Fsecurity | HH
Открыть в Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Больше2 011
Подписчики
+224 часа
-17 дней
-1030 день
Архив постов
2 011
Ну что-ж... Нас стало >300 в Discord сервере 🥳
В честь этого! Мы проводим набор!
С 03.03.2024 - 08.03.2024 будет возможность бесплатно вступить в 🎓・PFS Academy
Изменение в поступлении!
Теперь есть 2 направления:
⚔️・InfoSec
🌐・OSINT
Подробнее тут:
🔗Ссылка 👈🏻
2 011
Хочу также посоветовать:
1 - Проверить себя на утечки! 💧
2 - Наш discord сервер! Где можно пообщаться 👾
3 - Мой Github 🦑
2 011
Repost from Kraken
🥸 Подборка полезных материалов за эту неделю:
— Что такое Bash
— Веб-сокеты
— CSS в ИБ
— Наша статья в Код Дурова про основа кибербезопасности
— О CORS
— DNS ребайдинг
2 011
Repost from Kali Linux
💻 Вредоносные Deep Learning модели
На платформе Hugging Face обнаружено не менее 100 вредоносных Deep Learning моделей, некоторые из которых могут выполнять код на машине жертвы, предоставляя злоумышленникам постоянный бэкдор.
Специалисты компании JFrog разработали и развернули продвинутую систему сканирования для проверки моделей PyTorch и Tensorflow Keras, размещенных на Hugging Face.
Малварь проникла в Hugging Face несмотря на все меры безопасности, включая сканирование на наличие малвари, а также тщательное изучение функциональности моделей для обнаружения такого поведения, как небезопасная десериализация.
Одним из примеров стала модель PyTorch, загруженная недавно пользователем под ником
baller423 и уже удаленная с HuggingFace. Она содержала полезную нагрузку, которая позволяла создать реверс-шелл на указанный хост (210.117.212.93). Вредоносная полезная нагрузка использовала метод __reduce__ модуля pickle для выполнения произвольного кода при загрузке файла модели PyTorch, при этом избегая обнаружения за счет встраивания малвари в доверенный процесс сериализации.
В JFrog обнаружили, что та же полезная нагрузка связывалась и с другими IP-адресами, что позволяет предположить, что ее операторы все же являются ИИ- и ИБ-исследователями, а не хакерами. Однако такие эксперименты в JFrog все равно называют слишком рискованными, учитывая, что опасные модели были общедоступны.
Пытаясь определить истинные намерения операторов вредоноса, аналитики развернули приманку для привлечения активности и ее анализа. Им удалось установить соединение с сервером потенциальных злоумышленников, однако не удалось перехватить ни одной команды за время поддержания соединения.
@linuxkalii2 011
Repost from Bounty On Coffee
Как раскрыть тайные места приложения?
Два года назад я описывал методы сбора API и получился такой список:
- Публичные Swagger;
- Динамическая сборка;
- В JavaScript файлах;
- С помощью дорков;
- Перебор эндпоинтов;
- APK файл;
- Internet Archive.
Недавно обнаружил для себя еще 1 очень простой и эффективный способ.
Суть заключается в подмене значения параметров.
И на проектах и на багбаунти такой способ давал достаточно хороший импакт.
Чтобы лучше разобраться, приведу примеры:
Если обращали внимание, то часто в ответе на запрос авторизации или запрос данных пользователя можно увидеть такие параметры в теле ответа:
Пример запроса:
GET /api/v3/profiles/me HTTP/2 Host: api.redacted.me Cookie: cookiesОтвет:
..... "permissions":["access1.any1","access2.any2"...], .....Еще несколько примеров:
"role":"customer"
"isAdmin":false
"subscription":"Basic"
Логика здесь понятна: при авторизации или запросе к другому методу бэкенд дает нам соответствующее значение прав доступа. Но никто не мешает нам подменить это значение, например, на роль "админа" и на фронте мы увидим интерфейс админа или любой другой роли.
Но это просто фронт, скажете вы. Да, это просто фронт, но это наш промежуточный шаг. Затем мы легко и быстро можем проверить, доступны ли нам эти методы. И по моей статистике, в большинстве случаев окажется, что нам доступны эти методы.
В итоге к какому импакту это приводит?
1. Повышение привилегий внутри одного акканта, если там есть ролевая модель или же платная и бесплатная версия
2. IDORы, мы получаем новые методы и там могут быть IDORы
3. Обход какого-то функционала, за последнее время так получалось обойти KYC на бирже и подключать платные подписки
Некоторый процент из этих API методов можно найти и в JS файлах, но не все и не всегда. Зачастую в приложениях все методы не описываются в 1 JS файлы и пока нам недоступен этот функционал, то не найдем их. Ну и этот способ максимально простой тебе на фронте остается нажать просто на кнопку и запрос сам сформируется, не нужно собирать вручную из JS.
Как подменять?
Самый простой и эффективный способ - использовать Burp:
Tools -> Proxy -> Match and Replace rules -> add -> Response body и заменяем значение, например, false на true или basic на premium. Если permissions уникальные, такое тоже часто встречается, то часто встречаются и методы, которые выплевывают списки всех существующих permissions.
#bypass #logic #tampering2 011
Repost from Белый хакер
✖️Геоинт: географическая развдека
💬Геоинт (от англ. GEOINT — geographic intelligence) — это вид разведывательной деятельности, которая использует географические данные, включая картографию, изображения и информацию о местоположении для сбор и анализа разведданных. В последнее время популярность GEOINT сравнима с популярностью OSINT, поэтому сегодня расскажем вам о некоторых интересных инструментах.
🟢 app.shadowmap.org
Специализированная карта, которая позволяет определить вид здания или места в определённое время суток. Суть инструмента — в учитывании расположения солнца и соответствующих теней. Помогает определить время или местоположение анализируемого фотоматериала.
🟢 suncalc.org
Намного более продвинутая и сложная в использовании версия инструмента выше. Позволяет работать с картой и положением солнца для определения местоположения или времени анализируемого фотоматериала.
🟢geodetective.io
Ресурс для тех, кто практикует GEOINT и повышает уровень своих знаний. Сайт предоставляет фотоматериал, на котором можно практиковаться. Кстати, на сайте можно загрузить свой материал, который попытаются отыскать другие энтузиасты и эксперты.
🟢 osmbuildings.org
Специальная 3D-карта, которая позволяет получить широкий перечень информации о каком-либо здании: его физические параметры, тип и т.д.
🟢 cyberdetective.com/osintmap
Супер-инструмент с подборкой региональных источников для OSINT разведки по странам.
#OSINT #GEOINT
P. S Рекомендуем к изучению
Белый хакер
Уже доступно! Исследование Telegram 2025 — ключевые инсайты года 
