ℹ️ Timestamp Dependence - SC03:2023
Использование текущего времени никогда не является хорошей практикой, когда дело касается криптографии или случайно генерируемых последовательностей.

? Статья, в конце которой пример контракта здесь.

#web3 #top3

ℹ️ Swagger/OpenAPI security testing solutions
Многие встречались с задачей тестирования endpoint’ов в API при нахождении директории /swagger,
не теряя времени на заполнение форм с параметрами на каждый путь из веб-панели Swagger-UI по отдельности.

💻 Наша команда провела сравнение известных решений для автоматизированного поиска уязвимостей, используя карту OpenAPI.

ℹ️ Integer Overflow and Underflow - SC02:2023
Уязвимости Integer Overflow и Underflow заключаются в переполнении целочисленного значения, хранящегося в переменной, в большую или меньшую сторону. Концепция данной уязвимости не уникальна для смарт-контрактов, выполняемых в EVM, как и ее причина - ограничение битности ячейки для хранения числа. 

? Статья, в конце которой задание здесь.

#web3 #top2

Для тех у кого Burp не щадит оперативу)

ℹ️ Re-Entrancy Attacks - SC01:2023
Мы открываем данный цикл статьей про уязвимость Re-Entrancy Attack, которая стоила криптосообществу миллионы долларов, но тем не менее активно эксплуатируется по сей день.

? Статья, в конце которой задание здесь.

#web3 #top1

ℹ️ OWASP Smart Contract Top 10

Добро пожаловать в наш цикл публикаций, посвященных теме уязвимостей в смарт-контрактах. В этом цикле мы разберем Топ-10 уязвимостей смарт-контрактов по версии OWASP.

➡️ Почему это важно?

С каждым днем технологии блокчейна и смарт-контрактов набирают все большую популярность и внедряются в различные сферы жизни: от финансов и страхования до управления цепочками поставок и голосования. Ошибки в смарт-контрактах могут привести к значительным финансовым потерям и угрозам для безопасности данных, поэтому за уязвимости в этих технологиях выплаты гораздо больше, чем в классическом BB.

➡️ Зачем это специалистам в наступательной кибербезопасности?

Для специалистов по наступательной кибербезопасности знание уязвимостей смарт-контрактов открывает новые возможности для проведения пентестов и усиления защиты блокчейн-проектов. Понимание этих уязвимостей позволит проводить более глубокие и целенаправленные атаки на тестовых стадиях, что поможет обнаружить и устранить потенциальные угрозы до того, как они станут проблемой в реальных условиях.

➡️ Что мы будем рассказывать в наших постах?

В каждом посте один раз в месяц мы будем подробно разбирать одну уязвимость из списка OWASP Smart Contract Top 10 и давать задание на эксплуатацию, обсуждать примеры, методы обнаружения и способы защиты.

💻 Присоединяйтесь к нам, чтобы вкатиться в уязвимости web3 и усилить свои навыки в области наступательной кибербезопасности!

? Quick Start? Для использования можно скачать пакет для вашего дистрибутива. Легче всего использовать его обёртку с Docker: docker run \-it nitefood/asnСерверная версия docker run \-it \-p 49200:49200 nitefood/asnПредлагаемый пайплайн запуска: IP ->Организация - Поиск смежных организаций ->Повторить

*`Скрипт автоматически определит тип цели при вызове (IP/domain/ASN)

✔️Поиск нашей цели по открытым API:$ asn example.com

✔️Теперь просматриваем детальную информацию о ASN цели:$ asn 15133

✔️Затем начинаем поиск ASN через RIPEStat API по подстроке:$ asn -a EDGECAST`Вывод? ASN - это утилита для поиска потециальных ASN цели и сбора инофрмации о них. Раньше наша команда использовала поиск напрямую через ripedb, однако данная утилита выдаёт существенно больше потенциальных ASN.