Думай как хакер: cлабые места PHP
• 🔎 Какие уязвимости можно найти в типичном PHP-проекте?
• ❗️Удивительно, но любые — от слабых мест и уязвимостей в коде никто не застрахован. Чем быстрее мы их найдем, тем меньше риск для компании, а также и для своих проектов.
• ♻️ Но чем лучше будем понимать, как можно атаковать наше приложение и как взаимодействуют друг с другом наши фичи, тем легче будет защитить код еще на уровне разработки. Тем более, что в PHP есть свои специфичные уязвимости — те же type juggling, insecure deserialization и local file include.
• 🕹🔒 Чтобы повысить уровень безопасности кода, полезно думать как хакер и тестировщик одновременно, проверяя все возможные лазейки в коде. Сканеры уязвимостей, SSL-сертификаты, аудиты и прочие многочисленные инструменты защиты будут хорошим дополнением.
• Наиболее распространенные уязвимости из списка OWASP Top 10 (доля приложений) ⬇️
• 🌏 Интернет — пространство безграничных возможностей, но если пользоваться им без должной осторожности, со своими данными можно попрощаться: отсюда и нежелательные спам-звонки, и потерянные пароли от соцсетей и банковских карт.
• 📞⛔️ Если вы не хотите получать звонки от «сотрудников банка», скачайте бесплатный гайд по кибербезопасности от Нетологии.
💬 В нём рассказывают:
— как данные достаются мошенникам;
— как действуют реальные схемы обмана в интернете;
— как правильно покупать в интернете;
— что делать, если взломали.
⬇️ Пользуйтесь гайдом и оставляйте мошенников без работы
#Безопасностьдоступа
#Приватностьдляначинающих
@SingleSecurity 🛡
👨🏻💻 Сайты, которые помогут тебе стать хакероми оттачивать своё мастерство
•❓Задумывался ли ты когда-нибудь с чего начать, где получить больше знаний и даже проверить и улучшить свои хакерские навыки?
• ⚠️ Перечисленные ниже сайты, помогут понять каждый аспект безопасной (или, скорее, небезопасной) стороны программного обеспечения, сетей, серверов и каждого отдельного элемента, который может быть представлен в мире информационной безопасности.
1️⃣ Hack The Box – это онлайн-платформа, позволяющая вам проверить свои навыки тестирования на проникновение и обменяться идеями и методологиями с тысячами людей в области безопасности. Что бы начать пользоваться этой платформой вам нужно пройти регистрацию в стиле CTF. Hack The Box предоставляет множество задач – в виде виртуальных машин – имитирующих реальные проблемы безопасности, которые постоянно обновляются, также у вас есть возможность проходить разные задачи, такие как стеганография, реверсинг и т. д. На момент написания статьи доступно 182 CTF задания.
2️⃣ Vulnhub – это сайт, на котором можно найти образы уязвимых виртуальных машин, на которых вы можете попрактиковаться в своей локальной сети. Обычно они отмечены уровнем сложности, в большинстве из них есть пошаговые инструкции, если вы застряли, и они полностью легальны. Платформа также используется школами, университетами и правительствами для обучения, а также организациями при проведении собеседований.
3️⃣ Smash The Stack проводит несколько варгеймов. Варгейм можно описать как этическую хакерскую среду, которая моделирует реальные уязвимости программного обеспечения и допускает легальное применение методов эксплуатации. Программное обеспечение может быть операционной системой, сетевым протоколом или любым пользовательским приложением. Каждый варгейм содержит множество задач, начиная от стандартных уязвимостей и заканчивая задачами на реверс-инжиниринг.
4️⃣ OverTheWire подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта. Варгеймы, предлагаемые сообществом OverTheWire, могут помочь вам изучить и отработать концепции безопасности в форме игр. Чтобы узнать больше об определенном варгейме, просто посетите его страницу, указанную в меню слева. Новичкам следует начать с задач уровня Bandit, поскольку они необходимы для дальнейшего решения других задач.
5️⃣ Root Me быстрый, простой и доступный способ отточить свои хакерские навыки. У Root-me есть множество видов задач. CTF, взлом, криптоанализ, криминалистика, программирование, стенография. Это определённо один из лучших сайтов в нашем списке.
6️⃣ Defend the Web – интерактивная платформа, где вы можете учиться и проверять свои навыки. За решение задач вы получаете определённое количество очков в зависимости от уровня сложности. Подобно Hack This Site, у Defend the Web также есть живое сообщество, многочисленные статьи и новости о хакинге и форум, на котором вы можете обсудить задачи и вопросы, связанные с безопасностью.
7️⃣ Exploit Education предоставляет разнообразные виртуальные машины, документацию и задачи, которые можно использовать для изучения различных проблем компьютерной безопасности, таких как повышение привилегий, анализ уязвимостей, разработка эксплойтов, отладка, реверсинг и общие проблемы кибербезопасности.
8️⃣ Try2Hack – этот сайт предлагает несколько задач, связанных с безопасностью, для вашего развлечения. Каждая задача требует разного подхода для решения и по мере продвижения становится всё сложнее. Это один из старейших сайтов в нашем списке.
#Разработка
#РазвитиевIT
#Программирование
#Взломдляначинающих
@SingleSecurity 🛡
⚙️🍏Apple выпустила Chrome-аддон, синхронизирующий пароли iCloud на Windows
• 🖥🍏 Apple выпустила новое расширение для браузера Chrome, облегчающее пользователям работу с паролями, сохранёнными в Safari. Аддон «Пароли iCloud» будет полезен как тем, кто сидит на Windows, так и любителям «яблочных» устройств: MacBook, iPhone и т. п.
• 🔑 Помимо того, что расширение позволит получить доступ к сохранённым в Safari паролям из браузера Chrome и операционной системы Windows, нововведение даст возможность сохранять в «Связку ключей iCloud (Keychain)» новые пароли.
• ♻️ Другими словами, благодаря разработке Apple мы имеем полную синхронизацию. Сохранив новые учётные данные в Chrome, вы также сможете автоматически добавить их в связку ключей iCloud, а это значит, что на любом устройстве корпорации из Купертино у вас будут всегда актуальные пароли (даже при работе с Windows).
• 📀 Скачать расширение «Пароли iCloud» можно в официальном магазине Chrome Web Store. Также, судя по опубликованной 9to5Google информации, Apple в конце января обновила iCloud для Windows 10 (последняя версия — 12), добавив специальный раздел «Пароли», из которого можно перейти на страницу загрузки нового аддона.
• ⚙️ Сразу после установки расширения пользователям станут доступны пароли, сохранённые ранее в связке ключей iCloud (в Safari для macOS или iOS). По сути, это первый аддон, поддерживающий iCloud Keychain на Windows.
🌍Google Chrome получил защиту от атак NAT Slipstreaming 2.0
• 👥⚙️Разработчики браузера Chrome внесли в список блокировки еще восемь портов в качестве меры противодействия NAT Slipstreaming 2.0 и другим возможным вариантам этой атаки на защищенную сеть. После публикации первоначальной версии NAT Slipstreaming в этот список были добавлены порты 5060 и 5061.
• 🕹Атака NAT Slipstreaming 2.0 позволяет через интернет добраться до любого сетевого устройства, помещенного за файрвол или NAT. Созданная исследователями концепция предусматривает использование особого JavaScript-сценария и связи по протоколу H.323 (порт 1720). Предложенная схема также полагается на упущения в политиках безопасности браузеров и несовершенство реализации технологии NAT.
• 🛡 Как оказалось, защита от NAT Slipstreaming 2.0 уже не только реализована, но и включена по умолчанию в десктопном и мобильном Chrome. Выпустив сборку 87.0.4280.117 браузера, разработчики ввели запрет на установку соединений на порту 1720, а также — из предосторожности — на портах 69, 137, 161, 1719, 1723, 6566 и 10080. Владельцам серверов HTTP, HTTPS и FTP, использующих эти порты, теперь придется вносить изменения в настройки и обновлять соответствующие URL.
• ⏳Публикацию обновления политик безопасности Chrome было решено отложить до принятия аналогичных мер вендорами других широко используемых браузеров. На настоящий момент это сделали Mozilla и Microsoft; в Apple, по всей видимости, тестирование кода еще не завершено.
• 💡 В Blink изменения тоже уже доступны: этот браузер был создан в рамках проекта Chromium. Соответствующий патч для Firefox заработал с выпуском версии 85 — в списке закрытых уязвимостей проблема числится как CVE-2021-23961. Заплатка для Microsoft Edge была включена в состав сборки 87.0.664.75; по версии разработчика, она устраняет уязвимость CVE-2020-16043.
💉Госдума и Роскомнадзор хотят помечать фишинговые сайты в браузерах
• 💡 Государственная дума озадачилась более эффективной борьбой с мошенническими сайтами, пытающимися разводить россиян. Совместно с Роскомнадзором Госдума планирует ввести новое регулирование, которое будет подразумевать маркировку опасных веб-ресурсов в браузерах.
• 👥 Специалисты в области кибербезопасности, комментируя намерение Госдумы, обращают внимание на ряд нюансов. Например, механизмом маркировки якобы вредоносных сайтов можно злоупотреблять, а выявить фейковые ресурсы далеко не всегда могут и сами эксперты.
• 🦾Тем не менее представители Госдумы собираются обсудить с Роскомнадзором методы противодействия онлайн-мошенничеству, а также выработать наиболее эффективные механизмы.
• 💬 Антон Горелкин, член комитета Государственной думы по информационной политике, в своём Telegram-канале предложил использовать специальный виджет, который поможет пользователям отправлять жалобы на подозрительные или вредоносные сайты.
• 💀 Кибермошенники продолжают осваивать для себя Telegram, разводя крупные компании и администраторов каналов. В новой кампании злоумышленники представляются продюсерами российских знаменитостей — например, Елены Темниковой или Моргенштерна — и предлагают заплатить за размещение рекламы в собственных Telegram-каналах.
• 🌍 Своё поле деятельности злоумышленники ограничили социальными сетями, в которых связывались с различными компаниями и предлагали опубликовать рекламу какого-либо товара или услуг за 10 тысяч рублей.
• 👥 Знаменитости, чьими именами прикрываются преступники, уже в курсе ситуации. Певица Елена Темникова часто предупреждает своих подписчиков о мошенниках и просит связываться со своими представителями только через официальные контакты.
• ♻️Также используется и немного другая схема: обманщики выходят на какую-либо компанию (тоже, как правило, от лица крупных каналов), сообщают о планах опубликовать материалы о бизнесе компании и требуют оплаты за отзыв публикации.
КАК ЗАЩИТЬ СЕБЯ ОТ МОШЕННИКОВ НА САЙТАХ ОБЪЯВЛЕНИЙ?
👾 Пандемия коронавирусной инфекции и довольно простая процедура регистрации на площадках открытых объявлений, превратили их в настоящий рай для злоумышленников.
✅ Cегодня мы разберем наиболее частые схемы обмана и расскажем, как не попасть в руки злоумышленников.
💀🔑Основная причина заражения WordPress-сайтов - это пиратские темы и плагины!
• 👥 Исследователи из компании Wordfence, поставляющей на рынок файрволы уровня веб-приложений (Web Application Firewall, WAF) сообщили о том что пиратские темы и плагины стали основной причиной заражения веб-сайтов на движке WordPress в 2020 году.
• 💬🔎 По словам экспертов, их сканер обнаружил более 70 миллионов вредоносных файлов более чем на 1,2 млн WordPress-сайтов. Эту статистику аналитикам Wordfence удалось собрать за весь 2020 год.
• 💬 «В общей сложности 206 000 сайтов стали жертвой вредоносов из-за пиратского плагина или темы. Это составляет 17% от общего числа выявленных заражённых сайтов», — описывают специалисты.
• ✔️ В Wordfence отметили, что 154 928 веб-ресурсов были заражены версией вредоносной программы WP-VCD. Известно, что распространители этого зловреда используют в своих кампаниях взломанные темы для движка WordPress.
• 🏆 Более того, WP-VCD оказался настолько успешным вредоносом, что в 2020 году поразил 13% от общего числа всех атакованных сайтов. Тем не менее владельцам веб-ресурсов на WordPress стоит опасаться не только взломанных плагинов и тем.
• 🎲 По данным Wordfence, в 2020 году для онлайн-площадок стал весьма ощутимой проблемой и другой вектор взлома — брутфорс. Всего за прошлый год исследователи зафиксировали более 90 миллионов попыток подбора учётных данных.
• 🕹 Атаки шли с 57 миллионов разных IP-адресов (скорее всего, это результат работы ботнетов или прокси-серверов), а за одну секунду Wordfence отмечала до 2800 попыток подбора паролей.
💀📨Хакеры присылают владельцам Telegram-каналов вредонос под видом рекламы
• ⚠️ Киберпреступники нацелились на владельцев каналов в Telegram и пытаются с помощью вредоносной программы похитить их учётные данные. Получив доступ к Telegram-каналу жертвы, злоумышленники могут потребовать выкуп или же подсовывать подписчикам ссылки на фишинговые и вредоносные сайты.
• ♟🎓 Для прикрытия атакующие используют предложения разместить в канале пользователя рекламу GeekBrains (образовательная платформа). Однако вместе с вложениями владельцы Telegram-каналов получают зловред.
• 📈 Рост такого рода атак связан с растущей популярностью платформы Telegram, а также немалыми бюджетами, выделяемыми на рекламу в популярных каналах, уверены специалисты в области кибербезопасности.
• 💬 По словам владельцев Telegram-каналов, столкнувшихся с новым видом кибератак, злоумышленники представляются менеджерами GeekBrains и выходят на них с рекламными предложениями.
• 🔎 Сама образовательная платформа GeekBrains, само собой, не имеет никакого отношения к деятельности киберпреступников. Тем не менее её представителям пришлось не раз выслушать жалобы от владельцев каналов.
• 🔔Призываем владельцев Telegram-каналов быть бдительными и проверять файлы, которые приходят от заказчика рекламы. Если есть подозрения, всегда можно воспользоваться сервисом VirusTotal или обратиться к специалистам в области защиты информации.
⏳ФОРУМ "КИБЕРБЕЗОПАСНОСТЬ - НАШИ ДНИ. ПРОМЫШЛЕННЫЕ ТЕХНОЛОГИИ"
📌С 17 по 19 февраля в любимом ИБ-сообществом ДЦ «Юбилейный» Форум «Кибербезопасность – Наши Дни» соберёт лучших экспертов, разработчиков решений и представителей промышленности.
⚙️Будем прорабатывать ключевые вопросы промкибербезопасности и вообще всячески взаимодействовать! «Кибербезопасность – Наши Дни» – это три дня плотной деловой программы: мастер-классы, питч-сессии, киберучения! На повестке: нормативно-правовые, технологические, организационные и кадровые вопросы.
🎓 Также непосредственно на форуме можно будет пройти обучение и получить Удостоверение о повышении квалификации.
«Кибербезопасность – Наши Дни» это также безоблачное февральское небо, морозный горный воздух, ухоженные лыжные трассы и масса фирменного ИБ-веселья! Без впечатлений не уедете!
⏳ФОРУМ "КИБЕРБЕЗОПАСНОСТЬ - НАШИ ДНИ. ПРОМЫШЛЕННЫЕ ТЕХНОЛОГИИ"
📌С 17 по 19 февраля в любимом ИБ-сообществом ДЦ «Юбилейный» Форум «Кибербезопасность – Наши Дни» соберёт лучших экспертов, разработчиков решений и представителей промышленности.
⚙️Будем прорабатывать ключевые вопросы промкибербезопасности и вообще всячески взаимодействовать! «Кибербезопасность – Наши Дни» – это три дня плотной деловой программы: мастер-классы, питч-сессии, киберучения! На повестке: нормативно-правовые, технологические, организационные и кадровые вопросы.
🎓 Также непосредственно на форуме можно будет пройти обучение и получить Удостоверение о повышении квалификации.
«Кибербезопасность – Наши Дни» это также безоблачное февральское небо, морозный горный воздух, ухоженные лыжные трассы и масса фирменного ИБ-веселья! Без впечатлений не уедете!
Разработчики Last.fmустранили утечку учетных данных
• ⚙️ Баг был настолько серьёзный, что раскрывал имя пользователя и пароль администраторов.
• ⚙️🔎 Проблема крылась в неправильно настроенном PHP-приложении Symfony, которое почему-то работало в режиме отладки. В результате третьим лицам открывались логи профилей.
• ♻️💀 Используя скомпрометированные учётные данные, потенциальный злоумышленники мог получить доступ к аккаунту пользователя сервиса Last.fm, а также изменить данные учётной записи.
• 🖥 На запущенное в режиме отладки веб-приложение обратили внимание исследователи из SecurityDiscovery.com. Дебаг-режим означает, что многие данные, которым надлежит оставаться «за ширмой», предстают абсолютно открытыми. Так разработчикам проще искать баги и проблемы в работе приложения.
• 💬 Как отметил эксперт в области кибербезопасности Боб Дьяченко, некорректно сконфигурированное приложение Symfony раскрывало страницу PHPinfo и логи профилей с учётными данными. В руках злоумышленников такие данные превращаются в серьёзную проблему: атакующие могут достать конфиденциальную информацию пользователей.
• 🔐Более того, в раскрытых логах удалось найти имена пользователей, пароли и даже секретные ключи администраторов, что создавало ещё более серьёзную угрозу.
⏳🦠 За время пандемии COVID-19 число жертв мошенничества в России выросло вдвое
• 📈 Результаты опроса, проведенного Центром социологических исследований АНО «Диалог», показали, что за семь месяцев пандемии COVID-19 количество пострадавших от интернет-мошенничества в разных регионах увеличилось до 54% — против прежних 25%. При этом размеры индивидуальных потерь в среднем составили около 20 тыс. рублей.
• 🏢 Автономная некоммерческая организация «Диалог» была создана в прошлом году правительством Москвы для повышения эффективности реагирования на проблемы горожан. В настоящее время эта НКО отвечает за развитие аналогичных цифровых проектов обратной связи с гражданами в масштабе всей страны.
• 📑 В анкетировании, запущенном АНО «Диалог», приняли участие 1,4 тыс. респондентов из 75 регионов России.
• 📊 Согласно результатам опроса, наиболее часто россияне сталкивались с мошенничеством в социальных сетях (55% опрошенных) и при использовании мобильной связи (46%), реже — на сервисах электронной почты (20%). При этом злоумышленников в основном интересовали банковские и паспортные данные (86% и 52% случаев соответственно).
• 💸 Финансовые потери из-за действий мошенников понесли 37% участников опроса; в целом по стране эти суммы составили в среднем почти 20 тыс. рублей. Несмотря на это, граждане редко пытались наказать преступников законным порядком — в правоохранительные органы обратились лишь 17% пострадавших.
• 💀 Реализуя традиционные схемы обмана, злоумышленники иногда совершенствуют их, меняя тактику и опробуя новые средства. Так, недавно в России была выявлена новая тенденция: мошенники, использующие телефонную связь, начали автоматизировать обзвон потенциальных жертв, применяя для этого простейшие программы-роботы.
• 🕹На этот раз злоумышленники используют Систему быстрых платежей (СБП) и уязвимость в открытом API.
• ⚙️Брешь пропустили при установке функции перевода по СБП в мобильном банке одной из кредитных организаций.
• ♻️ Эта уязвимость позволила преступникам подменить счета отправителя. Это первый случай использования СБР в атаках на банки.
• 💬 Есть информация что в DarkNet некий злоумышленник получил данные счетов клиентов как раз через уязвимость в одной из банковских систем. После этого он запустил соответствующее мобильное приложение в режиме отладки, прошёл аутентификацию как реальный клиент кредитной организации и отправил запрос на перевод денег в другой банк.
Даркнет (DarkNet, «темный интернет») — скрытая сеть интернет-соединений, существующая параллельно обычному Интернету. Даркнет полностью анонимен, соединения устанавливаются исключительно между доверенными пирами, использующими нестандартные протоколы, а вся информация зашифровывается.
• ⚙️💀 В процессе преступник подменил счёт отправителя, указав номер счёта другого клиента этого банка. Система дистанционного обслуживания, не убедившись в подлинности счёта отправителя, направила СБП команду на перевод средств. Именно так злоумышленники могли перевести себе деньги, принадлежащие другим клиентам.
• 💳🔁💀 Счета жертв мошенники получали с помощью перебора. В этом помогла недокументированная возможность ДБО.
• 🔎 Из-за специфичности уязвимости обнаружить её мог лишь человек, хорошо знакомый с архитектурой мобильного банка конкретной кредитной организации.
🎓Обучение - Услуги по настройке максимально приватной и анонимной системы под различные нужды!
• Консультация (независимо от вашего начального уровня знаний) • Комплексная настройка вашего устройства индивидуально "под ключ" • Спроектируем систему безопасности под вас, шаблон и алгоритм действий
⏳Набор на поток, оффициальный анонс! Старт 1го Октября.
🔑🚰Данные пользователей Avito и Юлы оказались на хакерском форуме
• 👤🔐На одном из хакерских форумов появились файлы с данными пользователей площадок для объявлений Avito и Юла. Файлы представляли собой таблицы, в которых содержались имена, телефоны, адреса, указания часовых поясов 600 тысяч пользователей.
• 💬 Пресс-служба Avito опровергла первоначальное предположение о том, что произошла утечка. Представители компании сообщили, что некто с помощью простого парсера собрал открытую контактную информацию, которую пользователи указывают самостоятельно, создавая объявления. Таким образом, данный инцидент не представляет угрозы для пользователей и никак не указывает на недостатки в безопасности самих компаний.
• 📌 "Единственное, для чего злоумышленники могут использовать данные — для поименного обзвона пользователей и выуживания какой-либо информации. Сделать это они могут, к примеру, представившись сотрудниками площадок. Поэтому пользователям стоит помнить, что официальные представители компаний никогда не спрашивают и не просят указать какие-либо секретные данные вроде паролей или данных банковской карты".
👥Клоны наполненные ботами для борьбы с мошенниками
• 🕹Новый подход для борьбы с мошенниками. Разработчики Facebook подняли специальную версию онлайн-платформы и запустили туда ботов, запрограммированных на вредоносные действия. Согласно задумке, поведение этих ботов поможет Facebook находить изъяны и лазейки до того, как это сделают настоящие злоумышленники.
• ♻️ Новую схему специалисты будут отрабатывать на альтернативной версии Facebook, которая получила кодовое имя «WW». Согласно информации, размещённой в блоге Facebook, «WW» будет работать на идентичной оригиналу платформе. Это отличает подход компании Цукерберга от стандартных реализаций симуляции.
• 👥 Команда веб-девелоперов Facebook разработала специальный метод — Web-Enabled Simulation (WES). С его помощью можно организовать симуляцию на реальной, а не виртуальной инфраструктуре. Таким образом, у специалистов будет возможность максимально точно воссоздать поведение пользователей в соцсети.
• ⚙️ Другими словами, «WW» будет работать как параллельная версия настоящей площадки Facebook. Собственный мессенджер (Facebook Messenger), профили пользователей, страницы, запросы в друзья — всё это будет на «WW», но только для ботов.
• 💬 «За симуляцию отвечают десятки миллионов строк кода, способных полностью воссоздать инфраструктуру Facebook. Это значит, что боты будут использовать ровно те же инструменты, которые есть в распоряжении обычных пользователей социальной сети»