NFsec Logo

Oh Shit, Git?! – Viventium Necronomicon

16/02/2020 (6 dni temu) w Bezpieczeństwo, Pen Test Możliwość komentowania Oh Shit, Git?! – Viventium Necronomicon została wyłączona

I

nernet to wodospad cieknących danych. W mojej pierwszej serii Necronomicon ( część I oraz II) mogliśmy się o tym przekonać na przykładzie skracarek adresów URL. Dzisiaj zajmiemy się serwisami oferującymi miejsce na repozytoria kodu. Ale od początku. Jakieś dziesięć lat temu powstał ruch DevOps – przechodząc przez różne etapy rozwoju dołączono do niego kolejny człon – DevSecOps. Upraszczając: jest to ruch, który osadza w cykl życia oprogramowania procesy bezpieczeństwa. Jego braki lub luki proceduralne są częstym i w dużej mierze niedocenianym wektorem zagrożeń dla wielu firm i organizacji.
[ czytaj całość… ]

Jak anonimowo wyświetlać profile na LinkedIn?

12/02/2020 (2 tygodnie temu) w Pen Test Możliwość komentowania Jak anonimowo wyświetlać profile na LinkedIn? została wyłączona

O

prócz masowego ściągania profili istnieje również możliwość anonimowego przeglądania profili na portalu LinkedIn. Jak wyświetlić anonimowo profil LinkedIn bez konieczności logowania się lub posiadania profilu LinkedIn?

  • 1. Wyszukujemy osobę powiązaną z profilem LinkedIn za pomocą wyszukiwarki internetowej (np. Google, Bing, DuckDuckGo itd.) – zazwyczaj jest to fraza „Imię Nazwisko LinkedIn”,
  • 2. Po znalezieniu adresu URL preferowanego profilu LinkedIn, na który chcemy rzucić anonimowym okiem – kopiujemy jego adres URL,
  • 3. Otwieramy nową kartę w przeglądarce i przechodzimy w niej na stronę do testu optymalizacji mobilnej,
  • 4. Wklejamy skopiowany adres URL LinkedIn z wyszukiwarki (pkt. 1) i klikamy TESTOWY URL,
  • 5. Po zakończeniu procesu analizy klikamy na HTML,
  • 6. Zaznaczamy cały kod HTML i kopiujemy go do schowka,
  • 7. Otwieramy nową kartę w przeglądarce i przechodzimy w niej na stronę z edytorem renderującym kod HTML,
  • 8. Wklejamy HTML ze schowka i klikamy RUN,
  • 9. Po wyrenderowaniu strony będziemy mogli zobaczyć profil LinkedIn.

Więcej informacji: 10 Minute Tip: Viewing LinkedIn Profiles Anonymously

Lista użytkowników WordPress dostępna przez API

11/02/2020 (2 tygodnie temu) w Pen Test Możliwość komentowania Lista użytkowników WordPress dostępna przez API została wyłączona

N

a samym początku należy zaznaczyć, że stanowisko projektu WordPress jest jednoznaczne w tej sprawie: nie uznaje nazw użytkowników ani identyfikatorów użytkowników za prywatne lub bezpieczne informacje. Nazwa użytkownika jest częścią Twojej tożsamości online. Ma na celu identyfikację, a nie weryfikację tego, kim jesteś. Weryfikacja jest zadaniem hasła. Ogólnie rzecz biorąc, ludzie nie uważają nazw użytkowników za tajne, często udostępniając je otwarcie. Ponadto wiele dużych firm internetowych – takich jak Google i Facebook – zrezygnowało z nazw użytkowników na rzecz adresów e-mail, które są udostępniane w sposób ciągły i swobodny. WordPress również przeniósł się na ten sposób, umożliwiając użytkownikom logowanie się przy użyciu adresu e-mail lub nazwy użytkownika od wersji 4.5.
[ czytaj całość… ]

Kroniki Shodana: Damn Vulnerable Web Application (DVWA)

07/01/2020 w Pen Test Możliwość komentowania Kroniki Shodana: Damn Vulnerable Web Application (DVWA) została wyłączona

D

amn Vulnerable Web App (DVWA) jest aplikacją internetową napisaną w języku PHP (jako bazę wykorzystuje MySQL), która jest bardzo podatna na różne ataki. Jej głównym celem jest pomoc różnego specjalistom ds. bezpieczeństwa na różnym poziomie rozwoju w testowaniu swoich umiejętności i narzędzi na specjalnie przygotowanym do tego środowisku. Zarazem twórcy stron internetowych mogą za jej pomocą lepiej zrozumieć procesy zabezpieczenia aplikacji internetowych.
[ czytaj całość… ]

1001 Pen Test oraz Bug Bounty Tips & Tricks #3 – Wayback Machine

02/01/2020 w Pen Test Możliwość komentowania 1001 Pen Test oraz Bug Bounty Tips & Tricks #3 – Wayback Machine została wyłączona

W

ayback Machine to archiwum internetowe, znajdujące się pod adresem archive.org/web/. Jest to zbiór ponad 401 (i rośnie) miliardów migawek (ang. snapshots) stron internetowych zapisanych na osi czasu. Dla łowców błędów oraz pentesterów może stanowić narzędzie do pasywnego rekonesansu. Dzięki temu serwisowi jesteśmy w stanie uzyskać dostęp do starych wersji stron internetowych. Czasami obecna wersja strony jest względnie bezpieczna, ale migawki starszych wersji mogą ujawniać ciekawe informacje lub błędy. Czyli Wayback Machine można traktować jak wehikuł czasu, który pozwala cofnąć się w czasie i zobaczyć, jak kiedyś wyglądała strona / jakie pliki i ścieżki serwer serwował, aby uzyskać więcej informacji niż to, co jest dostępne w bieżącej wersji. Na przykład:
[ czytaj całość… ]

Obchodzenie zapór pośrednicząco-filtrujących strony web #4

15/12/2019 w Pen Test Możliwość komentowania Obchodzenie zapór pośrednicząco-filtrujących strony web #4 została wyłączona

J

eśli posiadamy podatność, która bazuje na adresie IP, ale zapora pośrednicząco-filtrująca utrudnia nam zadanie eksploatacji pamiętajmy, że adres IP od strony klienta można zapisać na wiele sposobów. Na przykład:

$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1): 56 data bytes

$ ping 3232235521
PING 3232235521 (192.168.0.1): 56 data bytes

$ ping 0xC0A80001
PING 0xC0A80001 (192.168.0.1): 56 data bytes

$ ping 192.168.1
PING 192.168.1 (192.168.0.1): 56 data bytes

$ ping 192.168.257
PING 192.168.257 (192.168.1.1): 56 data bytes

$ ping ::ffff:c0a8:0001
PING ::ffff:c0a8:0001(::ffff:192.168.0.1) 56 data bytes

$ ping 0000:0000:0000:0000:0000:ffff:c0a8:0001
PING 0000:0000:0000:0000:0000:ffff:c0a8:0001(::ffff:192.168.0.1) 56 data bytes

Więcej informacji: IPv4 Converter, inet_aton(3), IPv6 address formats,

Szukanie filmów YouTube na podstawie lokalizacji

12/12/2019 w Pen Test Możliwość komentowania Szukanie filmów YouTube na podstawie lokalizacji została wyłączona

J

eśli interesuje nas wyszukiwanie filmów Youtube na podstawie lokalizacji lub sprawdzanie w jakich lokalizacjach były kręcone konkretne filmy lub filmy danych kanałów to narzędzie internetowe o nazwie YouTube Geofind powinno nam w tym pomóc. Jest niezwykle łatwe w użyciu i chociaż niewiele osób faktycznie taguje swoją lokalizację, zawsze dobrze sprawdzić swoje filmy lub czy coś innego się kręci w pobliżu – nigdy nie wiadomo.

Więcej informacji: youtube-geofind

1001 Pen Test oraz Bug Bounty Tips & Tricks #2 – Google Analytics oraz Adsense ID

10/11/2019 w Pen Test Możliwość komentowania 1001 Pen Test oraz Bug Bounty Tips & Tricks #2 – Google Analytics oraz Adsense ID została wyłączona

P

odczas wyszukiwania domen lub subdomen należących do tej samej firmy możemy wykorzystać fakt, że często współdzieloną one ten sam Google Analytics ID lub AdSense ID. Wystarczy pobrać ze źródła strony HTML kod identyfikujący danego klienta. Na przykład dla GA będzie to:

curl -L https://pentest.target | egrep 'UA-[0-9]+'
_gaq.push(['_setAccount', 'UA-12345678-22']);

Tak pozyskany kod możemy wykorzystać na stronie site-overview.com (zmieniając tylko ostatni człon URL) lub dnslyrics.com w celu uzyskania informacji mówiącej nam jakie jeszcze inne domeny / subdomeny są pod niego podpięte. To samo tyczy się AdSense ID. Korzystając z site-overview najlepiej jeszcze wyniki przeszukać pod kątem wprowadzonego ID, ponieważ wyniki mogą być nadmiarowe. Warto również zwrócić na wartość liczby po ostatnim myślniku: -22 – oznacza to, że jest to 22’ga usługa powiązana z kontem UA-12345678.

Więcej informacji: Hussein Daher

MITRE ATT&CK

06/11/2019 w Ataki Internetowe, Bezpieczeństwo, Pen Test Możliwość komentowania MITRE ATT&CK została wyłączona

M

ITRE jest organizacją typu non-profit założoną w 1958 roku, której misją jest „rozwiązywanie problemów by uczynić świat bezpieczniejszym”. Cel ten ostatnio jest osiągany poprzez nową, wyselekcjonowaną bazę wiedzy znaną jako MITRE ATT&CK (ang. Adversarial Tactics, Techniques and Common Knowledge). Baza ta jest platformą, która zawiera zbiór taktyk, technik oraz procedur stosowanych przez różnego rodzaju podmioty atakujące w świecie cyfrowym. Wykorzystanie zawartej w niej wiedzy może pomóc organizacjom w określaniu luk, czy modelowaniu zagrożeń w ich cyberobronie.
[ czytaj całość… ]

Kroniki Shodana: Kibana

26/10/2019 w Pen Test Możliwość komentowania Kroniki Shodana: Kibana została wyłączona

2

1 października został opublikowany eksploit wykorzystujący już załataną lukę w komponencie GUI do wizualizacji danych Elasticsearch o nazwie Kibana. Elasticsearch i Kibana są częściami popularnego stosu narzędzi o nazwie Elastic Stack (znanego również jako ELK Stack) – serii otwartych aplikacji służących do scentralizowanego zarządzania logami i nie tylko. CVE-2019-7609 to luka w zabezpieczeniach umożliwiająca wykonywanie dowolnego kodu w rozszerzeniu Kibany – Timelion. Luka została naprawiona w lutym 2019. Zgodnie z poradą firmy Elastic dotyczącą luki osoba atakująca, które ma dostęp do aplikacji Kibana oraz rozszerzenia Timelion „może wysłać żądanie, które spróbuje wykonać kod JavaScript”, co może spowodować, że zostanie wykonane dowolne polecenie na hoście o tych samych uprawnieniach, na których jest uruchomiony silnik nodejs Kibany.
[ czytaj całość… ]