А вот это хорошо: CloudFlare рассказали историю про то, что в какой-то момент поняли, что одна из самых высоких их трат на ИБ — это оплата сканера безопасности и не долго думая собрали свой, с блэкджеком и шлюхами, а точнее на базе Nmap и NSE-шки от Vulners. В итоге получился Flan Scan.

Нормально они там вопросы решают в этом своем CloudFlare. Короче, теперь они используют его для сканирования внутреннего периметра на соответствие стандартам и вам рекомендуют.

Из фич — легкий деплой в Docker или Kubernetes, автоматическая выгрузка результатов сканирования в ваше облако (пока поддерживаются только AWS и Google Cloud) и возможность генерить читаемые отчеты.

Промышленные сканеры безопасности — все? :)

🥊  — OpenSource наше все
👔  — Enterprise решения one love

https://blog.cloudflare.com/introducing-flan-scan/
https://github.com/cloudflare/flan

Презентации с SOC-форума 2019

https://ib-bank.ru/soc-forum/materials2019

Shodan празднует свое десятилетие и по этому поводу предлагает оформить безлимитную подписку за $1 вместо $49. Предложение действует всего 24 часа.

Важно, что это единовременный платеж за обновление аккаунта на всю жизнь. Не подписка.

Топ? — Топ!

https://twitter.com/shodanhq/status/1198033142130581505

Через 5 дней стартует первый онлайн-этап CTFZone от BI.ZONЕ.

В этот раз парни получили официальный апрув от организаторов DEF CON CTF, поэтому финалисты даже смогут отправиться в Лас-Вегас и поломать казино. Главное потом оттуда вернуться.

Регистрация на отборочные еще открыта: https://ctf.bi.zone/

Остальные пред-квалификационные CTF, принимающие участие в DEF CON CTF можно найти тут > https://www.oooverflow.io/dc-ctf-2020-quals/

Если вы давно планировали обмазаться сертификатами, но до сих пор не знали с чего начать, вот вам наглядная матрица существующих на сегодняшний день направлений.

Многие аббревиатуры покажутся вам максимально незнакомыми, оно и понятно, список ориентирован на рынок США, но тем не менее все основные профильные сертификации в матрице присутствуют.

​​Решил я тут значит эксперимент с умным домом провести, чтобы жопу от кровати не отрывать когда не хочется, а заодно и в IoT Security погрузиться, хотя бы одним глазком.

Начал с наведения порядка в домашней сети и установки Pi-Hole в качестве основного DNS с использованием DoH. Долго выбирал между DoT и DoH, но остановился все таки на последнем.

Короче, пару недель наблюдения и результаты ужасающие. Умные лампочки и розетки не отказывают себе в удовольствии держать контакт с поднебесной, хотя бы 1 раз в день, Яндекс.Станция постоянно сливает какую-то метрику, а телефоны с установленными приложениями вообще отдельная история, там такой букет...

Немного быстрых цифр:
- Яндекс.Станция за месяц выполнила более 220 000 запросов к DNS.
- Если запретить Яндекс.Станции обращаться на ее сервис метрики в течении дня, она перестает работать.
- Instagram только на одном телефоне за час успевает сделать 134 запроса.
- 1 телефон за 3 часа выполняет около 750+ запросов, из которых 280 к известным рекламным доменам.

Короче то еще дерьмо #internet_of_shit

Кстати о Китае. Мне тут нужно было свой WeChat аккаунт восстановить (кто не в теме — это основной китайский мессенджер, внедренный и использующийся там повсеместно от общения до платежей).

Так вот один из способов восстановления аккаунта знаете какой? Нужно чтобы кто-то из ваших тамошних друзей отправил вам сгенерированный код, тогда WeChat его увидит и разблокирует вам доступ :)))))

Даже не стесняются!

Тут подписчики сообщают, что WeChat контролирует все, включая групповые чаты, причем упоминание VPN в каком-либо виде карается блокировкой аккаунта, после которой вам нужно ехать в офис WeChat и разбираться в произошедшем, видимо еще и партийные лозунги перед визитом стоит подучить.

Например, предприимчивые русскоговорящие студенты используют слово "хачапури", чтобы большой брат не смог провести аналогию с блюдом грузинской кухни и туннелем в свободный и дивный мир интернета.

Скажу откровенно, интернет после раздачи почти бесплатных аккаунтов Shodan'a по 1$ переживает не самые лучшие свои времена. Парализована работа многих исследователей безопасности, занимающихся поиском торчащих наружу сервисов вроде MongoDB, Elasticsearch.

Shodan несомненно является мощным инструментом для подобных целей. А чтобы облегчить вам работу с поиском, я подготовил подборку проектов под различные задачи.

Dorks:
https://github.com/jakejarvis/awesome-shodan-queries — много интересных дорков для Shodan
https://github.com/robocyber/Shodan-Dorks — еще немного

Tools:
https://github.com/BullsEye0/blue_eye — инструмент поиска по домену
https://github.com/BullsEye0/shodan-eye — инструмент поиска по keywords
https://github.com/pielco11/fav-up — поиск IP по favicon.
https://github.com/sdnewhop/grinder — фреймворк для сканирования, использующий Shodan и Censys
https://github.com/averonesis/kubolt — поиск публичных класстеров Kubernetes

Альтернативы Shodan:
binaryedge.io
censys.io

Надеюсь напоминать про правомерное использование не нужно?

​​InfoSec Black Friday Deals 2019

Традиционная подборка интересных предложений «Чёрной пятницы»: https://github.com/0x90n/InfoSec-Black-Friday

Если у вас есть еще что-то интересное — делитесь в бота @cybrsht_bot

Доделал сайт флиппера. Если найдете ошибки, то пишите https://flipperzero.one/

Тут можно проголосовать за функции. Пожалуйста пройдите опрос, это важно для меня.

Все вопросы / предложения / критику нужно писать на форум forum.flipperzero.one
но только на английском

Сделал форму донатов и  патренон flipperzero.one/donate

Запостил на хабр https://habr.com/ru/post/477440/

Небольшой вброс для тех, кто считает, что XSS в публичном сервисе Google в 2019 это не реально.

Самое интересное, что на уязвимость автора натолкнули результаты сканирования Acunetix'a, который по этому случаю заслужено получил свою долю славы.

https://www.acunetix.com/blog/web-security-zone/google-xss-found-using-acunetix/

Через 5 минут стартует прямая трансляция OWASP Moscow Meetup #9

https://youtu.be/IS709t0eOqM

Ждём новых подгонов от московского комьюнити, вроде русифицированных материалов, которые они публиковали в прошлый раз.


--updated: ограничились выступлениями. Новых материалов представлено не было

Кража OAuth токена в панели управления услугами одного популярного VPS провайдера.

https://medium.com/@rootxharsh_90844/abusing-feature-to-steal-your-tokens-f15f78cebf74

​​GraphQL это язык запросов к API-интерфейсам, разработанный в Facebook и в последнее время быстро набирающий популярность среди разработчиков.

На фоне растущей популярности, предлагаю и вам отдохнуть от поиска очередной CSRF и попробовать что-то новое.

Хорошая база: https://github.com/nodkz/conf-talks

Сравнение с REST API: https://medium.com/@apkash8/graphql-vs-rest-api-model-common-security-test-cases-for-graphql-endpoints-5b723b1468b4

Базовые параметры безопасности: https://medium.com/swlh/protecting-your-graphql-api-from-security-vulnerabilities-e8afdfa6fbe4

Еще немного про слабые стороны: https://github.com/righettod/poc-graphql

Вводная статья про пентест: https://habr.com/ru/company/dsec/blog/444708/

Коллекция публичных GraphQL API: https://github.com/APIs-guru/graphql-apis

===Tools:

Minimal GraphQL Server: https://github.com/glennreyes/graphpack
Утилита для автоматизации тестирования: https://github.com/swisskyrepo/GraphQLmap
Instant realtime GraphQL engine: https://hasura.io/

Для тех, кто начинает свое утро в наушниках, могу порекомендовать послушать новый выпуск подкаста «Запуск завтра» про информационную безопасность.

Подкаст ведет CTO Pure, бывший CTO «Медузы» Самат Галимов (к слову у него есть свой канал ctodaily), а в качестве гостей выпуска приглашены Омар Ганиев, Карим Валиев и Эмиль Лернер.

Парни за пол часа успели обсудить процедуру расследования банковских хищений, bug bounty с выплатами на HackerOne и коснуться пользовательской безопасности.

https://music.yandex.ru/album/9294155

Всем привет из 2020. Я жив. Кажется можно продолжать.

За новогодние ничего не произошло, почти, за исключением проблемы в механизме аутентификации PayPal и... конечно же CVE-2019-19781 — Path traversal, а потом и RCE в Сitrix Application Delivery Controller и Citrix Gateway. Уязвимы версии: 10.5, 11.1, 12.0, 12.1, 13.0.

В последней истории примечательно, что несмотря на то, что информация об уязвимости появилась еще в середине декабря, буквально на днях все раскрутили до RCE, и появились многочисленные эксплоиты.

Всю хронологию событий, включая сигнатуры для ваших IDS и SIEM, можно найти на https://www.reddit.com/r/blueteamsec/comments/en4m7j/multiple_exploits_for_cve201919781_citrix/, а вообще надеюсь вы обновились.

Материал про PayPal: https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9

В общем, праздники засыпают, просыпается работа. Погнали!

А вот и модуль под Metasploit для CVE-2019-19781 aka Shitrix выкатили.

https://github.com/rapid7/metasploit-framework/blob/a64b0fa9e75befc3ffdb6129e88a6f6dd4c31208/modules/exploits/unix/webapp/citrix_dir_trasversal_rce.rb

​​Кстати о ханипотах, вот готовый под Shitrix появился. Определяет попытки сканирования и эксплуатации CVE-2019-19781.

> https://github.com/MalwareTech/CitrixHoneypot

А вообще, для любителей подобных штук, есть супер удобный инструмент T-Pot, позволяющий в считанные минуты развернуть свою Honeypot-лабораторию с кучей сервисов, интерфейсом управления и крутой визуализацией.

Для любителей похвастаться перед начальством будет самое то :)

> https://github.com/dtag-dev-sec/tpotce