Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Открыли прием заявок на Pentest award 2025!
💡 Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.
Участие все еще бесплатное, а прием заявок продлиться до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.
🥇 Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬 OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️ А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.
Отправляйте заявки на сайте, участвуйте и побеждайте!
Участие все еще бесплатное, а прием заявок продлиться до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.
Отправляйте заявки на сайте, участвуйте и побеждайте!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
Откопал камеру Cootli, решил посмотреть что да как.
На коробке сказано: «Камера с удалённым доступом, для подключения скачайте приложение, blablabla»
Однако нигде нет информации, что после подключения у камеры отрыты 80 и 8899 порты с панелью доступа к камере с дефолтными кредами
Причём админка настолько старая, что открывается только из под IE.
Получается что любой мог подключатся к камере по локальной сети, хотя её владелец на 100% уверен, что камера защищена (ведь на коробке сказано, что доступ через приложение).
Ну и конечно же, похожие китайские камеры всё ещё продаются на русских маркетплейсах.
Как-то так.
На коробке сказано: «Камера с удалённым доступом, для подключения скачайте приложение, blablabla»
Однако нигде нет информации, что после подключения у камеры отрыты 80 и 8899 порты с панелью доступа к камере с дефолтными кредами
admin:<empty>. 🌚Причём админка настолько старая, что открывается только из под IE.
Получается что любой мог подключатся к камере по локальной сети, хотя её владелец на 100% уверен, что камера защищена (ведь на коробке сказано, что доступ через приложение).
Ну и конечно же, похожие китайские камеры всё ещё продаются на русских маркетплейсах.
Как-то так.
Media is too big
VIEW IN TELEGRAM
Дамы и господа, открылась регистрация на SAS CTF с финалом в Таиланде.
В финал проходят 8 команд, но учитывая всемирную конкуренцию будет не просто.
Регистрируйтесь)
https://yangx.top/ctfnews/1464
В прошлом году играл от мадоки, были 33-е, посмотрим какие будем через месяц.
P.S. — Мне всё ещё смешно с этого прекрасного прошлогоднего анонса 😁
В финал проходят 8 команд, но учитывая всемирную конкуренцию будет не просто.
Регистрируйтесь)
https://yangx.top/ctfnews/1464
В прошлом году играл от мадоки, были 33-е, посмотрим какие будем через месяц.
🔥4❤1
Сыграл в японский CTF (CPCTF) на днях.
Заметил интересные моменты организации:
1. Таски разделены на 5 уровней сложности;
2. Своя платформа. Это был не CTFd, но на мой взгляд UI намного лучше;
3. Тоже связано с платформой: статистика сабмитов на каждом таске. Можно посмотреть кол-во правильных и неправильных ответов;
4. Призы первокурсникам Токийского университета — книги. Причём призёр мог выбрать любую техническую книгу на выбор;
5. Некая секретная номинация. Условие держалось в секрете до конца соревнования. Победителем оказался игрок, у которого средний RGB аватарки ближе всего к RGB лого Токийского университета;
6. Абсолютно нормальные таски(я серьёзно)
Минус один: это был какой-то PPC CTF (17 тасков из 60). Возможно их студентов готовят к олимп проге, но это не точно.
Короче остался доволен.
Заметил интересные моменты организации:
1. Таски разделены на 5 уровней сложности;
2. Своя платформа. Это был не CTFd, но на мой взгляд UI намного лучше;
3. Тоже связано с платформой: статистика сабмитов на каждом таске. Можно посмотреть кол-во правильных и неправильных ответов;
4. Призы первокурсникам Токийского университета — книги. Причём призёр мог выбрать любую техническую книгу на выбор;
5. Некая секретная номинация. Условие держалось в секрете до конца соревнования. Победителем оказался игрок, у которого средний RGB аватарки ближе всего к RGB лого Токийского университета;
6. Абсолютно нормальные таски
Минус один: это был какой-то PPC CTF (17 тасков из 60). Возможно их студентов готовят к олимп проге, но это не точно.
Короче остался доволен.
🔥12👍6👏2🌭1
Forwarded from infosec
• Сегодня SSL.com находится в центре внимания, так как одним из исследователей была выявлена уязвимость, которая позволяет выпустить поддельный TLS-сертификат для любого домена.
• Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "
• Соль уязвимости в том, что помимо домена "
• После этого он запросил на сайте SSL.com TLS-сертификат для домена
• Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая. Будет интересно почитать =)
➡️ Источник.
➡️ Первоисточник.
#Новости
• Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "
_validation-contactemail". Например, "_validation-contactemail.test.com DNS TXT [email protected]". После инициирования проверки домена на email [email protected] будет отправлен код подтверждения, ввод которого подтверждает владение доменом "test.com" и позволяет получить TLS-сертификат для "test.com".• Соль уязвимости в том, что помимо домена "
test.com", для которого был запрошен сертификат, признак подтверждения владения также выставлялся и для домена "example.com", используемого в email. Выявивший проблему исследователь продемонстрировал получение рабочего TLS-сертификата для домена aliyun.com, применяемого в webmail-сервисе китайской компании Alibaba. В ходе тестовой атаки исследователь зарегистрировал проверочный домен "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com" в сервисе "dcv-inspector.com" и запросил для него TLS-сертификат, добавив DNS-запись:_validation-contactemail.d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com DNS TXT [email protected]
• После этого он запросил на сайте SSL.com TLS-сертификат для домена
d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com и выбрал подтверждение по email. Далее происходит отправка проверочного кода на [email protected] и после ввода этого кода в список верифицированных доменов добавляется не только "d2b4eee07de5efcb8598f0586cbf2690.test.dcv-inspector.com", но и "aliyun.com". После этого исследователь успешно получил TLS-сертификат для домена "aliyun.com", владение которым было подтверждено.• Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая. Будет интересно почитать =)
#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🤩1
В воскресенье сыграли Neva CTF.
Получилось не так хорошо, как в прошлом году, но всё же неплохо — 4-е.
Уровень тасков за год поднялся довольно хорошо: появилась новая категория на hardware (последний скриншот) и форензика стала сложнее.
В некоторых тасках явно прослеживалось влияние бывшего сокомандника 😂
Получилось не так хорошо, как в прошлом году, но всё же неплохо — 4-е.
Уровень тасков за год поднялся довольно хорошо: появилась новая категория на hardware (последний скриншот) и форензика стала сложнее.
❤5
Вот это уже лучше :)
В среду сыграли CU CTF вместе с
Итог — 1-е. Не помню уже когда такое было.
За 8 часов решили 22 таска, из них 4 FB.
Форза была лёгкой и уцуцугой, в пропорции 50/50.
Победу также обеспечили:
Спасибо им)
Райтапчики здесь.
P.S. — Команда сборной ИБ Москвы 2я))
В среду сыграли CU CTF вместе с
xor eax, eax jmp eax.Итог — 1-е. Не помню уже когда такое было.
За 8 часов решили 22 таска, из них 4 FB.
Форза была лёгкой и уцуцугой, в пропорции 50/50.
Победу также обеспечили:
re
splav
kvasilek
skeleton
Спасибо им)
Райтапчики здесь.
P.S. — Команда сборной ИБ Москвы 2я))
❤5🤡1
Рубрика #копаемся
Решил сдампить процесс chrome.exe и посмотреть, что можно достать из него через «оптографию».
Из интересного:
1. Можно просмотреть открытое изображение, причём если оно открыто как картинка (скриншот 1).
2. Также виден некий url, который был открыт за 5 минут до снятия дампа (скриншот 2).
3. Иконки верхней панели хрома (закладки+расширения). Также виден график, но если бы мы знали что это такое... (скриншот 3).
В отличие дампа chrome из волатилити, в дампе через диспетчер задач нельзя просмотреть скрин рабочего стола. Также основные данные видны не в RGBA, а в RGB и BGR565LE.
Так что для тасков заготовка есть, но на практике пока применений не вижу.
Буду рад предположениям.
Как-то так.
Решил сдампить процесс chrome.exe и посмотреть, что можно достать из него через «оптографию».
Из интересного:
1. Можно просмотреть открытое изображение, причём если оно открыто как картинка (скриншот 1).
2. Также виден некий url, который был открыт за 5 минут до снятия дампа (скриншот 2).
3. Иконки верхней панели хрома (закладки+расширения). Также виден график, но если бы мы знали что это такое... (скриншот 3).
В отличие дампа chrome из волатилити, в дампе через диспетчер задач нельзя просмотреть скрин рабочего стола. Также основные данные видны не в RGBA, а в RGB и BGR565LE.
Так что для тасков заготовка есть, но на практике пока применений не вижу.
Буду рад предположениям.
Как-то так.
❤4👍4