🔐 Задача: применение криптографических токенов

Вы анализируете облачный сервис, где используются криптографические токены.

Перед загрузкой файлы шифруются, а ключи шифрования хранятся в токене, который выдается пользователю при аутентификации.

Для чего в этом случае используется криптографический токен ❓

🐸 Библиотека хакера

#междусобойчик

😶 Ваш топ бесполезных тулов

В арсенале хакера и пентестера десятки инструментов: от классики вроде Metasploit до авторских фреймворков и кастомных скриптов. Но не все одинаково полезны — особенно в реалиях боевых задач.

Вопрос от подписчика:

«Metasploit — классика, без него ни один курс не обходится. Но по факту почти всё, что там есть, палится на раз. Сигнатуры везде, модули старые. Из тридцати штук реально сработал один. Почему его до сих пор учат как “основу offensive”? Это ж чисто для демо, не для реальных задач.»

❓ Какой инструмент вы считаете переоценённым или устаревшим?

Пишите в комментах, особенно если был painful опыт 👇

P.S. Если хотите задать вопрос, заполните нашу гугл-форму. Это займет 5 минут.

🐸 Библиотека хакера

#междусобойчик

😑 Фишинг через email vs соцсети

Фишинг — один из самых распространённых методов атак. Но какой канал более уязвим для обмана: email или соцсети?

Давайте разберём, в чём различие между этими подходами.

➡️ Аргументы за email:

— Это привычный формат общения с компаниями, что делает атаки через фальшивые уведомления от известных брендов более убедительными

— Легко использовать шаблоны для массовых рассылок, что повышает конверсию фишинговых страниц

— Пользователи доверяют email и редко ожидают фишинг, что делает их уязвимыми

➡️ Аргументы за соцсети:

— Пользователи часто открывают сообщения в соцсетях без опасений, что делает их уязвимыми из-за привычки общаться с друзьями и знакомыми

— Через соцсети легче атаковать конкретных пользователей, ведь персонализированные сообщения более эффективны, чем массовые рассылки

— В соцсетях фишинг может происходить не только через личные сообщения, но и через комментарии, фальшивые группы или видео

💬 А как вы считаете? Где фишинг проще: через email или через соцсети?

Поделитесь своим мнением в комментариях! ⤵️

🐸 Библиотека хакера

#междусобойчик

🗂️ Внедрение через загрузку файлов

Вы тестируете веб-приложение, где пользователи могут загружать аватары. Серверный код представлен на картинке (упрощенно).

И замечаете, что файлы доступны по прямым ссылкам, например:

https://example.com/uploads/exploit.php

Какую атаку вы попробуете первой ❓

🐸 Библиотека хакера

#междусобойчик

🕳 Нестандартные точки входа: баг или искусство

Иногда точка входа — это не XSS, не RCE, и даже не забытый admin.php. А какая-нибудь забытая интеграция, URL с параметром от старого CRM или публичный .git, оставшийся после теста в спешке.

🟢 Одни говорят:

«Настоящий пентест — это когда находишь вход, о котором никто бы не подумал. В этом и есть суть offensive.»

🔴 Другие:

«Это скорее исключение. Уязвимость есть у всех. Главное — глубина анализа, а не неожиданность. Хакинг — не про фокусы.»

А у вас было такое, что вход оказался совсем не там, где вы его искали? 💬

🐸 Библиотека хакера

#междусобойчик

💡 Взлом через микросхемы

Никто не застрахован от атак, особенно если они начинают на аппаратном уровне. Компании вроде Apple и Amazon стали жертвами атак, использующих скрытые микросхемы в печатных платах.

Как вы думаете, какой тип атаки был использован ❓

🐸 Библиотека хакера

#междусобойчик

🤔 XSS через iframe и data URI

Приложение имеет следующую политику CSP:

Content-Security-Policy: default-src 'self'; script-src 'self’

Есть endpoint /preview?url=..., который вставляет URL в iframe:

<iframe src="$url"></iframe>

Вы отправляете:

/preview?url=data:text/html,<script>alert(document.domain)</script>

Скрипт исполняется.

Почему CSP не сработала ❓

🐸 Библиотека хакера

#междусобойчик

🔍 Основные уязвимости в GraphQL API и как их тестировать

GraphQL — мощный инструмент для работы с API, но его особенности могут создавать новые уязвимости, если не соблюдать лучшие практики безопасности. Тестирование таких приложений требует внимания к специфическим рискам.

Вопрос от подписчика:

«Мы недавно внедрили GraphQL в проект, и несмотря на наличие тестов, продолжаем сталкиваться с проблемами безопасности. Какие уязвимости наиболее распространены в GraphQL API и на что стоит обратить внимание при их тестировании?»

❓ Какие уязвимости вы находили в GraphQL приложениях? Делитесь своим опытом в комментариях!

P.S. Если хотите задать вопрос, заполните нашу гугл-форму. Это займет 5 минут.

🐸 Библиотека хакера

#междусобойчик

👨‍💻 Стеганография в атаках

Стеганография — метод скрытия данных в файлах, который, хотя и выглядит привлекательно, вызывает много споров.

Применяется ли она в реальных атаках, или это лишь теоретическая техника?

✅ Преимущества:

— Обход фильтров: стеганография скрывает данные в медиа-файлах, избегая обнаружения системами безопасности.

— Креативность: позволяет атакующим проявлять изобретательность, оставаясь незамеченными.

⛔️ Недостатки:

— Сложность и медлительность: требует больше усилий и времени, чем традиционные методы, и часто легко обнаруживается системами безопасности.

— Не всегда эффективна: в некоторых случаях проще использовать более прямолинейные методы, такие как фишинг или уязвимости.

💬 А как вы думаете: стенография — это будущее атак или лишняя сложность?

🐸 Библиотека хакера

#междусобойчик

🕵️ SQL-инъекция в хранимых процедурах

Вы тестируете веб-приложение с формой регистрации, которая вызывает хранимую процедуру register_user с параметрами.

При отправке данных возникает ошибка, связанная с некорректной обработкой специальных символов.

❓ Какую атаку вы бы использовали для эксплуатации этой уязвимости?

🐸Библиотека хакера

#междусобойчик

📱 Как я заметил утечку API-ключей в публичном репозитории GitHub

Наш подписчик поделился своим опытом работы над клиентским SDK, когда случайно наткнулся на свои собственные ключи доступа к платёжному провайдеру в открытом репозитории:

«Сначала я подумал, что тестовый аккаунт заблокирован, но логи CI показали, что в переменную PAYMENT_API_KEY подставляется строка
sk_live_XXXXXXXXXXXXXXXXXXXXXXXX, а не мой тестовый ключ. Я открыл последние изменения и обнаружил, что файл config.js с живыми ключами был случайно закоммичен:

module.exports = {
apiKey: process.env.PAYMENT_API_KEY || 'sk_live_XXXXXXXXXXXXXXXXXXXXXXXX',
apiSecret: 'sh_live_YYYYYYYYYYYYYYYYYYYY'
};

Оказалось, что .gitignore был настроен только на config.prod.js, а я работал с config.js. Репозиторий был публичным несколько недель и успел получить форки и звёзды.»

❓ Какие шаги предприняли бы для минимизации рисков и предотвращения повторных утечек?

🐸 Библиотека хакера

#междусобойчик

😀 Неправильная настройка сессий на сервере

Вы тестируете веб-приложение, использующее cookies для хранения сессионных данных. При проверке настроек cookies вы обнаруживаете, что следующие параметры сессии настроены неправильно:

➖ Secure — cookie не имеет этого флага, что позволяет передавать его по небезопасному HTTP-соединению.

➖ HttpOnly — флаг не установлен, что позволяет доступ к cookie через JavaScript, делая его уязвимым для XSS-атак.

➖ SameSite — не задано значение для этого параметра, что может привести к утечке сессионных данных при кросс-сайтовых запросах.

➖ Expires/Max-Age — cookie имеют слишком длинный срок действия, что может позволить сессии оставаться активными после истечения времени сессии.

❓ Что является основной угрозой в этой конфигурации?

🐸Библиотека хакера

#междусобойчик

😶 Пентест в условиях нестабильной сети

Бывает, что работать мешает сама инфраструктура: доступ только через цепочку jump host’ов и капризный прокси, SSH рвётся каждые пару минут, нестандартные порты режутся, трафик жёстко фильтруется.

Вопрос от подписчика:

«Недавно был проект: три туннеля подряд, прокси с постоянными обрывами, и при этом нужно было лезть в несколько внутренних сервисов. Любая команда — и сессия мертва. Какие есть реально рабочие подходы, чтобы не терять доступ и не поднимать всё заново каждые 5 минут?»

❓ Как вы решаете такие задачи? Используете autossh, mosh, screen/tmux или что-то более хитрое?

Делитесь своим боевым опытом в комментах 👇

P.S. Если хотите задать вопрос, заполните нашу гугл-форму. Это займет 5 минут.

🐸 Библиотека хакера

#междусобойчик

💬 Чистка логов: безопасность или риск

Оба варианта имеют свои плюсы и минусы. Разбираемся.

➡️ Чистка логов:

— Убирает следы ваших действий

— Снижает шансы на идентификацию атакующего

— Уменьшает объём данных, с которым нужно работать

— Устраняет возможность анализа истории событий

📎 Потеря доказательств, возможно, упущение уязвимостей, скрытие следов может сыграть против

➡️ Оставление логов:

— Прозрачность действий, возможность восстановить картину событий

— Логи помогают обнаружить и анализировать атаки

— Возможность восстановления из журнала данных после инцидента

📎 Логи могут стать источником информации для атакующего, увеличивая риски компрометации

А вы что думаете: стоит ли очищать логи или оставить их на случай расследования? ❓

🐸 Библиотека хакера

#междусобойчик

🫨 JavaScript в рекламной ссылке

При анализе подозрительного сайта вы находите фрагмент JavaScript (см. на картинке).

❓ Что делает этот код?

🐸Библиотека хакера

#междусобойчик

🤪 Небезопасный WebSocket

Вы тестируете веб-приложение, которое передаёт данные чата через WebSocket. При анализе трафика вы замечаете:

— Подключение идёт по ws:// вместо wss://

— Сообщения передаются в открытом виде (JSON без шифрования)

— В сообщениях содержатся идентификаторы пользователей и текст переписки

Какая уязвимость возникает в такой конфигурации ❓

🐸 Библиотека хакера

#междусобойчик

🙏 Эксплойты: писать самому vs брать готовые

⚡️ Писать самому
— Глубокое понимание уязвимости
— Гибкость под конкретную цель
— Навык, который прокачивает как специалиста
— Минимум «сигнатур», труднее отследить

📎 Минусы: долго, нужен высокий уровень, риск накосячить

⚡️ Брать готовые (Metasploit, GitHub, Exploit-DB)
— Быстро и удобно
— Можно сразу автоматизировать атаки
— Легко обучать новичков
— Экономия времени в реальном пентесте

📎 Минусы: палятся защитой, зависят от чужого кода, ограниченные возможности

➡️ Что важнее — свое мастерство в написании эксплойтов или умение быстро использовать готовые инструменты ❓

🐸 Библиотека хакера

#междусобойчик

😳 Уязвимость в GraphQL API

Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.

Попробовав запрос, вы получаете данные (см. на картинке).

Что это за проблема ❓

🐸 Библиотека хакера

#междусобойчик

🕳 SSRF через SVG-upload

Приложение принимает только аватарки в формате .svg. Фильтр проверяет расширение и MIME, но не валидирует содержимое. Аватарки доступны по /uploads/<user>.svg.

❓ Как можно использовать это, чтобы:

— Сделать SSRF-запрос к http://localhost:8080/admin
— Достать данные с AWS Metadata API

👉 Варианты ответов на картинке, голосуйте реакцией ✅

🐸 Библиотека хакера

#междусобойчик

🔒 Сбой генерации reset-link

Сервис шлёт письма для сброса пароля. В коде ссылка формируется так:

const url = `${req.protocol}://${req.headers.host}/reset/${token}`;

Заголовок Host берётся из запроса и не проверяется — в письме может оказаться чужой домен.

Какая это уязвимость ❓

🐸 Библиотека хакера

#междусобойчик