Pull to refresh

Формат XXEncode на VBA, или как загрузить бинарник в документ

Visual Basic for Applications *
Recovery mode
Sandbox
При работе в связке Excel+VBA бывает нужно хранить бинарные данные в контейнере, который накладывает ограничения содержимое. Для этих задач был разработан формат XXEncode. И вот, допустим, Вам захотелось иметь необходимые библиотеки и утилиты, связанные с вашим проектом VBA всегда при себе, внутри Рабочей книги .xls. Ниже я покажу, как я реализовал у себя хранение бинарных файлов в комментариях стандартных модулей проектов VBA.
Читать дальше →
Total votes 6: ↑3 and ↓3 0
Views 3K
Comments 5

Хакеры получили $10,000 за взлом Google

Information Security *
Команда исследователей безопасности Detectify, обнаружила серьезную уязвимость на сервере Google.
В основу для взлома легла уже давно известная уязвимость XXE (XML External Entity Processing).

image
Читать дальше →
Total votes 64: ↑61 and ↓3 +58
Views 41K
Comments 26

Эксплуатация уязвимостей eXternal Entity XML (XXE)

OWASP corporate blog Information Security *
Tutorial

В ходе работ по тестированию на проникновение мы можем столкнуться с уязвимостью, которая позволяет нам выполнять атаки XML eXternal Entity (XXE) Injection. XXE Инъекция — это тип атаки на приложение, которое анализирует ввод XML. Хотя это относительно эзотерическая уязвимость по сравнению с другими векторными атаками веб-приложений, например, Cross-Site Request Forgery (CSRF), мы максимально используем эту уязвимость, когда она появляется, поскольку она может привести к извлечению конфиденциальных данных и даже к удаленному исполнению кода (RCE). В статье мы рассмотрим настройку уязвимого PHP-сервера, эксплуатируя уязвимость вручную, а затем перейдем к удобному инструменту под названием XXEInjector, чтобы автоматизировать этот процесс.
Читать дальше →
Total votes 28: ↑26 and ↓2 +24
Views 33K
Comments 3

Внедряем безопасность в процесс разработки крупного проекта

Digital Security corporate blog Information Security *Web services testing *Mobile applications testing *



В данной статье нам хотелось бы поделиться своим опытом внедрения нашей команды пентестеров в цикл разработки большого проекта «МойОфис». Найти материал подобной тематики с реальными кейсами на русском языке практически невозможно. Всем, кого интересует модные направления пентестов, теория, практика, методики, тулзы и реально найденные уязвимости в контексте безопасной разработки, — добро пожаловать под кат. Статья изобилует полезными ссылками на теоретические и практические материалы. Но давайте по порядку.

Читать дальше →
Total votes 46: ↑43 and ↓3 +40
Views 20K
Comments 6

Злой XML с двумя кодировками

Information Security *Abnormal programming *XML *
WAFы видят вместо документа белый шум!
00000000 3C3F 786D 6C20 7665 7273 696F 6E3D 2231 <?xml version="1
00000010 2E30 2220 656E 636F 6469 6E67 3D22 5554 .0" encoding="UT
00000020 462D 3136 4245 2200 3F00 3E00 3C00 6100 F-16BE".?.>.<.a.
00000030 3E00 3100 3300 3300 3700 3C00 2F00 6100 >.1.3.3.7.<./.a.
00000040 3E >
В статье — небольшой рассказ про кодировки в XML и про обход WAFов с их помощью.
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 23K
Comments 5

Web Security Testing Starter Kit

Semrush corporate blog Information Security *Web services testing *
Всем привет!

Меня зовут Андрей. Уже 10 лет я занимаюсь поиском уязвимостей в различных веб-сервисах. и готов поделиться своими знаниями с вами. В мае прошлого года я выступал с докладом про это на конференции Heisenbug, а теперь готов поделиться своими знаниями еще и здесь, на просторах Хабра. Итак, начнем.

Однажды я нашел уязвимость на серверах небезызвестной компании Facebook. Ребята забыли обновить ImageMagick (библиотеку по обработке изображений) и поплатились за это:) Этим примером я хотел показать, что все мы люди, и все можем допускать ошибки, неважно, в каких компаниях и на каких должностях мы работаем. Проблема только в том, что эти ошибки могут приводить к разного рода рискам.
Чем сложнее у вас приложение/сайт/инструмент, тем больше вероятность того, что что-то может пойти не так.
Проверять на уязвимости нужно. Глупо не делать этого совсем.
Читать дальше →
Total votes 26: ↑25 and ↓1 +24
Views 20K
Comments 8

XXE: XML external entity

VDS.SH / DEDIC.SH corporate blog Information Security *
Translation
image
В этой статье мы объясним, что такое инъекция внешних сущностей XML, опишем некоторые общие примеры, поясним, как найти и использовать различные виды XXE-инъекций, а также обобщим, как предотвратить атаки с их помощью.
Читать дальше →
Total votes 40: ↑37 and ↓3 +34
Views 15K
Comments 2

Безопасность веб-приложений: от уязвимостей до мониторинга

Pentestit corporate blog Information Security *Web services testing *DevOps *


Уязвимости веб-приложений возникают тогда, когда разработчики добавляют небезопасный код в веб-приложение. Это может происходить как на этапе разработки, так и на этапе доработки или исправления найденных ранее уязвимостей. Недостатки часто классифицируются по степени критичности и их распространенности. Объективной и наиболее популярной классификацией уязвимостей считается OWASP Top 10. Рейтинг составляется специалистами OWASP Project и актуализируется каждые 3-4 года. Текущий релиз выпущен в 2017 году, а следующий ожидается в 2020-2021.
Читать дальше →
Total votes 20: ↑12 and ↓8 +4
Views 17K
Comments 0

Веб-безопасность 201

Конференции Олега Бунина (Онтико) corporate blog Information Security *Website development *Programming *Conferences

Сегодня — вторая часть теории, которую рассказал эксперт по информационной безопасности и преподаватель Иван Юшкевич (https://twitter.com/w34kp455) провел мастер-класс по безопасности на конференции РИТ++ на платформе hacktory.ai.

Практическую часть о том, как накрутить лайки в социальных сетях, украсть криптовалюту и получить доступ к самым большим секретам пользователей, вы можете посмотреть здесь и здесь. Первую часть можно посмотреть по этой ссылке

Сегодня рассказ будет о CSRF, XSS и XXE.

Читать далее
Total votes 15: ↑14 and ↓1 +13
Views 6.5K
Comments 3

Особенности защиты веб-приложений с помощью WAF

МТС corporate blog Information Security *Website development *Cloud services *
Бизнесу важно любой ценой сократить time to market цифровых продуктов. Нет времени объяснять защищать — выпускаем новый релиз. Так зачастую бывает с веб-приложениями. При их разработке или развитии вопросы безопасности отодвигаются на второй план. Это приводит к уязвимостям в коде, слабым параметрам аутентификации пользователей, недостаткам контроля доступа и т.д. И целого поста на Хабре не хватит, чтобы рассказать обо всех проблемах.



Уязвимости — это рабочая неизбежность, ведь задача бизнеса — выпустить новый функционал веб-приложений в заданные сроки, когда нет места идеальному результату без временных ограничений.
Читать дальше →
Total votes 4: ↑4 and ↓0 +4
Views 3.9K
Comments 0

Уязвимости из-за обработки XML-файлов: XXE в C# приложениях в теории и на практике

PVS-Studio corporate blog Information Security *Programming *.NET *C# *

Как простая обработка XML-файлов может стать дефектом безопасности? Каким образом блог, развёрнутый на вашей машине, может стать причиной утечки данных? Сегодня мы ответим на эти вопросы и разберём, что такое XXE и как эта уязвимость выглядит в теории и на практике.


0918_XXE_BlogEngine_ru/image1.png

Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 3.9K
Comments 2

Why does my app send network requests when I open an SVG file?

PVS-Studio corporate blog Information Security *Programming *.NET *C# *

0923_SVG_XXE_ru/image1.png


You decided to make an app that works with SVG. Encouraged by the enthusiasm, you collected libraries and successfully made the application. But suddenly you find that the app is sending strange network requests. And data is leaking from the host-machine. How so?

Read more →
Total votes 3: ↑3 and ↓0 +3
Views 1.5K
Comments 0

Почему моё приложение при открытии SVG-файла отправляет сетевые запросы?

PVS-Studio corporate blog Information Security *Programming *.NET *C# *

0923_SVG_XXE_ru/image1.png


Вы решили сделать приложение, работающее с SVG. Набрали библиотек, запаслись энтузиазмом, и в итоге всё удалось. Но вот незадача! Внезапно вы обнаруживаете, что приложение отправляет странные сетевые запросы. Кроме того, с хост-машины утекают данные. Как же так?

Читать дальше →
Total votes 82: ↑82 and ↓0 +82
Views 13K
Comments 14

Защищаем API – что важно знать?

Angara Security corporate blog Information Security *API *

В фундаменте каждой информационной защиты лежит глубокое понимание технологии целевой системы. В этой статье речь пойдет о защите API (Application Programming Interface) — важнейшего набора функций для каждого прогера.

Интересно узнать об актуальных инструментах защиты API и о том, почему их важно применять? Го под кат!

Читать далее
Total votes 11: ↑11 and ↓0 +11
Views 5.1K
Comments 14