🤔 XSS через iframe и data URI

Приложение имеет следующую политику CSP:

Content-Security-Policy: default-src 'self'; script-src 'self’

Есть endpoint /preview?url=..., который вставляет URL в iframe:

<iframe src="$url"></iframe>

Вы отправляете:

/preview?url=data:text/html,<script>alert(document.domain)</script>

Скрипт исполняется.

Почему CSP не сработала ❓

🐸 Библиотека хакера

#междусобойчик

🔍 Основные уязвимости в GraphQL API и как их тестировать

GraphQL — мощный инструмент для работы с API, но его особенности могут создавать новые уязвимости, если не соблюдать лучшие практики безопасности. Тестирование таких приложений требует внимания к специфическим рискам.

Вопрос от подписчика:

«Мы недавно внедрили GraphQL в проект, и несмотря на наличие тестов, продолжаем сталкиваться с проблемами безопасности. Какие уязвимости наиболее распространены в GraphQL API и на что стоит обратить внимание при их тестировании?»

❓ Какие уязвимости вы находили в GraphQL приложениях? Делитесь своим опытом в комментариях!

P.S. Если хотите задать вопрос, заполните нашу гугл-форму. Это займет 5 минут.

🐸 Библиотека хакера

#междусобойчик

👨‍💻 Стеганография в атаках

Стеганография — метод скрытия данных в файлах, который, хотя и выглядит привлекательно, вызывает много споров.

Применяется ли она в реальных атаках, или это лишь теоретическая техника?

✅ Преимущества:

— Обход фильтров: стеганография скрывает данные в медиа-файлах, избегая обнаружения системами безопасности.

— Креативность: позволяет атакующим проявлять изобретательность, оставаясь незамеченными.

⛔️ Недостатки:

— Сложность и медлительность: требует больше усилий и времени, чем традиционные методы, и часто легко обнаруживается системами безопасности.

— Не всегда эффективна: в некоторых случаях проще использовать более прямолинейные методы, такие как фишинг или уязвимости.

💬 А как вы думаете: стенография — это будущее атак или лишняя сложность?

🐸 Библиотека хакера

#междусобойчик

🕵️ SQL-инъекция в хранимых процедурах

Вы тестируете веб-приложение с формой регистрации, которая вызывает хранимую процедуру register_user с параметрами.

При отправке данных возникает ошибка, связанная с некорректной обработкой специальных символов.

❓ Какую атаку вы бы использовали для эксплуатации этой уязвимости?

🐸Библиотека хакера

#междусобойчик

📱 Как я заметил утечку API-ключей в публичном репозитории GitHub

Наш подписчик поделился своим опытом работы над клиентским SDK, когда случайно наткнулся на свои собственные ключи доступа к платёжному провайдеру в открытом репозитории:

«Сначала я подумал, что тестовый аккаунт заблокирован, но логи CI показали, что в переменную PAYMENT_API_KEY подставляется строка
sk_live_XXXXXXXXXXXXXXXXXXXXXXXX, а не мой тестовый ключ. Я открыл последние изменения и обнаружил, что файл config.js с живыми ключами был случайно закоммичен:

module.exports = {
apiKey: process.env.PAYMENT_API_KEY || 'sk_live_XXXXXXXXXXXXXXXXXXXXXXXX',
apiSecret: 'sh_live_YYYYYYYYYYYYYYYYYYYY'
};

Оказалось, что .gitignore был настроен только на config.prod.js, а я работал с config.js. Репозиторий был публичным несколько недель и успел получить форки и звёзды.»

❓ Какие шаги предприняли бы для минимизации рисков и предотвращения повторных утечек?

🐸 Библиотека хакера

#междусобойчик

😀 Неправильная настройка сессий на сервере

Вы тестируете веб-приложение, использующее cookies для хранения сессионных данных. При проверке настроек cookies вы обнаруживаете, что следующие параметры сессии настроены неправильно:

➖ Secure — cookie не имеет этого флага, что позволяет передавать его по небезопасному HTTP-соединению.

➖ HttpOnly — флаг не установлен, что позволяет доступ к cookie через JavaScript, делая его уязвимым для XSS-атак.

➖ SameSite — не задано значение для этого параметра, что может привести к утечке сессионных данных при кросс-сайтовых запросах.

➖ Expires/Max-Age — cookie имеют слишком длинный срок действия, что может позволить сессии оставаться активными после истечения времени сессии.

❓ Что является основной угрозой в этой конфигурации?

🐸Библиотека хакера

#междусобойчик

😶 Пентест в условиях нестабильной сети

Бывает, что работать мешает сама инфраструктура: доступ только через цепочку jump host’ов и капризный прокси, SSH рвётся каждые пару минут, нестандартные порты режутся, трафик жёстко фильтруется.

Вопрос от подписчика:

«Недавно был проект: три туннеля подряд, прокси с постоянными обрывами, и при этом нужно было лезть в несколько внутренних сервисов. Любая команда — и сессия мертва. Какие есть реально рабочие подходы, чтобы не терять доступ и не поднимать всё заново каждые 5 минут?»

❓ Как вы решаете такие задачи? Используете autossh, mosh, screen/tmux или что-то более хитрое?

Делитесь своим боевым опытом в комментах 👇

P.S. Если хотите задать вопрос, заполните нашу гугл-форму. Это займет 5 минут.

🐸 Библиотека хакера

#междусобойчик

💬 Чистка логов: безопасность или риск

Оба варианта имеют свои плюсы и минусы. Разбираемся.

➡️ Чистка логов:

— Убирает следы ваших действий

— Снижает шансы на идентификацию атакующего

— Уменьшает объём данных, с которым нужно работать

— Устраняет возможность анализа истории событий

📎 Потеря доказательств, возможно, упущение уязвимостей, скрытие следов может сыграть против

➡️ Оставление логов:

— Прозрачность действий, возможность восстановить картину событий

— Логи помогают обнаружить и анализировать атаки

— Возможность восстановления из журнала данных после инцидента

📎 Логи могут стать источником информации для атакующего, увеличивая риски компрометации

А вы что думаете: стоит ли очищать логи или оставить их на случай расследования? ❓

🐸 Библиотека хакера

#междусобойчик

🫨 JavaScript в рекламной ссылке

При анализе подозрительного сайта вы находите фрагмент JavaScript (см. на картинке).

❓ Что делает этот код?

🐸Библиотека хакера

#междусобойчик

🤪 Небезопасный WebSocket

Вы тестируете веб-приложение, которое передаёт данные чата через WebSocket. При анализе трафика вы замечаете:

— Подключение идёт по ws:// вместо wss://

— Сообщения передаются в открытом виде (JSON без шифрования)

— В сообщениях содержатся идентификаторы пользователей и текст переписки

Какая уязвимость возникает в такой конфигурации ❓

🐸 Библиотека хакера

#междусобойчик

🙏 Эксплойты: писать самому vs брать готовые

⚡️ Писать самому
— Глубокое понимание уязвимости
— Гибкость под конкретную цель
— Навык, который прокачивает как специалиста
— Минимум «сигнатур», труднее отследить

📎 Минусы: долго, нужен высокий уровень, риск накосячить

⚡️ Брать готовые (Metasploit, GitHub, Exploit-DB)
— Быстро и удобно
— Можно сразу автоматизировать атаки
— Легко обучать новичков
— Экономия времени в реальном пентесте

📎 Минусы: палятся защитой, зависят от чужого кода, ограниченные возможности

➡️ Что важнее — свое мастерство в написании эксплойтов или умение быстро использовать готовые инструменты ❓

🐸 Библиотека хакера

#междусобойчик

😳 Уязвимость в GraphQL API

Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.

Попробовав запрос, вы получаете данные (см. на картинке).

Что это за проблема ❓

🐸 Библиотека хакера

#междусобойчик

🕳 SSRF через SVG-upload

Приложение принимает только аватарки в формате .svg. Фильтр проверяет расширение и MIME, но не валидирует содержимое. Аватарки доступны по /uploads/<user>.svg.

❓ Как можно использовать это, чтобы:

— Сделать SSRF-запрос к http://localhost:8080/admin
— Достать данные с AWS Metadata API

👉 Варианты ответов на картинке, голосуйте реакцией ✅

🐸 Библиотека хакера

#междусобойчик

🔒 Сбой генерации reset-link

Сервис шлёт письма для сброса пароля. В коде ссылка формируется так:

const url = `${req.protocol}://${req.headers.host}/reset/${token}`;

Заголовок Host берётся из запроса и не проверяется — в письме может оказаться чужой домен.

Какая это уязвимость ❓

🐸 Библиотека хакера

#междусобойчик

🔥 XXE в парсере отчетов

Сервис принимает XML без отключения внешних сущностей.

Какой основной риск? Голосуйте реакцией ✅

🔥 — Только DoS через «Billion Laughs»
👾 — Утечка локальных файлов / SSRF
❤️ — Ошибка схемы и падение парсера

🐸 Библиотека хакера

#междусобойчик