Информационная опасность
22.02.202516:52
Bybit объявил вознаграждение в размере 12,3 млрд рублей ($140 млн) за помощь в поимке организаторов одного из крупнейших взломов в истории крипторынка и возврат украденных средств.
18.02.202514:23
13.02.202513:43
Offensive/Deffensive лаборатория, для тренировки навыков Red/Blue team, проверки работы утилит и навыков пентеста Win/Linux систем. Лаба развертывается в виде Proxmox гипервизора с возможностью добавления тимплейтов. https://ludus.cloud/
Переслал из:
s0i37_channel
04.02.202507:31
Однажды в голову мне пришла идея разработать немного-немало свой собственный google. Чтоб его можно было запустить в локальной сети и отыскать там любые секреты где нибудь в глубине публичных сетевых дисков, ftp или вебе. И что бы такая система понимала не только текстовые файлы, но и офисные документы, архивы, исполняемые файлы, картинки, звук, словом всё что только может прийти в голову и что нельзя искать простым текстовым поиском.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
Интернет сегодня нельзя представить без поисковика, но почему в локальной сети иная картина? Ведь как известно общедоступные ресурсы это вечная головная боль всех админов, а для пентестеров их анализ слишком дорогостоящая по времени работа.
Разработать в одиночку и за умеренное время собственный аналог google непростая задача. К решению данной проблемы я пытался подойти с разных сторон и за всё время два или три раза полностью переписывал всю систему с нуля. Но в итоге мне удалось найти очень простое и элегантное решение, почти не требующее кодинг - создать систему построенную из готовых компонентов (GNU), легко масштабируемую и также легко внедряемую (docker). Да ещё и понимающую google дорки (opensearch).
Такая система может быть одинаково полезна как пентестерам когда перед тобой сотни шар, так и защитникам - ведь систему можно настроить на непрерывный регулярный краулинг всех общедоступных ресурсов.
В статье https://habr.com/ru/companies/ussc/articles/878340/ я детально описываю идею моей системы, её несложную логику работы а так же настройку и примеры использования.
01.02.202509:42
👮♀ Запись разговора с мошенниками.
21.02.202516:07
Хакеры взломали криптобиржу ByBit и вывели 1,5 миллиарда долларов в ETH. Это крупнейшая площадка среди россиян, где до сих пор можно покупать криптовалюту с российских карт, несмотря на санкции.
15.02.202512:02
07.02.202516:58
03.02.202508:28
PCI DSS рекомендация использовать WAF (3.2.1) > требование использовать WAF (6.4.2)
Версия 3.2.1 стандарта рекомендовала межсетевые экраны веб-приложений (WAF). Однако к 25 марта 2025 года все организации, соблюдающие PCI DSS, должны иметь WAF перед своими общедоступными веб-приложениями для обнаружения и предотвращения атак.
Версия 3.2.1 стандарта рекомендовала межсетевые экраны веб-приложений (WAF). Однако к 25 марта 2025 года все организации, соблюдающие PCI DSS, должны иметь WAF перед своими общедоступными веб-приложениями для обнаружения и предотвращения атак.
01.02.202508:02
Мошенники никак не угомонятся. Для незнающих людей наличие сложных номеров, спецслужб и серьезности темы должны работать как психологические триггеры.
20.02.202509:57
🌐Обзор уязвимостей в базовой инфраструктуре LTE/5G: от DoS до RCE.
Эти уязвимости подпадают под две модели угроз:
1. Уязвимости, которые могут быть использованы любым неаутентифицированным мобильным устройством. Мобильному устройству не нужна SIM-карта, нужно иметь возможность отправлять правильную последовательность модифицированных пакетов в начале сотового соединения (например, с помощью SDR). Традиционно эти атаки были ограничены по области действия устройствами, которые находятся в пределах радиодиапазона атакуемого ядра LTE/5G. Однако с широким распространением услуг Wi-Fi Calling эти же атаки может использовать любой субъект в Интернете, просто отправив несколько пакетов — SIM-карта или оборудование SDR не требуются.
2. Уязвимости, которые может использовать атакующий, имеющий доступ к базовой станции/ядру сотовой связи. Это либо скомпрометированная базовая станция/фемтосота, либо доступ к сети IPsec, используемой базовыми станциями для связи с ядром сотовой связи через неправильную конфигурацию или утечку ключей.
Эти уязвимости подпадают под две модели угроз:
1. Уязвимости, которые могут быть использованы любым неаутентифицированным мобильным устройством. Мобильному устройству не нужна SIM-карта, нужно иметь возможность отправлять правильную последовательность модифицированных пакетов в начале сотового соединения (например, с помощью SDR). Традиционно эти атаки были ограничены по области действия устройствами, которые находятся в пределах радиодиапазона атакуемого ядра LTE/5G. Однако с широким распространением услуг Wi-Fi Calling эти же атаки может использовать любой субъект в Интернете, просто отправив несколько пакетов — SIM-карта или оборудование SDR не требуются.
2. Уязвимости, которые может использовать атакующий, имеющий доступ к базовой станции/ядру сотовой связи. Это либо скомпрометированная базовая станция/фемтосота, либо доступ к сети IPsec, используемой базовыми станциями для связи с ядром сотовой связи через неправильную конфигурацию или утечку ключей.
13.02.202521:40
Верхнеуровневая схема доменов информационной безопасности.
06.02.202521:15
01.02.202518:00
31.01.202520:58
19.02.202510:25
⌨️Новая схема развода:
💬 Звонит "курьер" вам букет цветов/сюрприз на 23 февраля/8 марта, называют ваши полные данные (из утечек), просят подтвердить заказ кодом, который сейчас придет в смс для "курьера". Могут для достоверности даже сказать от кого - родственник/коллега.
👮♀️ Напоминаю, смс коды по телефону нельзя сообщать НИКОМУ.
💬 Звонит "курьер" вам букет цветов/сюрприз на 23 февраля/8 марта, называют ваши полные данные (из утечек), просят подтвердить заказ кодом, который сейчас придет в смс для "курьера". Могут для достоверности даже сказать от кого - родственник/коллега.
👮♀️ Напоминаю, смс коды по телефону нельзя сообщать НИКОМУ.
13.02.202517:01
https://paragraph.xyz/@cybred/supply-chain-bug-bounty
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
Атака на цепочку поставок в рамках CI/CD и бизнес-процессов компании. Стоит обратить внимание в рамках реализации "недопустимых событий" или APT-bounty.
04.02.202519:34
Топ-10 техник атак веб-приложений 2024 года
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
PortSwigger опубликовали топ-10 техник атак веб-приложений 2024 года - передовых исследований в области веб-безопасности, опубликованных за последний год.
1. Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server
Orange Tsai в третий раз занимает 1-е место с исследованием Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server.
LiveOverflow: Учитывая популярность httpd, это исследование будет служить ориентиром для специалистов по безопасности долгое время."
2. SQL Injection Isn't Dead: Smuggling Queries at the Protocol Level
Большой прогресс в исследованиях часто происходит на стыке областей. В работе Paul Gerste SQL Injection Isn't Dead Smuggling Queries at the Protocol Level мы видим, как идеи из области бинарных уязвимостей применяются к миру веб-взлома. Тут присутствует и целочисленное переполение, и техника, похожая на heap-spray...
3. Unveiling TE.0 HTTP Request Smuggling
Развитие сообществом атак HTTP Request Smuggling все еще продолжается и TE.0 HTTP Request Smuggling: Discovering a Critical Vulnerability in Thousands of Google Cloud Websites.
Новая техника эксплуатации HTTP Request Smuggling TE.0 похожа на CL.0, только в данном случае фронт принимает, а бэкэнд игнорирует заголовок Transfer-Encoding. При эксплуатации, сервера, обрабатывающие запрос, который начинается с number + newline, подвержены данной атаке, например Google Cloud - эксплуатация TE.0 позволила обойти Google IAP (Identity-Aware Proxy).
4. WorstFit: Unveiling Hidden Transformers in Windows ANSI
Преобразование кодировок — это минное поле, но почему-то это редко встречается в реальных эксплойтах. В WorstFit: Unveiling Hidden Transformers in Windows ANSI
5. Exploring the DOMPurify library: Bypasses and Fixes
HTML-санитизация была проблемой для эксплуатации XSS на протяжении многих лет, и библиотека DOMPurify от Cure53 стала практически единственным защитным решением.
Exploring the DOMPurify library: Bypasses and Fixes глубоко погружается в внутренности парсинга HTML в браузерах, обнаруживая и применяя новые примитивы для мутированных XSS (mXSS).
6. DoubleClickjacking: A New Era of UI Redressing
DoubleClickjacking: A New Era of UI Redressing представляет собой вариацию Clickjacking, которая обходит практически все известные меры защиты.
7. CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js
Редко когда единичная, уже исправленная уязвимость попадает в топ-10, но это открытие Thomas Rinsma исключительно. PDF.js широко используется как библиотека, что делает его влияние огромным и труднопредсказуемым.
8. OAuth Non-Happy Path to ATO
Oxrz изложил процесс создания красивой и инновационной цепочки атак. Атакующий "ломает" OAuth-процесс, используя неправильный OAuth-путь для достижения своих целей.
9. ChatGPT Account Takeover - Wildcard Web Cache Deception
Техника Web Cache Deception впервые появилась на 2-м месте в топе веб-техник взлома 2017 года и с тех пор активно развивается.
В статье ChatGPT Account Takeover - Wildcard Web Cache Deception Harel представляет новое развитие этой техники, используя несоответствия в декодировании для выполнения path traversal и выхода за пределы предполагаемой области действия кэша.
10. Hijacking OAuth flows via Cookie Tossing
Elliot Ward представил новое применение недооцененной техники Cookie Tossing. Это исследование было вдохновлено более ранней публикацией Thomas Houhou. Cookie Tossing — это метод, позволяющий одному поддомену (например, bla.example.com) устанавливать файлы cookie на своем родительском домене (например, example.com).
01.02.202511:33
МОСКВА, 1 февраля. /ТАСС/. Мошенники стали просить своих жертв покупать золото вместо перевода денег на псевдобезопасные счета. Об этом сообщается в официальном телеграм-канале управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России.
"Мошенники стали действовать сложнее: гражданину звонят и убеждают, что его деньги в опасности, однако вместо перевода просят приобрести золото - слитки или инвестиционные монеты", - рассказали в управлении.
После этого жертве предлагают либо передать золото курьеру, либо продать в другом банке и уже после этого перевести деньги на якобы надежный счет.
Как пояснили в управлении, мошенники стали использовать такую схему, потому что покупку золота проще объяснить работнику банка. Часто используются аргументы, связанные с инфляцией и большим уровнем доверия к драгоценным металлам.
В управлении напомнили, что ни полиция, ни банки не требуют покупки золота. Это не имеет никакого отношения к защите средств. "Если вам звонят с тревожными новостями, положите трубку и сами перезвоните в банк или полицию по официальному номеру", - добавили в управлении.
"Мошенники стали действовать сложнее: гражданину звонят и убеждают, что его деньги в опасности, однако вместо перевода просят приобрести золото - слитки или инвестиционные монеты", - рассказали в управлении.
После этого жертве предлагают либо передать золото курьеру, либо продать в другом банке и уже после этого перевести деньги на якобы надежный счет.
Как пояснили в управлении, мошенники стали использовать такую схему, потому что покупку золота проще объяснить работнику банка. Часто используются аргументы, связанные с инфляцией и большим уровнем доверия к драгоценным металлам.
В управлении напомнили, что ни полиция, ни банки не требуют покупки золота. Это не имеет никакого отношения к защите средств. "Если вам звонят с тревожными новостями, положите трубку и сами перезвоните в банк или полицию по официальному номеру", - добавили в управлении.
31.01.202508:56
⌛ Анализ вредоносных программ/URL.
https://virustest.gov.ru
Национальный мультисканер.
https://opentip.kaspersky.com/
TI портал и платформа анализа Лаборатории Касперского.
https://www.virustotal.com
Обнаружение вредоносного ПО антивирусными движками.
https://tria.ge
Сервис-песочница для анализа вредоносных программ. Он позволяет пользователям бесплатно анализировать образцы вредоносных программ в настраиваемой среде.
https://www.hybrid-analysis.com
Бесплатный автоматизированный сервис анализа вредоносных программ, работающий на базе Falcon Sandbox. Пользователи могут загружать файлы или URL-адреса для мгновенного анализа, сервис обеспечивает анализ угроз с использованием машинного обучения, TI, антивирусных движков и статического анализа. Поддерживает сопоставление правил YARA.
https://analyze.intezer.com
Обеспечивает анализ вредоносных программ и TI. Помогает выявлять сходства между известными семействами вредоносных программ.
https://cuckoosandbox.org
Знаменитая Кукушка. Автоматизированная система анализа вредоносных программ с открытым исходным кодом. Она позволяет пользователям анализировать подозрительные файлы и URL-адреса в песочнице.
https://www.joesandbox.com
Автоматизированная платформа анализа вредоносных программ, которая анализирует файлы и URL-адреса разных архитектур: Windows, macOS, Linux и Android. Предоставляет подробные аналитические отчеты и поддерживает различные расширенные функции.
#malware
https://virustest.gov.ru
Национальный мультисканер.
https://opentip.kaspersky.com/
TI портал и платформа анализа Лаборатории Касперского.
https://www.virustotal.com
Обнаружение вредоносного ПО антивирусными движками.
https://tria.ge
Сервис-песочница для анализа вредоносных программ. Он позволяет пользователям бесплатно анализировать образцы вредоносных программ в настраиваемой среде.
https://www.hybrid-analysis.com
Бесплатный автоматизированный сервис анализа вредоносных программ, работающий на базе Falcon Sandbox. Пользователи могут загружать файлы или URL-адреса для мгновенного анализа, сервис обеспечивает анализ угроз с использованием машинного обучения, TI, антивирусных движков и статического анализа. Поддерживает сопоставление правил YARA.
https://analyze.intezer.com
Обеспечивает анализ вредоносных программ и TI. Помогает выявлять сходства между известными семействами вредоносных программ.
https://cuckoosandbox.org
Знаменитая Кукушка. Автоматизированная система анализа вредоносных программ с открытым исходным кодом. Она позволяет пользователям анализировать подозрительные файлы и URL-адреса в песочнице.
https://www.joesandbox.com
Автоматизированная платформа анализа вредоносных программ, которая анализирует файлы и URL-адреса разных архитектур: Windows, macOS, Linux и Android. Предоставляет подробные аналитические отчеты и поддерживает различные расширенные функции.
#malware
Показано 1 - 20 из 20
Войдите, чтобы разблокировать больше функциональности.