⛏ Злоумышленники начали прятать свой код с помощью WebAssembly
Эксперты компании Sucuri обнаружили необычный JavaScript-майнер, загружаемый при посещении взломанного сайта. Злоумышленники используют технологию WebAssembly чтобы ускорить исполнение сценария и осложнить выявление вредоносных действий.
WebAssembly (.wasm) — это бинарный формат инструкций, который используется в браузере для высокопроизводительных приложений на веб-страницах и выполняется намного быстрее, чем обычный JavaScript.
Вредоносный фрагмент кода был обнаружен в файлах темы на одном из личных сайтов WordPress. Каждый раз, когда посетитель заходит на веб-страницу, вредоносный код WebAssembly загружает на стороне клиента скрипт auto.js со специального домена.
Содержимое JavaScript-файла обфусцировано с помощью CharCode. При декодировании можно убедиться, что это криптомайнер, стартующий при каждом визите на сайт. Расшифрованный файл auto.js также содержит инструкции для операций майнинга, которые исполняются в браузере вместе с JavaScript.
Специалисты ожидают расширения использования WebAssembly злоумышленниками, несмотря на зависимость от JavaScript. Код Wasm не способен самостоятельно собирать данные, подключаться к интернету и отправлять полученное на сторону.
🗞 Блог Кодебай
#news #vulnerability #web
Эксперты компании Sucuri обнаружили необычный JavaScript-майнер, загружаемый при посещении взломанного сайта. Злоумышленники используют технологию WebAssembly чтобы ускорить исполнение сценария и осложнить выявление вредоносных действий.
WebAssembly (.wasm) — это бинарный формат инструкций, который используется в браузере для высокопроизводительных приложений на веб-страницах и выполняется намного быстрее, чем обычный JavaScript.
Вредоносный фрагмент кода был обнаружен в файлах темы на одном из личных сайтов WordPress. Каждый раз, когда посетитель заходит на веб-страницу, вредоносный код WebAssembly загружает на стороне клиента скрипт auto.js со специального домена.
Содержимое JavaScript-файла обфусцировано с помощью CharCode. При декодировании можно убедиться, что это криптомайнер, стартующий при каждом визите на сайт. Расшифрованный файл auto.js также содержит инструкции для операций майнинга, которые исполняются в браузере вместе с JavaScript.
Специалисты ожидают расширения использования WebAssembly злоумышленниками, несмотря на зависимость от JavaScript. Код Wasm не способен самостоятельно собирать данные, подключаться к интернету и отправлять полученное на сторону.
🗞 Блог Кодебай
#news #vulnerability #web
👍16
Реальная эффективность веб сканеров
Добрый день. Неоднократно читал различные рекомендации по использованию веб сканеров. На самом деле, этот вид софта - вещь достаточно нужная, особенно при оценке уязвимостей сдаваемого Интернет-портала или большого веб приложения. Никакой пентестер не пройдет вручную 1000 (а иногда больше) страниц. Тут уже нужна автоматизация. Что выбрать? На вкус и цвет товарищей нет, но попробуем разобраться. В свое время очень любил пользоваться OWASP ZAP. Очень хороший сканер. Но однажды он немножко себя не оправдал, и я решил все-таки разобраться - насколько эффективны веб сканеры насколько им можно доверять?
📌 Читать далее
#pentest #web #scanner
Добрый день. Неоднократно читал различные рекомендации по использованию веб сканеров. На самом деле, этот вид софта - вещь достаточно нужная, особенно при оценке уязвимостей сдаваемого Интернет-портала или большого веб приложения. Никакой пентестер не пройдет вручную 1000 (а иногда больше) страниц. Тут уже нужна автоматизация. Что выбрать? На вкус и цвет товарищей нет, но попробуем разобраться. В свое время очень любил пользоваться OWASP ZAP. Очень хороший сканер. Но однажды он немножко себя не оправдал, и я решил все-таки разобраться - насколько эффективны веб сканеры насколько им можно доверять?
📌 Читать далее
#pentest #web #scanner
👍14😱2
❌ Минцифры планирует блокировать мошеннические сайты без суда
Минцифры хочет расширить взаимодействие с Генпрокуратурой в рамках системы «Антифишинг» для блокировки мошеннических сайтов без обращения в суд. По аналогичной схеме уже работает ЦБ. Речь идет о борьбе с фишинговыми сайтами, которые замаскированы под официальные порталы компаний.
Взаимодействие с Генпрокуратурой необходимо для вынесения решения до суда и оперативной блокировки. Уточняется, что система «Антифишинг» оперативно находит вредоносные ресурсы, но вот на блокировку через суд может уйти больше месяца, а всё это время ресурс будет представлять угрозу.
Напомним, в июне Минцифры запустило свою информационную систему «Антифишинг», благодаря которой можно обнаружить ресурсы, копирующие сайты госорганов, компаний, маркетплейсов и соцсетей. Система может отслеживать до 1 млн адресов в час.
🗞 Блог Кодебай
#news #russia #web
Минцифры хочет расширить взаимодействие с Генпрокуратурой в рамках системы «Антифишинг» для блокировки мошеннических сайтов без обращения в суд. По аналогичной схеме уже работает ЦБ. Речь идет о борьбе с фишинговыми сайтами, которые замаскированы под официальные порталы компаний.
Взаимодействие с Генпрокуратурой необходимо для вынесения решения до суда и оперативной блокировки. Уточняется, что система «Антифишинг» оперативно находит вредоносные ресурсы, но вот на блокировку через суд может уйти больше месяца, а всё это время ресурс будет представлять угрозу.
Напомним, в июне Минцифры запустило свою информационную систему «Антифишинг», благодаря которой можно обнаружить ресурсы, копирующие сайты госорганов, компаний, маркетплейсов и соцсетей. Система может отслеживать до 1 млн адресов в час.
🗞 Блог Кодебай
#news #russia #web
👍14👎1
Защита Apache, Nginx и IIS
Наверняка вы периодически слышите словосочетание веб-сервер или название любой технологии из заголовка статьи. Все нынешние веб-сайты работают по технологии клиент - сервер. В роли клиента выступает ваш браузер, а роли сервера удаленный компьютер. Ни для кого ни секрет, что браузер общается с сайтом на языке HTTP запросов. С браузером все понятно, он умеет обрабатывать эти запросы, но как удаленный сервер прочитает запрос и в целом как он будет выстраивать общение с клиентом? Ответ прост - веб-сервер.
📌 Читать далее
#security #network #web
Наверняка вы периодически слышите словосочетание веб-сервер или название любой технологии из заголовка статьи. Все нынешние веб-сайты работают по технологии клиент - сервер. В роли клиента выступает ваш браузер, а роли сервера удаленный компьютер. Ни для кого ни секрет, что браузер общается с сайтом на языке HTTP запросов. С браузером все понятно, он умеет обрабатывать эти запросы, но как удаленный сервер прочитает запрос и в целом как он будет выстраивать общение с клиентом? Ответ прост - веб-сервер.
📌 Читать далее
#security #network #web
👍11🎉1
Пентест веб-приложений: Тестирование HTTP-методов, HSTS, кроссдоменных политик, прав доступа к файлам
Привет, Codeby. В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере.
📌 Читать далее
#pentest #web
Привет, Codeby. В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере.
📌 Читать далее
#pentest #web
👍30🤩14❤8😱6🎉1
Пентест веб-приложений: Передача учетных данных. Учетные данные по-умолчанию. Механизм блокировки аккаунтов
Привет, Codeby! Когда-то давно я начал перевод Owasp Testing Guide тут на форуме, но до сих пор не завершил начатое. "Штош", продолжим ). В ходе тестирования необходимо убедиться, что веб-приложение шифрует учетные данные при их передаче между клиентом и сервером. В случае перехвата сетевого трафика злоумышленником шифрование поможет избежать компрометации учетных данных. Для шифрования трафика используется протокол HTTPS.
📌 Читать статью
#pentest #web
Привет, Codeby! Когда-то давно я начал перевод Owasp Testing Guide тут на форуме, но до сих пор не завершил начатое. "Штош", продолжим ). В ходе тестирования необходимо убедиться, что веб-приложение шифрует учетные данные при их передаче между клиентом и сервером. В случае перехвата сетевого трафика злоумышленником шифрование поможет избежать компрометации учетных данных. Для шифрования трафика используется протокол HTTPS.
📌 Читать статью
#pentest #web
👍7
Современные web-уязвимости (6.CSRF- Cross Site Request Forgery)
Прежде чем мы обсудим следующий тип cross-origin атак, нам нужно определить новую концепцию - идею запроса, изменяющего состояние данных (state-changing request). В контексте безопасности веб-приложений, запрос на изменение состояния может быть определен как веб-запрос, который изменяет хранящуюся информацию с одного значения на другое. Например, запросы, которые изменяют информацию профиля пользователя (адрес, номер телефона, имя и т. д.), учетные данные пользователя, электронную почту для сброса пароля, независимо от того, включена ли для пользователя двухфакторная аутентификация, перевод средств с одного банковского счета на другой или автоматическая покупка товара в интернет-магазине (Amazon's One-Click Buy, например). Несмотря на то, что существует множество книг и ресурсов, посвященных CSRF атакам, давайте кратко рассмотрим вектор атаки.
📌 Читать статью
#learning #web #pentest
Прежде чем мы обсудим следующий тип cross-origin атак, нам нужно определить новую концепцию - идею запроса, изменяющего состояние данных (state-changing request). В контексте безопасности веб-приложений, запрос на изменение состояния может быть определен как веб-запрос, который изменяет хранящуюся информацию с одного значения на другое. Например, запросы, которые изменяют информацию профиля пользователя (адрес, номер телефона, имя и т. д.), учетные данные пользователя, электронную почту для сброса пароля, независимо от того, включена ли для пользователя двухфакторная аутентификация, перевод средств с одного банковского счета на другой или автоматическая покупка товара в интернет-магазине (Amazon's One-Click Buy, например). Несмотря на то, что существует множество книг и ресурсов, посвященных CSRF атакам, давайте кратко рассмотрим вектор атаки.
📌 Читать статью
#learning #web #pentest
👍9😱1
Web-shell без JavaScript с файл-менеджером на борту
Всем привет! Давно мною был написан простой вариант шелла с небольшим набором функций. Данный шелл был заточен под невидимость для антивирусов и другого специализированного ПО. Но вот мне захотелось написать уже вариант имеющий в арсенале файл-менеджер с разными плюшками. Так как писать много раз написанное не всегда интересно, то я поставил себе более сложную задачу – написать такой шелл без единой строчки кода JavaScript.
📌 Читать далее
#pentest #web #shell
Всем привет! Давно мною был написан простой вариант шелла с небольшим набором функций. Данный шелл был заточен под невидимость для антивирусов и другого специализированного ПО. Но вот мне захотелось написать уже вариант имеющий в арсенале файл-менеджер с разными плюшками. Так как писать много раз написанное не всегда интересно, то я поставил себе более сложную задачу – написать такой шелл без единой строчки кода JavaScript.
📌 Читать далее
#pentest #web #shell
🔥9👍5🏆2❤🔥1