ANTICHAT Channel

Античат 2.0. Фаза 0. Анонс новых изменений. https://forum.antichat.club/threads/490046/

Всем привет! Мы проводим розыгрыш 2 билетов на конференцию OFFZONE 2023, которая пройдет 24 и 25 августа в Москве. Испытать удачу можно на нашем форуме по ссылке. https://forum.antichat.club/threads/489977/

®️ Вы не поверите, но это… программа! Наконец-то наш CFP-комитет отобрал лучших из лучших и мы готовы рассказать, какие доклады будут на OFFZONE 2023. Программа будет пополняться, следите за обновлениями на сайте. Для полного погружения в атмосферу OFFZONE видео в посте смотрите строго со звуком!

https://xakep.ru/2022/08/26/lastpass-hacked/ https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/

Горячая и красивая RCE в Java Всему виной XSLT либа Xalan, которая ставит под удар различные реализации SAML аутентификации. И подобное довольно часто встречается на вебчике, в этих ваших тырпрайзах 🙃 Детальный райтап и PoC: https://bugs.chromium.org/p/project-zero/issues/detail?id=2290 CVE и фиксы: https://openjdk.org/groups/vulnerability/advisories/2022-07-19

«KazHackStan» - это главная ежегодная практическая конференция, посвященная вопросам информационной безопасности, и является одной из самых масштабных IT конференций в Центральной Азии. Одним из ключевых мероприятий конференции KazHackStan 2022 - TOITARYS станет масштабная площадка по практическому пентесту на основе моделей городской инфраструктуры – полигон «CyberKümbez». Вас ждет: • keynote speaker Jayson E. Street - один из самых известных мировых хакеров • 30 докладов от известных экспертов и мировых хакеров • 3-х дневный киберполигон, на котором сразятся 20 хакерских команд за денежный приз • 5 технических воркшопов • несколько тысяч участников со всего СНГ Впервые, в рамках конференции «KazHackStan 2022» пройдут региональные киберучения Международного Союза Электросвязи (МСЭ ООН). Примите участие в самой масштабной конференции по кибербезопасности в Центральной Азии и регистрируйтесь на сайте kazhackstan.kz. 🗓 14-16 сентября 2022 г. 📍г. Алматы, Дом приемов “Бакшасарай”, ул. Тимирязева 42 к1.

Для онлайн-участников митапа будет трансляция. Присоединяйтесь во вторник 👉 youtube.com/channel/UCP50S-MEIMZVp-gjGNiHLFQ Программа The Standoff Talks 11:00 Интро от организаторов 11:20 Виктор Зварыкин — Не делайте так, как мы 12:10 Артём Кадушко — Страх и ненависть в Bulba Hackers: как мы готовимся и участвуем в The Standoff 13:20 Роман Максимов — Абузим Zabbix заказчика, или Как бедолаге стать хозяином подконтрольных узлов 14:15 Константин Полишин — RedTeam страдания SOC'а 16:10 Денис Рыбин — О том как Privacy Sandbox веб сломал, но обещал починить 16:55 Вадим Шелест и Михаил Дрягунов — Breaking Red 18:20 Илья Шапошников — MSSQL: dump linked passwords 19:10 Магама́ Базаров — Cisco Nightmare. Дьявольский пентест сетей Cisco Подпишитесь на ютуб-канал The Standoff 365 и нажмите 🔔, чтобы получить уведомление о начале трансляции. Будем там собирать полезный технический контент, без воды.

​​📚 Материалы с недавних конференций по ИБ Список материалов с прошедших недавно конференций по информационной безопасности. ▫️ BlackHat (только слайды) ▫️ Defcon ▫️ BSidesLV ▫️ Troopers ▫️ ARE41 ▫️ SANS ransomware summit ▫️ May Contain Hackers #redteam

Когда RFI === RCE, мощный вектор: https://gist.github.com/loknop/b27422d355ea1fd0d90d6dbc1e278d4d Ставящий жирную точку в кейсах вида:

<?php
include($_GET['file']);
?>

Без дополнительных танцев с бубном вокруг сессий, временных файлов, пробросов нагрузки. И в дополнение к райтапу, обзор с дополнительными скриптами для генерации произвольной нагрузки.