Bug hunters *

Командный центр PVS-Studio: "Как быстро летит время... А ведь в этом году, второго января, Blender исполнилось 30 лет! Как будто ещё вчера мы публиковали статью с разбором ошибок... Как 8 лет назад? Надо срочно исправлять ситуацию!".

Лучшая защита – это нападение, причем на себя любимого. Все чаще бизнес выстраивает информационную безопасность именно по такому принципу. Своевременный пентест или Read Teaming, когда привлеченные подрядчики пытаются взломать корпоративную IT-инфраструктуру, помогает команде ИБ заранее обнаружить и закрыть бреши и сделать организацию по-настоящему неприступной для реальных злоумышленников. Однако Offensive Security не лишен нюансов и подводных камней.

Из чего складывается наступательная кибербезопасность, как правильно ее реализовать и выбрать компетентных подрядчиков, на что обратить особое внимание? Обо всем этом и не только шла речь на круглом столе, в котором принял участие один из наших ведущих специалистов по пентестам.

Эта статья посвящена уязвимости, которую мне удалось обнаружить в браузере Google Chrome в конце прошлого года, а также рассказывает об истории её возникновения. Уязвимость существовала в течение продолжительного периода и была устранена 31 октября 2023 года. Компания Google оценила её в 16000$

В январе 2023 года экспертами Саймон Ааронс и Дэвид Бьюкенен была обнаружена уязвимость в линейке смартфонов google pixel. При работе во встроенном редакторе изображений Markup и редактировании файлов .png данные исходника не удалялись полностью и подлежали восстановлению.

Еще давно, у меня был проект по анализу защищенности - веб приложение на 1С-Битрикс.

В ходе поиска уязвимостей мне попалась капча в стандартной форме регистрации 1С-Битрикс, капча генерировалось вроде бы стандартно, но я решил её поисследовать и заметил один нюанс.

Привет! Вероятно, тебе когда-нибудь попадались веб-приложения, построенные на «1С-Битрикс: Управление сайтом», и ты задавался вопросом: как это ломать? Вроде бы прошелся по всем известной методичке, но все равно пусто. На прошлой работе я намучился ломать такие сайты, и вследствие выживания в дикой природе «Битрикса» у меня появились свои векторы атак. Я с тобой ими поделюсь — let’s go!

В этой статье я хочу рассказать о своем исследовании, посвященном tRPC. Сначала мы рассмотрим концепции tRPC, а затем перейдем к анализу атаки приложения tRPC.

Это статья о клиентских уязвимостях, которые мне показались интересными.

Целью статьи является показать, что иногда из, казалось бы, скучных уязвимостей с низким импактом, можно выжимать больше, чем кажется.

Вот уже выпал снег, на дворе декабрь, а значит и Новый Год где-то рядом. В преддверии праздников мы решили показать вам наиболее интересные ошибки, которые мы смогли найти в коде популярных Open Source проектов. Наши авторы написали много познавательных статей, разобрали множество ошибок в коде, и теперь мы подведём итоги.

Привет, дорогой хабровчанин! Приближается конец года, и вроде бы до праздничного звона бокалов еще далековато, но итоги уходящего года подвести уже хочется. Чем мы с удовольствием и занялись в своем прошлом посте. В этой статье речь пойдет о рынке кибербезопасности и ИТ, а также о том, как строится защита от киберугроз. Не спеши зевать, любезный читатель. Тебя ждут интереснейшие наблюдения и POV из первых уст.

Приложение CloudTips — это сервис для приема безналичных чаевых, а также донатов, который позволяет создавать платежные страницы для перевода этих самых чаевых. В статье будет описано тестирование поддомена lk.cloudtips.ru, на котором пользователь может зарегистрировать аккаунт и управлять своими страницами для выплат.

Так сложилось, что одним из вариантов решения задачи сбора ответов пользователей на формы является использование электронной почты. Электронная почта – комплексная технология, в работе которой задействован целый список компонентов.

В таком сценарии формы выступают посредниками между рядом компонентов и пользователем, что, как известно из истории, неизбежно ведёт к эксплуатации уязвимостей технологий через пользовательский ввод – к инъекциям.

И, поскольку в распоряжении атакующего оказывается цепочка из компонентов различных реализаций, такая функциональность – просторное поле для анализа и проведения не одного, но сразу нескольких видов инъекций.

 • Основы работы почты:
  ◦ Почтовые протоколы
  ◦ Почтовые компоненты
  ◦ Конструкция письма
  ◦ Специальные конструкции
 • Потенциальные уязвимости:
  ◦ CRLF Injection
  ◦ Arbitrary Command Flag Injection
 • Демонстрация эксплуатации:
  ◦ Заготовка приложения
  ◦ NodeJS + smtp-client (CRLF SMTP Injection + E-mail hijacking)
  ◦ PHP + mail() (CRLF SMTP Injection + Command Flag Injection)
  ◦ Python + imaplib / email (CRLF IMAP Injection + Improper Input Validation)

Всем привет! Если помните, в этом году Positive Hack Days 12 предстал перед нами в новом формате: помимо традиционной закрытой зоны появилось доступное для всех публичное пространство — кибергород, где посетители узнали, как не стать жертвами мошенников на маркетплейсах, а также об особенностях ChatGPT, выборе безопасного VPN и других аспектах ИТ и ИБ. Неизменной частью киберфестиваля остались его конкурсы. Один из них — конкурс по поиску уязвимостей в онлайн-банке. Год назад мы захотели попробовать новый формат в виде Payment Village, но в этот раз решили вернуться к истокам — конкурсу $NATCH, применив новую концепцию! Белым хакерам мы предложили испытать на прочность созданную для конкурса банковскую экосистему (нет, последнее слово не оговорка, но об этом поговорим позже). Специалисты по информационной безопасности искали банковские (и не только) уязвимости в предоставленной системе и сдавали отчеты через багбаунти-платформу, затем организаторы оценивали найденные уязвимости и присваивали им соответствующий уровень опасности — мы хотели, чтобы участники почувствовали себя настоящими исследователями безопасности.

Под катом наш подробный рассказ о том, что из этого вышло, какие баги мы заложили в онлайн-банк в этом году, а какие были рождены нашими кривыми руками.

Привет, Хабр!

Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут может быть выбор? Burp Suite PRO наше все! И будут правы, но на прошлом PHD мне в руки попала Позитивная карта импортозамещения (https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/positive-research-2023-poster.pdf), где Positive Technologies предложили заместить иностранные DAST: Burp Suite Pro, Acunetix, Inviciti — своим решением PT BlackBox. Но чтобы коммерческим продуктам не быть едиными, заодно добавим в сравнение продукты open source.

Разберемся, импортозамещаться или приобретать через серые схемы иностранный Burp Suite Pro. Или вообще оставаться на бесплатном open source.

Продолжаем выкладывать материалы с OFFZONE 2023. На этот раз я решил чуть подробнее расспросить про BI.ZONE Bug Bounty её руководителя Андрея Лёвкина. У нас был материал по этой платформе, но в формате новости. Однако подробного рассказа о платформе нет. И хотя время упущено лучше поздно, чем никогда. Да и заодно можно посмотреть, как изменилась ситуация за год. Например, в прошлом году на платформе прошли предрегистрацию 300 багхантеров, первым заказчиком стала компания «Авито». Кстати, это ещё и второе интервью с прошедшего OFFZONE, первое — с белым хакером с псевдонимом Caster — скрыто в обзоре на это мероприятие.

Standoff 10 прошел насыщенно: юбилейная кибербитва ознаменовалась масштабными учениями атакующих (red team) и защитников (blue team), актуальными докладами и дискуссиями по вопросам кибербезопасности. Мероприятие стало знаковым и для нашей команды, отвечающей в компании за мониторинг и реагирование, — SOC PT Expert Security Center.  Во-первых, на битве компания объявила о старте первой в России багбаунти-программы на реализацию недопустимого события — хищения денежных средств со счетов Positive Technologies. Ее особенность в том, что багхантеры атакуют нашу действующую инфраструктуру. До сих пор провести многоэтапную атаку вплоть до неприемлемого для нас сценария не удалось ни одному белому хакеру, поэтому компания увеличила размер вознаграждения втрое — до 30 млн рублей.

Во-вторых, мы с коллегами из SOC приняли участие в митапе Standoff Talks, в рамках которого я рассказала о распространенных ошибках атакующих, которые помогают нам быстро и эффективно их обнаруживать. Все это могло предвещать определенное изменение атакующего воздействия на нашу инфраструктуру — как количественное, так и качественное. 

И действительно, с первого дня запуска багбаунти-программы мы фиксировали всплеск интереса к нашим ресурсам, применение нестандартных техник и методов. Совпадение или нет, но стали встречаться и предложенные нами на Standoff Talks подходы к байпасу SOC ?.

На волне впечатлений от разнообразной активности атакующих я решила, что самое время написать статью по мотивам моего доклада. Какие опрометчивые действия чаще всего совершают редтимеры на киберучениях? На какие маркеры всегда обращает внимание SOC? И как стать чуть менее заметными для синих команд? Обо всем этом читайте под катом!

В предыдущих статьях (первая, вторая) мы рассматривали несколько типов уязвимостей на примерах устаревших версий реального программного обеспечения, рассказывали о базовом инструментарии при занятии багхантингом, о багбаунти-программах, их правилах, скоупе и исключениях.

В заключительной части цикла мы традиционно рассмотрим еще несколько классов уязвимостей на реальных примерах, а то, чего мы не успеем коснуться, оставим для самостоятельного изучения. Ведь о каком опыте и знаниях можно говорить, если не стремиться к самообразованию и саморазвитию? 😊 Еще приведем пять интересных хакерских трюков, они же hack tricks , которые неплохо известны атакующим, поэтому и нам, исследователям безопасности, необходимо знать существующие, изучать новые, а также придумывать собственные. В конце дадим напутствие новичкам-багхантерам для успешного путешествия в мир багбаунти, в котором нужно стремиться делать мир безопаснее, стать одним из лучших белых хакеров, завоевывать признание среди сообщества и, конечно же, получать хорошие вознаграждения за найденные уязвимости.

Python, Java, C++, Delphi, PHP — именно эти разные языки программирования использовались в этот раз для создания виртуальной машины криптомата-банкомата, которую должны были испытать на прочность участники в рамках конкурса $NATCH, проходившего на Positive Hack Days 12, чтобы победить. Весь код от начала и до конца был написан с помощью ChatGPT и показал себя исключительно хорошо. Мы пересмотрели концепцию конкурса и использовали систему репортов. Помимо стандартных задач (обхода киоска, повышения привилегий и обхода AppLocker), в этом году участников ждали новые нестандартные задания, о которых читайте в этой статье.

В мае в центральном парке Москвы — в Парке Горького — отшумели яркие Positive Hack Days. Впервые за 12 лет форум по практической кибербезопасности, ранее объединявший только экспертов по ИБ и этичных хакеров со всего мира, превратился в открытый киберфестиваль. Мы построили современный кибергород с интересными заданиями и квестами, проходя которые, посетители знакомились с тем, как устроен цифровой мир, проверяли свою киберграмотность и учились доверять новым технологиям, усваивая принципы кибербезопасности. 

Помимо серьезных докладов по информационной безопасности и грандиозной кибербитвы Standoff, ежегодный Positive Hack Days полюбился техническим энтузиастам за конкурсы, в ходе которых они испытывают на прочность различные IT-системы и устройства, оттачивают навыки по их защите и получают памятные призы. На прошлогоднем PHDays исследователи безопасности с азартом искали слабые места в нашем онлайн-банке, банкоматах и POS-терминалах, пытались обойти IDS и сломать ИИ. В этот раз мы отдали участникам на растерзание обновленные традиционные мишени, а также приготовили новинку — уязвимое банковское мобильное приложение. Итоги этого конкурса (как и отчеты участников ?) не оставили нас равнодушными, поэтому мы подготовили его райтап.

Надеемся, наш пост поможет специалистам по ИБ лучше понять, какие уязвимости характерны для этой ОС, как их могут эксплуатировать злоумышленники, а главное — как с ними бороться. Всех, кто хочет лучше ориентироваться в мире мобильных угроз, приглашаем под кат.