Официальный новостной канал криптобиржи OKX | www.okx.com на русском языке.
💬 Комьюнити: t.me/okx_russian
👨💻 Поддержка: [email protected]
АДМИН: @DaniiOKX
Маркетинг: @CoffeeTrends
Last updated 2 weeks, 1 day ago
Here in simple language about TON and crypto
Founder: @metasalience
contact : @deftalk_bot
Last updated 3 months, 2 weeks ago
Канал о TON и все что с ним связано:
1. Аналитика
2. Инсайды
3. Авторское мнение
Ведро для спама: @ton_telegrambot
Бот с курсами криптовалют: @TonometerBot
Чат: @chaTON_ru
Админ: @filimono
Last updated 2 weeks, 3 days ago
Apache Airflow SSTI to RCE (CVE-2024-39877)
Сегодня рассмотрим CVE-2024-39877 (оценка по CVSS=8.8), которая позволяет получить RCE
через эксплуатацию SSTI
в контексте компонента Scheduler Apache Airflow
Apache Airflow
- это ПО на python для создания, выполнения, отслеживания и управления операциями по обработке данных, созданное в 2014 году в Airbnb
, которое получило широкое распространение в различных компаниях по всему миру.
Суть уязвимости заключается в отсутствии санитизации при обработке параметра doc_md
, который создает описание DAG (Directed Acyclic Graph)
в веб-интерфейсе Apache Airflow
. Если doc_md не имеет расширения .md Airflow
создает темплейт из содержимого jinja2.Template(doc_md)
что приводит к SSTI:
doc_md="""
{{ ''.__class__.__mro__[1].__subclasses__() }}
"""
Этот пейлоад позволяет получить список всех классов с помощью MRO (resolution order)
, далее докручиваем до command injection
с помощью доступных опасных методов (popen, run, call, check_call и пр)
Для успешной эксплуатации необходимо иметь права на создание DAG'ов на сервере Apache Airflow
, что не позволяет использовать багу для пробива, но в качестве способа нестандартного закрепления вполне рабочий метод?
? Уязвимые версии ПО: Apache Airflow 2.4.0 до версии 2.9.3
✅ Рекомендации: Патч уже доступен, необходимо обновиться до версии 2.9.3
Penetration Testing and CyberSecurity Solution - SecureLayer7
CVE-2024-39877: Apache Airflow Arbitrary Code Execution
Apache Airflow is an open-source platform for programmatically authoring, scheduling, and monitoring workflows. While it offers robust features for managing complex workflows, it has experienced...
В конце прошлой недели состоялась церемония вручения наград победителям премии Pentest Award by Awillix
Мероприятие прошло на высшем уровне, море позитивных эмоций, было очень приятно встретить старых друзей и завести новых!
Огромное спасибо ребятам из компании Awillix за организацию такого крутого ивента❤️
Благодаря вам наша отрасль растет и развивается, в пентест приходят новые люди вдохновленные подобными инициативами. Это очень круто, респект!?
Еще раз хотел поздравить всех победителей! ?
А также поблагодарить всех участников за крутые кейсы, которые было очень интересно читать и оценивать❤️?
До встречи на Pentest Award 2025?
award.awillix.ru
Awillix Award
Первая в России премия для пентестеров. Мы сделали Pentest Awards, чтобы этичные хакеры наконец смогли заявить о себе, рассказать о своих достижениях и получить признание отрасли.
На Positive Hack Days Fest 2 участвую в дискуссии - Как защитить основной канал бизнес-коммуникаций
Мы с коллегами поговорим о методах и стратегиях обеспечения безопасности электронной почты как основного средства коммуникации в современных организациях. Обсудим актуальные угрозы и вызовы и поделимся лучшими практиками и инновационными подходами к защите.
Ключевые вопросы для обсуждения:
✅ Какие основные угрозы и уязвимости существуют в сфере безопасности электронной почты и как их можно преодолеть?
✅ Какие технические и организационные меры защиты можно применить для обеспечения конфиденциальности, целостности и доступности электронной почты?
✅ Как обучить персонал организации основам безопасности электронной почты и повысить их осведомленность о потенциальных угрозах?
✅ Какие инновационные технологии и методы могут помочь в обнаружении и предотвращении атак (фишинг и спам)?
✅ Какие стратегии мониторинга и реагирования можно применить для быстрого обнаружения инцидентов безопасности и реагирования на них?
✅ Как проверить, что электронная почта действительно защищена?
⏰ 23 мая, 12:25–13:25
? Киберарена, зал Галактика
До встречи на PHDays Fest 2 ???
phdays.com
Positive Hack Days
Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время
From Zero to Hero: Phishing Campaign
Сегодня хотел бы поделиться отличным гайдом от ребят из Onsec
по подготовке и проведению фишинговых кампаний в рамках тестирований на проникновение.
Руководство представляет собой серию постов содержащих подробные инструкции:
? Preparation
Цели, сбор информации и подготовка списка контактов, ожидаемые результаты кампании, метрики и отчет
? Technical Implementation
Инфраструктура, конфигурация компонентов GoPhish
и Evilginx3
, настройка Cloudflare Turnstile
, подготовка сценария и претекста, готовый phishlet для Google Auth, необходимая кастомизация и скрипты автоматизации для создания групп и уникальных идентификаторов (unique_id) для каждого получателя в списке контактов через API GoPhish
? Results & Recommendations
Результаты кампании и рекомендации
Таким образом, получилось детальное руководство по проведению эффективных фишинговых кампаний без лишней воды и неактуальной информации, очень рекомендую?
PS: Отдельное спасибо за рекомендацию ZOHO Mail и особый респект за сценарий с Awareness Training
?
ONSEC.io
From Zero to Hero: Phishing Campaign. Part 1
Chapter 0: Introduction Warning: This material is provided for informational purposes only. Only repeat these actions in practice with proper authorization and agreement! The author is not responsible for the consequences of applying the information obtained…
В этом году на Positive Hack Days Fest 2 выступаю с докладом Trust no one: Red Teaming инфраструктура на стероидах
Многие современные компании успешно реализуют концепции Zero Trust и BeyondCorp относительно сегментирования сетей, управления и контроля доступов в соответствии с принципами наименьших привилегий для уменьшения поверхности потенциальных атак. Но к сожалению злоумышленники тоже стараются следовать модным трендам в дизайне архитектуры своей атакующей инфраструктуры и подходах к разработке и распространению вредоносного ПО. Также используют подходы к автоматизированному анализу украденных данных с использованием ML алгоритмов и постоянно совершенствуют способы сокрытия взаимодействия имплантов с серверами управления. В этой бесконечной игре в кошки-мышки для любой зрелой компании крайне важно быть готовыми к противостоянию с атакующими, которые используют подобные методы.
В докладе речь пойдет о создании архитектуры и администрированию инфраструктуры для проведения тестирований на проникновение в формате Red Teaming в соответствии с лучшими практиками Zero Trust, инструментах автоматизации Malware development и развертыванию атакующей инфраструктуры в лучших традициях DevOps. Мы поговорим о способах обеспечения максимально скрытной коммуникации с С2 серверами атакующих для противодействия обнаружению.
Познакомимся с инструментами для структурирования и автоматизированной аналитики полученных в ходе тестирования данных в разрезе возможностей их обогащения и использования для развития дальнейших атак.
Таким образом, на основе результатов подобного Red Teaming тестирования оценивается возможность противостоять продвинутым злоумышленникам и формируются рекомендации и актуальные способы своевременного обнаружения и противодействия группировкам использующим в своем арсенале подобные технологии.
Увидимся на PHDays Fest 2 ???
phdays.com
Positive Hack Days
Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время
Summoning RAGnarok With Your Nemesis
Такой провокационный заголовок получил пост SpecterOps с описанием функциональности LLM
чат бота RAGnarok
для удобного поиска по индексу данных, которые агрегирует Nemesis.
RAGnarok
- это ~~такой Судный день, если бы Терминатора? снимали в Скандинавии~~ чат бот, который использует RAG (retrieval\-augmented generation)
метод работы с LLM
, когда пользователь пишет свой вопрос, а под капотом к этому вопросу добавляется дополнительная информация из каких‑то внешних источников и подается все целиком на вход как промт для языковой модели. Другими словами RAG
должен найти соответствующую информацию в проиндексированных Nemesis
данных и подать на вход LLM
не только вопрос пользователя, но и релевантную запросу часть содержимого базы данных, чтобы LLM
могла сформировать правильный и релевантный ответ.
RAGnarok использует openchat\-3.5\-0106, intel/neural\-chat\-7b\-v3\-3, Starling\-LM\-7b\-alpha
, reranker на основе BAAI/bge\-reranker\-base
и embedding model на основе TaylorAI’s gte\-tiny
. Остальные подробности относительно архитектуры и выбора компонентов можно найти в блоге?
Простыми словами, это просто чатик в веб-интерфейсе, который поднимается локально и подключается к API Nemesis
. Он с трудом работает без GPU
, падает когда упирается в потолок по RAM
при обработке тяжелых запросов и позволяет искать информацию по данным Nemesis
через интерфейс чат бота?
Мое мнение после экспериментов с RAGnarok
- это прикольно? Но практической пользы от его использования не много, за исключением формулировок для Executive Summary
части отчета по проекту? Все тоже самое можно делать через поиск по интерфейсу Nemesis
, хотя если добавить бота для Telegram
, прикрутить OpenAI Whisper API
для распознавания голосовых сообщений и какой-нибудь аналог GPT\-4 Vision
может получится такой личный "AI секретарь" Red Team
оператора?
Medium
Summoning RAGnarok With Your Nemesis
With the explosion of large language model (LLM) use, everyone is rushing to apply LLMs to their specific industry and it’s the same for…
Исследователи из WIZ сделали небольшой онлайн CTF "Kubernetes LAN Party" на тему Kubernetes Security
. Он довольно обширно и нетривиально покрывает вопросы сетевой безопасности в Кубере. Разведка в скомпропетированном Pod
, обход Istio
и Lateral Movement
с помощью Kyverno
– всё это есть в этом CTF
. Ничего дополнительно устанавливать не требуется, терминал доступен прямо из браузера.
Сами мы уже прошли челлендж, и однозначно рекомендуем пройти его всем, кто так или иначе имеет дело с безопасностью контейнеров и Kubernetes
.
P.S – Хотите увидеть прохождение данного CTF от нас?
Официальный новостной канал криптобиржи OKX | www.okx.com на русском языке.
💬 Комьюнити: t.me/okx_russian
👨💻 Поддержка: [email protected]
АДМИН: @DaniiOKX
Маркетинг: @CoffeeTrends
Last updated 2 weeks, 1 day ago
Here in simple language about TON and crypto
Founder: @metasalience
contact : @deftalk_bot
Last updated 3 months, 2 weeks ago
Канал о TON и все что с ним связано:
1. Аналитика
2. Инсайды
3. Авторское мнение
Ведро для спама: @ton_telegrambot
Бот с курсами криптовалют: @TonometerBot
Чат: @chaTON_ru
Админ: @filimono
Last updated 2 weeks, 3 days ago