Okay let's talk #WednesdayWin. Please share your stories no matter how big or small. Our community: #InfoSec #CyberSec needs to hear some positive stories. All accomplishments count.

For me: 11 years in Open Source #OpenSource

According to LinkedIn I've been working in/on Open Source for 11 years. I suspect that's on the low side, between ZAP and OWASP, but whatever.

#DAST #AppSec #WebAppSec

Huge thanks to Checkmarx for making possible for me to work on it full time as of last fall. It's been just over 200 days, and it's wonderful!

The @zaproxy team did some stuff in March 😎 You can get the details here:

https://www.zaproxy.org/blog/2025-04-02-zap-updates-march-2025/

#DAST #AppSec #WebAppSec #DevSecOps

malicious npm packages (again) targeting cryptocurrency projects, CEOs cranky over CVEs, and BlackLock gets pantsed - here's your Friday wrap up in Infosec News 👇

🔗 https://opalsec.io/daily-news-update-friday-march-28-2025-australia-melbourne/

Here's a quick rundown of what's inside:

📦 npm Package Nightmare: 10 packages compromised by an infostealer campaign targeting developer environments. Sensitive data was siphoned off to a remote host. Most of the packages are still available on npm, so be careful!
🦊 Firefox Flaw: A critical sandbox escape vulnerability (CVE-2025-2857) patched in Firefox 136.0.4. Windows users, update ASAP! This one's similar to a Chrome zero-day used in espionage campaigns.
🏥 Ransomware Reckoning: Advanced, a UK healthcare IT provider, slapped with a £3.1 million fine after a LockBit ransomware attack. Lack of vulnerability scanning and poor patch management were key factors.
🌐 Extension Exploitation: Browser extensions can be bought and repurposed, posing a sneaky threat to enterprises. An extension was bought for $50 and was quickly repurposed to redirect traffic.
⚡ Solar Scare: Dozens of vulnerabilities in solar inverters could let attackers disrupt power grids. Remote code execution, device takeover, and more are possible.
😠 CrushFTP Clash: CEO responds aggressively to VulnCheck after critical unauthenticated access vulnerability (CVE-2025-2825) is released. Vulnerability disclosure and patching processes need to be improved!
🕵️‍♀️ Pegasus in Serbia: Journalists targeted with Pegasus spyware, marking the third time in two years that Amnesty has found Pegasus deployed against Serbian civil society.
🤖 Mamont Malware: Russian authorities arrest three for developing the Mamont Android banking trojan. This malware steals financial data and spreads through Telegram.
🦹 Ransomware Reverse: Resecurity infiltrates the BlackLock ransomware gang, gathering intel to help victims. LFI vulnerability exploited, and data shared with authorities.

Stay vigilant out there, folks! 🛡️

#Cybersecurity #InfoSec #Vulnerability #Ransomware #Malware #npm #Firefox #Pegasus #SolarInverters #DataBreach #ThreatIntel #CyberThreats #SecurityNews #WebAppSec #ZeroDay #PatchManagement #infostealer #blacklock #crushftp #mamont

📰 @zaproxy ⚡ release 2.16.1 just landed: https://www.zaproxy.org/blog/2025-03-25-zap-2-16-1/

#AppSec #WebAppSec #BugBountyTips #PenTest #DevSecOps

Giant set of #zaproxy add-on releases this morning. Including many fixes and improvements.

#DAST #AppSec #DevSecOps #WebAppSec #RedTeam #WebAppSec

#WednesdayWin I had a PR merged this morning which means none of ZAP's core scan rules (active and passive) any longer use CWE-200 which is not supposed to be mapped 🥳🎉

#AppSec #WebAppSec #standards #DevSecOps #PenTest #Redteam #PurpleTeam

How have you WON this week?!?!

ХАКЕРИ ФСБ ВИКОРИСТОВУЮТЬ WHATSAPP ДЛЯ АТАК НА УКРАЇНЦІВ

Дослідники повідомили, що російська державна хакерська група Star Blizzard нещодавно намагалася скомпрометувати облікові записи WhatsApp некомерційних організацій, які допомагають Україні.

Починаючи з середини листопада, хакери запустили кампанію з надсилання фішингових повідомлень, які видавали себе за урядовців США, пропонуючи одержувачам запрошення приєднатися до групи WhatsApp для некомерційних організацій, які підтримували Україну під час війни. Хоча дослідники не сказали, де саме розташовані організації, фейкова група WhatsApp називалася «Група американсько-українських неурядових організацій».

Як і під час попередніх атак, Star Blizzard спочатку зв’язалася зі своїми цілями електронною поштою, а потім надіслала друге повідомлення зі шкідливим посиланням.

Посилання направляло жертв на веб-сторінку, яка пропонувала їм сканувати QR-код, щоб приєднатися до групи. Насправді QR-код мав на меті зв’язати обліковий запис жертви з пристроєм, яким керують зловмисники, дозволяючи їм отримувати доступ і викрадати повідомлення жертви за допомогою законних плагінів браузера.

Вважається, що Star Blizzard також відстежена як Callisto Group і пов’язана з Федеральною службою безпеки Росії (ФСБ).

https://therecord.media/russia-star-blizzard-whatsapp-ukraine

#whatsapp #кібербезпека #messenger #messengers #webappsec #infosec #cybersecurity #intelligence #nationalsecurity

According to my VM update this morning @zaproxy 2.16.0 is now available on @kalilinux
#DAST #PenTest #WebAppSec #AppSec #RedTeam #PurpleTeam

#WebAppSec #AppSec #DAST #PenTest #PurpleTeam #DevSecOps #zaproxy

УКРАЇНЦІВ МАСОВО ЗЛАМУЮТЬ В TELEGRAM

За останній тиждень до мене двічі зверталися люди з проханням відновити їм доступ в Telegram. На жаль, я не чарівник, щоби за змахом чарівної палички робити дива.

Для розслідування мені потрібні факти - скріншоти, дати, записи, логи, яких зазвичай ніхто не має.

За моїми спостереженнями, з вересня-жовтня пішла ціла хвиля атак на український сегмент Telegram. Масово зламуються облікові записи, навіть з багатофакторною автентифікацією (!).

Відповідальність за це, на мою думку, повністю на плечах нинішньої безтолкової та інфантильної влади. Яка ще на початку війни замість того щоб відмовитися від Телеграму як російського шпигунського додатка, усіляко популяризувала, пропихала і заохочувала його! У мене збереглися штук 100 SMS від Кіберполіції з посиланнями приєднуватися на їх Telegram-групи.. А зараз вони лише розводять руками, через що люди змушені шукати хакера, щоб я їм допомагав на волонтерських засадах! Хоча, я не силовик і не маю таких повноважень.... Та й такі інциденти в умовах ВОЄННОГО СТАНУ прирівнюються до диверсії! Але замість того, щоб ЗАХИЩАТИ, вони відловлюють по вулицям мирних громадян, створюючи в країні додаткову напругу і небезпеку! Й правду старі оперативники говорять, що там залишились одні лиш ухилянти і профнепридатні..

Я часто нагадував: будьте обережні - в Telegram чимало критичних вразливостей, про які вже давно ніхто нікому не повідомляє... Їх експлуатують в темну. І в цьому винен у першу чергу сам нарцис Дуров, який наплювательськи відносився до Bug-хантерів, часто-густо ігноруючи їх повідомлення або виплачуючи мізерні кошти...

Повторюю ще раз, почуйте мене:

1. Telegram не можна використовувати як платформу для ведення особистої або корпоративної комунікації. Для цього існують спеціалізовані захищені платформи. На моє здивування, досі в Україні є ІТ-компанії, які використовують Telegram як CRM-систему!! ((DATAGROUP VOLIA і MWDN)).

2. Ніякого шифрування в Telegram не існує! Інакше він би не працював з такою швидкістю!! Стійке шифрування накладає свій відпечаток... Тому, всі розмови про захищеність і конфіденційність Telegram - це маркетингова обгортка, не більше. Подумайте самі - сервери зберігають ключі шифрування!! Це вже є серйозним порушенням криптографії! Ніхто крім власника немає мати доступу до приватних ключів. До речі, в інфраструктурі Telegram осінтерами були помічені сервери з російським IP...

3. На Росії давним-давно Telegram API використовують як базу для проведення різноманітних атак і операцій. І це ні для кого не секрет. Дивно, що українців це майже не бентежить і не турбує! Головне - там "зручно"!

4. Отже, враховуючи усе вищесказане, Telegram можна використовувати лише як НОВИННУ СТРІЧКУ, і баста!

І ще: Не зберігайте ніколи свої паролі в браузері - встановіть нарешті менеджер паролей KeepassXC і використовуйте його як базу даних! (https://keepassxc.org)

Також наполегливо рекомендую ознайомитись з моїм довідково-аналітичним матеріалом про Telegram, який вже потрапив у ЗМІ і почав потроху набирати перегляди:

https://kr-labs.com.ua/blog/bezpeka-i-anonimnist-v-telegram/

#telegram #cybersecurity #cybercrime #attacks #RussianAttacks #RussiaUkraine #RussiaIsATerroristState #телеграм #кібербезпека #безпека #webappsec #appsec #opsec

ARCHIVE.ORG ЗЛАМАНО!

Вебархів "The Wayback Machine" (Archive.org) зламали. В результаті стався масштабний витік інформації. Конфіденційні дані 31 млн користувачів, які були там зареєстровані, вже продають на тіньових форумах. Витік зареєстрували у базі HaveIBeenPwned (HIBP). Компрометовані такі дані як: Email addresses, Passwords, Usernames. Як зазначає Трой Хант, засновник HIBP, зловмисник виклав SQL-базу даних розміром 6,4 Гб. Остання позначка часу на викрадених записах – 28 вересня 2024 року.

Як зазначають відвідувачі сайту web.archive.org, у день атаки вони бачили спливаюче вікно JavaScript з текстом: «Ви коли-небудь відчували, що Інтернет-архів працює на палицях і постійно перебуває на межі катастрофічного порушення безпеки? Це просто трапилося. Побачте 31 мільйон із вас на HIBP!».

Також повідомляється, що напередодні Інтернет-Архів зазнав DDOS-атаки, за якою нібито стоїть проарабське угрупування sn_blackmeta.

В інтернеті користувачі діляться різноманітними версіями кому було вигідно завалити Вебархів. Дехто зазначає, що уряди і корпорації роками переслідували їх за «порушення авторських прав».

"Хтось, хто не хоче, щоб ми поверталися в минуле й знаходили незручні видалені повідомлення чи дописи", - припускає один із дописувачів порталу BleepingComputer.

#webarchive #hacked #webappsec #infosec #cybercrime #security #cybersec #cybersecurity #кібербезпека #archive #databreach #leaks

Get the latest on @zaproxy's future from @psiinon & Ori Bendet via @scmagazine and Application Security Weekly podcast

#AppSec #WebAppSec #DAST #PenTesting #DevSecOps #RedTeam

https://www.scworld.com/podcast-segment/13268-the-future-of-zed-attack-proxy-simon-bennetts-ori-bendet-asw-302

The first season of my #podcast "Bitcoin Security Maps" is complete!

https://www.youtube.com/watch?v=G5ljwXSH6Vc

It's a junior level enterprise with thirty episodes of transcendental InfoSec foundations from the #civilian #intelligence realm. This includes some basic #Recon in the #WebAppSec Testing series. And a full #InfoSec Philosophy and Theory series with a unique sequence and a final conclusion: a new human communications #protocol.

I enjoyed creating this because it combines all my professional passions: writing, computing, security, filmmaking, digital arts, intelligence, business, health, metaphysics, people, psychology, art, money, and even music - I played the theme beats live!

The whole production was out of pocket and produced by myself. This includes a couple years of learning, practice, organization and note making. Read the notes in the descriptions.

Episodes are recorded live in one take and the audio is recorded seperately at the same time. Watch it on youtube, and when this is censored, continue to tune in over the Nostr protocol.

It's important for me to have a strong knowledgebase in the direction of ongoing #national #security #disclosures, hence this overall approach with a value-for-value RSS setup.

The best parts will begin in the upcoming second season. These will feature very precise mappings of #bitcoin #security in relation to #electrical and #economic #energy.

See you at the meetups!

#bugbounty #aspie #appsec

Local Intelligence Series: Wrocław - Update (Mid Summer 2024)
https://www.youtube.com/watch?v=7MzHUwBGxLM

This is an episode about the initial mappings of how the city of Wrocław works in Poland. It's about the tangible apparent system and the possible hints of the hidden matrix in its framework. By following the money and the prime industries as they interconnect human civilian daily life, it is possible to get a sense of the pulse of the networks. There is a security presence, and an ongoing development of infrastructure which maintains a general neutral sense of balance. How secure is this from any outside threats, whether physical, virtual or mental? F# around and find out! Maybe this will lead to creating a local NGO for Web App Sec wizards or a mesh of BTC LN nodes for the significant organizations supporting ecological thriving in town.

#BitcoinSecurityMaps #meshcode #BSM #MattyK #cyberpowertelenoia #theskyishigh #civilianintelligence #MindMaps
#Security #CyberSecurity #securitylies #Bitcoin #Lightning #Node #Money #Finance #Economy #BTC #hashrate #culture #intelligence #civilian

#InfoSec #Information #Technology #Computing #Software #Digital #DigitalLiteracy #System #P2P #cypherpunk #appsec #WebAppSec #Recon #Reconnaissance #Testing #EthicalHacking

#aspie #ET #elf #lightworker #magic #wizard

#attune #state #consciousness #subconscious #realm #sphere #dimension #layer #level #point #attention #beinghuman #time #freedom #privacy #anonymity #peace #justice #value #clarity #safety #alignment #coordination #disclosure #harmony #holistic #ecosystem #ecology #thriving #sacred #sustainability

Professional Refinement - Bug Bounty Hunter Certification Roadmap (2023)

https://www.youtube.com/watch?v=ONVF-3jjlOY

As a Web Application Bug Bounty Hunter it may be helpful to consider the placement of one's work on a map of possibilities. Working at a company is not the same as working freelance in this field and the positions differ greatly. Organizations primarily hire juniors on the defensive side, while it is easier for freelancers to start themselves on the junior offensive side. This in turn depends on the civilization one is from and the various existing cultures! The global knowledge base and certifications can be indicators of the quality and depth of insight which is needed in order to understand the nature of a successful Web Application Security Tester's daily life. There are many open source approaches one may take, from entry-level general quick courses to very specialized long term deeper studies.

#BitcoinSecurityMaps #meshcode #BSM #MattyK #cyberpowertelenoia #theskyishigh #civilianintelligence #MindMaps #Security #CyberSecurity #culture #intelligence #civilian #certification #professional

#InfoSec #WebAppSec #Testing #EthicalHacking #Offensive #SecurityOperations #BugBounty #Hunter #roadmap

#aspie #attune

Professional Refinement - Passing CompTIA Security+ (2023)

https://www.youtube.com/watch?v=BRQ-uILXAgU

This episode is about the author's study process for passing the foundational Cyber Security "CompTIA Security+" exam in 2023. It's all about the timeframe, study materials and the live testing approach. One book has the knowledge. Another book has the tests. An online course compliments this. Answering a couple thousand quizz questions helps. Making mind maps assists in weaving sense from the realm of computing machines which themselves are interconnected as part of their existence, so in a way this helps make the theory real, because it is founded on what is known about reality through physics.

#BitcoinSecurityMaps #meshcode #BSM #MattyK #cyberpowertelenoia #theskyishigh #civilianintelligence #MindMaps #Security #CyberSecurity #culture #intelligence #civilian #certification #professional

#InfoSec #Information #Technology #Computing #Software #Digital #DigitalLiteracy #cypherpunk #appsec #WebAppSec #Testing #EthicalHacking #BugBounty #DevSecOps #SSDLC #SecurityOperations #CompTIA

#aspie #asperger #autism #neuro #neurodiverse #nontypical #neuronontypical #neurotuypical #atypical #neuroatypical #ET #elf #lightworker #magic #wizard

#attune #state #consciousness #subconscious #realm #sphere #dimension #layer #level #point #attention #beinghuman #time #freedom #privacy #anonymity #peace #justice #value #clarity #safety #alignment #coordination #disclosure #harmony #holistic #ecosystem #ecology #thriving #sacred #sustainability

Web App Security Testing Series: RECON Foundations - INTRO

https://www.youtube.com/watch?v=T5NLyAC2XGk&list=PLKk1emxQ8GLhhRncs2Wqgp0Tp-uQJGpRA

ARTICLE:
https://medium.com/cyberpower-telenoia/web-app-sec-recon-black-box-foundations-and-ttps-4bf095b7c004

AUDIO:
https://serve.podhome.fm/episodepage/bitcoin-security-maps/web-app-security-testing-series-recon-foundations--intro
https://www.youtube.com/watch?v=T5NLyAC2XGk

This introductory episode to Recon covers foundational theory including tactics, techniques and actual command-line procedures. From manual passive indirect information gathering to automated scans and into stealth packet manipulation. Examples are given of this particular first stage of a Vulnerability Assessment in a sequential manner in order to enhance the effectiveness of mapping the attack surface of the target web application.

The amount of times my eyebrow reacts to my voice is remarkable within the first minute. Recording myself helps me continue to work on this.

#BitcoinSecurityMaps #meshcode #BSM #MattyK #cyberpowertelenoia #theskyishigh #civilianintelligence #MindMaps
#Security #CyberSecurity #WebAppSec #AppSec #Recon #Vulnerability #Risk #Assessment #Analysis #Advisory #Bitcoin #BTC #culture #intelligence #civilian

#InfoSec #Information #Technology #Computing #Software #Digital #DigitalLiteracy #System #P2P #cypherpunk #appsec #WebAppSec #Recon #Reconnaissance #Testing #EthicalHacking #BugBounty #DevSecOps #SSDLC #Pentest #SecurityOperations

#aspie #asperger #autism #neuro #neurodiverse #nontypical #neuronontypical #neurotuypical #atypical #neuroatypical #ET #elf #lightworker #magic #wizard

#attune #state #consciousness #subconscious #realm #sphere #dimension #layer #level #point #attention #beinghuman #time #freedom #privacy #anonymity #peace #justice #value #clarity #safety #alignment #coordination #disclosure #harmony #holistic #ecosystem #ecology #thriving #sacred #sustainability

Муніципалітет Амстердама забороняє державним службовцям використовувати чат Telegram на робочому телефоні. Причиною заборони є злочинне використання додатку та ризик шпигунства. Про це розповів журналіст-розслідувач Ерік Ван ден Берг в «Ochtendspits» BNR.

https://www.youtube.com/watch?v=vDh__hKhDBc

Детальніше: https://www.bnr.nl/nieuws/nieuws-politiek/10554817/gemeente-amsterdam-verbiedt-telegram-op-werktelefoons

#telegram #apps #security #cybersecurity #messengers #webappsec #infosec #телеграм

A good candidate for the Next Big Supply Chain Vector is OneTrust which seems to be a very popular service for managing cookie consent across web assets.

The integration requires loading multiple remote scripts, and the docs mention nothing about subresource integrity protection, except for this little mention in the section for an obscure feature 🥴

#OneTrust #Security #WebAppSec #CookiesOmNom

KR. Laboratories на зв'язку! 📡

Вороги на різних фронтах намагаються усіма силами нищити Україну і мучити українців.
Але ми - unbroken, ми - незламні.
Ми - продовжуємо протистояти і працювати у звичному темпі! ⚡🇺🇦

Традиційно, ділимося з вами результатами проробленої роботи. Сьогодні мова піде про таку проблему як - ВІРУСИ.

Українські сайти масово атакують зловмисники, експлуатуючи діри безпеки та вразливості різного штибу в CMS, заливаючи на них трояни, експлойти, бекдори. Одним словом “віруси”. Ця проблема має масовий характер. Увесь український фріланс забитий завданнями “Видалити вірус”, “Знайти вірус”, “Лікування вірусів на сайті” і т.д. Класичні антивірусні сканери не допомагають – вони не бачать вірусів, тому що шкідливий код вправно кодується в base64 або іншими методами обфускації. Хостинг-провайдери як правило нічого не роблять задля поліпшення безпеки, а лише перекладають вину на самих власників. Ну а власники сайтів і користувачі не завжди помічають зловмисну дію й не знають що робити, адже як правило такі віруси працюють за відповідним алгоритмом і спрацьовують при певному сценарії для певної категорії відвідувачів. За останній місяць ми успішно виявили десятки веб-вірусів та полікували сайти на різних CMS, а тому хочемо поділитися загальними рекомендаціями і алгоритмом роботи.

У нашому матеріалі ви знайдете відповіді на всі питання:

— Типи веб-вірусів: приклади, відео та методи дії
— Як віруси проникають на сайт: механізми та методи зараження
— Симптоми зараження веб-сайту вірусом: що шукати і як розпізнати
— Наслідки вірусів на сайті: від втрати даних до репутаційних ризиків
— Цілі веб-вірусів: навіщо хакери заражають ваш сайт?
— Перша допомога при виявленні вірусу на сайті: що робити негайно
— Як швидко знайти вірус на сайті: покрокова інструкція, підказки, паттерни вірусів, команди пошуку find і grep.
— Додаткові інструменти для виявлення та знешкодження веб-вірусів: утиліти, додатки, сервіси.
— Найпоширеніші веб-віруси: перелік та характеристики.
— Рекомендації щодо захисту сайтів від вірусів: практичні поради та стратегії.
— Використані джерела та корисні посилання для боротьби з веб-вірусами.

Посилання на матеріал: https://kr-labs.com.ua/blog/yak-vyyavyty-ta-vydalyty-virus-na-sajti-algorytm-i-metodyka-roboty/

🛡️🪄 Кібер-знахарі KR.Laboratories стоять на сторожі УАРНЕТУ 24/7 й завжди до ваших послуг!
👉 Замовити лікування і очищення сайту можна за посиланням:
https://kr-labs.com.ua/service/cybersecurity/likuvannya-i-ochyshhennya-sajtiv-vid-virusiv/

#malware #cybersecurity #кібербезпека #віруси #wordpress #webappsec #antivirus #security #itsecurity #tech #technology #protect #defender #hacks #захист