Bug hunters *

Злоумышленники часто сталкиваются с проблемой обхода антивирусных систем и Endpoint Detection and Response (EDR). Они вынуждены выбирать одну из двух тактик: обойти контроль этих систем или заставить их перестать нормально функционировать. Иногда атакующие используют уязвимые драйвера (BYOVD — Bring Your Own Vulnerable Driver).

Представьте себе ситуацию, что вам (злоумышленнику) удалось встроить собственный код прямо внутрь исполняемых файлов Windows Defender? Идеально!

Эта статья покажет вам простой метод взлома папки с исполняемыми файлами Windows Defender. Благодаря этому приёму можно перехватывать управление сервисом Defender’а, вставлять свои библиотеки, повреждать критически важные файлы и даже отключать службу. Самое главное — всё это делается с использованием стандартных инструментов самой ОС Windows, без дополнительных инструментов.

Привет, Хабр! На связи @mirez, в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных в сегменте Standalone на Standoff Hackbase. Нашей целью была система контроля посетителей PassOffice.

Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода.

Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

Всем привет! На связи Дмитрий Неверов, руководитель направления тестирования на проникновение в Бастионе. Мы профессионально ломаем системы безопасности компаний. Разумеется, с разрешения их владельцев. Расскажу кейс, за который я получил ачивку «Фаворит года по версии жюри» Pentest Awards 2025.

Представьте: крупная инфраструктурная компания с регулярными пентестами, серьезным бюджетом на ИБ и жесткими регуляторными требованиями. Казалось бы, что тут можно сломать? А мы взяли и получили права доменного администратора, начав путь с непривилегированной учетки сотрудника. И никаких бэкдоров или zero-day, только чистая работа с Active Directory.

Самое интересное — как несколько на первый взгляд безобидных настроек превратились в билет к полному контролю над доменом. Сейчас покажу всю цепочку от начала и до победного DCSync.

Одной из ежедневных задач pentester'ов и красных команд является получение и сохранение постоянного доступа к скомпрометированной системе даже после перезагрузки компьютера, выхода пользователей из системы или изменения паролей учетных записей.

Также за этим постоянно следят EDR, антивирусное ПО и команды защиты («blueteam»).

Поэтому создание скрытого и надежного механизма сохранения доступа всегда является критически важным вопросом для атакующих.

В данной статье я продемонстрирую интересную технику сохранения доступа, через указание несуществующих исполняемых файлов.

Давным-давно, в далекой галактике хакинга… была форма входа, построенная на Angular. Эта история о том, как я смог украсть учетные данные, используя инъекцию шаблона Angular, XSS-уязвимость, и про обход CSRF защиты. Настоящий целевой сайт раскрыть нельзя, поэтому назову его redacted.com.

Я Махмуд Круш, студент третьего курса факультета инженерии. Я стремлюсь стать тестировщиком на проникновение и в данный момент подрабатываю охотником за уязвимостями.

Исследователь безопасности обнаружил DOM-based XSS уязвимость на странице вакансий HackerOne, за что получил вознаграждение в размере $500. Проблема заключалась в том, как страница обрабатывала “?lever-” параметры в URL и добавляла их в DOM, без должной проверки и очистки.

Хотя эта атака не могла обойти Политику Безопасности Контента (CSP) в современных браузерах, таких как Chrome и Firefox, она всё же успешно выполнялась в Internet Explorer и Microsoft Edge, где парсинг URL работает иначе.

Всем привет! Я Полина Спиридонова, product owner двух продуктов для подготовки специалистов по защите информации — Standoff Cyberbones и Standoff Defend.

В статье я расскажу, как мы прошли путь от формулирования идеи из вопроса «Как создать полигон для синих команд?» до запуска Standoff Defend — инструмента, который помогает командам SOC становиться сильнее. Давайте погрузимся в детали и узнаем, как все начиналось и к чему мы пришли.

Когда речь идёт о безопасности, процесс сброса пароля — одно из тех мест, где разработчики не могут позволить себе ошибаться. Одна единственная уязвимость может открыть дверь к критическим багам.

Недавно, тестируя приложение Redacted.com, я обнаружил уязвимость перечисления пользователей. Честно говоря, многие программы помечают подобные проблемы как информационные или не входящие в область тестирования. Но иногда то, что кажется «бесполезным», может скрывать серьёзные последствия.

Это история о том, как я начав с «бесполезного» бага пришёл к обнаружению 0-click ATO (account takeover).

Пентесты помогают выявить и устранить слабые места в защите компании до того, как ими воспользуются злоумышленники. Но чтобы такая проверка действительно принесла пользу, важно понимать, зачем вы ее проводите, по какой методологии, и что будете делать с результатами.

В этой статье мы разберемся:

• чем отличаются методологии «черного», «серого» и «белого ящика»;

• какую из них выбрать под конкретные риски;

• как подготовиться к тестированию, чтобы не тратить деньги впустую;

• и почему даже «зеленый» отчет сам по себе — не повод выдыхать.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про то, как и зачем хакеры сами исправляют уязвимости во взломанных системах, Hyundai делает уязвимое ПО, чтобы потом зарабатывать на патчах, Microsoft по доброте душевной сливал PoC в Китай, но сейчас передумал и другие только самые важные и интересные новости из мира информационной безопасности.

Традиционные методы фишинга уже не работают, а современные системы, для повышения безопасности, поддерживают многофакторную аутентификацию (MFA). Однако злоумышленники развиваются и используют новые методы, такие как Evil-noVNC — современная атака Browser-in-the-Browser (BitB), которая применяет noVNC для проведения чрезвычайно правдоподобных фишинговых кампаний.

Evil-noVNC позволяет киберпреступникам воспроизводить реальные страницы входа прямо в браузере жертвы, отображая подлинные страницы аутентификации таких сервисов, как Gmail, Microsoft 365 и Okta. Эта передовая атака типа Adversary-in-the-Middle (AiTM) перехватывает не только логины и пароли, но и токены многофакторной аутентификации с активной сессионной кукой, что позволяет полностью скомпрометировать аккаунт даже при включённой MFA.

В этой статье разберемся, как работает Evil-noVNC, почему это растущая угроза в 2025 году и как защититься от этой фишинговой техники.

Содержание

- Обзор
- Требования
- Настройка
- Запуск
- Меры защиты
- Заключение

Однажды мы со Standoff 365 договорились сделать крутой конкурс для начинающих багхантеров и представить его на PHDays Fest. Каково же было наше удивление, когда за первые 5 минут в конкурсе зарегистрировались 17 человек, всего же было 74 участника и 10 победителей. Еще больше удивило то, что багхантеры были вовсе не начинающие: в конкурсе участвовали сильнейшие хакеры страны. В этой статье разберем, какие были задания.

Мы приняли решение сделать конкурс в формате CTF. Для этого с нуля в ChatGPT была разработана платформа. Как показала практика, код, который написала нейросеть, оказался неидеальным в плане безопасности, но в целом после исправления некоторых проблем все стало работать стабильно.

С виду все просто: дали пентестерам доступ в сеть, они пошарились по серверам, нашли пару уязвимостей, написали отчет. Профит. Но на деле плохо подготовленная проверка легко превращается в хаотичный квест с непредсказуемым финалом.

В лучшем случае вы получите бесполезный список из сотни мелких «дыр» в принтерах и кофемашинах. В худшем — пентестеры случайно обрушат производственную линию или устроят DDoS на Active Directory. А между этими крайностями лежит целый спектр проблем: от юридических рисков, если в документе не очертить скоуп и команда выйдет за рамки дозволенного, до банального несовпадения ожиданий и результатов.

Однако всех этих неприятностей легко избежать, если подойти к планированию внутреннего пентеста основательно. В этой статье разберем, почему техническое задание — не формальность, а жизненно важный документ, и покажем, как его правильно составить. Кто-то возразит, что это утопия, и в реальности все работают иначе, но нам бы хотелось это изменить. Поверьте: оно того стоит.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе много новостей в моей любимой связке - AI + кибербез: Альман дал интервью и рассказал про риски, Googдe продолжает развивать свои кибербез-инструменты, GPT5 - новая звезда в AI-пентесте и другие только самые важные и интересные новости из мира информационной безопасности.

Пошаговое руководство по идентификации и эксплуатации неправильно настроенных AWS бакетов.

Введение  

Amazon S3 (Simple Storage Service) является одним из самых популярных решений для облачного хранения, но неправильные настройки могут привести к серьезным проблемам с безопасностью. В этом руководстве мы рассмотрим, как провести аудит S3-сред, обнаружить открытые бакеты, проанализировать разрешения и минимизировать риски безопасности. Используя инструменты AWS и сканеры, вы научитесь выявлять уязвимости, прежде чем они станут угрозами.

Всё самое интересное из мира кибербезопасности /** с моими комментариями.

На этой неделе новости про новый вектор атаки из BIOS, который нельзя обнаружить антивирусами, Минцифры придумали особый формат интернета в условиях ограничений, Электронный документооборот - новый эффективный канал распространения вирусов, за месяц в MAX обнаружили минимум 79 уязвимостей, а в Linux более года скрывался умный вирус и другие только самые важные и интересные новости из мира информационной безопасности.

В мире этичного хакинга, быть невидимым зачастую так же важно, как и получить первичный доступ. Подумайте сами: если вы проникнете в систему, но оставите за собой следы в логах, идентификаторах процессов и временных метках файлов, то практически оставите свою подпись на месте преступления.

Этот гайд посвящен скрытности и bash-скриптингу. Мы говорим не о супер эксплойтах, а о низкоуровневой невидимости, которая заставит команду криминалистов чесать затылки.

В этом отчете я делюсь историей о том, как простая страница входа привела к получению полного административного доступа. Всё началось с базовой разведки и превратилось в одну из самых серьезных уязвимостей, которые я обнаружил. Вот как это произошло.

Каждый баг в проекте проходит определенный жизненный цикл — от момента обнаружения до полного устранения. В новой статье мы подробно рассматриваем ключевые этапы этого процесса, уделяя особое внимание рабочим статусам багов в системе JIRA, таким как «Open», «Blocked», «Closed» и «Rejected».

Автор делится практическими примерами из реального опыта, чтобы показать, как стандартизация процессов помогает улучшить коммуникацию внутри команды, повысить качество продукта и упростить управление ошибками. Узнайте, почему единый подход к работе с багами — это не просто формальность, а важный инструмент для эффективного ведения проекта.