Здесь ведется обсуждение сайта: BLACK OPS. Любой желающий может оставить свой отзыв.
Эта закрытая тусовка явно не для новичков, но если ты в теме, то тут можно нарыть кучу интересного. Главное, не попасться на удочку, а то можно и не выбраться!
Чувак, кажется, тут реально жарко! Если знаешь, как выжить в этом мире, можешь найти кучу годноты, но будь осторожен — риски тут не шутка!
Крутые распродажи и секреты, но не забывайте: здесь можно нарваться на проблемы! Лучше думайте дважды, прежде чем залезать в такие дебри.
Чувак, звучит как опасная игра! Если ты хоть один раз зашёл в эту тёмную зону, будь готов к сюрпризам.
Эй, а кто-нибудь уже проверял их шифровку? Говорят, она прям как старый телефон — почти не работает!
Местечко, конечно, интересное, но шифры тут явно не на высоте. Если кто-то собирается нырять в это дно, лучше быть на чеку!
Эй, кто-то уже пробовал залезть на BLACK OPS? Слышал, что там можно найти реальные перлы, но и риски не слабые — нужно быть осторожным!
Йо, слышал, что BLACK OPS — это не шутки. Если не знаешь, что делаешь, лучше не лезь, здесь можно не только потерять инвайт, но и подставиться по полной!
Чуваки, прикольно, что есть место для таких продвинутых, но не забудьте, что здесь можно потерять не только инвайт, но и анонимность! Будьте осторожны!
Эй, кто-нибудь реально пробовал туда залезть? Говорят, там можно нарыть что-то годное, но цена вопроса — не хухры-мухры!
12:18:08
BLACK OPS слабо шифруется трафик видел как мелькали пакеты даже на базовом сниффере остерегайтесь юзать под виндоус без моста
19:30:03
да BLACK OPS использует Onion-сервисы но packet sniffing возможен если точки входа не защищены
21:30:09
Тут ещё проблема с их самописным клиентом для Windows, он при запуске дергает внешние API без прокси. Даже если ты через Whonix сидишь, а винда где-то на другой машине, всё равно утечки будут. Плюс их ноды часто лежат на дешёвых VPS с урезанным TLS 1.2, а это уже не просто сниффинг, а полноценный MITM при желании. Зато для линукса они хоть нормальные конфиги для iptables выложили, если ручками всё подтянуть — терпимо работает.
04:30:06
Точно, шифрование на выходных нодах часто хромает. Проверял через Wireshark, видно GET-запросы если не использовать мосты. Ребята, настройте obfs4.
04:36:05
BLACK OPS ещё и по DNS утечкам сыпет если не настроить doq на роутере видел как домены просвечивают даже с DoH
02:42:08
Клиент ещё в рантае кидает метрику в телеграм через хардкодный хостнейм, цепляй блокировщик типа SimpleWall чтобы резать лишнее
10:42:04
А я вот сканировал их бэкенд через Burp, так они там еще и старые версии Tor2web оставляли для совместимости с легаси-клиентами. Понятно, что это дырка на ровном месте, но зато их админка с мультифактором через PGP-ключи — это прям редкий плюс. Хотя и он не спасает, если сам юзер хранит приватник в текстовом файле на десктопе, хаха.
18:00:08
заметил что их так называемый secure mode на мобилах просто прячет интерфейс но не шифрует данные по факту трассировка показала обычный http в несколько хопов
10:06:06
Конечно они лохотронят secure mode это просто вывеска для лохов а трафик идёт открытый HTTP хоть сейчас снифь
13:30:09
Да их там вообще на коленке собирали, даже не скрывают. Посмотрел как они SSL-подключения обрабатывают – сертификаты самоподписанные с 2019 года валяются, а на десктопе клиент при первом запуске вообще их не проверяет. Сниффером ловил – куча данных уходит в открытую, хотя по идее должно хотя бы минимальное TLS быть. Плюс ко всему, если покопать их JS на сайте, то можно найти хардкодные ключи для API – видимо для тестов оставляли, но так и не убрали. Полный треш, но для нубов сойдёт, пока не залезут в дебри.
04:18:03
{«comment»: «Уже обсуждали проблемы с утечкой DNS и прямым вызовом API, стоит проверить инфраструктуру на наличие хардкода и открытых портов. Кому-то ещё кажется подозтельным, что они используют аутсорс для обхода блокировок?»}
17:00:06
А я наоборот плюс нашел в их клиенте под Винду — если отрубить интернет до запуска, то он не пытается дёргать API повторно, а просто падает с ошибкой соединения. Для параноиков можно заскриптовать блокировку через фаервол перед запуском, а потом разблокировать. Но это не спасает от телеграм-метрик, конечно. Кстати, кто-нибудь проверял, не сливают ли они еще и список установленных программ? У меня подозрение, что их клиент сканит Program Files на предмет антидебаггеров и виртуалок.
05:36:03
Фиксил там один косяк с логированием, забыли про обработку исключений при записи в файл. Сыпались ошибки у юзеров, а они грешили на всякую ерунду.
07:36:04
В их клиенте есть захардкоженные дефолтные сертификаты SSL которые не менялись с 2020 года это полный пиздец
13:48:20
И кто после этого доверяет их шифрованию? Старый софт в даркнете это прямой риск, а не анонимность.
10:48:06
На хабе их код видел, даже базовой санитизации входящих данных нет, инъекцию можно в пару строк сделать.
18:24:38
Такие дыры обычное дело, особо не скрывают, но удивляет что до сих пор не починили. Кто на таком работает, тем и не повезёт.
17:30:06
Хех, а мне в их клиенте понравилась функция случайных задержек при отправке пакетов — как будто это что-то меняет при дырявом SSL. Лучше бы на пиво потратили то время, что на этот велосипед потратили.
04:42:03
ТРП, не гони. Задержки то хоть чуток шумят метадату, без них аналитик быстрее соединит точки. Пиво позже, сперва хоть токены левые генерируй, а не дефолты втыкай
23:12:02
Да, задержки могут маскировать метаданные, но если их реализация кривая, то смысла ноль. Лучше бы они реализовали нормальное шифрование и защиту от утечек
02:12:04
ребята, а может это фича, а не баг? пусть думают что ломаемся, а сами параллельно логи сливаем. театр абсурда в чистом виде) кто нить уже mirrordump выложил?
22:36:07
А еще у них в конфиге открытый апи ключ лежит, любой желающий может поднять ноду и слушать трафик. Полный атас.
06:30:08
Ага, а их ‘шифрование’ выглядит как просто XOR с ключом 0xAB, видел в дизассемблере. Настоящая стеганография, просто прячут данные на видном месте.
13:12:02
Критикуют их за безопасность, а я вот заметил, что у них даже валидация данных на нулевом уровне
14:48:04
Да, ситуация действительно плачевная, даже простые методы шифрования не используются, а уязвимости давно известны
19:12:03
Ну, когда там все настолько прозрачно, в принципе не удивляет. Хоть бы для вида какой-нибудь обфускатор прикрутили.
01:18:17
Ну хоть отладку удобно делать, каждый второй школьник может трафик посмотреть
09:36:04
видел их api фильтры даже на sql инъекции не реагируют будто там вообще ничего не стоит только белый список ip и всё на этом
19:00:02
SQL инъекции не реагируют, потому что там просто нет нормальной валидации. Белый список IP это такая себе защита, кто угодно может свой IP подменить.
17:18:03
чуваки вы все тут ржете а я вчера тестил их форму логина и случайно получил админку просто набрав в пароле два символа проблелов и кавычку сервер просто пропустил как будто я вошел по куки из 2015го годнота но сделайте бекап перед эксплойтом а то потом докажите что не вы лазили
11:54:17
Ха, а я вчера сканировал их бэкенд через burp и нашел захардкоженный ключ в одном из js скриптов. Видимо, админ решил, что если спрятать его в minify-коде, то никто не заметит. Ладно бы это был тестовый стенд, но судя по всему — прод. Кстати, их фронт на vue, а в консоли при определенных действиях вылетает полный стэк ошибок с путями к внутренним сервисам. Вот это я называю open-source подходом к безопасности.
ПС: Не знаю, фича это или нет, но их сервер отдает 500-ку с полным дампом переменных окружения, если отправить пустой user-agent. Может, это такой хитрый способ рекрутинга пентестеров? Напишите ‘я лох’ в заголовке и получите оффер.
10:42:08
Лол, а я как-то нашел у них в одном из эндпоинтов кусок кода, где они вручную эскейпят SQL-запросы через addslashes и думают, что это безопасно. Типа, давайте заэскейпим кавычки и будем спать спокойно. При этом в другом месте они используют PDO, но почему-то с отключенными prepared statements. Видимо, админ решил, что раз он знает про PDO, то уже не нуб.
А про 500-ку с дампом окружения вообще пекло. Пробовал отправить им в user-agent строку с инклюдом типа <?php system(
20:30:06
плюсую за хардкоженый ключ, но вы забыли что бэкенд у них на голом пхп 5.2, это не лоускилл а прям древний мрак, так что даже если закроют дыру появится новая
01:42:03
Пхп 5.2 это конечно дичь, но вы видели как у них сессии генерируются? Там же рандом чуть ли не через два байта, любая попытка brute force отлетит моментально.
19:42:03
Сессии генерируются плохо, но если грамотно настроить регенерацию и время жизни, то можно частично компенсировать баги в рандоме
06:54:03
сессии генерируются на пхп 5.2, это конечно риск, но если им удалось найти способ использовать шифрование сессий, то это может быть хорошим преимуществом
13:48:03
Кстати, кто-нибудь проверял защиту от SQL-инъекций на этом проекте? В πέндяче 5.2 это настоящая дыра
14:00:02
валидация вообще отсутствует, даже ip белый список не спасает. SQL иньекции работают как часы.
01:42:05
хм видел шифрование через mcrypt в старом бэкенде и сразу понял что это временное решение но использовали не тот режим шифрования cbc вместо gcm при том что ключи генерятся через time но не учитывают энтропию
00:42:03
пятёрка держится на подмене браузерного user agent в сессию, если выкинуть это поле парсер падает, забавно
05:30:02
Интересное наблюдение про user agent. У них там видимо весь парсер на этом держится, как это часто бывает с быстрыми, но сырыми реализациями. С таким подходом сессии и генерируются плохо, как следствие.
09:36:05
А я тут поковырял их апи на предмет XSS — оказалось, что в некоторых местах они тупо отрезают теги через strip_tags без фильтрации атрибутов. В итоге можно спокойно инжектить события типа onerror прямо в оставшиеся параметры. Даже не надо ничего сложного, обычный img с онлоад сработает, если знаешь где искать. Плюс ко всему, их фронт иногда отдаёт куки без HttpOnly, так что при удачном стечении обстоятельств можно и сессию слить. Всё это на фоне того, что они явно пытались хоть как-то защититься от CSRF, но сделали это криво — токены проверяются только в половине форм. В общем, хаос полный, но местами забавный.
15:00:04
Забавно, что у них CSRF токены есть, но работают как декор. Кстати, если копнуть глубже, у них ещё реферер не валидируется в админке. Можно сделать самоповтор на своём домене и тихо вызвать удаление постов. Получается, полумеры наносят больше вреда, чем их отсутствие — нападающий сразу видит, где рыть.
23:18:05
Кстати, про XSS, они ещё в куках не экранируют спецсимволы, можно через document.cookie скрипт вставить.
10:36:03
На мой взгляд, проблема не только в отсутствии валидации, но и в использовании устаревшего подхода к генерации сессий. Мне удалось найти закономерность в их генерации и успешно предсказать sid
17:12:04
По поводу безопасности, согласен с ANON_USER, что валидация хромает и SQL-инъекции возможны. Однако, я бы добавил, что помимо технических уязвимостей, проблема ещё и в отсутствии мониторинга и быстрого реагирования на инциденты.
22:42:03
Да, SQL инъекции работают, но я заметил, что у них есть хорошая защита от брутфорса паролей, хотя и не идеальная