👩‍💻 Attacking NodeJS Application.

- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.

#devsecops

🕷 Abuse SVCHost Methods.

• Практически, каждый пользователь Windows, неоднократно наблюдал в списке отображаемых диспетчером задач, несколько процессов с именем svchost.exe. Для разных версий Windows и в зависимости от установленных компонентов системы, количество таких процессов может составлять от нескольких штук до нескольких десятков. Однако, это вполне нормальное явление, поскольку svchost.exe – это главный процесс (Host process) для системных служб, загружаемых из динамических библиотек (.dll). Для запуска таких служб используется один и тот же исполняемый файл svchost.exe, размещенный в системном каталоге \Windows\system32\

• Одной из важнейших задач, решаемой большинством компьютерных вирусов, является маскировка в системе после ее заражения и некоторые из них маскируются под процессы с именем svchost.exe, поскольку таким образом можно затеряться среди прочих, вполне легальных процессов с таким же именем. Как раз об этом и пойдет речь. По ссылке ниже можно ознакомиться с определенными методами, необходимые ссылками и примерами, которые являются актуальными и позволяют замаскировать малварь под SVCHost:

➡ https://redteamrecipe.com/abuse-svchost-methodsrtc0017

#Red_Team #Пентест

👨‍💻 HackTheBox. Взламываем Linux-машину средней сложности SURVEILLANCE.

• В этом видео автор проходит Linux-машину средней сложности под названием SURVEILLANCE на платформе HackTheBox.

• Для начала используем уязвимость удаленного выполнения кода в CraftCMS для закрепления на машине под учетной записью www-data. Затем идентифицируем и получим доступ к базе данных MySQL, где нахожу хэши паролей. После неудачной попытки взлома bcrypt-хеша из базы данных CraftCMS, мы сможем найти файл бэкапа базы данных. В нем обнаружим старую версию хеша SHA512, который успешно взломаем за считанные секунды, получая доступ к пользовательской учетной записи.

• Используя полученный пароль, мы подключимся к серверу по #SSH. Обнаружив открытый локальный порт 8080, определим, что это порт системы видеонаблюдения ZoneMinder. Создадим port forwarding на нашу локальную машину для удаленного доступа. Затем эксплуатируем другую уязвимость удаленного выполнения кода в ZoneMinder и получим доступ под другим пользователем, обладающим привилегиями sudo для запуска Perl-скриптов. Используем один из этих скриптов для инъекции произвольной команды, что позволяет нам повысить свои привилегии до уровня root.

➡️ https://youtu.be/Lpso0AwJV5Y

#Пентест #CTF

👩‍💻 K8s LAN Party.

• K8s LAN Party — это набор из пяти CTF-сценариев, в которых пользователю нужно найти уязвимости в кластере #Kubernetes. Каждый сценарий посвящен проблемам сети Kubernetes, с которыми сталкивались разработчики данного ресурса в реальной практике.

• Инструмент поможет участникам углубить свои знания в области безопасности кластера Kubernetes: у них будет возможность встать на место злоумышленников и изучить ошибки в конфигурациях, что пригодится в работе.

• В K8s LAN Party кластер уже развернут. Игроку нужно лишь выполнять команды в терминале прямо в браузере: https://www.k8slanparty.com

#CTF

🔴 Уязвимости аутентификации | Безопасность web приложений.

• В этом ролике подробно описаны механизмы аутентификации, чем опасны их уязвимости и как можно их защитить. Также автор рассказывает, как работают механизмы аутентификации и разбирает на примерах прохождение лаб на платформе — https://portswigger.net/web-security

• 0:00 — уязвимости аутентификации;
• 0:22 — аутентификация это / типы аутентификации;
• 1:30 — как возникают уязвимости / последствия уязвимостей;
• 2:16 — как используются уязвимости на практике / Лаба 1;
• 6:18 — как используются уязвимости на практике / Лаба 2;
• 8:45 — как защитить механизмы аутентификации;
• 10:32 — где проходить лаборатории.

➡️ https://youtu.be/lWYJ1vD9OEM

#web

🪱 Code Red.

• Утро 15 июля 2001 года. Аналитики компании eEye Digital Security как раз допивали очередную порцию газировки Code Red Mountain Dew, когда в лабораторию стали поступать предупреждения о массовом распространении нового компьютерного червя. Отсюда и пошло: парни назвали вредонос в честь своего любимого напитка – “Code Red”. Так эта угроза получила свое имя, которое многим жертвам червя запомнилось надолго — буквально за несколько дней Code Red захватил Интернет.

• Как выяснилось позже, распространение червя началось еще 13 июля 2001 года. Малварь использовала уязвимость веб-сервера Internet Informatiom Server, заключающуюся в классическом переполнении буфера. Несмотря на то, что за месяц до описываемых событий корпорация Microsoft выпустила заплатку для этой уязвимости, далеко не все администраторы вовремя установили обновление. Указанное обстоятельство и послужило основной причиной полномасштабной эпидемии.

• Интернет-червь использовал тривиальнейшую уязвимость в одном из модулей веб-сервера, а точнее, расширении для индексации данных. В библиотеке idq.dll была обнаружена ошибка переполнения буфера. Уязвимость получила идентификатор MS01-33. По современным меркам это простейшая ошибка, которую можно проэксплуатировать, отправив на сервер чрезмерно длинный запрос такого вида:

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

• В результате данные после многочисленных символов N интерпретируются как инструкции и выполняются. Вся вредоносная нагрузка содержится непосредственно в запросе, то есть при наличии уязвимой инсталляции Microsoft IIS система заражается моментально и со стопроцентной гарантией.

• Следующие действия червя зависели от текущего числа. С 1 по 19 число каждого месяца вредонос занимался исключительно самораспространением: он опрашивал доступные в Интернете серверы, отправлял на них соответствующий запрос. Для этого на зараженном хосте создавалось 99 параллельных потоков, в каждом из них формировался список новых компьютеров-жертв, которым отправлялись HTTP-запросы.

• С 20 по 27 число Code Red выполнял DDoS-атаки по списку намертво зашитых в нем IP-адресов, среди которых присутствовал адрес сайта Белого Дома.

• Хотя массовое распространение червя было зафиксировано 15 июля 2001 года, своего пика оно достигло через 4 дня — 19 июля было заражено более 359 тыс. серверов. Позже, когда администраторы все-таки начали устанавливать на свои серверы рекомендованные Microsoft обновления безопасности, эпидемия понемногу пошла на убыль, хотя чуть позже появилась вторая версия Core Red, имевшая другую полезную нагрузку и использовавшая в GET-запросе символы X вместо N

• Из всей этой истории можно сделать два важных вывода. Первый — что своевременная установка патчей, которая была так важна 21 год назад, не потеряла своей актуальности и сейчас. Второй — то, что Code Red не шифровал файлы на дисках, не воровал пароли и не уничтожал данные, можно назвать чистым везением. Именно благодаря относительной «безобидности» червя эпидемия обошлась без серьезных последствий. А ведь они могли бы быть намного более печальными, если бы злоумышленники преследовали иные цели.

#Разное

👩‍💻 K8s LAN Party.

• K8s LAN Party — это набор из пяти CTF-сценариев, в которых пользователю нужно найти уязвимости в кластере #Kubernetes. Каждый сценарий посвящен проблемам сети Kubernetes, с которыми сталкивались разработчики данного ресурса в реальной практике.

• Инструмент поможет участникам углубить свои знания в области безопасности кластера Kubernetes: у них будет возможность встать на место злоумышленников и изучить ошибки в конфигурациях, что пригодится в работе.

• В K8s LAN Party кластер уже развернут. Игроку нужно лишь выполнять команды в терминале прямо в браузере: https://www.k8slanparty.com

#CTF

📖 OpenContacts.

• Речь пойдет о приложении на #Android, которое представляет собой изолированный справочник контактов. Данное решение будет интересно тем, кто обеспокоен вопросами приватности и анонимности, безопасности своих контактов и не хочет светить данную информацию сторонним приложениям.

• Суть заключается в том, что если мы запишем контактны в этой тулзе, то ни одно приложение на смартфоне не получит к ним доступ (пока сами не разрешите). Это приложение сохраняет контакты в собственной базе данных отдельно от контактов Android. К слову, приложение имеет открытый исходный код и поддерживается разработчиками.

➡ Скачать можно отсюда: https://f-droid.org/

#Android #Приватность

👨‍💻 Pwning the Domain: Persistence.

- Group Policy;
- Tickets;
- Silver Ticket;
- Golden Ticket;
- Diamond Ticket;
- Sapphire Ticket;
- Golden Certificate;
- AdminSDHolder;
- GoldenGMSA;
- SID History;
- DC Shadow;
- How does it work;
- How to create skeleton key;
- What is DSRM;
- How does it work;
- How to create Persistence using DSRM;
- Patching the Registry;
- Pass the DSRM Hash;
- How does it work;
- Registry patching using mimilib.dll;
- Lsass Memory Patching using memssp.

#Пентест

👩‍💻 Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell.

Работа с объектами:
- Просмотр структуры объектов;
- Выбор частей объектов;
- Удаление объектов из конвейера;
- Сортировка объектов;
- Создание объектов .NET и COM;
- Использование статических классов и методов;
- Получение объектов WMI с помощью Get-CimInstance;
- Прямое управление элементами.

Управление компьютерами:
- Изменение состояния компьютера;
- Сбор информации о компьютерах;
- Создание запросов Get-WinEvent с помощью FilterHashtable.

Управление процессами и службами:
- Управление процессами при помощи командлетов Process;
- Управление сервисами;
- Работа с принтерами;
- Выполнение задач по работе с сетями;
- Работа с программами установки программного обеспечения;
- Декодирование команды PowerShell из выполняемого процесса.

Работа с выходными данными:
- Перенаправление выходных данных;
- Использование команд Format для изменения представления вывода.

Управление дисками и файлами:
- Управление текущим расположением;
- Управление дисками PowerShell;
- Работа с файлами и папками;
- Работа с файлами, папками и разделами реестра;
- Работа с записями реестра;
- Работа с разделами реестра.

Создание элементов пользовательского интерфейса:
- Создание настраиваемого поля ввода;
- Создание графического элемента управления "Выбор даты";
- Списки с множественным выбором;
- Выбор элементов из списка.

#PowerShell

📶 Интерактивное описание таблиц iptables.

• Iptables - это мощный инструмент управления сетью в Linux, который позволяет администраторам управлять входящими и исходящими пакетами данных. Это основной инструмент для настройки межсетевых экранов в системах #Linux.

➡️ Наглядная демонстрация и подробное описание каждого шара доступно по ссылке: https://zersh01.github.io/iptables_interactive_scheme/

#iptables

📦 puter.

• Нашел интересный проект на GitHub для запуска ОС прямо в браузере и был приятно удивлен тому, какой функционал в ней реализован. Тут Вам и офисные инструменты, игры, открытый исходный код и бесплатное использование:

➡️ https://puter.com/
➡️ https://github.com/HeyPuter/puter

#Разное

👩‍💻 Oh My Git.

• Поделюсь с Вами достаточно увлекательной и, самое главное, полезной open source игрой для изучения GIT. Тут Вам и отдельный режим для новичков (в виде карточек) и для продвинутых пользователей (в терминале), можете даже создавать свои собственные уровни. В общем и целом, игра действительно полезная: Вы подключаете реальный репозиторий, изучаете и выполняете команды, наблюдаете результат в режиме реального времени.

➡️ https://ohmygit.org

#Git