Fsecurity | HH
رفتن به کانال در Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
نمایش بیشتر2 009
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-27 روز
-1230 روز
آرشیو پست ها
2 009
Repost from PurpleBear
ATT&CK Workbench
Во время подготовки тест-кейсов для проведения на салфетках из баров. Такой подход не очень удобен, так как при планировании сценариев хочется иметь под рукой всю необходимую информацию в привычном формате
Purple Teaming сценариев обычно за основу берется актуальная версия матрицы MITRE ATT&CK. И на ее базе формируются тест-кейсы для актуальных техник в зависимости от выбранного сценария и портрета потенциальных злоумышленников. Но проблема в том, что оригинальная матрица обновляется всего дважды в год и содержит далеко не все актуальные TTPs, которые используют киберзлодеи. К тому же каждая Red/Purple команда проводит собственные исследования, с целью поиска новых техник и кастомизации существующих процедур и инструментов, которые потом используются на проектах и публикуются в формате статей, докладов, заметок в блогах.
Эта база знаний обычно ведется на git, в вики-системах, тикет-трекерах, общих чатиках, личных заметках и MITRE ATT&CK
Поэтому, мы в своей практике используем ATT&CK Workbench - инструмент с открытым исходным кодом от MITRE. Он представляет собой self-hosted базу знаний, которую мы регулярно самостоятельно обновляем и дополняем новыми техниками и процедурами на основе CTI аналитики и собственных исследований. По сути это приложение на Node.js, которое позволяет в веб-интерфейсе взаимодействовать с кастомной версией матрицы MITRE ATT&CK, функциональность которого включает:
✅ Collection Indexes - возможность импорта всех данных из публичной версии MITRE ATT&CK
✅ REST API для автоматизации и интеграции с другими инструментами
✅ ATT&CK Navigator - интеграция с этим инструментом позволяет делится информацией о новых техниках с аналитиками SOC в привычном веб-интерфейсе в рамках оценки покрытия, планирования сценариев и разработки/оптимизации правил обнаружения и реагирования
Более подробно об ATT&CK Workbench и других используемых нами инструментах я рассказывал в докладе Purple Teaming - Взаимодействие, а не противодействие на конференции KazHackStan2023💜
#attack-workbench #purple_teaming2 009
Крч... У меня снова некоторые жизненные трудности и по этому могут быть проблемы с публикациями и активностью 🫠
2 009
Repost from Pentest HaT
🔄 💻 tartufo 5.0.0
Поиск в репозиториях git строк и секретов основываясь на энтропии.
Проверяет историю коммитов и т.д.
Похож на trufflehog, но мне понравился даже больше в РУ реалиях.
Написан на Python 🐍
Установка:
pip install tartufo
Есть несколько режимов:
tartufo scan-folder [OPTIONS] TARGET
tartufo scan-local-repo [OPTIONS] REPO_PATH
tartufo scan-remote-repo [OPTIONS] GIT_URL
В основном интересен scan-remote-repo, проверил на своем репозитории, по запарке забыл убрать токен телеграм бота, на скрине все видно 😄
tartufo scan-remote-repo https://github.com/akhomlyuk/pyradm
Токены заменены!
💻 Home
▪️ Docs
#tartufo #soft #python
✈️ // Pentest HaT 🎩2 009
Repost from Pentester's Backlog
⚠️ В рендере медиа в Телеграмме сейчас гуляет RCE
Выключайте предзагрузку медиа-файлов в клиенте (Windows)
2 009
Repost from Investigation & Forensic TOOLS
CreepyCrawler
Инструмент для сканирования сайта на предмет полезной информации. Достаточно просто указать начальный url адрес и краулер начнет искать основываясь на hrefs, robots.txt и карте сайта следующее:
- Электронная почта
- Ссылки на социальные сети
- Суб домены
- Файлы
- Список просканированных ссылок сайта
- HTML-комментарии
- IP-адреса
- Маркетинговые теги (UA,GTM и т. д.)
2 009
Repost from HaHacking
📄 #инструменты #web
➡️Когда в уязвимости к XSS [ = в некорректной обработке пользовательского ввода ] виноват не сервер, а клиент – получаем DOM XSS; А как получаем-то?
📕 [ LEARN ] Что почитать? ‼️
🧩 HackTricks: DOM XSS
🧩 PortSwigger: DOM XSS
🧩 DOM XSS Wiki
🧺 [ SCRAPE ] Чем собрать JS код?
// Что с source map? Как учесть фреймворки?
➖DevTools браузера
➖katana
-headless
➖Selenium / Playwright / Puppeteer / PhantomJS / Crawlee
➖sourcemapper
➖unwebpack-sourcemap
➡️DevTools: 💻 React / 👩💻 Vue / 💻 Angular
🎲 [ DEOBFUSCATE ] Чем деобфусцировать код?
// Чем приводить к адекватному виду?
➖deobfuscate.io + obf-io.deobfuscate.io
➖lelinhtinh.github.io
➖jsnice.org
➖deobfuscate.relative.im
➖willnode.github.io
➡️js-beautify / 👩💻 Webcrack / 🖥 Humanify
💠 [ ANALYZE ] Чем проводить анализ?
▪️{ SAST } Semgrep + правила: XSS / DOM-based XSS
▪️{ DAST } Untrusted Types / PostMessage tracker
🚀 [ MAGIC ] А комбайны есть?
🔖 DOMDig – nodeJS скрипт для скана одностраничных веб-приложений внутри Chromium, рекурсивно краулит DOM и запускает event'ы. Возможна настройка сценария логина, прокси, произвольных заголовков, ...;
🔖 FindDOM-XSS – bash скрипт для поиска потенциальных уязвимостей к DOM XSS с использованием LinkFinder;
🔖 NoXSS – python скрипт для скана сайтов на Reflected / DOM-based XSS с использованием Chrome / PhantomJS;
😈 #инструменты
Что имеем в случае Burp Suite: ▪️DOM Invader ⚡️ ▪️Burp Bounty ▪️DOM XSS Checks – пассивный скан DOM XSS; ▪️XSS Validator – автоматизация поиска + валидации уязвимости к XSS; ▪️Burp DOM Scanner – рекурсивный краулер и сканер для одностраничных веб-приложений; ▪️JavaScript Security – проверки на DOM XSS / проблемы целостности подресурсов (SRI) / по данным Threat Intelligence;// 💬: Огромное спасибо, @panyakor, за то, что когда-то сделал погружение в мир Client-Side уязвимостей чуть более безболезненным :) @HaHacking 🐇
2 009
Repost from PWN AI
👋.
Понравился мне GitBook, и решил я, что буду там вести блог(писать длинные статьи, вместо телетайпа) + мини-вики(там это также есть, заметочки про атаки на mlops). Я уже завёз туда первую обзорную статью про фреймворки для MlSecOps. Если кому-то интересно узнать кто сейчас предлагает фреймворк для того, что-бы безопасно выстроить процесс разработки ML или в каком фреймворке описано больше всего уязвимостей.. то вот
https://blog.wearetyomsmnv.wtf/articles/mlsecops-frameworks-...-which-ones-are-available-and-what-is-the-difference
8 фреймворков я пока-что знаю))).
К вашему ознакомлению. Да, не на родном, но думаю это не станет проблемой.
2 009
Быстрый веб фаззер написанный на rust
Со всеми плюсами можете ознакомиться на странице проекта.
https://github.com/cestef/rwalk
اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
