👩‍💻 Chrome Extension Security — база знаний о безопасности расширений Chromium багхантера slonser

На данный момент не существует единого ресурса, который бы подробно освещал эту важную тему, несмотря на широкое распространение расширений, взаимодействующих с конфиденциальными данными и операциями.

В частности, расширения для криптовалютных кошельков и менеджеров паролей демонстрируют необходимость в повышении осведомлённости о безопасности.

👉 Этот туториал восполняет все пробелы, освещая вопросы создания собственного расширения, структуры расширения, хранения данных и многого другого

#tutorial #pentest #bugbounty

🤖 AIGoat — намеренно уязвимая инфраструктура ИИ, предназначенная для имитации OWASP ML Top 10

AI-Goat воспроизводит реальные окружения ИИ в облаке, но намеренно имеет баги для обеспечения реалистичной обучающей платформы. Внутри вас ждет несколько векторов атак, ориентированных на подход к тестированию методом чёрного ящика.

👉 GitHub

#pentest

🔐 Как работает аутентификация в Kerberos при доверительных отношениях между доменами Active Directory

👉 Источник

#basics #security #windows

🌵🕵️‍♂️ Git-квест: 10 испытаний для повелителя репозиториев

От простого push до таинственного cherry-pick – пройдите все уровни нашего Git-квеста и докажите, что достойны звания Git-мастера.

🔗 Пройти тест

⤵️ Open URL redirect: полное руководство по эксплуатации

Этот тип багов часто относится к «низко висящим фруктам». Однако по мере усложнения современных приложений усложняются и баги.

Это также позволяет превратить «низко висящие фрукты» в более серьёзные проблемы с безопасностью, например, в полный захват учётной записи.

Гайд от Intigriti погружается в тему и разбирает: что это за уязвимость, как ее найти, проэксплуатировать и повысить импакт.

👉 Читать гайд

#guide #bugbounty #pentest

😳 10 крупнейших утечек данных в 2024 году

2024 год был бурным в кибербезопасности с многочисленными крупными утечками данных, которые поставили под угрозу конфиденциальную информацию и затронули миллионы людей по всему миру. Хотя они нанесли значительный вред, они также дают возможность изучить и укрепить защитные меры.

Под катом — 10 крупнейших утечек данных прошлого года с подробным описанием их причин, последствий и мер реагирования со стороны вовлеченных организаций.

👉 Читать

#security

🐍 Работа внутри интерпретируемого: offensive Python

Казалось бы, где Python, а где Windows, но пока одни offensive команды придумывают новые методы, другие пользуются проверенными старыми.

Об одном из таких и пойдет речь под катом. Учитывая легкую доступность Python для Windows, а также некоторый существующий опыт работы с Python, автор считает, что есть основания для создания небольшой, но значимой ниши offensive Python в сфере разработки малвари.

👉 Читать

#redteam #tools #malware

🔓 Пользователь Reddit случайно раскрыл секреты КНДР

Интернет-инфраструктура Северной Кореи всегда была загадкой. Но недавно пользователь Reddit случайно приоткрыл завесу тайны, задав вопрос: «Как получить домен .kp?»

При обсуждении выяснилось, что для доступа к одному из северокорейских доменов (hani.star-co.net.kp) требуется VPN. Это вызвало волну интереса к тому, как КНДР контролирует интернет и какие инструменты использует для удалённого доступа.

❓ Что раскрыло расследование

➡️ NetKey и Hangro — специальные программы, с помощью которых КНДР контролирует доступ в интернет.

➡️ Hangro — загадочный инструмент: программа связана с четырьмя IP-адресами (два в КНДР, два в России) и доменом hangro.net.kp. Программа, возможно, предоставляет доступ к национальному интранету на территории КНДР.

➡️ Другие зацепки — данные whois указывают на Чо Мён Чхоля (перебежчика из КНДР) и компанию Silibank, которая, возможно, управляет интернет-ресурсами страны.

📎 Почитать подробности

#новость

🔒 Отчёт про DDoS от CloudFlare

В четвертом квартале 2024 года Cloudflare зафиксировала и предотвратила рекордную DDoS-атаку с пиковым трафиком в 5,6 Тбит/с, что стало крупнейшей зарегистрированной атакой за 2024 год. За этот период компания смягчила 6,9 миллиона DDoS-атак, что на 16% больше по сравнению с предыдущим кварталом и на 83% больше по сравнению с аналогичным периодом прошлого года.

Тенденции DDoS-атак в 2024 году:

➡️ За 2024 год Cloudflare предотвратила 21,3 миллиона DDoS-атак, что на 53% больше, чем в 2023 году. В среднем это составляет 4 870 атак в час.

➡️ В четвертом квартале было зафиксировано не менее 420 атак с объемом трафика, превышающим 1 Тбит/с или 1 миллиард пакетов в секунду. Количество таких атак увеличилось на 1 885% по сравнению с предыдущим кварталом.

Анализ типов атак:

• HTTP DDoS-атаки: Составили 51% атак в четвертом квартале. Из них 73% инициированы известными ботнетами, 11% маскировались под легитимные браузеры, а 10% содержали подозрительные или необычные HTTP-атрибуты.

• Сетевые атаки: Составили 49% атак. Самые распространённые методы: SYN-флуд (38%), DNS-флуд (16%) и UDP-флуд (14%).

📎 Полный отчёт и дополнительная информация в блоге компании

🐸Библиотека devops'a

🧂 Как «посолить» письмо

Злоумышленники продолжают совершенствовать свои методы обхода защиты, и одной из самых простых, но эффективных техник является hidden text salting.

💡 Что это такое?

Hidden text salting — это метод "отравления" HTML-кода, который позволяет скрывать текст и внедрять невидимые символы. При этом текст остаётся незаметным для пользователя, но доступным для спам-фильтров и парсеров.

В 2024 году эксперты Cisco Talos заметили резкий рост использования этой техники в фишинговых письмах.
Hidden text salting позволяет злоумышленникам:

• Обходить системы обнаружения, основанные на ключевых словах.

• Скрывать настоящие бренды за фальшивыми имитациями.

• Запутывать фильтры, изменяя язык письма или структуру его кода.

• Использовать метод HTML smuggling для скрытого внедрения вредоносного ПО.

🔒 Советы по защите:

➖Используйте расширенные системы фильтрации, которые анализируют HTML и CSS на подозрительные конструкции, например, visibility: hidden или display: none.

➖ Опирайтесь на визуальные признаки писем, а не только на текстовые.

➖ Внедряйте AI-решения, которые анализируют сложные угрозы с использованием Natural Language Processing

📎 Подробнее в блоге Cisco Talos

🧑‍💻Атаки Dependency Confusion

В январе 2025 года были обнаружены десятки вредоносных npm-пакетов, имитирующих популярные библиотеки. Их цель — компании, использующие внутренние пакеты.

Эти пакеты представляли собой примеры атак типа Dependency Confusion, где злоумышленники публикуют пакеты с такими же именами, что и внутренние, чтобы обмануть системы сборки.

💡 Как работали эти пакеты

Злоумышленники использовали сервис Burp Collaborator в качестве точки управления и контроля. После установки пакета вредоносный код собирал данные о системе, включая имя хоста, конфигурацию сети и переменные окружения.

➖ Что обнаружили эксперты

Сервис SafeDep, мониторящий npm на наличие вредоносных библиотек, выявил более 50 таких пакетов. Анализ показал, что злоумышленники не пытались скрыть свои действия, что может указывать либо на тестирование атак, либо на неопытность авторов.

📎 Источник

🍏Новые уязвимости в процессорах Apple

Исследователи из Технологического института Джорджии обнаружили две новые уязвимости в процессорах Apple, названные SLAP и FLOP.

➖ SLAP (Speculative Load Address Prediction)

В процессорах Apple, начиная с моделей M2 и A15, реализован механизм Load Address Predictor, который предсказывает следующий адрес памяти для ускорения доступа.

Однако, если прогноз оказывается неверным, процессор может выполнять операции с некорректными данными в режиме спекулятивного исполнения.

Это открывает окно для атак, при которых злоумышленник может получить доступ к конфиденциальной информации, такой как содержимое электронной почты и история браузера в Safari.

➖ FLOP (False Load Output Prediction)

В новых процессорах Apple, начиная с моделей M3 и A17, внедрен механизм Load Value Predictor, который предсказывает значение данных до их фактического получения из памяти.

Ошибочные прогнозы могут привести к выполнению операций с неверными данными, обходя проверки безопасности.

Атака FLOP позволяет получить доступ к информации о местоположении, событиям в календаре и данных кредитных карт, в браузерах Safari и Chrome.

📎 Подробнее в источнике

👋 Привет, хакеры!

Мы собираем данные о том, какие методы биохакинга действительно помогают разрабам улучшить качество жизни и повысить продуктивность. Поделитесь своим опытом — это поможет другим сделать осознанный выбор в мире биохакинга.