George Lagoda - Альтернативное использование вэб сервисов SharePoint со сторо...DefconRussia
Мои последние исселодования показали, что у SharePoint есть определенное количество вэб сервисов, которые могут помочь аудитору собрать крайне полезную информацию с сайта (списки пользователей, групп, ролей и т д). Также данные сервисы, в комбинации с хранимыми XSS, могут быть использованы для вертикального повышения привилегий или предоставить информацию для компрометации доменных записей AD.
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
George Lagoda - Альтернативное использование вэб сервисов SharePoint со сторо...DefconRussia
Мои последние исселодования показали, что у SharePoint есть определенное количество вэб сервисов, которые могут помочь аудитору собрать крайне полезную информацию с сайта (списки пользователей, групп, ролей и т д). Также данные сервисы, в комбинации с хранимыми XSS, могут быть использованы для вертикального повышения привилегий или предоставить информацию для компрометации доменных записей AD.
Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТПPositive Hack Days
Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Основные понятия индексирования поисковыми машинами. Роль технических файлов в индексации (robots.txt, sitemap.xml, htaccess). Описание основных методов достижения качественной индексации сайта.
Протокол HTTP/2 обещает ускорение загрузки страниц и очень активно продвигается. Так ли это и какую пользу от протокола могут получить Frontend разработчики? Стоит ли переходить на новый протокол? В качестве киллер фичи заявлена поддержка Server push. Что это и как этим пользоваться? Эти и другие вопросы будут освещены в докладе.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Ведущий: Владимир Иванов и Сергей Гордейчик
Эксперт ИТ и исследователь кибербезопасности поделятся своим взглядом на проблему современных целевых атак, спонсируемых государствами и криминальными группировками. Докладчики расскажут об эффективности существующих подходов к защите, о способах обхода песочницы, и о том, пора ли IDS и AV отправляться на свалку.
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиPositive Hack Days
Ведущие: Ольга Кочетова и Алексей Осипов
Доклад посвящен наиболее популярным атакам на банкоматы, а также методам их предотвращения. Докладчик продолжит тему своих прошлых презентаций, однако с более глубоким проникновением в технические детали. Основное внимание будет уделено проблемам безопасности в архитектуре банкоматов и недостаткам защищенности взаимодействия банкоматов с процессинговым центром.
Безопасность сайта: мифы и реальность — Петр ВолковYandex
В поисковой выдаче Яндекса иногда можно встретить предупреждения о том, что сайт может быть небезопасен для компьютера или мобильного устройства пользователя. О том, что это значит, где найти вредоносный код и как его удалить, вы услышите из первых уст — от вирусного аналитика Яндекса.
Основные понятия индексирования поисковыми машинами. Роль технических файлов в индексации (robots.txt, sitemap.xml, htaccess). Описание основных методов достижения качественной индексации сайта.
Протокол HTTP/2 обещает ускорение загрузки страниц и очень активно продвигается. Так ли это и какую пользу от протокола могут получить Frontend разработчики? Стоит ли переходить на новый протокол? В качестве киллер фичи заявлена поддержка Server push. Что это и как этим пользоваться? Эти и другие вопросы будут освещены в докладе.
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОPositive Hack Days
Ведущие: Эмиль Олейников и Юрий Гуркин
Как медицинские, так и SCADA-системы обладают возможностью удаленного управления, настройки и наблюдения. Зачастую их подключают к интернету. В докладе рассказывается об уязвимостях в специализированном ПО, используемом в медицине и промышленности, которые были исследованы с помощью отечественного пентест-фреймворка EAST (exploits and security tools). Аналогично Metasploit, он позволяет автоматизировать и облегчить поиск уязвимостей и иллюстрацию уровня риска.
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровYandex
Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт».
https://academy.yandex.ru/events/webmasters_school/yawebm2015/
Актуальные типы угроз и динамика их развития
Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым.
Управление рисками безопасности веб-сайтов
Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты.
Доступный инструментарий и методики для обеспечения безопасности
Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
Similar to 7.2. Alternative sharepoint hacking (20)
This document discusses several security vulnerabilities and situations:
1. Same-site scripting involving loading an image from an external site that can read cookie data from the original site.
2. Self-XSS that could be used to log a victim out and hijack their account by drawing a pop-up window to steal credentials.
3. HTTP referrer headers leaking sensitive information when external resources like images are loaded from other sites.
4. Incomplete browser support for content security policies potentially leaving some users vulnerable to XSS.
5. Username enumeration through guessing common names in the URL space.
It encourages thinking broadly about attack vectors and thanks the audience for their questions.
The document discusses iCloud Keychain and iOS 7 data protection. It provides an overview of how iCloud Keychain works, including how keychain items are encrypted and stored in iCloud's key-value store and escrow proxy. It notes that with the default 4-digit security code, Apple or an adversary could perform an offline brute force attack to instantly decrypt the backup keybag and access synced keychain records. The document recommends using a complex, random security code and random iCloud ID to prevent such attacks. In conclusions, it stresses verifying vendor claims, never using a simple security code, and that iCloud Keychain is reasonably well-engineered but not without shortcomings.
This document discusses implementing security practices throughout the software development lifecycle (SDLC) using an agile framework. It recommends that security teams provide requirements, guides, and tools to development teams and integrate security tasks into each sprint. It also advocates for maximum automation of security processes through DevOps practices like standardized secure cloud platforms. The document argues that SDLC is not a strict standard but a set of practices that can be tailored to each environment through shared security responsibilities between security and development teams.
This document discusses a CTF competition held by PHDays in 2014. It includes information about the participant Max Moroz and his team BalalaikaCr3w. The document then shows various commands used during the competition to get information about services, rules, and debug logs from the game. It also includes statistics on flags found and a discussion of the game's economics system involving tasks, rewards, and resources.
6.3. How to get out of an inprivacy jaildefconmoscow
The document provides advice on how to examine mobile applications from a forensic perspective by analyzing what types of personal data different applications may store, including contacts, messages, media files, and account information. Specific examples are given for examining applications like WhatsApp, Facebook Messenger, Instagram, and Google Maps to understand what kinds of private user data may be accessible through a forensic analysis. The goal is to understand how to extract important evidence from a variety of mobile applications that people use everyday.
This document discusses tricks to hack popular websites. It begins by introducing bug bounty programs and common defenses on websites. It then describes three cross-site scripting vulnerabilities found on Google APIs. Next, it explains reverse clickjacking and how to exploit it. The document continues detailing vulnerabilities and exploits found on other sites, including using JavaScript to steal cookies and source code. It concludes by discussing content security policies and ways to bypass protections in browsers.
6.1. iCloud keychain and iOS 7 data protectiondefconmoscow
This document summarizes iCloud Keychain and iOS 7 data protection. It discusses how keychain encryption has evolved from AES-CBC to AES-GCM encryption. It also explains how iOS uses file-level encryption with per-file keys based on protection classes. The document then analyzes the security of iCloud Keychain, describing how it uses an escrow proxy and key-value stores. It identifies a risk in how default iCloud Keychain setups allow for near-instant decryption of synced keychain records. The document recommends using a complex iCloud security code or random password to prevent offline guessing of the escrowed encryption key.
This document discusses malware analysis and provides a secret task. It defines malware as software used to disrupt computer operation, gather sensitive information, or gain access to private systems. It also defines analysis as breaking down a complex topic into smaller parts to gain understanding. The secret task involves decrypting strings hidden in a malware sample, finding a 224-bit magic string, sending it to Defcon Moscow along with a description, and becoming a speaker at a meeting. The document encourages those wanting to learn more about malware analysis to attend a workshop.
Dennis Gamayunov discusses the history of undercover communications and encryption techniques. He describes how early systems like BBS, SMTP, and IRC lacked privacy and authentication. PGP introduced public-key cryptography for encrypting and signing messages. The Web of Trust model allows people to verify ownership of keys. However, fake keys and identities can undermine the system. The SILC protocol provides encryption for chat channels. OTR messaging provides forward secrecy, deniability, and no third-party proofs. Future work includes improving usability and expanding these techniques to group messaging.
This document summarizes a digital forensics case discussion between two security experts, Anton and George. They describe recovering data from a damaged hard drive image to help an employee named Anna avoid legal trouble. Techniques discussed include recovering the partition table, system files to obtain machine details, searching for malware, and analyzing a keylogger log file. Ultimately they were able to obtain secret key files that were potentially used in a crime, helping resolve Anna's case.
This document discusses tools for recovering a partially lost Truecrypt password using a GPU when 4-5 symbols of the password are unknown. It describes the tools TrueCrack and oclHashCat, how they work by using the salt and encrypted string in the Truecrypt header to brute force possible passwords, and provides an example command to use oclHashCat to try passwords with unknown case and symbols replaced with wildcards.
The document announces several security contests including an XSS contest, a contest involving manipulating the location hash and location URL, and a CTF hosted at a website. It also mentions upcoming contests could involve categories like web, crypto, and exploitation challenges. Contact details are provided for more information.
4.4. Hashcracking server on generic hardwaredefconmoscow
This document discusses using generic computer hardware to build high-performance hash cracking systems. It describes the speaker's previous systems using CPUs and GPUs, with their most powerful system using multiple Radeon HD6990 and HD7990 graphics cards. Key challenges discussed are cooling, power supply requirements, and software compatibility issues. The speaker advocates for water cooling over air cooling due to temperature issues. Cost estimates are provided for building a powerful system capable of 112 billion MD5 hashes per second for $9000.
This document discusses using Fiddler, a web debugging proxy, to debug HTTP traffic and tune proxy settings. It highlights how Fiddler scripts allow setting breakpoints to inspect JavaScript files from multiple hosts to find the source of unwanted content, and how Fiddler can be used to download malware signatures and lists of dynamic DNS domains for analysis.
This document discusses techniques for path traversal attacks after gaining initial access to a system. It provides examples of important files and directories to access outside the web root, including password files, SSH keys, log files, and system information files. It also discusses common locations for these types of files on Linux, Windows, and Coldfusion systems. The goal of path traversal after initial access is to elevate privileges and gather additional sensitive information to fully compromise the target system.
1. The document describes a rogue MySQL server that acts as a honeypot by exchanging file contents from attacking clients in response to their SQL queries.
2. It provides instructions on how the honeypot works by having the client send a query, the server responding with a request for a file, and the client then sending the file content.
3. The document also shares a GitHub link to the Python code for the rogue MySQL server honeypot and discusses using man-in-the-middle attacks to retrieve files from clients.
5. ОСНОВНЫЕ КОМПОНЕНТЫ SHAREPOINT
5
ВЕБ-ПРИЛОЖЕНИЯ для организации совместной работы
ФУНКЦИОНАЛЬНОСТЬ для создания веб-порталов
ПОИСК ИНФОРМАЦИИ в документах и информационных системах
УПРАВЛЕНИЕ РАБОЧИМИ ПРОЦЕССАМИ и содержимым масштаба предприятия
БИЗНЕС-АНАЛИЗ
6. 6
Google
hacking
ОБЩЕЕ ОПИСАНИЕ УЯЗВИМОСТЕЙ
ЗАКРЫТЫЕ ДЕТАЛИ
НЕБОЛЬШОЕ КОЛИЧЕСТВО ПУБЛИЧНЫХ ЭКСПЛОЙТОВ
7. УЯЗВИМОСТЬ
ЗАГРУЗКИ
ИСХОДНЫХ
КОДОВ ASPX
СТРАНИЦ
7
• Работает только в SharePoint 2007
• Необходимо знать адрес конкретной страницы
• Основной интерес представляют страницы написанные
разработчиками сайта
h-p://www.example.com/_layouts/download.aspx?SourceUrl=/Pages/
Default.aspx&Source=h-p://www.example.com/Pages/
Default.aspx&FldUrl=
11. НЕДОСТАТКИ
СТАРОГО
СПОСОБА
11
• Необходимо инкрементировать ID
• Не всегда есть доступ к просмотру
• Можно попасть в группу
• Самый большой ID не известен
• NTLM или Kerberos авторизация при автоматизации
• Парсинг данных при автоматизации
• Что делать если их “over 9000”?????
12. ОТ ТЕОРИИ К
ПРАКТИКЕ
12
POST /sites/testsite1/_vti_bin/UserGroup.asmx HTTP/1.1
Host: host
[…]
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-
instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<GetUserCollectionFromSite xmlns="http://
schemas.microsoft.com/sharepoint/soap/directory/" />
</soap:Body>
</soap:Envelope>
12
16. DUMMY BRUTE
LEADS TO PWN
16
• Захвачена тестовая доменная учетная запись
• Повышена сложность обнаружения злоумышленника
• Разные тестовые учетные записи могут содержать разные
права доступа к сайту
• Приведен пример из боевого проекта, получен аккаунт из
домена крупного российского банка
16
17. DEER HUNTING
17
Для поиска интересного аккаунта помимо тестового
перечисляем список групп и узнаем в какой группе
находится наша “жертва”
17
18. ПОЛУЧАЕМ
СПИСОК ГРУПП
18
POST /_vti_bin/UserGroup.asmx HTTP/1.1
Host: host
[…]
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-
instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<GetGroupCollectionFromSite xmlns="http://
schemas.microsoft.com/sharepoint/soap/directory/" />
</soap:Body>
</soap:Envelope>
18
список групп на разных сайтах
в рамках одного домена может
различаться
22. НАХОДИШЬ ХРАНИМЫЕ XSS НА ЛЮБОМ САЙТЕ?
ИНТЕРЕСНО ЛИ КРАСТЬ АДМИНСКИЕ КУКИ?
МОЖЕМ ЛИ МЫ ИХ УКРАСТЬ?
ЗАЧЕМ КРАСТЬ СЕССИЮ АДМИНА, КОГДА
МОЖНО СТАТЬ АДМИНОМ?
22
