивый и техничный способ развития атаки от разведки до получения возможности выполнения удаленного кода на платформе крупного семейства продуктов, принадлежащих корпорации Oracle. Обязательно отметим его за скорость на церемонии!
#pentestaward

Жюри Pentest Awards by Awillix
Просим любить и жаловать 👏

1. Илья Карпов. Руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в Национальном киберполигоне. Зарегистрировал более 300 CVE, топ-5 BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.

2. Александр Герасимов. Сооснователь Awillix.

3. Павел Топорков (Paul Axe). Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.

4. Егор Богомолов. Генеральный директор Singleton Security и управляющий директор школы CyberEd, которая дает 6 грантов на обучение на любом своем курсе всем, кто займет вторые места в премии🤩

5. Роман Панин. Руководитель blue team в МТС. Строил с нуля и развивал процессы ИБ в ФинТехе, Нефтянке и Телекоме. Автор телеграм-канала «Пакет Безопасности».

6. Роман Шемякин. Lead Application Security Engineer at Yandex.

7. Михаил Сидорук. Руководитель управления анализа защищенности, BI.ZONE — компания, которая дарит 6 билетов OFFZONE, всем кто займет первые места.

8. Евгений Андрюхин. Специалист по тестированию на проникновение сертифицированный OSCP/OSCE/OSWE/CRTP/Attacking Active Directory with Linux/ Cloud Security: AWS Edition/ Windows Kernel Programming Course by Pavel Yosifovich.

9. Николай Хечумов. Senior Security Engineer в Avito. Автор утилиты для поиска секретов DeepSecrets.

Теперь вы знаете, кому строить глазки, чтобы получить оценку повыше 😏 ну а если серьезно, все критерии оценки работ давно есть на сайте — https://award.awillix.ru/

Ждем ваших работ!
#pentestaward