Совсем недавно веб-сайты с Let's Encrypt (225 миллионов доменов) рисковали остаться без трафика с устройств на старых версиях Android (34% от всех девайсов). По заявлениям Let's Encrypt они нашли выход из ситуации и IdenTrust выпустил для них новый трехлетний перекрестный знак для корня ISRG X1 со своего корневого центра сертификации DST X3. Но действительно ли владельцам сайтов с Let's Encrypt можно расслабиться?

Истекающий срок действия корневого сертификата Let's Encrypt означает, что каждое третье устройство Android (более 34% устройств используют версии 7.1.1 и ниже) будет заблокировано с миллионов сайтов, защищенных системой Let's Encrypt.

Данная проблема – результат того, что Let's Encrypt больше не использует перекрестную подпись со сторонним корневым сертификатом. Из-за этого посетители веб-сайтов на старых версиях Android будут заблокированы от доступа к сайтам, защищенным с помощью Let's Encrypt.

Это определенно не то, что пользователи хотят видеть при посещении веб-сайта. Аналогично и владельцы сайтов не горят желанием, чтобы пользователи видели какие-либо предупреждения, которые могут посеять сомнения по поводу безопасности их страниц.

Что именно привело к такому повороту событий? Кого могут коснутся изменение? Что могут сделать владельцы сайтов, чтобы минимизировать ущерб?

Предыстория проблемы

Корни проблемы исходят из 2015 года, когда компания Let’s Encrypt была основана группой Internet Security Research Group (ISRG) и их партнерами. Поскольку могут потребоваться годы на то, чтобы все ОС и браузеры начали доверять их собственному сертификату, они подписали свои сертификаты перекрестно с доверенным корнем существующего ЦС (IdenTrust и их сертификатом DST Root X3), что является типичным поведением для новых центров сертификации.

Hashcat – это самая быстрая и передовая утилита для восстановления паролей, поддерживающая пять уникальных режимов атаки для более чем трёхсот алгоритмов хеширования.

Hashcat поддерживает:

• Процессоры:
  
  • CPU
  • GPU
• Другие аппаратные ускорители в:
  
  • Linux
  • Windows
  • macOS

Также hashcat имеет средства, которые помогают включить распределенный взлом паролей.

HashCat поддерживает следующие режимы атаки:

• Брутфорс
• Комбинаторная атака
• Гибридная атака
• Атака по Маске
• Перестановочная атака
• Атака на основе правил
• Табличная атака
• Атака с переключением регистра

С помощью данной команды можно проверить все доступные параметры:

hashcat –h

Сегодня мы будем использовать режим атаки по словарю.

Содержание:

• MD5-хеши
• MD5-хеши с солью
• Хеш-суммы MD5Crypt
• HMAC-SHA1 key
  
  • Хеш-суммы SHA-1
• Хеши SHA2–384
• Хеши SHA3–512
• NTLM-хеши
• CRC32-хеши

MD5-хеши

Убедитесь, что входные хеши имеют совместимый с hashcat формат.

Пример:

8743b52063cd84097a65d1633f5c74f5 >hash.txt

Команда:

hashcat -m 0 -a 0 hash.txt passwordlist.txt

Содержание:

• Что такое JWT?
  
  • Заголовок
  • Полезная нагрузка
  • Подпись
  • Что такое SECRET_KEY?
• Атаки на JWT:
  
  • Базовые атаки:
    
    1. Нет алгоритма
    2. Изменяем алгоритм с RS256 на HS256
    3. Без проверки подписи
    4. Взлом секретного ключа
    5. Использование произвольных файлов для проверки
  • Продвинутые атаки:
    
    1. SQL-инъекция
    2. Параметр поддельного заголовка
    3. Внедрение заголовка ответа HTTP
    4. Прочие уязвимости

Что такое JSON Web Token?

Веб-токен JSON обычно используется для авторизации в клиент-серверных приложениях. JWT состоит из трех элементов:

• Заголовок
• Полезная нагрузка
• Подпись

Заголовок

Это объект JSON, который представляет собой метаданные токена. Чаще всего состоит из двух полей:

• Тип токена
• Алгоритм хэширования

Официальный сайт предлагает два алгоритма хэширования:

• «HS256»
• «RS256»

Kawasaki Heavy Industries, Ltd. — японская публичная транснациональная корпорация, известная в первую очередь как производитель:

• Мотоциклов
• Двигателей
• Подвижного состава
• Судов
• Оборудования:
  
  • Тяжелого
  • Оборонного
  • Аэрокосмического

Компания заявила, что она подвергалась несанкционированному доступу извне. В результате тщательного расследования компания обнаружила, что некоторая информация из зарубежных офисов могла быть передана третьим лицам.

«11 июня 2020 года внутренний системный аудит выявил несанкционированное подключение к серверу в Японии из офиса компании в Таиланде. В тот же день связь между зарубежным офисом и Японией была полностью прекращена, а происшествие расценили как случай несанкционированного доступа» — говорится в официальном заявлении компании.

IT-персонал Kawasaki обнаружил соединение с сервером в Японии из зарубежного офиса в Таиланде, которого не должно было возникнуть.

Впоследствии были обнаружены другие несанкционированные подключения к серверам в Японии с других зарубежных офисов в:

• Индонезии
• Филиппинах
• США

Всякий раз, когда мы входим в приложение, сервер выдает Session ID или token, которые являются уникальными. Но что, если бы мы могли угадать следующий уникальный идентификатор сеанса, который будет сгенерирован сервером?

Сегодня попробуем обогнать алгоритм приложения и войти в него, выдавая пользователя с прогнозируемым Session ID.

Drozer – обязательный инструмент в арсенале каждого пентестера. С его помощью можно быстро получить информацию о приложении и его слабых местах.

Drozer предустановлен в Kali Linux и других ОС для белого хакинга.

Возможности Drozer:

1. Получение информации о пакете
2. Определение поверхности атаки
3. Запуск активностей
4. Чтение от поставщиков содержимого
5. Взаимодействие со службами
6. Дополнительные опции

1. Получение информации о пакете

Мы можем получить пакеты, присутствующие на подключенных устройствах, а также информацию о любом установленном пакете.

To get list of all packages present in the device.
dz> run app.package.list

To search for a package name from the above list
dz> run app.package.list -f <your_string>

To get basic info about any selected package
dz> run app.package.info -a <package_name>

2. Определение поверхности атаки

Это та часть, с которой мы начинаем исследовать уязвимости. В первую очередь проверим количество экспортированных:

• Активностей
• Поставщиков содержимого
• Служб

По статистике 90% инцидентов безопасности возникают в результате использования злоумышленниками известных программных ошибок. Естественно, что устранение уязвимостей на этапе разработки ПО значительно снижает риски информационной безопасности.

Для этого в помощь разработчикам был создан целый ряд технологий, позволяющих выявлять недостатки безопасности на ранних этапах, избавляясь от них до релиза продукта. К таким технологиям можно отнести:

• SAST
• DAST
• IAST
• RASP

SAST и DAST

SAST (Static Application Security Testing) — тестирование «белого ящика», существует уже более десяти лет. Позволяет разработчикам находить уязвимости безопасности в исходном коде приложения на ранних этапах жизненного цикла разработки ПО. SAST также обеспечивает соответствие руководствам и стандартам кодирования без фактического выполнения базового кода.

DAST (Dynamic Application Security Testing) — тестирование «черного ящика», может обнаруживать уязвимости и слабые места в работающем приложении, обычно веб-приложениях. Это достигается за счет использования методов внедрения ошибок в приложении, таких как передача вредоносных данных в программное обеспечение, для выявления распространенных уязвимостей безопасности, например, SQL-инъекций и межсайтовых сценариев.

DAST также может пролить свет на проблемы времени выполнения, такие как:

• проблемы аутентификации и конфигурации сервера
• недостатки, видимые только при входе известного пользователя

Обнаружить это с помощью статистического анализа нельзя.

Представители Microsoft подтвердили, что они зарегистрировали новое вредоносное ПО Adrozek, которое непрерывно атаковало популярные браузеры:

• Google Chrome
• Firefox
• Microsoft Edge
• Яндекс

Что делает Adrozek?

• Вставляет баннерную рекламу:
  
  • В поисковую выдачу
  • На любые веб-страницы
• Ворует персональные данные

Согласно отчету Microsoft, Adrozek используется как минимум с мая 2020 года, а пик его активности приходится на август, когда он ежедневно атаковал более 30 000 браузеров.

С мая по сентябрь от этого вредоносного ПО сильно пострадали:

• Европа
• Азия

Инфраструктура распределения

Злоумышленники устанавливают это вредоносное ПО на устройство путем автоматической загрузки. Эксперты отслеживали деятельность Adrozek с мая по сентябрь 2020 года. В результате было установлено, что созданный злоумышленниками ботнет состоит из 159 уникальных доменов.

Autopsy — это программа с открытым исходным кодом, которая используется для выполнения криминалистических операций с жесткими дисками и смартфонами.

Этот инструмент применяется:

• правоохранительными органами
• местной полицией
• корпоративными отделами безопасности

Основное предназначение программы — расследование улик киберпреступлений, но также Autopsy может использоваться для восстановления удаленной информации.

Содержание:

• Создание нового проекта
• Источники данных
• Просмотр содержимого
  
  • Типы файлов:
    
    • По расширению
    • Документы
    • Исполняемые файлы
  • По типам MIME
• Удаленные файлы
• Файлы по размеру
• Полученные результаты
  
  • Извлеченный контент
    
    • Метаданные
    • Корзина
    • Загрузки из интернета
  • Ключевые слова
• Timeline
• Discovery
• Изображения/Видео
• Тегирование
• Создание отчетов

Первым делом скачаем Autopsy.

Создание нового проекта

Запускаем Autopsy в Windows и нажимаем "New Case".

Вводим название проекта, а также выбираем базовый каталог, чтобы все данные сохранялись в одном месте.

Whonix — это дистрибутив Linux на основе Debian, который разработан для обеспечения повышенной безопасности и конфиденциальности. Высокая анонимность достигается средствами VirtualBox и Tor. Whonix снижает угрозу от распространенных векторов атак, сохраняя при этом удобство использования.

Сильно перенастроенная база Debian запускается на нескольких виртуальных машинах, обеспечивая существенный уровень защиты от вредоносных программ и утечек IP-адресов.
Часто используемые приложения предварительно установлены и настроены, а при установке дополнительных приложений или персонализации рабочего стола пользователь не подвергается никакой опасности.

Whonix находится в стадии активной разработки и является единственной операционной системой, предназначенной для работы внутри виртуальной машины в сочетании с Tor.

Более подробно о Whonix и других ОС для безопасности.

Содержание:

• Что нужно для работы с Whonix?
• Что такое Whonix Gateway и Whonix Workstation?
• Установка и настройка
• Рекомендации по использованию

Что нужно для работы с Whonix?

1. VirtualBox
2. Непосредственно Whonix:
   
   • Whonix Gateway
   • Whonix Workstation

Сейчас оба идут в одном файле .ova

Что такое Whonix Gateway и Whonix Workstation?

• Whonix Gateway – выступает в качестве шлюза во всемирную сеть, направляя весь трафик через сеть Tor.
• Whonix Workstation — это место, где мы работаем как пользователь. Находится в полностью изолированной сети.

ПРИМЕЧАНИЕ: Помните, что нужно запустить Gateway и Workstation

Установка и настройка

Загружаем и устанавливаем VirtualBox.

Утилита tcpdump — отличный инструмент командной, который способен перехватывать и анализировать сетевой трафик. Может оказаться большим подспорьем при решении сетевых проблем. Пакеты можно сохранить в файл и анализировать позже. Рекомендуется время от времени запускать эту утилиту, чтобы следить за своей сетью.

Содержание:

• Вывод tcpdump
• Установка tcpdump
• Опции tcpdump
• Фильтры tcpdump:
  
  • Фильтр выражений
  • Фильтр портов
  • Фильтр хостов
  • Комбинирование фильтров
• Сохранение заголовков в файл
• Просмотр сведений о пакете
• Вывод

Вывод tcpdump

Утилита tcpdump позволяет проверять заголовки пакетов TCP/IP и выводить одну строку для каждого из пакетов. Она будет делать это до тех пор, пока не нажать Ctrl + C.

Давайте рассмотрим одну строку из примера вывода:

20:58:26.765637 IP 10.0.0.50.80 > 10.0.0.1.53181: Flags [F.], seq 1, ack 2, win 453, options [nop,nop,TS val 3822939 ecr 249100129], length 0

Каждая строка включает:

• Метка времени Unix (20: 58: 26.765637)
• протокол (IP)
• имя или IP-адрес исходного хоста и номер порта (10.0.0.50.80)
• имя хоста или IP-адрес назначения и номер порта (10.0.0.1.53181)
• Флаги TCP (Flags [F.]). Указывают на состояние соединения и могут содержать более одного значения:
  
  • o S — SYN. Первый шаг в установлении соединения
  • F — FIN. Прекращение соединения
  • — ACK. Пакет подтверждения принят успешно
  • P — PUSH. Указывает получателю обрабатывать пакеты вместо их буферизации
  • R — RST. Связь прервалась
• Порядковый номер данных в пакете. (seq 1)
• Номер подтверждения. (ack 2)
• Размер окна (win 453). Количество байтов, доступных в приемном буфере. Далее следуют параметры TCP
• Длина полезной нагрузки данных. (length 0)

HTML считается каркасом для каждого веб-приложения, определяющим его структуру. Но порой даже самую продуманную экосистему можно испортить парочкой простых скриптов.

Сегодня мы узнаем, как злоумышленники могут получить доступ к веб-приложению с помощью ошибок в его HTML коде.

Содержание:

• Что такое HTML?
• Что такое HTML-инъекция?
• Угрозы HTML-инъекции
• HTML-инъекция и XSS
• Типы инъекций
  
  • Сохраненный HTML
  • Отраженный HTML
    
    • GET
    • POST
    • Текущий URL
• Защита от HTML-инъекции

Что такое HTML?

HTML (HyperText Markup Langauge) — это основной строительный блок сети, который определяет формирование веб-страниц в веб-приложении. HTML используется для разработки веб-сайтов, состоящих из «гипертекста», чтобы включить «текст внутри текста» в качестве гиперссылки и комбинации элементов, которые визуально отображаются в браузере.

Что такое элемент?

Элемент — это основная структурная единица веб-страницы. Он содержит открывающий и закрывающий теги с текстовым содержимым между ними».

Сегодня защита веб-приложения имеет решающее значение, поэтому осваивать пентест инструменты приходится и самим разработчикам. О мощном фреймворке WPScan для пентеста WordPress мы уже писали, но сайты бывают и на других движках. Именно поэтому сегодня разберем более универсальный пентест-инструмент OWASP ZAP (Zed Attack Proxy).

Что такое OWASP ZAP?

OWASP (Open Web Application Security Project) — всемирная некоммерческая организация, деятельность которой направлена на повышение безопасности ПО.

OWASP ZAP (Zed Attack Proxy) — один из самых популярных в мире инструментов безопасности. Это часть сообщества OWASP, а значит, что этот инструмент абсолютно бесплатный.

Почему многие выбирают OWASP ZAP?

Он предназначен для пользователей с широким спектром опыта в области безопасности, поэтому отлично подходит для разработчиков и функциональных тестировщиков, которые плохо знакомы с пентестами.

ZAP создает прокси-сервер между клиентом и вашим сайтом. Пока вы перемещаетесь по своему веб-сайту, он фиксирует все действия, а затем атакует сайт известными методами.

Открытый исходный код!

Проект был запущен в 2010 году, но до сих пор дорабатывается и регулярно обновляется.

Настройка среды ZAP

ZAP является кроссплатформенным и для своей работы требует только наличия JAVA 8+. Поэтому можно обойтись без Kali Linux или других ОС для белого хакинга.

Из Википедии веб-краулер или паук – бот, который с просматривает всемирную паутину, как правило, с целью индексации. Поисковики и другие веб-сайты используют краулеры для обновления своего содержимого или индексации содержимого других сайтов.

Давайте начнем!!

Metasploit

Вспомогательный поисковый модуль Metasploit представляет собой модульный поисковый робот, который будет использоваться вместе с wmap или автономно.

use auxiliary/crawler/msfcrawler
msf auxiliary(msfcrawler) > set rhosts www.example.com
msf auxiliary(msfcrawler) > exploit

Видно, что был запущен сканер, с помощью которого можно найти скрытые файлы на любом веб-сайте, например:

• about.php
• jquery contact form
• html и т. д.

Honeypots – оборудование или ПО, которые специально развертываются отделами безопасности для изучение угроз. Ханейпот служит приманкой для сбора информации о злоумышленнике и защиты реальной целевой системы. Данный принцип был в основе и первых технологий Deception. О различиях DDP и Honeypots детально написано здесь.

Содержание:

• Что такое Honeypots?
• Классификация Honeypots
  
  • По уровню взаимодействия:
    
    • Приманки с низким уровнем взаимодействия
    • Приманки с средним уровнем взаимодействия
    • Приманки с высоким уровнем взаимодействия
    • Чистые приманки
  • По развертыванию:
    
    • Производственные приманки
    • Исследовательские приманки
  • По технологии обмана:
    
    • Приманки для вредоносного ПО
    • Email приманки
    • Приманки в виде баз данных
    • Приманки для «пауков»
    • Приманки для спама
    • Honeynets
• Установка и работа Honeypots
  
  • Windows: HoneyBOT
  • Android: HosTaGe
  • Linux: Pentbox

Что такое Honeypots?

Honeypots – это тип интернет-ресурсов безопасности, которые используются в качестве наживки для злоумышленников, чтобы побудить их вторгнуться в сеть для любого незаконного использования. Такие приманки обычно настраиваются для изучения активности злоумышленника в сети, чтобы создавать более надежные средства защиты. Honeypot не несут никаких ценных данных, так как это поддельный хост, который помогает регистрировать сетевой трафик.

Типы данных, которые собирают приманки:

• Сочетания клавиш вводимые злоумышленником
• IP-адрес злоумышленника
• Имена пользователей и различные привилегии, используемые злоумышленником.
• Данные, к которым злоумышленник:
  
  • получил доступ
  • удалил
  • изменил

Классификация Honeypots

В этой статье вы узнаете о том, как взламывать учетные данные сайтов на WordPress с помощью различных брутфорс атак.

Содержание:

• Предварительные требования
• WPscan
• Metasploit
• Люкс Burp
• Как обезопасить сайт от брутфорса?

Предварительные требования

• Сайт на WordPress. Здесь мы будем использовать собственную лабораторию для пентеста, о созданию которой был посвящен наш предыдущий пост.
• Kali Linux (WPscan). Более подробно о WPScan и его возможностях мы уже писали, а вместо Kali Linux можно использовать любую другую из ОС для белого хакинга.
• Burp Suite (Intruder). Более подробно о данном инструменте можно узнать здесь.

WPscan

WPscan – это фреймворк, который используется в качестве сканера уязвимостей методом «черного ящика». WPscan предустановлен в большинстве дистрибутивов Linux, ориентированных на безопасность, а также доступен в виде подключаемого модуля.

Здесь мы будем использовать WordPress, размещенный на локальном хосте.

Во время перебора можно использовать:

• Собственные общие списки логинов и паролей
• Базы логинов и паролей, которые уже есть в Kali Linux

В данной статье мы рассмотрим процесс создания собственной пентест-лаборатории для WordPress на:

• Ubuntu 20.04
• Docker
• Windows с использованием XAMPP

Непосредственно тесты на проникновения можно делать с помощью WPScan, о котором мы уже писали.

WordPress в Ubuntu 20.04

Для работы WordPress необходимы:

• Apache
• База данных (MySQL / Mariadb)
• PHP

Apache

Запустим службу HTTP с помощью Apache, используя учетную запись с root-правами. Для этого выполним следующую команду в терминале:

apt install apache2

Сегодня более половины всех сайтов работают на CMS, а согласно данным W3Techs 63,7% из них используют WordPress. Если ваш сайт один из таких, тогда в этой статье вы узнаете о том, как проверить его на прочность с помощью одного из самых мощных инструментов для пентеста Wordpress – WPScan.

Содержание:

• Введение
• Сканирование версии WordPress
• Сканирование установленных тем оформления
• Сканирование установленных плагинов
• Сканирование пользователей
• Сканирование тем, плагинов и пользователей одной командой
• Брутфорс с помощью WPScan
• Загрузка шелла с помощью Metasploit
• Использование уязвимостей в плагинах
• Сканирование через прокси-сервер
• Сканирование с включенной HTTP-аутентификацией

Введение

«WPScan» – blackbox сканер уязвимостей WordPress, написанный на Ruby. Позволяет выявлять уязвимости в:

• В версии движка.
• Темах оформления.
• Плагинах.

WPScan уже предустановлены в ряде ОС для белого хакинга, таких как:

• Kali Linux
• SamuraiWTF
• Pentoo
• BlackArch

WPScan сканирует свою базу данных, чтобы найти устаревшие версии и уязвимости в движке целевого сайта.

Возможности WPScan:

• Определяет версию установленного на данный момент WordPress.
• Обнаруживает конфиденциальные файлы, такие как:
  
  • readme;
  • robots.txt;
  • файлы замены базы данных и т. Д.
• Обнаруживает включенные функции на текущем установленном сервере WordPress, таких как file_upload.
• Перечисляет темы оформления и плагины вместе с их версиями. Вдобавко WPScan сообщает о том, устарели они или нет.
• Находит все доступные имена пользователей.

Закон Парето применим ко многим сферам, в том числе и к работе с терминалом Linux, ведь всего нескольких десятков команд позволит легко справляться с большинством задач. Мы выбрали 40 наиболее полезных команд, использование которых способно сильно облегчить жизнь при работе с Linux. Статья не претендует на статус истины в последней инстанции или максимально подробного руководства, а очередность команд обусловлена лишь алфавитным порядком.

Иногда критически важно быстро найти нужный файл или информацию в системе. Порой можно ограничиться стандартами функциями поиска, которыми сейчас обладает любой файловый менеджер, но с возможностями терминала им не сравниться.

Команда find – это невероятно мощный инструмент, позволяющий искать файлы не только по названию, но и по:

• Дате добавления.
• Содержимому.
• Регулярным выражениям.

Данная команда будет очень полезна системным администраторам для:

• Управления дисковым пространством.
• Бэкапа.
• Различных операций с файлами.

Команда find в Linux производит поиск файлов и папок на основе заданных вами критериев и позволяет выполнять действия с результатами поиска.