Пинок для REST. Собираем тулзы для пентеста API
Готов устроить тотальный пентест API? Я подобрал для тебя отличные бесплатные утилиты, которые помогут быстро тестировать API веб-приложений вручную и автоматически.
Готов устроить тотальный пентест API? Я подобрал для тебя отличные бесплатные утилиты, которые помогут быстро тестировать API веб-приложений вручную и автоматически.
Сегодня расскажем, как не погибнуть в ручном поиске IDOR-уязвимостей в коде тысяч хендлов API. В ход пойдут правила Semgrep в режиме join. Затем попробуем восстановить логику бизнес‑сценариев по артефактам от QA-автотестов и обернуть ее в шаблоны nuclei.
В этой статье я расскажу про кейс с Bug Bounty, в котором мне удалось обойти бизнес‑логику приложения, создавать валидные платежи и списывать деньги клиентов. Я тестировал API одной финансовой организации, у которой есть фонд с личным кабинетом. Основные функции были за авторизацией, за исключением кнопки «Сделать взнос»...
Сегодня разберем недавно найденный баг в WordPress и напишем собственный эксплоит на Python. Уязвимость содержится в copypress-rest-api, позволяет обходить запрет на скачивание плагина из каталога WP и добиваться возможности исполнения команд. Она получила номер CVE-2025-8625 и критический статус.
Состояние гонки иногда позволяет вмешаться в алгоритмы обработки данных: от оплаты корзины в интернет‑магазине до механики перевыпуска API-ключей с повышением привилегий. На примерах с HTTP/2 и single-packet attack я покажу, как правильно подобранный момент атаки дает возможность «вырваться вперед на повороте» и буквально переписать бизнес‑логику приложения.
Сегодня я покажу, как эксплуатировать уязвимость локального включения файлов (LFI) в проекте на Ruby on Rails. Также используем RCE-уязвимость в LimeSurvey, а после получения сессии на сервере повысим свои привилегии через баг в API системы Consul.
Специалисты компании Microsoft обнаружили новый бэкдор SesameOp, который использует API OpenAI Assistants в качестве скрытог…
Компания Cloudflare объявила, что теперь принимает только защищенные HTTPS-соединения к api.cloudflare.com, а все HTTP-порты…
Сегодня я покажу процесс анализа APK-приложения в Linux. Мы получим данные для доступа к закрытому API на сайте, а затем через уязвимость LFI прочитаем критически важные файлы на сервере и получим сессию пользователя. Для повышения привилегий взломаем хеш Werkzeug и извлечем учетные данные из Solar-PuTTY.
Сегодня я расскажу о своем опыте работы с Wazuh — опенсорсной системой, которая совмещает в себе функции SIEM и XDR. Это гибкая платформа, которая легко адаптируется под разные задачи: от защиты Active Directory и работы с PowerShell до защиты баз данных и быстрого поиска уязвимостей. Wazuh поддерживает любые ОС, интегрируется с Docker и внешними API.
В этой статье мы расскажем о сканировании API веб‑приложений с помощью утилиты Nuclei. Для демонстрации мы будем атаковать заведомо уязвимое приложение, использующее OpenAPI. По дороге научимся писать кастомные шаблоны для Nuclei, которые помогут искать уязвимости на автомате.
В браузере Opera исправили серьезную уязвимость, которая предоставляла вредоносным расширения несанкционированный доступ к п…
Хакер обнародовал более 15 млн адресов электронной почты, связанных с учетными записями Trello. Известно, что эти адреса был…
Компания Twilio предупредила, что незащищенный эндпоинт API позволял злоумышленникам узнать миллионы телефонных номеров поль…
Двое студентов из Калифорнийского университета в Санта-Крузе обнаружили проблему в работе прачечных самообслуживания CSC Ser…
Недавно на хакерском форуме появилось объявление о продаже данных 15 115 516 пользователей Trello. Хотя почти все данные, пр…
Компания Apple сообщает, что начиная с осени текущего года разработчики приложений будут обязаны указывать причину использов…
Аналитики из Рейнско-Вестфальского технического университета в Ахене опубликовали исследование, согласно которому, десятки т…
Разработчики JumpCloud, поставщика облачных решений для управления идентификацией и доступом, сообщили о «продолжающемся киб…
E-commerce платформа компании Honda, связанная с силовым оборудованием, лодочными моторами и садовой техникой, оказалась уяз…
Студент, известный под ником xtekky, опубликовал на GitHub проект под названием GPT4Free. Энтузиаст весьма успешно пытается …
Исследователи из компании Check Point заявляют, что API OpenAI плохо защищен от различных злоупотреблений, чем уже не премин…
Аналитики Salt Security предупреждают о резком росте атак на API за последний год. При этом подчеркивается, что большинство …
В этой статье мы реализуем простой, но крайне полезный проект на Python — бота для Telegram. Боты — это небольшие скрипты, которые могут взаимодействовать с API, чтобы получать сообщения от пользователя и отправлять информацию в разные чаты и каналы.
Кроме традиционных разрешений, в Android есть три мета-разрешения, которые открывают доступ к весьма опасным API. В этой статье мы научимся их использовать, чтобы программно нажимать кнопки смартфона, перехватывать уведомления, извлекать текст из полей ввода других приложений и сбрасывать настройки смартфона.
Недавняя большая атака «белых шляп» на инфраструктуру Apple — одно из интереснейших событий в инфосеке за последнее время. Сегодня мы рассмотрим несколько блестяще выполненных операций: взлом службы DELMIA Apriso, взлом сервера authors.apple.com, получение ключей AWS, получение админских прав в Nova и компрометацию серверов Apple.
Разработчики Google сообщили, что запретят сторонним Chromium-браузерам использовать приватные API Google, так как они предн…
Компания Twitter сообщила, что третьи стороны злоупотребили ее официальным API, чтобы сопоставить телефонные номера пользова…
Ты наверняка не раз пользовался услугами сайта virustotal.com, чтобы проверить, не содержат ли бинарники вредоносных функций, либо протестировать собственные наработки. У этого сервиса есть бесплатный API, работу с которым на Python мы и разберем в этой статье.
Вечером, 7 марта 2018 года, в сети начали появляться сообщения о взломе Binance, а пользователи в панике писали об исчезнове…
Выяснилось, что уязвимость в API Instagram, обнаруженная на прошлой неделе, обернулась проблемами не только для знаменитосте…
В Android существует программный интерфейс к низкоуровневому аппаратному стеку телефона. С его помощью можно написать программу для набора номера, инициировать отправку текущих координат, обработать входящий звонок, негласно включив запись с микрофона... Словом, интересных штук можно придумать массу.
В прошлых статьях была описана разработка мобильного приложения со всеми любимым VK в роли бесплатного и услужливого сервера. Как это часто случается со всякими хитровыкрученными системами, рано или поздно они обрастают мелкими, но досадными проблемами, затрудняющими их использование. И как только это случается, журнал «Хакер» снова приходит на помощь!
В одной из своих предыдущих статей я уже писал о механизме под названием «уровень доступа» (protection level), который определяет, может ли твой код обращаться к тем или иным функциям ОС. Высокий уровень доступа получает только системный софт, поэтому для простых смертных он закрыт. Однако есть в Android и еще одна интересность, имя которой — скрытый API. И чтобы получить к нему доступ, не нужен root, не надо подписывать приложение ключом прошивки, достаточно лишь немного пораскинуть мозгами.
Часто возникает задача периодически парсить какой-нибудь сайт на наличие новой информации. Например, если ты пишешь агрегатор контента с новостного сайта или форума, в котором нет поддержки RSS. Проще всего написать скрепер на Питоне и разобрать полученный HTML через beautifulsoup или регулярками. Однако есть более элегантный способ — самому сделать недостающие API для сайта и получать ответы в привычном JSON, как будто бы у сайта есть нативный API.
Когда мы говорим о плагинах и модульных приложениях, то в первую очередь имеем в виду обычный пользовательский софт. Однако модульный дизайн может быть не менее полезен при разработке руткитов и бэкдоров. Если вынести ключевую функциональность в модули, незаметно подгружать модули по сети и удалять их сразу после загрузки, можно серьезно подпортить жизнь реверсеру.
Приложения с расширяемой функциональностью — обыденная вещь в настольных ОС. Большинство сложных, узкоспециализированных приложений позволяют подключать дополнения в виде плагинов или скриптов. Но как с этим обстоят дела в Android, где каждое приложение замкнуто в свою собственную песочницу, а распространять «просто библиотеки» через маркет нельзя?
9 марта компания Google представила Android N — предварительный выпуск седьмой версии своей операционки. И пока все радуются многооконному режиму, новой панели быстрых настроек и развитым уведомлениям, на которые можно отвечать без запуска приложения, я бы хотел сосредоточиться на действительно важных новшествах, которые делают Android лучше как систему, а именно: улучшениях в Doze, JIT/AOT-компиляторе, новом API тайлов и движении Android на десктопы.
Ни для кого не секрет, что современные социальные сети представляют собой огромные БД, содержащие много интересной информации о частной жизни своих пользователей. Через веб-морду особо много данных не вытянешь, но ведь у каждой сети есть свой API... Давай посмотрим, как этим можно воспользоваться для поиска и сбора информации.
Выяснилось, что участившиеся в последние дни случаи взлома аккаунтов Instagram обусловлены багом в API.