⛈Что делать, если пентест стал рутинной и не приносит былого удовольствия

Привет! Рано или поздно любая профессиональная деятельность становится рутиной. Возьмем твой первый взлом, возможно ты испытал ажиотаж, удовольствие, гордость, чувство чего то неизведанного. Это завораживает, заставляет учится, думать, анализировать.

🟢И вот проходит несколько лет: у тебя было сотни похожих проектов, похожих архитектур, механизмов которые ты ломал множества раз, похожие по стеку приложения. На это у тебя уже выработались свои методологии, которые ты используешь в зависимости от ситуации и типа проекта. Это становится рутинной, нет былого удовольствия, огня в глазах еще и отчет писать, это становится похожим на монотонную и однотипную работу. Встает вопрос — что с этим делать? Не вздумай это бросать или менять сферу отвечу я.

🟠Хорошая новость заключается в том, что когда ты достиг рутинности работы и это не приносит удовольствия — это лишь значит то, что ты уже очень близок к тому, чтобы считаться профессионалом.

🔴Тебе нужно углубиться в эту рутину, без рутины никуда, сделай ее комфортнее, лучше, качественнее. А самая высшая точка профессионализма считается нахождения баланса между рутиной и удовольствием. Поэтому углубляйся в нее и найди этот баланс. Возможно получением удовольствия тебе послужат какие то свои исследования, pet-проекты, разработка и все в таком духе.
📌Так что, если ты уже чувствуешь что то похожее или только начнешь это чувствовать, знай — ты на верном пути 😉

📶 Happy Hacking ✌

ЧТНП | #блабла@pntests

🎄 С наступающим новым годом, граждане пентестеры и не только! Пусть все плохое останется в уходящем году, а в новый придёт все хорошее. Желаю вам сильного роста ваших скиллов, правильных решений которые будут вам давать новые открытия, необычных кейсов, ситуаций которые приведут к правильным выводам и пусть огонь и веселье в наших сердцах никогда не гаснет, а если и погас то зажжется снова. И что не мало важно желаю здоровья, как ментального так и физического, всем нам и нашим близким 🥂🥳🎉

С новым 2025 годом 🎄

⛈ Критическая уязвимость в 1С-Битрикс которая использует уязвимость модулей интернет-магазинов Аспро

В модулях, которая разработала компания Аспро для 1С-Битрикс выявлена критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели

📡 Об уязвимости:
Проблема связана с файлами в папке/ајах/, расположенной в корневой директории сайта:
🟢 reload_basket_fly.php;
🟢 show_basket_fly.php;
🟢 show_basket_popup.php

Эти скрипты используют небезопасную функцию unserialize() в PHР, что позволяет злоумышленникам отправлять вредоносные POST-запросы.
В результате возможен удалённый запуск команд (RCE), а также создание скриптами вредоносных файлов .htaccess, php.ini и с произвольными названиями вида 5af47f5502b6.php

📶 Защита
📶 Разбор

ЧТНП | #web

⛈ Application Security Handbook & Cheat Sheet

📌Cheat Sheet:
Этот проект содержит шпаргалки с примечаниями по атакам на приложения и системы:
🤩Android Application
🤩CI/CD
🤩Cloud
🤩Container
🤩Framework
🤩Linux
🤩iOS Application
🤩Web Application

📌Handbook:
Этот проект содержит базу знаний о лучших практиках обеспечения безопасности приложений для разработчиков программного обеспечения и инженеров по безопасности приложений:
🤩Authentication
🤩Authorization
🤩Concept of Trusted Devices
🤩Content Security Policy (CSP)
🤩Cookie Security
🤩Cryptography
🤩Error and Exception Handling
🤩File Upload
🤩Input Validation
🤩JSON Web Token (JWT)
🤩Logging and Monitoring
🤩Output Encoding
🤩Regular Expressions
🤩Sensitive Data Management
🤩Session Management
🤩Transport Layer Protection
🤩Vulnerability Mitigation

📶 AppSec Cheat Sheet & Handbook

ЧТНП | #appsec

🌎 Minecraft servers as a botnet for DDoS attack L7

Решил я значит спустя много лет просто поиграть в майкрафт на пиратских серверах, но видимо просто играть я не умею, в результате я случайно обнаружил уязвимость которая позволяет делать из серверов систему для DDoS атак.

♾ Plugin SkinsRestorer
Данная уязвимость была обнаружена в плагине который позволяет сменить внешность персонажа, эксплуатация довольно простая, нужно всего лишь в чат написать команду /skin url ссылка_на_скин. Мне стало интересно, какие запросы вообще прилетают. Я вставил туда ссылку из interactsh и поймал пару запросов. В запросах ничего особенного, мое внимание привлекло то, что запросы отправляются с разных IP адресов, которые ничего общего с серверами не имеют, чем не классический DDoS? Подумал я и пошел проверять. Долго исследовать и шерстить код я не стал, мне был интересен импакт

🌳 DDoS Attack
Оказалось в Minecraft серверах есть люди владеющие спам-ботами и их устройство довольно простое: есть некий C2 сервер с которого они управляются, именно с него указывают на какой сервер заходить ботам, в каком количестве и какую команду или текст нужно спамить в чат. Их обычно используют малые сервера для похищения онлайна с более крупных серверов. По случайному стечению обстоятельств я познакомился человеком который владеет этим всем и я его попросить в качестве эксперимента устроить атаку на мой тестовый сайт с которого я потом и мониторил нагрузку.

🔥 Impact
Мой тестовый сайт был без защит от DDoS атак. С 1 сервера где находились 20 спам-ботов, которые спамили команду на протяжении 30 минут, это нагрузило процессор на 18%. А вот суммарно 300 ботов, которые находились на 3 разных серверах смогли нагрузить процессор на 100% и в конечном итоге вывести мой сайт из строя 🐷

📌 Минусы
Это трудозатратно и вряд-ли положит современное веб-приложение наподобие paypal, но при должном количестве ботов и серверов с такой уязвимостью, вполне себе сможет положить обыкновенный сайт

ЧТНП | #блабла

Открыли прием заявок на Pentest award 2025!

💡Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.

Участие все еще бесплатное, а прием заявок продлится до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.

🥇Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.

Отправляйте заявки на сайте, участвуйте и побеждайте!

⛈Небезопасная генерация токена

Что может быть проще: сброс пароля, подтверждение почты или аутентификация по токену? Но если ваш токен генерируется геморройно простым методом — у злоумышленника появляется прямой доступ к системе. Давайте разберёмся, почему до сих пор взламываются даже крупные сервисы и почему “уникальный токен” — не всегда синоним безопасности.

🟢 Как появляется проблема:

Иногда разработчики генерят токены через стандартные функции вроде rand() или time(), добавляя к ним user_id или инкрементный счетчик. Примеры из реального мира:
- Сброс пароля: token = md5(time() . user_id)
- Авторизация: просто strval(rand())

❗️По факту — это не токен, а открытая дверь, где “замок” известен каждому умеющему читать код. Если сервер при отправке ссылки для сброса пароля проверяет только такой токен — любой, у кого есть доступ к user_id и времени генерации, сможет подобрать нужное значение и получить доступ к чужому аккаунту.

🔊 Как это эксплуатируют:
Самый частый паттерн:
1. Изучаем токен — часто можно декодировать его, видим время или user_id.
2. Получаем user_id жертвы (через API или просто по URL).
3. Генерируем гипотетические значения токена по шаблону, который использует сервер.
4. Подставляем их в запрос — вход срабатывает. Профит.

📌 Даже хуже, если используется стандартный rand() на популярных языках — достаточно знать seed или время запуска генератора, чтобы воспроизвести последовательность токенов полностью (пример: предсказуемые токены сброса пароля в старых версиях некоторых CMS).

🔔 Как делать правильно?

Используйте только криптографически стойкие генераторы случайных чисел:
- Для PHP: random_bytes() и bin2hex()
- Для Python: secrets.token_urlsafe()
- Для Node.js: crypto.randomBytes()

Короче — никогда не генерируйте security-токены с помощью наивных функций и не смешивайте их с очевидными константами (user_id, timestamp и прочее)! Любой аудитор кода обязан сразу поднимать тревогу, видя старые добрые md5(time()).

Когда вы в последний раз проверяли генерацию токенов в своем проекте? Поделитесь кейсами — у кого встречались "простейшие" реализации? 👀

📶 Полезная ссылка: https://cqr.company/ru/web-vulnerabilities/insecure-token-generation/

ЧТНП | #web