Для пентестеров

Кстати, подпишитесь на обновления старой доброй базы эксплойтов exploit-db, если еще не:
@exploitdbrss

P.S. Мне помогало замечать новинки именно через фид в телеге.

Че будем делать, котаны?

Обязательно к просмотру для всех хотетелей ломать Java. Сухо, ёмко, прикладно.

☕️² Время собирать подводные камни — в Java

Паша рассказал о подводных камнях веб-приложений на Java на примере четырёх способов исполнить произвольный код через малоизвестные компоненты и странности их поведения.

В программе: RCE через Spring View Manipulation, RCE через Java Deserialization, RCE через Java Naming and Directory Interface и RCE через FastJSON. Бонусом Паша показал ещё одну хитрую RCE-цепочку в своём таске на Java Attach API для Беллюминара (WCTF) 2020.

Доклад будет полезен тем, кто хочет узнать больше фишек и забытых механизмов в Java-вебчике, чтобы расширить свой багхантерский потенциал.

Видео: youtu.be/HVWW_tNoLkY
Презентация: vk.com/doc-114366489_607590017

— vk.com/wall-114366489_2279 —

Пентестером еще приятнее…

Итоги года

Я молодец, вы молодцы, год збс.

Пожелания на следующий год: желаю ебашить дальше, и чтобы вокруг нас было поменьше кислых ебальников.

Зачем поздравлять с наступающим, если можно поздравить с наступившим?

Поздравляю, друзья! Поздравляю с тем, что в 2024 вы живы, у вас есть планы, есть богатое прошлое 2023-го и более богатое будущее 2024-го.

Под конец года у меня не было сил общаться, дарить энергию, слать искренние поздравления. 🥵 Конец года был сложный, напряженный, суетной и деятельный. Извините меня. Извините если не поздравил; если думаете, что я забыл; если не ответил так, как вы этого ждали. 🙏

Другое дело - начало года.

Сегодня у меня наконец-то есть силы, сказать вам, что я рад началу нового года; очередному чистому листу, в котором я жду от себя и от вас: амбиций, свершений, приятных моментов и просто времени на «пожить».

В 2024 году я желаю вам радоваться успехам, хорошим новостям, ценить время проведенное в удовольствие. Дарю вам эти пожелания, вместе с силами, которые наполняют нас в начале любого пути! 🎁

Найс

Как защититься от «бестелесных» веб-шеллов? 🕷️

В новой статье эксперты Сайбер ОК проведут вас за руку по лабиринту хакерских уловок и на пальцах объяснят, что такое «бестелесные» веб-шеллы и как защитить с ними бороться 🕸️

Читайте материал по ссылке, чтобы оставаться на шаг впереди потенциальных угроз.

Уверен, что в этом году направление безопасности инфраструктуры разработки будет на хайпе;)

😱 Еще не принимали участие в нашем практическом воркшопе «Ломаем CI/CD»?

У вас есть отличный шанс это сделать👍 Ведь мы снова проведем его уже 31 января!

Чем уникален данный воркшоп?

⚡️Только у нас вы сможете потренироваться на практике в поиске нестандартных уязвимостей компонентов CI/CD, изучить техники атак на них, которые обычно выходят за рамки стандартных пентестов.

Зачем?
Чтобы овладеть уникальными навыками от практикующего эксперта и быть на шаг впереди других🏆

👤 Воркшоп проведет для вас лично Павел Сорокин - эксперт в пентесте и Application Security с опытом работы в ведущих ИБ-компаниях, таких как “Информзащита”, BI.ZONE, Ozon и Яндекс.

Все о безопасности пайплайнов CI/CD - на практическом воркшопе CyberEd🔥

👉 Оставить заявку на участие в воркшопе

Реклама
ОАНО ДПО «ВЫШТЕХ»
ИНН: 7703434727

Там скидос для Пашиных подписчиков: https://www.tg-me.com/naryl_sec

Сорян, bettercap не по той сетке пульнул, скоро раздуплится...

Друзья, пользуясь служебным положением, хочу попросить вас помочь найти хороших педагогов в области программирования и информатики для детей школьного возраста.

Предпочтительно референсы на тех кого вы лично знаете, с кем работали.
P.S. ищу для своих детей в школу (не в Cybered)

Лужники! Очень круто!

🏟 Всегда мечтали собрать стадион? Открываем Call For Papers на киберфестиваль Positive Hack Days 2 — в этом году он пройдет с 23 по 26 мая в «Лужниках»!

Подать заявку на выступление и узнать все подробности можно на сайте PHDays. А тут расскажем о главном:

• Заявки принимаются до 15 марта
• Два формата выступления: доклад (на 50 минут) и Fast Track (на 15 минут)
• Заявку могут подать как профи, так и новички. Главное — свежий взгляд на проблемы ИБ и пути их решения.

Ждем ваших крутых выступлений! До встречи в мае 🤟

Крутой разбор новой угрозы от Юры по ссылочке: https://habr.com/ru/companies/swordfish_security/articles/790544/

Новая атака на цепочку поставок: Java и Android под ударом!

Буквально на днях компания Oversecured выпустила потрясающую статью про новую атаку на цепочку поставок. В этот раз под ударом оказались Java-пакеты и, конечно, под раздачу попал и Android...

Способ атаки крайне прост и изящен. Для того, чтобы загрузить новую версию или измененную старую в репозиторий, например, MavenCentral необходимо подтвердить, что ты это ты. Как это сделать? Перевернуть имя пакета и на указанном домене разместить dns-запись.

К примеру, пакет com.stingray.mobile превращается в домен mobile.stingray.com. И, добавив несколько полей в TXT-запись мы получаем верифицированный аккаунт, который может загружать новые и обновлять существующие версии.

Но как правило, при смене имени пакета случается так, что про старый домен забывают.. Или вообще домен уже давно разделегирован.

Суть атаки в покупке домена, регистрации себя, как собственника библиотеки и заливанию новой/обновленной версии с зловредной нагрузкой в репозиторий. Вуаля, и все проекты использующие эту зависимость или выкачивающие ее как транзитивную получают к себе бомбу замедленного действия...

Идеальный план и более того, ребята провели исследование всех библиотек в нескольких репозиториях и получили крайне интересные цифры по уязвимым либам:
1. По доменам: 3,710 or 14.18%
2. На основании приватных github-репо: 291 or 3.86%

Крайне интересные цифры.

Снимаю шляпу перед исследователями такого уровня :)

Я думаю, что скоро нас ждет интересное продолжение :)

#oversecured #supplychain #android