Укрепление безопасности образов контейнеров с помощью Wazuh и Trivy
#Wazuh #Trivy #SOC #Appsec

Эта статья черпает вдохновение из записи в блоге Wazuh о повышении безопасности образов контейнеров с помощью Wazuh и Trivy.

Контейнеризация произвела революцию в разработке и развертывании программного обеспечения, предлагая масштабируемость и эффективность. Однако эта гибкость может создавать риски для безопасности, если образы контейнеров не защищены должным образом.Уязвимости в этих образах могут подвергнуть всю вашу систему угрозам.
Вот где вступает в игру совместная мощь Wazuh и Trivy.

Эти инструменты с открытым исходным кодом предоставляют комплексное решение для повышения безопасности образов контейнеров, гарантируя защиту ваших приложений с самого начала.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

🐈 Ловите 270+ причин сорваться в «Лужники» 22–24 мая: программа PHDays Fest уже ждёт вас на сайте!

Более 500 спикеров выступят в «Лужниках» в дни фестиваля. Техническая часть закроет вообще все темы по кибербезу: 270 докладов в 26 разных треках.

➡️Вот вам только малая часть того, что будет:

😊 Александр Колчанов расскажет, чем опасна ваша кофеварка и другие умные штуки дома.

😊 Антон Белоусов объяснит, как ИИ-агенты шпионят в сети (и как от них защищаться).

😊 Абдаллах Наваф Аль-Махамид (Hackerx007) покажет, как обходить защиту в багбаунти (если вы понимаете, о чём я 😎).

🌐В этом году PHDays Fest принимает гостей из 41 страны, включая Латинскую Америку, Африку, Ближний Восток и Азию. Так что будет реально жарко!

🐣 Напоминаю, что попасть на доклады можно только по билету. Все средства от их покупки идут на благотворительность. Так что вы и знания получите, и мир чуточку лучше сделаете 😻

Онлайн-трансляцию тоже организуют, но часть выступлений будет только для тех, кто приедет лично. Так что если хотите максимум – приезжайте!

⚡️ Смотрите программу и выбирайте, что вам больше нравится.

BSCP и с чем его едят?
#BSCP #Portswigger #BurpSuite #cert #экзамен

Пробные экзамены
Перед сдачей PortSwigger настоятельно рекомендуют прорешать, как минимум, один пробный экзамен, который состоит из одного уязвимого приложения, где необходимо получить первичный доступ, повыситься до админа, а потом стянуть с защищаемой машины флаг, на всё про всё вам даётся 2 часа. Всего таких экзаменов два, то есть 2 пробных экзамена равносильны одному настоящему, где вам выдается 2 сервиса на 4 часа.

В целом, пробные экзамены вещь полезная и они действительно забросят вас в максимально похожие на экзамен условия, но есть одно НО. Оба экзамена представляют собой, фактически, один и тот же вектор: XSS -> SQL Injection -> Insecure Deserialization. Разница лишь в XSS'ке и техниках обфускации, после получения первичного доступа уязвимости не то, что идентичны, они одинаковые. Относительно десера, мне он не встретился нигде, тем более с таким странным чейном, как в пробном экзамене.

Впечатление от пробных экзаменов как от проверки скиллов - не очень, так как они содержат довольно посредственные уязвимости, которые не позволяют объективно оценить уровень своей подготовки. Если рассматривать их как знакомство с форматом проведения самого экзамена, то вполне ничего.

🔗Читать райтап

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Пристегивайтесь, мы взлетаем
https://t.me/boost/poxek

Хет-трик пентестера: обзор и опыт получения трех ИБ-сертификатов
#СRTP #CRTE #СRTO #OSCP #Бастион

Сегодня в ИБ-индустрии сертификаты квалификации часто становятся входным билетом в профессию. Особенно это касается пентеста и red-teaming, где заказчики нередко требуют наличие определенных сертификатов для участия в тендерах.

В этой статье автор расскажет о своем опыте прохождения СRTP (Certified Red Team Professional), CRTE (Certified Red Team Expert), СRTO (Certified Red Team Operator) без отрыва от производства и вреда для рабочих проектов. Поделится подробностями об организации обучения, особенностях лабораторных работ и экзаменов. Также даст практические советы, которые помогут избежать типичных ошибок при подготовке.

Статья будет полезна как начинающим специалистам по информационной безопасности, так и опытным пентестерам, планирующим получить эти сертификаты. Автор отмечает: его путь не был идеальным — были и пересдачи, и бессонные ночи, и «кроличьи норы». Но, как говорится, лучше учиться на чужих ошибках.

Накидайте +rep от меня))

🔗Уже можно назвать автора индусом с 100500 сертов на LinkedIn?))

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

😎 Лонгрид недели!

Как работают компьютерные криминалисты — большой разговор с Антоном Величко.

🔥 Лаборатория цифровой криминалистики и исследования вредоносного кода — одно из старейших подразделений F6. Более 70 000 часов реагирований на инциденты по всему миру, свыше 3500 экспертиз и исследований — это всё про специалистов Лабы (так уважительно называют подразделение внутри компании). 

🎙 Больше месяца мы ждали, когда в графике руководителя Лабы Антона Величко появится свободный час (последние два года ребята не вылезают из реагирований!), чтобы он смог рассказать об особенностях национального кибербеза.

➡️ Подписывайтесь на канал

Актуальные материалы о кибербезе, расследованиях и технологиях.

#реклама
О рекламодателе

Game Hacking 3. RCE-уязвимости и атаки на игроков
#game_hacking #RCE #CSGO #Log4J #Minecraft #DarkSouls3 #BleedingPipe

Remote Code Execution (RCE) — это самая опасная категория уязвимостей в современной кибербезопасности, особенно в контексте игр. Эти уязвимости позволяют злоумышленникам удаленно выполнять произвольный код на устройстве жертвы, получая полный контроль над системой без ведома пользователя. В игровой индустрии RCE-атаки становятся все более изощренными и распространенными, представляя серьезную угрозу для миллионов геймеров по всему миру. В этой статье мы детально рассмотрим механизмы RCE-уязвимостей в играх, проанализируем реальные случаи их эксплуатации и разберем технические аспекты наиболее известных атак.

⬆️⬆️⬇️⬇️⬅️➡️⬅️➡️BA

➡️История известных RCE-атак через игры
За последние годы игровая индустрия стала свидетелем множества серьезных RCE-уязвимостей, некоторые из которых затронули миллионы пользователей по всему миру.

➡️Minecraft и Log4Shell (2021)
В декабре 2021 года была обнаружена критическая уязвимость Log4Shell (CVE-2021-44228) в библиотеке Log4j, широко используемой в Java-приложениях, включая Minecraft. Эксплуатация этой уязвимости была поразительно простой — достаточно было отправить определенное сообщение в чат игры, чтобы выполнить вредоносный код на сервере или клиенте игрока.

Как пример уязвимости — HTTP-сервер, который логирует строку, например, user agent. Для Minecraft была выпущена официальная версия 1.18.1, закрывающая эту уязвимость, но множество пользовательских серверов оставались уязвимыми.

➡️Counter-Strike: Global Offensive (2021)
В апреле 2021 года группа исследователей безопасности Secret Club сообщила о наличии удаленной уязвимости в движке Source, разработанном Valve и используемом для создания игр с десятками миллионов уникальных игроков. Эта уязвимость затрагивала множество популярных игр, включая Counter-Strike, Half-Life, Half-Life 2, Garry's Mod, Team Fortress, Left 4 Dead и Portal.

Другая исследовательская группа из Felipe и Alain, обнаружила три независимые RCE-уязвимости в CS:GO, каждая из которых могла сработать, когда игровой клиент подключался к вредоносному Python-серверу. Они даже разработали полноценный эксплойт, демонстрирующий выполнение произвольного кода на клиенте при подключении к серверу.

🔗Третья статья из 4

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

«Пасхалка» в Telegram. Как я нашел способ авторизоваться без клауд-пароля и уведомлений
#telegram #небагафича #авторизация #auth

История про то, как телеграм отмазывается от бекдоров и говорит, что это фича, а не баг
Раз­работ­чики Telegram не сидят без дела: в мес­сен­дже­ре с каж­дым годом все боль­ше фун­кций. Но некото­рые из них, если переф­разиро­вать «Собачье сер­дце», могут прев­ратить­ся «из клас­сной фичи в мер­зкий баг». Этот матери­ал — о любопыт­ной уяз­вимос­ти, с которой я стол­кнул­ся, рас­сле­дуя, как укра­ли 200 мил­лионов руб­лей в крип­те зимой 2025 года.

P.s. приятно сказать, что это статья одного из подписчиков канала и активного участника чата)

P.S.p.s. автор статьи дал следующие рекомендации. Оказывается даже закрыть активные сессии не помогает.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

🛡Две стороны одной медали: важность навыков пентеста для специалиста SOC и наоборот🔓
#SOC #pentest #purple_team #red_team #blue_team

Современная кибербезопасность требует симбиоза наступательных и оборонительных навыков. SOC-аналитики, владеющие техниками пентеста, обнаруживают угрозы на 40% быстрее, а пентестеры с пониманием SOC-процессов успешнее обходят системы защиты в 68% случаев. Интеграция подходов red team (атакующие) и blue team (защитники) через purple teaming формирует устойчивую киберзащиту, сокращая время реагирования на инциденты до 2 часов вместо стандартных 72. Развитие кросс-функциональных навыков через CTF сценарии типа Attack/Defence становится новым стандартом подготовки специалистов.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Game Hacking 2. Уязвимости в игровых серверах: когда игру ломают изнутри
#game_hacking #UE5 #RCE #PunkBusteraq

Серверная инфраструктура — это сердце любой онлайн-игры, но именно здесь разработчики чаще всего допускают критические ошибки. В 2023 году 78% успешных атак на игровые компании начинались с эксплуатации уязвимостей в бэкенде. Разберём, как хакеры взламывают серверы, и почему традиционные методы защиты часто бесполезны против целевых атак.

⬆️⬆️⬇️⬇️⬅️➡️⬅️➡️BA

➡️Архитектура игровых серверов: слабые звенья
Современные игры используют распределённые микросервисные архитектуры, где каждый компонент — потенциальная точка входа для атакёра:

➡️Авторизация и аутентификация
Системы вроде OAuth 2.0 часто внедряются с ошибками. В 2024 году исследователи нашли уязвимость в реализации Steam OpenID у 14% indie-проектов, позволявшую перехватывать сессионные токены через поддельные редиректы.

➡️Синхронизация игрового состояния
Протоколы синхронизации (например, Lockstep в RTS) уязвимы к спуфингу. В одном из мобильных MMO хакеры подменяли пакеты с координатами юнитов, создавая "фантомные армии", которые невозможно атаковать.

🔗Вторая статья из 4

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Вместе с ростом количества и усложнения кибератак и отсутствием автоматизированных подходов к реагированию на инциденты растут риски для бизнеса. При этом лишь 36% компаний в большинстве случаев находят нарушителей, а почти четверть уже сталкивались с критичными кибератаками.

К2 Кибербезопасность и Kaspersky комплексно проанализировали рынок SOC и выяснили, как бизнес подходит к построению процессов мониторинга и реагирования.

Вы узнаете:
✅ Как SOC ускоряет обнаружение и устранение инцидентов
✅ Какие сложности существуют при подключении или внедрении SOC
✅ О чем надо помнить при построении собственного SOC
✅ Какие технические средства наиболее эффективны в управлении инцидентами?

Получить полный текст исследования можно по ссылке 😉

Реклама. АО «К2 Интеграция». ИНН 7701829110 Erid: 2W5zFH6FPiY

Game Hacking 2. Уязвимости в игровых серверах: когда игру ломают изнутри
#game_hacking #UE5 #RCE #PunkBusteraq

Серверная инфраструктура — это сердце любой онлайн-игры, но именно здесь разработчики чаще всего допускают критические ошибки. В 2023 году 78% успешных атак на игровые компании начинались с эксплуатации уязвимостей в бэкенде. Разберём, как хакеры взламывают серверы, и почему традиционные методы защиты часто бесполезны против целевых атак.

⬆️⬆️⬇️⬇️⬅️➡️⬅️➡️BA

➡️Архитектура игровых серверов: слабые звенья
Современные игры используют распределённые микросервисные архитектуры, где каждый компонент — потенциальная точка входа для атакёра:

➡️Авторизация и аутентификация
Системы вроде OAuth 2.0 часто внедряются с ошибками. В 2024 году исследователи нашли уязвимость в реализации Steam OpenID у 14% indie-проектов, позволявшую перехватывать сессионные токены через поддельные редиректы.

➡️Синхронизация игрового состояния
Протоколы синхронизации (например, Lockstep в RTS) уязвимы к спуфингу. В одном из мобильных MMO хакеры подменяли пакеты с координатами юнитов, создавая "фантомные армии", которые невозможно атаковать.

🔗Вторая статья из 4

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

⚠️ AI-агенты в Web3: как их ломают и почему это опасно ⚠️
#ai #web3 #LLM #DAO #jailbreak #gpt4 #claude #CTF

В 2025-м AI-агенты на базе LLM уже вовсю рулят в Web3: торгуют криптой, управляют DAO, анализируют блокчейн-данные. Но чем больше у них полномочий, тем жирнее цель для хакеров. Positive Technologies разобрали, как ломают таких агентов и почему старые методы уже не катят.

➡️ Главные векторы атак:
▪️Jailbreak через хитрые промпты: даже GPT-4 и Claude можно заставить нарушить правила, если грамотно замаскировать запрос. Прямолинейные «игнорируй инструкции» больше не работают, но сложные сценарии, ролевые игры и цепочки команд всё ещё пробивают защиту.
▪️Memory injection: если агент тянет инфу из разных каналов (Discord, Twitter и т.д.), можно «отравить» память вредоносной инструкцией. Атака может прийти из одного канала, а сработать — в другом.
▪️Many-shot jailbreak: закидываем в длинный контекст кучу примеров, где ассистент уже нарушал правила — и модель начинает думать, что так и надо.
▪️Мультимодальные атаки: скрытые команды в картинках или аудио. GPT-4 с OCR может прочитать промпт с фотки и выполнить его.
▪️Инфраструктурные дыры: иногда проще взломать дашборд или API, чем саму модель — и увести крипту напрямую.

➡️CTF и реальные кейсы:
В Teeception CTF атакующие ломали AI-агентов с реальными токенами на кону. Побеждали те, кто находил логические дыры в промптах — например, просили выполнить команду не для себя, а для «друга», или разбивали адрес на части, чтобы обойти фильтр.
Gray Swan Arena, Anthropic Red Team Trials, DEF CON — комьюнити постоянно ищет новые эксплойты, и ни одна LLM пока не выдержала всех атак.

➡️Вывод:
100% защищённых AI-агентов нет. Чем больше прав у бота — тем выше желание у хакецкеров его сломать, а следовательно выше риск, что в итоге обойдут систему защиты. Защита — это не только фильтры в LLM, но и классическая кибербезопасность: ограничение прав, проверка транзакций, логирование, изоляция контекстов и постоянный аудит.

➡️Рекомендации:
▪️Ограничивайте полномочия AI-агентов на уровне смарт-контрактов.
▪️Разделяйте контексты и фильтруйте ввод с разных платформ.
▪️Внедряйте внешние валидаторы для критичных действий.
▪️Используйте реальные кейсы атак для дообучения моделей.
▪️Не пускайте AI в финансы без двойной (а лучше ручной) проверки!

💀 Не доверяйте AI-агентам вслепую — иначе кто-то уведёт ваши данные, пока вы читаете этот пост.

🔗Безопасность AI-агентов в Web3 часть 1 и часть 2

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

⚡️ Стартовала продажа билетов на OFFZONE 2025

В этом году их будет меньше, чем в прошлом. Поэтому советуем поторопиться с покупкой.

До 1 июля действуют цены early bird:

➡️ 18 000 ₽ — если покупаете сами,
➡️ 30 000 ₽ — если платит компания.

Для студентов билеты по 10 000 ₽.

Проходки на Speaker party тоже есть! Там вас будут ждать бирпонг, коктейли, кальяны и тусовка с лучшими экспертами. Добавляйте опцию при покупке билета на конфу — количество мест ограничено.

Что еще важно знать

Студентам понадобится действующий студенческий билет — без него проходка будет недействительна.

Если у вас есть тату с логотипом OFFZONE, пришлите нам ее фото на info@offzone.moscow и получите промокод на бесплатную проходку :)

Купить билет

Game Hacking 1. От чит-кодов до kernel-level читов
#game_hacking #читкод #konami

Игровой хакинг — это не просто способ получить преимущество в виртуальном мире. Это сложная экосистема, где технические навыки пересекаются с киберпреступностью, а каждый новый патч защиты провоцирует ответные действия хакеров. Рассмотрим эволюцию читов, методы обхода античит-систем и аппаратные решения, которые превратили игровой взлом в многомиллионный теневой бизнес.

⬆️⬆️⬇️⬇️⬅️➡️⬅️➡️BA

➡️История читерства: от пакмана до соревновательных шутеров
Первые читы появились одновременно с самими видеоиграми. Ещё в 1980-х игроки в аркадных автоматах использовали «фамильные секреты» вроде знаменитого кода Konami, чтобы получить дополнительные жизни в Contra. С развитием PC-гейминга читинг стал технологичнее: в 1999 году для Quake разработали первый aimbot, анализировавший позиции противников через память процесса.

🔗Первая статья из 4

p.s. да, на картинке не правильный читкод, но лучше сгенерировать у меня не получилось)

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

#заметка #k8s

🖼️ Установка gitlab-runner в k8s

0️⃣Для начала проверяем, что установлен Helm 3. Если нет, то выполняем
curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash

1️⃣Добавляем helm chart gitlab'а
helm repo add gitlab https://charts.gitlab.io

2️⃣Обновляем данные репозитория
helm repo update gitlab

3️⃣Смотрим, какие есть доступные версии
helm search repo -l gitlab/gitlab-runner
Получаем примерно такой вывод:
NAME CHART VERSION APP VERSION DESCRIPTION
gitlab/gitlab-runner 0.76.0 17.11.0 GitLab Runner
gitlab/gitlab-runner 0.75.1 17.10.1 GitLab Runner
gitlab/gitlab-runner 0.75.0 17.10.0 GitLab Runner
gitlab/gitlab-runner 0.74.3 17.9.3 GitLab Runner
gitlab/gitlab-runner 0.74.2 17.9.2 GitLab Runner
gitlab/gitlab-runner 0.74.1 17.9.1 GitLab Runner
gitlab/gitlab-runner 0.74.0 17.9.0 GitLab Runner
gitlab/gitlab-runner 0.73.5 17.8.5 GitLab Runner
gitlab/gitlab-runner 0.73.4 17.8.4 GitLab Runner
gitlab/gitlab-runner 0.73.3 17.8.3 GitLab Runner
gitlab/gitlab-runner 0.73.2 17.8.2 GitLab Runner
Выбираем последнюю совместимую версию с вашим Gitlab instance. Я попробовал поставить на версию выше, чем мой интанс гитлаб, вроде заработало, но лучше всё таки метчить со своей версией гитлаба.

4️⃣Сохраняем шаблон конфигурации в values.yaml
helm show values gitlab/gitlab-runner --version 0.76.0 > values.yaml

5️⃣Идём в нужный репозиторий (советую привязывать раннеры к конкретным репам). Settings > CI/CD > Runners > New project runner. Задаем нужные настройки и получаем 2 нужные нам переменные дальше: gitlabUrl & runnerToken

6️⃣Возвращаемся на сервер с кубером. Мы скачали values.yaml, но это только шаблон, нам нужно будет его отредактировать. Нам нужны поля gitlabUrl — сюда вставляем url нашего gitlab, runnerToken — в кавычки копипастим токен, который мы получили на предыдущем шаге, ищем пункт rbac и свойство create ставим true. Сохраняемся и выходим из файла.

7️⃣Создаем namespace для раннера/ов
kubectl create namespace gitlab-runner

8️⃣Применияем helm chart
helm install --namespace gitlab-runner gitlab-runner -f values.yaml gitlab/gitlab-runner --version 0.76.0
Если вы хотите добавить несколько gitlab runner'ов, то делайте примерно так:
helm install --namespace gitlab-runner gitlab-runner-service1 -f values-service1.yaml gitlab/gitlab-runner --version 0.76.0
helm install --namespace gitlab-runner gitlab-runner-service2 -f values-service2.yaml gitlab/gitlab-runner --version 0.76.0
Зачем может быть нужно более одного раннера в кубере? Я для себя ответил, что для паралльного деплоя из разных репозиторияев.

9️⃣Проверяем состояние наших раннеров
kubectl get pods -n gitlab-runner

❓Если какая-то ошибка, то вам помогут команды describe & logs
# смотрим конфиг и состояние пода (может несколько сразу показать, если они в одном namespace)
kubectl describe pods -n gitlab-runner
# смотрим логи пода
kubectl logs -n gitlab-runner gitlab-runner-

Неплохая такая заметка получилась))
Следующую напишу про gitlab agent

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Как явно доказать вендору, что XSS и HTML инъекции не инфо/лоу
#meme

Оригинал видео

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Kubernetes The Hard Way
#k8s #kubernetes

Статья Путилина Дмитрия описывает общий опыт ручного развертывания Kubernetes без использования автоматизированных инструментов, таких как kubeadm. Представленный подход согласуется с нашей документацией, которую мы ведём согласно лучшим практикам и методологиям IAC.

Вся конфигурация, приведённая далее, в точности повторяет поведение kubeadm. В результате, итоговый кластер сложно отличить — собран ли он с помощью kubeadm или вручную.


➡️Чем интересна статья?
Зачастую у нас стоит цель развернуть очередной кластер как можно быстрее и мы не углубляемся в детали, а как оно работает шаг за шагом. Собственно у автора ушло около 2 лет и тысячи сгоревших нервных клеток, чтобы написать полноценный материал по создания кубер кластера без лавандового рафа))

➡️Оглавление
1. Введение
2. Почему «The Hard Way»
3. Архитектура развертывания
4. Создание инфраструктуры
5. Базовая настройка узлов
6. Загрузка модулей ядра
7. Настройка параметров sysctl
8. Установка компонентов
9. Настройка компонентов
10. Проверка готовности компонентов
11. Работа с сертификатами
12. Создание корневых сертификатов
13. Создание сертификатов приложений
14. Создание ключа подписи ServiceAccount
15*. Создание всех сертификатов
16. Создание конфигураций kubeconfig
17*. Создание всех kubeconfig
18. Проверка блока сертификатов
19. Создание static pod-ов управляющего контура
20*. Создание всех static pod-ов управляющего контура
21. Создание static pod-ов ETCD кластера
22. Запуск службы Kubelet
23. Проверка состояния кластера
24. Настройка ролевой модели
25. Загрузка конфигурации в кластер
26. Загрузка корневых сертификатов в кластер
27 Маркировка и ограничение узлов
🍀 Вывод

p.s. от себя добавлю, что у автора красивый MDX формат статьи

➡️ Рекомендую к прочтению и практике

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Как HTTP(S) используется для DNS: DNS-over-HTTPS на практике
#https #DNS #DoT #DoH #сети

Ни DNS-запросы, ни DNS-ответы в классической DNS никак не защищены: данные DNS-транзакций передаются в открытом виде. DNS-over-HTTPS (или DNS Queries over HTTPS, DoH) - самая распространённая сейчас технология для защиты DNS-трафика конечного пользователя от прослушивания и подмены. Несмотря на то что фактическую защиту в DoH обеспечивает TLS, технология не имеет никакого отношения к DNS-over-TLS (DoT). Не перепутайте. Например, реализация DoH ни на сервере, ни на клиенте не требует поддержки DoT (и наоборот). Да, DoH и DoT схожи по верхнеуровневой задаче: и первая, и вторая - это технологии защиты DNS-транзакций, однако у DoH иная архитектура и поэтому более узкая область применения, чем у DoT.

В отличие от DoT, DoH подходит строго для использования "на последней миле", то есть между приложением или операционной системой на компьютере пользователя и сервером, осуществляющим поиск информации в DNS - рекурсивным DNS-резолвером. HTTP в DNS-over-HTTPS слишком плотно "прилегает" к DNS, чтобы применение данной технологии на участке от рекурсивного резолвера до авторитативных серверов выглядело хотя бы минимально обоснованным. Собственно, исходный RFC и рассматривает только сценарий "последней мили", где DoH оказывается максимально полезной.

🔗Дальше душно

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

#заметка

Если вам придётся столкнуться с делемой: docker для моего прода - мало, не хватает горизонательного масштабирования, нет удобного управления секретами или какая-то ещё причина и вы начинаете колабаться между Docker Swarm и Kubernetes, то советую почитать статью1 и статью2, где автор размышляет о ранее озвученной делеме.

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

🔒 Аутентификация без границ

Говорят, человек за день вводит пароли 12 раз. Если он работает в корпоративной среде – умножайте на три и добавьте лёгкую истерику :)

Чтобы закончить эту драму с паролями, компания Avanpost сделала Unified SSO – решение, которое превращает корпоративный вход в симфонию: единый доступ ко всему и сразу, с любого устройства.

Единый вход – безграничные возможности!

Подробнее о продукте – в тг-канале Avanpost! Подписывайтесь 🖱

Основные концепции сетевой архитектуры Kubernetes, а также CNI, Service Mesh и т.д
#k8s #CNI #service_mesh #kubernetes #DevOps #сети

Автор статьи работает DevOps-инженером и немного сисадмином в одной достаточно крупной компании, в его зоне ответственности несколько k8s-кластеров, которые он админит на ежедневной основе.

Он постарался собрать в этой статье самые важные понятия, связанные с организацией сети в Kubernetes, с внутрикластерным взаимодействием и т.д, которые крайне необходимы DevOps-инженеру. Теперь, если соискатель поплывёт на собеседовании, он сможет вместе с фидбеком прикладывать ссылку на эту статью, чтобы кандидат мог освежить свои знания) [+rep за такое]

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Коллега-админ написал интересный пост про импортозамещение и ситуацию с CVE.

Хоть и слишком с напором написан пост, мысль правильная. Также эту мысль подметили подписчики моего канала в комментариях к первому посту про остановку финансирования MITRE.

Да, круто что у нас есть БДУ от ФСТЭК. Но практически весь туллинг был заточен под базы CVE. Собственно моя мысль, что теперь стоит задуматься о дополнении своего ПО с помощью базы БДУ.

Я еще с прошлого года стал замечать отчеты с БДУ рядом с CVE идентификатором.

🌚 @poxek

CISA передумали и выделили денег MITRE на 11 месяцев. Нормально так суету навели

Спасибо большое за ваш фидбек. Я думал это не будет никому интересно. Условно как реализую очередную фичу, которая не нужна для MVP, но т.к. я перфекционист, то мне стыдно будет выпустить не идеальный продукт

➡️Давайте кратко о моем стартапе. Я вижу проблематику, что курсы по offensive security, либо устаревшие, либо неудобная платформа. Вопросы к качеству информации - очень спорные, т.к. всегда можно сказать что курс рассчитан на новичков, а я явно не интерн. Либо наоборот, что вот у тебя не было базы, поэтому ты ничего не смог. Т.е. отмазаться от вопроса к качеству курсов 100500 вариантов.

➡️Поэтому я решил, что раз у меня есть желание что-то реализовать, достаточно знаний и опыта кого-то учить (опыт менторства в прошлом году показал, что я очень плох в продажах, но учить и заинтересовать людей я умею) и хоть я абсолютный криворукий разраб, но желания у меня было много на момент весны 2024 года.

Начну с проблем, с которыми я столкнулся:
0️⃣Это критичная переоценка себя, как разраба. Первый срок релиза LMS (платформа обучения) был конец Q3. А коли я пишу этот пост, значит до сих пор она не завершена
1️⃣Мой долбанный перфекционизм и идеализм по отношению к своей работе. Это тоже критичная ошибка. Выпустить надо было еще в начале этого года в бете. С пару маленьких курсов, чтобы вы просто могли обкатать платформу, перед глобальным релизом.
2️⃣Оказалось, что сделать пентестероустойчивые лабы с уязвимостями и не подвергать рискам свою инфру, это охренеть сложная задача. Я походу разработки столько баг находил в своем коде, вы не представляете)
Это сильно закаляло разработчика внутри меня
3️⃣Golang прекрасный язык, на нем легко, понятно и предсказуемо разрабатывать. О NextJS могу написать целую статью под названием Любовь и Ненависть
4️⃣Выстраивание всего процесса appsec & devops — это очень тяжелая задача. Я практически ежедневно в чате жалуюсь, либо что-то не запускается, либо документация говно, либо я криворукий, но что-то получилось)

Как итог, имею на 80-90% готовую платформу, где из глобальных задач осталось только одна, это автозапуск лаб. Что важная задача, но первый запуск можно сделать и без неё.

Что по поводу курсов?
Первый курс будет по веб-пентесту с интересным названием) Оказалось сложно выдумать, чтобы нейминг не совпадал с конкурентами.
Из ближайших планов, это курс по AppSec с очень интересной механикой, а какой уже NDA.

По поводу багбаунти платформы?
Оно под вопросом. Неоплачиваемое точно будет или иными ресурсами, к примеру мерч уникальный. По ценам за баги думаю, деньги не печатаю, поэтому будет реинвестироваться из дохода платформы.

Есть ли команда?
Нет, работаю один.

Есть у вас есть вопросы, то задавайте их в комментариях. С радостью отвечу!

С любовью, Серёжа Похек 🌚

CVE больше не будет и переходим на БДУ ФСТЭК?
#CVE #БДУ

Вице-президент MITRE написал в соц сети, что финансирование со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE) истекает сегодня.

Что будет с CVE/CWE и другими программами? Неизвестно. В мире другой системы нумерации/систематизации уязвимостей нет. С другой стороны круто, что ФСТЭК продумала этот риск давно еще и в России есть CVE. Осталось, чтобы вендоры начали признавать свои уязвимости, тогда думаю кол-во БДУ (оно же CVE по ФСТЭК) будет рости, как на дрожжах

Тут можно найти CVElist обновленный 11 минут назад (на момент выхода поста).
https://github.com/CVEProject/cvelistV5

А что вы думаете по этому поводу?

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

💻Финансирование CVE приостановлено, а вместе с ним и предсказуемость в кибербезопасности?

Вице-президент MITRE Йосри Барсум предупредил, что финансирование со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE) истекает сегодня. Система, более известная под аббревиатурой CVE, десятилетиями служила универсальным стандартом для идентификации уязвимостей для ИБ сообщества.

MITRE выполняет роль главного координатора CVE, а также присваивает уникальные номера уязвимостям через сеть доверенных организаций. Как подчеркнул бывший глава CISA Джин Истерли, потеря CVE будет равносильна тому, как если бы во всех библиотеках мира внезапно исчезли каталоги.

В открытом письме к членам совета CVE вице-президент MITRE Йосри Барсум заявил, что прекращение контракта затрагивает не только CVE, но и связанные с ним программы, в том числе CWE. Он предупредил об угрозе паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.

Представители DHS, NIST и Минобороны пока не предоставили конкретных решений. Лишь CISA заявила, что срочно ищет временные способы поддержать работу CVE и свести к минимуму последствия. По мнению основателя Bugcrowd Кейси Эллис, последствия могут перерасти в кризис национальной безопасности.

Журналист Брайан Кребс у себя в блоге пишет, что связался с MITRE и ему подтвердили, что действительно всё так, как сообщается в письме. По его данным, база данных MITRE's CVE, скорее всего, перестанет работать уже завтра.

MITRE сообщили мне, что на данный момент исторические записи CVE будут доступны на GitHub:
https://github.com/CVEProject

Тем временем в самой NIST уже скопился большой необработанный массив CVE, который ждёт верификации и публикации в Национальной базе уязвимостей.

✋ @Russian_OSINT

Разбираемся в AI проектах OWASP: обзор для разработчиков и ИБ-специалистов
#owasp #ai #нейросети

OWASP — некоммерческая организация, которая занимается выпуском руководств и фреймворков в области безопасности. В условиях активного внедрения генеративного ИИ в самые разные сферы, OWASP анонсировал больше десяти разных проектов, чтобы охватить новые угрозы и привлечь внимание к безопасности AI-систем. Ниже расскажу про основные инициативы и документы, которые могут пригодится в работе тимлидам, разработчикам и специалистам по информационной безопасности.

На первый взгляд в глаза бросается обилие проектов, документов и рекомендаций. Материалы в отчётах пересекаются и запутаться в инициативах OWASP — легко. Связано это с тем, что проекты ведут разные команды и лидеры. В OWASP более 1000 человек только в slack-канале и около 100 активных участников.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Разбор CVE-2025-24071 от BIZONE
#CVE-2025-24071 #BIZONE #Windows #Microsoft #NetNTLMv2

Статья от Ильи Ефимова, ведущего аналитика SOC компании BI.ZONE. В этой статье он расскажет о нашумевшей CVE-2025-24071, которая позволяет атакующим получить NetNTLMv2-хеш-суммы паролей в результате некорректной обработки файлов .library-ms в Windows Explorer. Сама уязвимость уже эксплуатируется in-the-wild, о чем свидетельствуют данные, полученные от исследователей в области кибербезопасности. В своем небольшом исследовании он покажет, за счет чего происходит эксплуатация уязвимости, примеры событий, а также расскажет, как обнаружить такую активность.

Что такое .library-ms-файл
Начнем с того, что собой представляет файл .library-ms. Исходя из документации Microsoft, .library-ms-файлы — это XML-файлы, которые определяют библиотеки Windows (Windows Libraries) — специальные виртуальные коллекции папок и файлов, представленные в проводнике.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Сумка айтишника в Татарстане в день зарплаты

🌚 @poxek_meme

Сумка айтишника в Казахстане в день зарплаты

🌚 @poxek_meme

Сумка айтишника в Казахстане в день зарплата

🌚 @poxek_meme

Охотники на баги и где они обитают: итоги опроса о багхантинге
#bugbounty #bughunters #багбаунти #багхантинг

PT сделали исследование и написали спец статью для Хабр о портрете багхантеров, получилось интересно, хоть и с призмой явного перевеса в "свою сторону"))

В мире, где цифровые технологии пронизывают все аспекты жизни, безопасность разработки становится не просто важной, а критически необходимой. Однако с ростом сложности IT-решений и ускорением темпов обновлений обеспечить безупречную защиту данных и пользовательского опыта становится всё труднее. В таких условиях компании всё чаще обращаются к сообществу, запуская программы багхантинга — поиска уязвимостей силами внешних специалистов за вознаграждение.

Мы решили узнать, как российское IT-сообщество воспринимает багхантинг, и провели опрос среди читателей Хабра. Более 300 человек прошли тест до конца, около 1000 ответили на часть вопросов, что позволило нам составить портрет современного багхантера. Спасибо всем участникам! А теперь давайте разберёмся, что же удалось выяснить. В конце каждого раздела дадим галерею с итогами опроса, чтобы вы могли посмотреть на полное распределение процентов по ответам.

P.S. очень классные картинки нагенерили))

🔗Изучить исследдование

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Аутентификация для WebSocket и SSE: до сих пор нет стандарта?
#auth #websocket #WS #SSE

WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSocket и технологии Server-Sent Events, обсудим, какие нюансы могут быть, когда клиентская часть находится в браузере, и на что еще стоит обратить внимание, чтобы избежать неочевидных проблем.

А еще заодно поговорим про уязвимость Cross-Site WebSocket Hijacking (CSWSH) и в целом посмотрим на многие вопросы через призму информационной безопасности.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

🔵🔴 PURP: две стороны кибербезопасности

Устали от однобоких взглядов на ИБ? Хотите знать не только КАК защищаться, но и ОТ ЧЕГО?

В канале PURP два эксперта – Lobrigate и Pr0xProw – ведут диалог с разных сторон баррикад кибербезопасности:
• Актуальные уязвимости и CVE с разбором практического применения
• Свежие инструменты для пентестеров и безопасников
• Обзоры реальных кибератак с техническими подробностями
• Разборы малвари – от полноценных APT до скрипт-кидди шалостей
• Полезные материалы – статьи, курсы, гайды и исследования

👾 И все это без воды, с конкретикой и экспертными комментариями от blue team и red team специалистов Бастион.

Хотите прокачать навыки в кибербезе или просто держать руку на пульсе ИБ-индустрии? Добро пожаловать в PURP!👉 @purp_sec

Реклама. ООО "БАСТИОН". ИНН 9701115327. erid: 2W5zFK8dJQQ

Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс
#ФСТЭК #сертифицирование #ПО

Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба.

«Документации будет столько, что можно небольшой лес сохранить», «Год минимум, а то и полтора», «Придется выделить целую команду», «А потом еще и каждое обновление...» — такое слышишь постоянно. И когда мы только начинали, эти страшилки не казались преувеличением.

Наибольший интерес вызывала перспектива регулярных инспекций. Продукт живой — он растет, развивается. У нас продуктов целая экосистема ПО виртуализации, десяток значимых обновлений каждый год, и каждое потребует инспекционного контроля. Но в какой-то момент стало понятно: либо мы научимся проходить сертификацию и последующие проверки красиво, либо увязнем в бесконечном марафоне.

Спойлер: мы научились. Теперь сертификация ФСТЭК для нас — это не квест с неизвестным финалом, а понятный процесс с измеримыми параметрами.

🔗Ребята умеют создать интригу, не правда ли?)

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF
#oauth #auth #code_injection #cookie #httpOnly #PKCE #BFF

В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео.

Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Как HTTP(S) используется для DNS: DNS-over-HTTPS на практике
#https #DNS #DoT #DoH #сети

Ни DNS-запросы, ни DNS-ответы в классической DNS никак не защищены: данные DNS-транзакций передаются в открытом виде. DNS-over-HTTPS (или DNS Queries over HTTPS, DoH) - самая распространённая сейчас технология для защиты DNS-трафика конечного пользователя от прослушивания и подмены. Несмотря на то что фактическую защиту в DoH обеспечивает TLS, технология не имеет никакого отношения к DNS-over-TLS (DoT). Не перепутайте. Например, реализация DoH ни на сервере, ни на клиенте не требует поддержки DoT (и наоборот). Да, DoH и DoT схожи по верхнеуровневой задаче: и первая, и вторая - это технологии защиты DNS-транзакций, однако у DoH иная архитектура и поэтому более узкая область применения, чем у DoT.

В отличие от DoT, DoH подходит строго для использования "на последней миле", то есть между приложением или операционной системой на компьютере пользователя и сервером, осуществляющим поиск информации в DNS - рекурсивным DNS-резолвером. HTTP в DNS-over-HTTPS слишком плотно "прилегает" к DNS, чтобы применение данной технологии на участке от рекурсивного резолвера до авторитативных серверов выглядело хотя бы минимально обоснованным. Собственно, исходный RFC и рассматривает только сценарий "последней мили", где DoH оказывается максимально полезной.

🔗Дальше душно

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Как организовать гибридную среду, которая объединит вашу инфраструктуру on premise с облаком или несколько облаков?

Существуют разные способы. Об одном из них – сервисе Direct Connect – расскажет Владислав Одинцов, техлид, product owner сетевых сервисов K2 Cloud.

Вы узнаете из первых рук о возможностях сервиса и увидите демонстрацию его работы.

Подключайтесь и задавайте свои вопросы о создании гибридной инфраструктуры «облако+on premise».

22 апреля 11:00
Подробности и регистрация

всё, шутки пошутили, хватит с вас))

❕❗️❕Новая RCE в SMB без авторизации

Делитесь с коллегами))

💻 Деньги на ветер

На днях, гуляя по теневому ресурсу, обнаружил сомнительный мануал по крупному заработку. Автор утверждает, что за 3 дня заработал этим способом ~$3000. Я решил изучить мануал и эксплойт.

Первое, на что я обратил внимание, — это на позитивные комментарии к посту, а именно на эти аккаунты. Они были созданы в один и тот же день, а также комментируют одни и те же посты с подобными сомнительными заработками.

▎ В чём суть легенды мануала?

В прикрепленном PDF (чист от вирусов) мануал по использованию эксплойта для сервиса G2A (торговая площадка, специализирующаяся на игровой продукции). Эксплойт, вставленный в браузер расширением Tampermonkey, якобы меняет часовой пояс браузера всякий раз, когда мы делаем новый заказ на G2A. Это приводит к тому, что заказ будет отмечен как "Истёк" на платежном процессоре G2A - Bitbay (биржа по торговле криптовалютой), однако заказ не будет отмечен как истёкший на стороне G2A. Деньги будут мгновенно возвращены на кошелек Bitbay, если эта транзакция на большую сумму (более 0,001 BTC ≈ 6518 руб на данный момент). В итоге товар получен, а деньги возвращены. Также в мануале совет, что именно покупать на G2A с данным скриптом — купоны Amazon на $100-500, которые потом можно перепродать другим.

Звучит привлекательно для злоумышленника. Но в образовательных целях решил взяться за изучение эксплойта и его использования на практике. Первым делом обнаружил, что код в скрипте обфусцирован, то есть он трудночитаемый и сложный для анализа. Закинул код нейросетям и попросил провести анализ. Вирусная активность не была обнаружена, но нашлась одна тонкость, которая упущена в легенде мануала.

▎ Разбираемся

Оказывается, существует вероятность (точно не выявлено, но множество подозрений), что в страницу подставляется мошеннический QR-код для оплаты вместо официального. И под видом того, что вылезает оплата со сменой часового пояса, на самом деле деньги улетят мошеннику — автору скрипта.

Решил проверить, работает ли вообще данный развод на практике. На всякий случай скрипт я вставлял в чистой песочнице Windows, мало ли что в этом скрипте может храниться. И да. После нажатия "Оформить заказ" в корзине мне вылез alert "Timezone changed! Press OK to continue". На странице вылезло окно оплаты биткоинами QR-кодом. Если набрать слишком маленькую корзину (до 0,001 BTC, то вылезает alert с предупреждением, что эксплойт не сработает).

Дополнительное замечание: без использования данного кода в расширении браузера из корзины идёт редирект на вариацию оплаты, а после выбора оплаты биткоинами происходит ещё редирект на страницу с оплатой. Но с использованием "эксплойта" окно оплаты биткойнами появляется поверх корзины (которое ещё и нельзя закрыть), что дополнительно вызывает сильные подозрения в правдивости эксплойта.

Я пробовал поосинтить BTC адреса, но никакой информации в интернете я про них не нашел. Это новые кошельки. Генерируются каждый раз новые при повторной попытке оплатить заказ.

Не стал пытаться оплачивать, потому что был уверен в том, что это просто развод социальной инженерией, где скамер скамит скамеров. С большей вероятностью эти деньги бы никто и не вернул, лишь бы проспонсировали злоумышленника-автора скрипта. Плюс непонятно, на что направлено такое спонсорство: в руки злоумышленника или каким-то запрещенным организациям в РФ? Будьте с этим предельно осторожны и в принципе не пробуйте чёрные способы заработка, иначе можно надолго присесть.

После подачи в репорт автор и ветка обсуждения были быстро заблокированы модерацией сайта.

SSTI в Python под микроскопом: разбираем Python-шаблонизаторы
#SSTI #python #Django #jinja2

Статья от Сергея Арефьева, пентестер BI.ZONE. В этой статье он хочет подробно раскрыть тему SSTI (server-side template injection) в контексте Python 3. Сразу оговорюсь, что это не какой-то новый ресерч с rocket-science-векторами. Он лишь взял уже известные PoC и посмотрел, как и почему они работают, для более полного понимания вопроса.
Он рассмотрит, какой импакт атакующие могут получить, используя SSTI в пяти самых популярных шаблонизаторах для Python: Jinja2, Django Templates, Mako, Chameleon, Tornado Templates. Кроме того, немного углубится в работу известных PoC. Он поделится опытом и вариантами улучшения тех PoC, которые могут быть полезны при тестировании.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Чекайте обновление канала)))
Теперь канал сертифицирован по всем законам)

😻 HTTP Request Smuggling: как особенности в обработке HTTP-заголовков приводят к атакам CL.TE и TE.CL
#http #request #smuggling #pentest #websec

Не опять, а снова годная статья от моего хорошего знакомого, рекомендую к прочтению)

HTTP Request Smuggling или контрабанда HTTP-запросов — тип уязвимости, который возникает из-за несоответствий в обработке HTTP-запросов между фронтендом и бэкендом. Каким образом различия в интерпретации заголовков позволяют атакующим использовать эту уязвимость? Как HTTP Request Smuggling можно использован в сочетании с Web Cache Poisoning? И на что обратить внимание, чтобы предотвратить подобные атаки? Разберем вместе на примере лабораторных работ с PortSwigger.

Концепция HTTP Request Smuggling
HTTP Request Smuggling — это тип уязвимости, который возникает из-за несоответствий в обработке HTTP-запросов между фронтендом, например, балансировщиком нагрузки или reverse proxy, и бэкендом — сервером приложения. Фронтенд выступает в роли посредника, который принимает запросы от клиентов и передает их на бэкенд для дальнейшей обработки.

Однако, если фронтенд и бэкенд по-разному интерпретируют заголовки Content-Length и Transfer-Encoding, это может привести к уязвимостям. Например:
➡️Фронтенд может использовать заголовок Content-Length для определения размера тела запроса.
➡️Бэкенд, в свою очередь, может полагаться на заголовок Transfer-Encoding: chunked, который указывает, что тело запроса передается частями.

Если запрос содержит оба заголовка одновременно, это может привести к тому, что часть запроса останется необработанной и «перетечет» в следующий запрос. В результате у атакующего появится возможность внедрить вредоносные данные или манипулировать поведением сервера.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🕵️‍♀️ Начинаем охоту на ботов

Сегодня боты составляют почти половину всего интернет-трафика, а их активность сложно отличить от действий реальных пользователей.

Как отличить бота от пользователя?
❌ Anti-DDoS и WAF недостаточно.

✅ Нужны специальные методы защиты. Какие именно — расскажут эксперты Cloud․ru и Curator на вебинаре 15 апреля в 11:00 по мск.

Спикеры:
• Тарасов Георгий, Владелец продукта Curator.CDN (ex-Менеджер продукта Curator.Antibot)
• Жуков Александр, Архитектор по развитию сервисов безопасности, Cloud.ru

Эксперты проведут live-демо, как обнаружить бот-атаку и как защитить свои ресурсы. А еще разберут стратегии тех-гигантов и крупных бизнесов в условиях массовой бот-активности.

Зарегистрироваться на вебинар и начать охоту 👈

🕵️‍♀️ Начинаем охоту на ботов

Сегодня боты составляют почти половину всего интернет-трафика, а их активность сложно отличить от действий реальных пользователей.

Как отличить бота от пользователя?
❌ Anti-DDoS и WAF недостаточно.✅ Нужны специальные методы защиты. Какие именно — расскажут эксперты Cloud․ru и Curator на вебинаре 15 апреля в 11:00 по мск.Спикеры:• Тарасов Георгий, Владелец продукта Curator.CDN (ex-Менеджер продукта Curator.Antibot)
• Жуков Александр, Архитектор по развитию сервисов безопасности, Cloud.ru

Эксперты проведут live-демо, как обнаружить бот-атаку и как защитить свои ресурсы. А еще разберут стратегии тех-гигантов и крупных бизнесов в условиях массовой бот-активности.

Зарегистрироваться на вебинар и начать охоту 👈

⏰

🖼️ Kubernetes Security Hardening: от основ до продвинутых техник защиты
#k8s #security_hardening #kubernetes #container #контейнер #devsecops #appsec

Кластеры Kubernetes, будучи основой современной облачной инфраструктуры, часто становятся привлекательной мишенью для атак. Согласно данным от NSA и CISA, Kubernetes обычно атакуют с тремя основными целями: кража данных, использование вычислительных ресурсов (например, для майнинга криптовалюты) и организация DDoS-атак. В этой статье мы разберем комплексный подход к настройке безопасности Kubernetes от простых базовых мер до продвинутых техник защиты.

➡️Уровни безопасности Kubernetes
Прежде чем начать настройку безопасности, важно понимать, что защита Kubernetes должна осуществляться на нескольких уровнях:

1️⃣ Безопасность на уровне хоста (Host Level Security)
Это базовый уровень защиты, включающий настройку безопасности непосредственно на серверах, где запущены компоненты Kubernetes.

2️⃣ Безопасность на уровне кластера (Cluster Level Security)
Этот уровень включает настройку безопасности компонентов управления Kubernetes, API-сервера, etcd и других критических компонентов.

3️⃣ Безопасность на уровне рабочих нагрузок (Workload Level Security)
Этот уровень относится к безопасности развертываемых приложений, контейнеров и объектов Kubernetes.

🔗Читать дальше

p.s. я только погружаюсь в тему, могут быть ошибки или пробелы в знаниях. Открыт к доработке статьи, пишите в комментах ваши пожелания, что добавить в статью или какую ещё тему разобрать связанную с k8s.

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🤟 Внимание всем спецам и CTFерам! Готовы к новому вызову? 🤟

📆19-20 апреля Т-Банк устраивает третье эпичное соревнование — T-CTF 2025! Это уникальная возможность для разработчиков, SRE- и QA-инженеров, аналитиков, безопасников и других специалистов проявить себя в командной игре Capture The Flag.

😊 В этом году мы отправляемся в Капибаровск, где вашим заданием будет спасти бедных капибар от технологического хаоса. Решайте задачи на безопасность веб-приложений, уязвимости инфраструктуры, криптографию и многое другое, чтобы помочь капибарам. 🐾

📍Участвуйте онлайн или приходите на офлайн-площадки в 6 городах: Москве, Санкт-Петербурге, Казани, Иннополисе, Екатеринбурге и Новосибирске. Здесь вы найдете уютные зоны для выполнения заданий и общения с командой, а также интерактивные активности для расслабления.

💳💳💳 Победителей ждет денежный приз — до 420 000 ₽ на команду! Не упустите шанс показать свои навыки и выиграть.

🔗 Переходите по ссылке, чтобы зарегистрироваться на T-CTF 2025 и стать частью этого грандиозного события.

Реклама. АО "ТБанк", ИНН 7710140679, лицензия ЦБ РФ № 2673 Erid:2W5zFHGVaY8

⚡️ Vibe coding: хайп или революция в разработке? ⚡️
#videcoding #coding #разработка #dev #developer #cursor #windsurf #copilot

Недавно один хороший знакомый начал спрашивать тут и тут про вайбкодинг 🕺, что это, зачем оно и как вкатиться. Я ему в голосовой описал в двух словах, что это, как это. Но показалось, что можно рассказать про это подробнее на канале, раз я тоже один из таких "вкатунов"))

Собственно мой активный путь в "вайб кодинге"... всё ещё не привычно говорить столько зумерских слов в одном предложении... Начался с поста от Омара про то, что ты динозавр если ещё не используешь активно ИИ, я до этого пользовался ChatGPT, Claude чуть туда сюда, но не полноценными IDE с ИИ. А так как я прислушиваюсь к старшим коллегам, решил что тоже пора пробовать. Пробовал разные среды, расширения, плагины, сервисы и т.д. Потратил на все тесты более 300$ точно.

📌В итоге пришёл к своему идеалу: Cursor IDE с платной подпиской (вам может хватить и бесплатного тарифа, если вы не кодите на постоянке) и модели от Claude: Sonnet 3.7 для доработки фич и Sonnet 3.7 Thinking для планирования хода разработки, проектирования и собственно создания фич с нуля.

🔗Для тех кому интересно узнать больше о том, как vibe coding появился. Советы от меня при разработке, почекать сравнительную таблица инструментов для вайб кодинга, то велком читать статью в блоге

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Экспериментальная ИБ ИИ модель от Google - Sec-Gemini v1
#Google #ai #security #кибербез #ииагент #ии

Что из себя представляет Sec-Gemini v1?
Sec-Gemini v1 — это не просто очередная ИИ-игрушка с громким именем. Эта модель объединяет продвинутые возможности Gemini с актуальными знаниями и инструментами в области кибербезопасности. Фактически, это гибрид на стероидах, способный выполнять комплексный анализ киберугроз, оценивать уязвимости и прогнозировать потенциальные атаки с беспрецедентной точностью.

Интеграция с топовыми источниками данных
Одна из ключевых фишек Sec-Gemini v1 — глубокая интеграция с профессиональными базами данных:
➡️Google Threat Intelligence (GTI)
➡️Open Source Vulnerabilities (OSV)
➡️Mandiant Threat Intelligence

🔗Читать подробнее в моем блоге


P.S. в отрыве от всех фактов, моё мнение, что пока это не заточенный на какой либо поиск уязвимостей ИИ, а скорее агент для поиска информации, направленный на ИБ сферу и которому автоматически скармливаются определённые базы знаний. Не выглядит как революция от Google.

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Валентин Мамонтов – Как построить API security, заставить DAST работать и причем тут WAF
#WAF #DAST #API #appsec

В третьем выпуске встретились с Валентином Мамонтовым – экспертом с более, чем 5-летним опытом в сфере ИБ и DevSecOps. Он поможет нам разобраться, почему динамическое сканирование может спасти ваш бизнес от хакеров. А также:
▪️почему WAF не пустая трата денег компании
▪️как правильно внедрять WAF
▪️что может DAST и как правильно им пользоваться
▪️почему одного DAST мало и нужно дополнительно выстраивать API Security ▪️как грамотно построить API Security
▪️какова динамика российского рынка в сфере динамического тестирования
▪️об open source в России И все это с шутками и небольшими выходами за пределы темы.

0:33 Вступление
1:04 Что такое динамическое тестирование? Что такое DAST? Где применяется API Security?
2:40 Из чего состоит DAST инструмент: пауки, ajax spiders
3:33 Виды spiders (пауков)
5:26 Особенности работы DAST с API
6:37 С чем не справляется DAST
8:31 Как увеличить покрытие для DAST
10:18 Где внедрять DAST в CI/CD
14:00 Зачем нужно API Security помимо DAST
19:25 Что такое WAF
20:37 Как работает WAF: сигнатурные WAF и поведенческие WAF
21:24 Как внедрить WAF в компании
24:28 Аппаратные WAF для оптимизации расшифровки траффика
26:44 WAF в kubernetes
27:37 Хорошие отечественные WAF хорошие и какие у них преимущества и недостатки
29:19 Anti-DDos в связке WAF 30:24 Ошибки установки WAF
32:48 Отечественные DAST и почему отечественные DAST хуже иностранных
34:14 Недостатки отечественных DAST
38:40 Российский open-source в ИБ
42:51 Почему в РФ нет своего OWASP и CNCF
45:06 LLM и AI в DAST: когда нейронки заменят пентестера?
47:46 О практиках IAST и RASP
51:09 Тренды в ИБ: ML и как нейронки будут помогать ИБ в будущем
52:09 Тренды в ИБ: развитие облачной индустриии в РФ
53:11 Блиц
54:50 Заключение

🔗Приятного просмотра!

🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Как считаете, пора уже бросить этот пентест и пойти на младшего ибэшника ?)

Миша Черешнев из Swordfish Security – Безопасность контейнеров и о жизни в devsecops
#подкаст #DevSecOps #container #контейнеры

Миша расскажет о своем пути в ИБ и о текущей работе. Будет немного о Cloud Native, Rekor и о том, как пройти у него собес.

➡️Таймкоды
00:00 Вступление
00:25 Как попасть в ИБ
00:50 Чем DevSecOps отличается от AppSec?
01:59 Что такое контейнерная безопасность?
04:10 Что такое Supply Chain
07:44 Атаки на Supply Chain
21:39 Уровень развития ИБ в РФ
24:48 Недостатки ИБ в РФ
25:26 Вопросы с собеседований ИБ
29:42 Блиц
30:34 Заключение

🔗 Заценить подкастик

🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

⚠️ Windows Event IDs Attacks

Лист важных Event ID для отслеживания потенциальных угроз и атак на основе журналов Windows. PDF версия.

Подборка roadmap-ов по ИБ
#cert #карьера #пентест #roadmap #сертификаты #карта_развития

На канале то тут, то там рассматривались отдельные карты, однако, ещё не было полноценного поста с подборкой.

▪️Подробный роадмап от PT, содержащий ссылки на различные ресурсы и курсы.
▪️Пожалуй, популярнейший роадмап. Классика.
▪️Компактный роадмап от SANS, содержащий их курсы по разделам
▪️Сертификации в области ИБ
▪️Ещё один роадмап от PT — карта компетенций

Пентест-роадмапы:
▪️Статья-роадмап по пентесту
▪️Пентест AD от orangesec - 2025 год

🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Лучший гайдик по развёртыванию чистого k8s
#заметка

Если на моменте выбора CRI (container runtime), вы не знаете что выбрать, то в конце статьи есть ссылка другую статью на тему выбора. Я лично выбрал cri-o, но в целом в чате советовали также containerd

p.s. я успел потыкать microk8s, minikube до этого. Но я слишком плох в DevOps и любой шаг вправо, шаг влево от дефолтных инструкций/настроек k8s в microk8s или minikube вызывает у меня стресс, печаль и грусть. Если у вас аналогично, то лучше реально выбрать стоковый k8s

🌚 @poxek

Чем может заниматься уважающий себя пентестер ночью? Багхантить? Пентестить? Кодить? Нет! Делать стикеры))

Подборка статей про безопасность контейнеров
#docker #k8s #kubernetes #контейнер #контейнеризация #оркестрация

➡️Оглавление
Container Reading List
Container Terms for Security people
Security Terms for Container people
Container CVE List
Container/Kubernetes Security Tools
Container Security Standards
Container Support Lifecycles
Container Security Talks

➡️Инфа для атакующих
External Attacker Checklist
Compromised Container Checklist
Compromised User Credentials Checklist
Attacker Manifests
Container Breakout Vulnerabilities
Kubernetes Persistence Checklist

➡️Инфа для защитников
PCI Container Orchestration Guidance for Kubernetes
Kubernetes Security Architecture Considerations
Kubernetes RBAC Good Practice - В этой документации приведены рекомендации по предотвращению распространенных ошибок в работе с Kubernetes RBAC.
Kubernetes API Server Bypass Risks - В этой документации показаны места, где можно обойти сервер API Kubernetes, что очень важно, поскольку многие средства контроля безопасности направлены на сервер API.

🖥 Container Security Site

🌚 @poxek | 🌚 @poxek_backup | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Киберугрозы 2024: кто атакует бизнес и как дать отпор?

Злоумышленники не спят: только в 2024 году ежедневно регистрировалось более двух критичных инцидентов.

❗️ Специалисты SOC из «Лаборатории Касперского» не сидят сложа руки и уже провели анализ инцидентов, обнаруженных Kaspersky MDR в 2024 году.

📆 3 апреля в 11:00 (МСК) — не пропустите прямой эфир, где эксперты из Kaspersky расскажут о результатах анализа, которые легли в основу ежегодного аналитического отчета.

🛸🛸🛸 В программе у нас:

➡️Погрузимся в мир киберпреступников: кто они такие и какие мотивы ими движут?
➡️Разберемся с инструментами, которые они используют, чтобы всегда быть на шаг впереди.
➡️Познакомимся с методами, которые помогут выявлять угрозы раньше, чем они нанесут ущерб.

В тот же день на русском языке будет доступен аналитический отчет.

❓ Все зарегистрированные участники получат его первыми — так что не упустите шанс!

🔥 Не тяните — регистрируйтесь и получайте ценные инсайты!

Ждём?)

0KEg0L/QtdGA0LLRi9C8INCw0L/RgNC10LvRjw==

Feberis Pro: Революционная расширительная плата для Flipper Zero
#flipper_zero

Feberis Pro — это передовая расширительная плата, разработанная для устройства Flipper Zero, которая значительно расширяет его возможности в области анализа и взаимодействия с беспроводными технологиями. Эта плата оснащена четырьмя радиомодулями: двумя модулями CC1101 для работы на частотах 433 МГц и 868 МГц, модулем NRF24 для взаимодействия с устройствами на частоте 2,4 ГГц, а также модулем ESP32 с поддержкой Wi-Fi.

➡️Технические особенности
CC1101 Модули: Позволяют захватывать и анализировать радиосигналы в диапазоне ниже 1 ГГц, что делает возможным взаимодействие с такими устройствами, как пульты дистанционного управления, погодные станции и системы умного дома. Два модуля обеспечивают одновременную работу на разных частотах, что повышает эффективность при захвате и анализе сигналов.

NRF24 Модуль: Используется для анализа и взаимодействия с устройствами на частоте 2,4 ГГц, включая тестирование уязвимости MouseJack и джемминг Bluetooth и Wi-Fi сигналов.

ESP32 Модуль: Обеспечивает поддержку Wi-Fi, что позволяет проводить сканирование доступных точек доступа, деаутентификацию устройств и другие операции.

Встроенный GPS: Позволяет проводить wardriving с логированием, временным и географическим штампом обнаруженных сигналов, что особенно полезно для исследователей безопасности при анализе беспроводных сетей.

➡️Преимущества для ИБэээшников
Feberis Pro предназначена для исследователей безопасности и пентестеров, предоставляя им мощный инструмент для анализа и взаимодействия с широким спектром беспроводных технологий. Плата не требует внешнего питания, питаясь от Flipper Zero, что делает ее удобной для использования в полевых условиях.

➡️Технические характеристики
Питание: через порт GPIO Flipper Zero.
Температурный диапазон: от -10°C до 60°C. Готов к физ пентестам хоть в Африке :D
Размеры без антенн: 7,8 см х 7,6 см х 2,6 см.
Вес с антеннами: 113 граммов.

➡️Стоит эта диковина около 103$ и продаётся ТУТ

🔗 Читать полную статью

P.S. если возникнут вопросы а где купить флиппер дёшево, то можете заказывать на Joom. Доставка умеренно быстрая, цена считайте самая дешёвая. В РФ магазинах стоит всегда х2 от цены на джуме.

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Крупная утечка данных Keenetic: миллион устройств под угрозой
#keenetic #роутер #маршрутизатор

Пользователи маршрутизаторов от Keenetic, преимущественно российские, подверглись угрозе взлома из-за утечки данных, содержащих сведения об устройствах, конфиденциальные данные, конфигурации сетей и логи. Имея эту информацию, хакеры могут получить непосредственный доступ и перехватить затронутые сети. Однако, компания утверждает что риск злоумышленной деятельности минимален.

➡️Хронология
Keenetic осведомлена об инциденте и сообщает, что ещё 15 марта 23 года независимый ИБ-исследователь уведомил их о возможности неавторизованного доступа к базам данных Keenetic Mobile App.
По словам компании, разработчики оперативно устранили проблему, как только подтвердили угрозу и определили источник.
Keenetic утверждает, что до февраля 2025 года не было замечено никакой подозрительной активности

➡️Что говорят анонимные источники?
По данным исследователей, утечка содержала следующие данные:
▪️Пароли и настройки WiFi
▪️Подробные журналы обслуживания
▪️Конфигурации сетевых интерфейсов
▪️Настройки VPN клиентов

Злоумышленники, потенциально владеющие такими даными, могут:
▪️Захватывать домашние и корпоративные сети
▪️Перехватывать, анализировать и переадресовывать трафик
▪️Получать доступ к устройствам, находящимся в сети


➡️Реакция компании
Keenetic выпустила памятку для пользователей Keenetic Mobile App о необходимости сменить авторизационные данные. По их сведениям, утечка затронула пользователей, зарегистрированных до 16 марта 23 года.
Компания уточняет, что в утечку также попали:
▪️Идентификаторы Keycloak
▪️Электронные адреса (логины) и имена учетных записей Keenetic
▪️Конфигурации учетных записей пользователей устройств
▪️Хэши паролей MD5 и NT
▪️Конфигурации сетевых интерфейсов, включая идентификаторы WiFi

По словам компании, банковские данные, транзакции и ключи VPN остались защищёнными.

➡️Рекомендации
▪️ Сменить все пароли: как учётных записей Keenetic, так и WiFi
▪️Обновить прошивку маршрутизатора
▪️Проверить настройки сети
▪️Отключить возможность удалённого доступа, если он не используется

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

😈 [ Duncan Ogilvie 🍍 @mrexodia ]

Success! Claude 3.7 with my IDA Pro MCP server managed to solve the crackme that was previously failing🦾

The trick was adding a convert_number tool and stress to always use it for conversions. It took ~7 minutes to run and the cost was $1.85. Also includes an analysis report.

🔗 https://github.com/mrexodia/ida-pro-mcp

🐥 [ tweet ]

рип цтфы категории пвн

У коллег-админов были снесены каналы телегой. Причины естесна никто не озвучил, со слов Вадима Шелеста ответ на аппеляцию можно ждать в течении 3 месяцев, но гарантий что ответят - никаких нет(

Поетому, на случай блокировок уже моего канала, я сделал @poxek_backup, где буду параллельно постить весь контент. Прямо сейчас уже можете там найти бекапы с 22 года по 30.03.2025. И после этого поста закину туда последние наверное 200 постов, чтобы канал не был уже слишком пустым. Но понятно, что все практически 5000 постов я не в силах туда форварднуть

Также напоминаю, что сделал бложик https://blog.poxek.cc и я скоро будет релиз моей самописной платформы обучения Академия Похека ‼️, ведь даже снос канала не будет означать прекращение существование бренда Похек и его участников)
Пока лендоса нет, но всё нужное вы увидите скоро на https://poxek.cc :)

P.S. похек моих сервисов, кроме blog.poxek.cc & cmd.poxek.cc — запрещен)

Чат временно получил новое название
Багбхантерский район, село Триажево, улица Критов

Всех приглашаю поселиться на нашей улице 😁

@poxek_chat

🌚 Редтимим мониторинг: рекон Grafana
#grafana #recon #разведка

Команда CyberOK снова провела классный ресерч и поделился с сообществом на Хабре. Ребята взяли свой опыт, разнюхали новые баги и получилась классная статья)

В ходе их исследования они выяснили, что Grafana может быть использована для:
➡️Сбора чувствительных данных (API-ключи, пароли, конфигурации).
➡️Проведения SSRF-атак.
➡️Сканирования портов и фингерпринта сервисов. (Напоминает Zabbix))
➡️Брутфорса учетных записей и подбора паролей.
➡️Выполнение произвольных SQL-запросов через датасорсы или SQLi через дашборды.

А в конце статьи дали готовый чек-лист по аудиту Grafana. Считаю статья более чем достойна вашего прочтения)

➡️ Читать всё

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Новая вакансия Гусь-новосёл в Astra

Обязанности:
- Возглавить миграцию айтишников в новый офис.
- Вдохновлять коллег на поддержание порядка в переговорках и в мыслях.
- Тестировать массажные кресла для сотрудников.
- Проверять кофе-машины под высокой нагрузкой.
- Участвовать в разработке сбалансированных вкусных завтраков в офисе.
- Придумывать поводы для искреннего гогота с целью поддержания в норме психоэмоционального состояния коллег.
- Раскусывать баги.
- Покачивать перьями в такт музыке из колонок на кухне.
- Заботливо задавать команде вопрос «как дела?», чтобы напомнить об отпускной зимовке, которой давно не было.
- Превентивно настойчиво шипеть, когда кто-то хочет деплоить в пятницу.


Требования:
- Опыт работы на позиции гуся-новосёла от 5 лет, уровень Senior и выше.
- Развитые навыки коммуникации со стейкхолдерами, чипсохолдерами и другими холдерами съестного.
- Готовность трудиться, не покладая лап.
- Знание алгоритмов поедания яблок и зефира (не надо оптимизировать, надо наслаждаться).
- Любовь к пингвинам, слонам, туканам, медведям, дружелюбие к фауне и флоре.
- Держать клюв по ветру.

https://hh.ru/vacancy/118740353

Готовы к разрывной?

Хотите задать вопрос топовым хакерам из Synack и HackerOne?

В нашем канале коммуникации 15 апреля в 19:00 (мск) пройдет стрим в формате ответов на все ваши вопросы с топовыми хакерами Hussein Daher и Nikhil "Niksthehacker" Shrivastava!

Что будет на стриме?

🔥 Как гости стрима пришли в багбаунти и что стало точкой невозврата?
🔥 На каких уязвимостях они фокусируются и почему?
🔥 Как понять, когда копать глубже, а когда менять таргет?
🔥 Самые запоминающиеся репорты, инсайты и лайфхаки.

Кто в эфире?

🔹 Hussein Daher — этичный хакер, который с 2014 года нашел более 1500 уязвимостей более чем в 800 компаниях. Основатель WebImmunify․com, компании, которая занимается пентестом и консультациями по кибербезопасности.
🔹Nikhil Shrivastava (Niksthehacker) — Synack Legend Hacker — помог найти более 1500 уязвимостей в продуктах Google, Microsoft, Tesla. Выступал на DEF CON, BlackHat и RSA.

Модератором стрима выступит Александр Мошков.

💡 Готовьте вопросы — спикеры ответят на все, что вы захотите узнать!

⚙️ IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX

Wiz Research обнаружила CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 и CVE-2025-1974, серию RCE в контроллере Ingress NGINX для Kubernetes, получившем название IngressNightmare. Использование этих уязвимостей приводит к несанкционированному доступу злоумышленников к чувствительным данным, хранящимся во всех namespace'ах кластера Kubernetes, что может привести к его захвату.

Nuclei шаблон для проверки:

id: exposed-ingress-nginx-admission

info:
name: Publicly exposed Ingress NGINX Admission
author: Wiz research
severity: high
description: Ingress Nginx admission controller endpoint should not be exposed
metadata:
max-request: 1
tags: ssl,tls

ssl:
- address: "{{Host}}:{{Port}}"

matchers:
- type: dsl
dsl:
- 'contains(issuer_org, "nil1")'
- 'contains(subject_org, "nil2")'
- 'contains(subject_an, "nginx")'
condition: and

extractors:
- type: json
name: issuer_org
json:
- ".issuer_org[0]"

- type: json
name: subject_org
json:
- ".subject_org[0]"

- type: json
name: subject_an
json:
- ".subject_an[0]"

Подробнее (на англ.)

➡️ Research

#nginx #ingress #cve

✈️ Pentest HaT

У меня есть хорошие друзья - Defbox. С Мишей, одним из основателей снимали подкаст yt/rt ) Defbox ищет таланты которые готовы поучаствовать в создании лабораторных работ для платформы Defbox.io

Что такое лабораторная работа в Defbox(см.схему):
1. Лабораторная работа должна развивать навык, один или несколько, но может быть и просто по фану.
2. Лаба состоит из одной или нескольких преднастроенных виртуальных машин (пока только linux)
3. Внутри лабы - набор заданий (не менее 5) и проверок к заданиям. Проверки могут быть написаны в виде скриптов или быть флагами.
4. К каждому заданию предоставляется теоретический материал.
5. Каждое задание сопровождается одной или несколькими подсказками.

Мы ищем тех кто готов поделиться своими знаниями и опытом за вознаграждение в разных направлениях - Пентест, Безопасная разработка, Сетевая безопасность, Детектирование атак, и тд.

Если интересно - пишите @Demianov

Как мы взломали цепочку поставок и получили 50 тысяч долларов
#docker #DevOps #bugbounty #багбаунти #github

Прикольная статья про то, как два француза соревновались друг с другом за крутое Баунти и место в лидерборде HackerOne и как в итоге пришли к сотрудничеству)

Ребята захотели сделать что-то нереальное и реализовать один из сложных векторов для RCE через Supply Chain Attack. Они узнали, что компания недавно купила другую дочернюю компанию и они предположили, что там могут быть хреновые процессы и за ними меньше следят, собственно они не прогадали)

➡️Читать далее

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Дорога ложка к обеду

Объекты критической инфраструктуры по всему миру страдают от SSRF-уязвимости в популярнейшей обёртке над ChatGPT.

Специалисты из Veriti в течение трёх месяцев фиксируют нападения на корпоративные сети организаций. По их словам, число атак превысило 10 тысяч в неделю.

Брешь позволяет вводить вредоносные URL-адреса во входные параметры, заставляя приложение делать несанкционированные запросы. В ходе атаки хакеры могут получить доступ к конфиденциальным данным и внутренним ресурсам организаций.

Код PoC-эксплойта хранится в открытом доступе, а уязвимость не требует аутентификации. Она представляет угрозу для 35% проверенных компаний из-за недочётов в конфигурации межсетевых экранов, а также неверно настроенных IPS и WAF.

Большая часть таких атак направлена на госсектор США. Помимо этого, нападения зафиксированы в Индонезии, Колумбии, Германии, Таиланде и Великобритании.

Как ни странно, о проблеме известно ещё с сентября 2023 года, но всем было всё равно.

НеКасперский

Похек топ 1 offensive канал в рейтинге ИБ каналов
#топ #ибканалы #подборки

Думаю некоторые уже увидели, что коллеги админы составили Рейтинг ИБ Каналов. Похек занял топ 1 в категории Offensive и мне очень приятно, что коллеги меня столь высоко оценили)
Пару слов о том, как составлялся рейтинг, был создан чатик на несколько десятков админов каналов и мы голосовали за один канал в каждой категории. Но я увидел в паре чатиков, что многие не согласны с тем, что я на первом месте и что у меня нет авторского контента, из собственного только посещение конференций и мерч. И это правда, никто не отрицает, но и я не в категории Авторские каналы.

И это не оправдание, мне и правда тема чисто пентеста поднадоела, т.к. глобального ничего нового не появляется, а времени и главное желания на самостоятельные глубокие ресерчи у меня нет, т.к. всё время помимо пентестов в Бастионе я посвящаю разработке платформы обучения Академия Похека. Каждый выбирает свой путь развития и то, что я не сугубо технический спец - нормально)

С любовью, Поксек ❤️

AI-powered SOC: революция в работе центров обеспечения безопасности
#SOC #AI #cybersecurity@poxek #ML #security

Современные SOC сталкиваются с лавинообразным ростом числа инцидентов и ложных срабатываний, что создает серьезную нагрузку на аналитиков. Искусственный интеллект становится не просто модным трендом, а необходимым инструментом для эффективной работы центров безопасности. По данным исследований,

AI-powered SOC способен обрабатывать инциденты в 10 раз быстрее традиционного подхода.

Ключевые направления применения AI в SOC:
➡️Автоматическая классификация инцидентов: ML-модели определяют приоритет и тип угроз
➡️Поведенческая аналитика: выявление аномального поведения пользователей и систем
➡️Предиктивный анализ: прогнозирование потенциальных атак на основе исторических данных
➡️Автоматизация рутинных задач: высвобождение времени аналитиков для сложных расследований

💵Практический кейс
Крупный банк внедрил AI-систему в SOC и получил следующие результаты:
▪️Снижение false-positive на 76%
▪️Ускорение обработки инцидентов в 8.5 раз
▪️Автоматическое закрытие 65% типовых инцидентов

❗️Важные моменты при внедрении
➡️Качественные данные для обучения моделей
➡️Постоянная валидация результатов работы AI
➡️Гибридный подход: AI + экспертиза аналитиков
➡️Интеграция с существующими процессами ИБ

🔗 Дополнительное чтиво

Ваши ставки, сколько уйдет денег и времени на обучение такого ML/ИИ?

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

Tunneling over WhatsApp for Red Team scenarios 👋

Пока сидел попивая вкусный наурыз көже, как обычно листал ленту и наткнулся на интересный Github проект 🪨

wa-tunnel - это инструмент для туннелирования TCP-трафика через WhatsApp с использованием Baileys, позволяющий обходить сетевые ограничения и использовать WhatsApp как прокси 😠

Server side:

npm run server

Client side:

npm run client

В данном случае поднимается клиент и сервер которые коммуницируют посредством WhatsApp чата, основная привязка тут стоит не к IP-адресам напрямую, а к номерам телефонов что довольно прикольно 😆

Векторы абуза для Red Team:

1️⃣Простор для эксфильтрации данных
2️⃣Можно попробовать использовать его как резервный Reverse Proxy
3️⃣Дополнительный слой OPSEC для сокрытия канала C2

P.S инструмент и техника не новая, но все новое хорошо забытое старое

@s0ld13r_ch

За 2-3 часа переписал полностью с Astro на NextJS. Можете снова искать баги :)

Эх вы, дудосеры. Положили все таки 😁

Выкатил бложик в виде сайта. Пока статей особо нет, но если какие-то баги найдёте - можете писать в чат
https://blog.poxek.cc/

Нашли баги, сайт уходит на доработку)

🔃 OpenResty/lua-nginx-module: Уязвимость HTTP Request Smuggling в HEAD-запросах

Раскрыли подробности CVE-2024-33452. При обработке HTTP/1.1-запросов lua-nginx-module некорректно разбирает HEAD-запросы с телом, воспринимая тело запроса как новый отдельный запрос.

Пример

Обычно прокси-серверы интерпретируют следующий HTTP-запрос как единый, поскольку GET /smuggle находится в теле HEAD-запроса:

HEAD / HTTP/1.1
Host: localhost
Content-Length: 52

GET /smuggle HTTP/1.1
Host: localhost

Однако lua-nginx-module интерпретирует его как два отдельных запроса, что приводит к рассинхронизации прокси-серверов в цепочке.

Сценарии атак

Прокси-серверы, использующие lua-nginx-module, уязвимы к этой атаке (например, Kong Gateway, Apache APISIX и другие).

Пример с Kong Gateway

Если Kong работает самостоятельно, уязвимость не представляет особой опасности. Но если Kong используется в связке с фронт-прокси (например, Nginx, Cloudflare и т. д.), злоумышленник может:
1. Внедрять вредоносные ответы (например, XSS-атаки).
2. Обходить защиту фронт-прокси (например, обход Cloudflare).
3. Перехватывать ответы других пользователей.

1️⃣ Внедрение XSS через смуглинг

Этот сценарий позволяет заставить всех пользователей загрузить вредоносный ответ с XSS-кодом, даже если сайт использует обычную страницу Apache.

HEAD / HTTP/1.1
Host: localhost
Content-Length: 122

HEAD /app HTTP/1.1
Host: localhost
Connection: keep-alive

GET /app/assets? HTTP/1.1
X:

Результат: Все пользователи, отправляющие обычные запросы, получат XSS-скрипт в ответе.

2️⃣ Обход защиты фронт-прокси (Cloudflare)

Допустим, Cloudflare блокирует доступ к /admin. Злоумышленник может скрыть GET-запрос к /admin внутри HEAD-запроса и обойти защиту.

Пример:

HEAD / HTTP/1.1
Host: victim.com
Content-Length: 40

GET /admin HTTP/1.1
Host: victim.com

Результат: Cloudflare не увидит GET-запрос, и злоумышленник сможет обойти защиту.

3️⃣ Кража ответов других пользователей

Этот метод позволяет рассинхронизировать очередь ответов на сервере и захватить ответы других пользователей.

Пример атаки
1. Атакующий отправляет HEAD-запрос с внедрённым GET-запросом.
2. Сервер ошибочно интерпретирует тело как отдельный запрос.
3. Ответ попадает не атакующему, а следующему пользователю, а атакующий может забрать ответ жертвы.

Подробности

Более подробное описание читайте в блоге по ссылке.

#web #hrs #xss

Привет, похекеры! Сегодня у нас есть крутая новость для всех, кто увлекается багхантингом и хочет получить приятные бонусы.

Но это не всё! Я также хочу пригласить вас на сайт https://eh.su/rating, где вы можете проголосовать за свои любимые багбаунти программы. Каждый день вы можете отдать до 10 голосов и даже оставить комментарий, если хотите.

А теперь самое интересное: в рейтинге есть топ голосующих, и по итогам месяца 5 пользователей получат призы! ТОП-1 получит 15 000 рублей, ТОП-2 — 10 000 рублей, а ТОП-3 — 5 000 рублей прямо на карту. И ещё два человека будут выбраны случайным образом из всех остальных проголосовавших и тоже получат призы — крутые футболки от Багхантера!

Итак, обязательно проголосуйте за свои любимые программы. Удачи! 👍

#для_доклада
https://github.com/AlecBlance/S3BucketList
https://chromewebstore.google.com/detail/s3bucketlist/anngjobjhcbancaaogmlcffohpmcniki?authuser=0&hl=en

Компания Curator запустила CDN🔥

Отличная новость: компания Curator запустила в полномасштабную эксплуатацию Curator.CDN — собственную сеть доставки контента с интегрированной DDoS-защитой.

Для чего? Curator.CDN одновременно ускоряет загрузку сайтов и обеспечивает защиту от DDoS-атак.

Для кого? В первую очередь это онлайн-магазины, стриминговые сервисы, развлечения, СМИ и онлайн-образование. Но в современных условиях использование защищенного CDN будет полезно практически для любого бизнеса.

🛡 Чем Curator.CDN отличается от других решений? Архитектура Curator.CDN изначально спроектирована с учетом безопасности. Неотключаемая защита от DDoS работает как на отрезке от интернет-пользователей до CDN-кэша, так и от CDN до ресурсов заказчика. Это позволяет предотвратить сложные атаки, которые рассчитаны на эксплуатацию уязвимостей в самих сетях доставки контента.

🌍 Глобальная сеть центров обработки данных Curator позволяет расширять региональное покрытие и наращивать сетевую емкость без дополнительных инвестиций, а также многократно повысить качество обслуживания клиентов. Серверы доставки контента есть в 15 городах-миллионниках России, и не только в них.

💸 Еще одна важная особенность Curator.CDN — это прозрачное ценообразование. Все доступные опции уже включены в указанную стоимость, без ограничений и скрытых платежей.

Curator.CDN легко подключается и управляется через единый личный кабинет платформы Curator. Клиентам доступны расширенная аналитика и надежная техническая поддержка 24/7.

👉 Подробнее о Curator.CDN

🔹 Советы для багхантеров от команды VK Bug Bounty 🔹

1️⃣ Культура подачи отчетов: ключ к быстрому триажу
Соблюдение культуры подачи отчетов критически важно для эффективного взаимодействия. Хотя принимаются отчеты любого формата, информативность и детальность значительно ускоряют процесс триажа. Добавление алгоритма воспроизведения, RAW-HTTP запросов, скринкаста и скриншотов не только ускоряет рассмотрение уязвимости,
но и плюсик в карму.

2️⃣Оценка угрозы: понимание потенциального вознаграждения
При обнаружении уязвимости важно проверить в скоупе ли она, а потом оценить ее потенциальный импакт. Анализируйте легкость эксплуатации, затронутый сервис и домен. Такой подход помогает прогнозировать уровень вознаграждения и приоритетность уязвимости для компании.

3️⃣Глубокое понимание архитектуры: путь к критическим уязвимостям
Посвятите время на изучение архитектуры приложения, логики его работы и типичных уязвимостей в аналогичных системах - это стратегический подход к багхантингу. Понимание нормального функционирования приложения позволяет легче выявлять аномалии и потенциальные уязвимости, особенно критические. Этот метод повышает эффективность поиска и увеличивает шансы на обнаружение значимых проблем безопасности.

С уважением, команда VK Bug Bounty 🔹 x Похек 🌚

🏦 Советы для багхантеров от команды T-Bank BugBounty 🏦

1️⃣Упражнение "Представь себя триажером"
Попробуй абстрагироваться от своего отчета и посмотреть на него свежим взглядом. Все ли понятно из прочитанного? Хочется ли что-то уточнить по тексту?

2️⃣Упражнение "Флешбек"
Открой свой рандомный отчет годичной давности. За год подробности могли забыться, хороший способ проверить себя - это прочитать старый отчет и, не заглядывая в комменты, попытаться воспроизвести/понять импакт/в целом суть

3️⃣Упражнение "Аналитик данных"
Посмотри все свои отчеты и комментарии триажеров к ним. Если разные триажеры на разные отчеты задают похожие вопросы или в каждом возникает спор - возможно стоит как-то поменять паттерн написания отчетов

С любовью, команда T-Bank BugBounty 💛 x Похек 🌚