קודקוד סייבר
@kodkodcyber
Followers
2K
Following
6K
Media
439
Statuses
1K
Security Researcher: Vulnerabilities in Web Applications, Cloud, AI | Threat Intelligence | Malware Analysis | OSINT
Petah Tikva, Israel
Joined November 2019
הרכישה המדהימה של Wiz ב32 מיליארד דולר שוטפת את הפיד ביחס לפן הכלכלי שלה, אבל בואו נדבר קצת תכל'ס: מה Wiz בכלל עושה שאחרות לא עשו לפני, למה פתרון הסייבר שלה הוא כל-כך מהפכני, עד כמה הפוטנציאל שלה מטורף ולמה הגאונות היא בפשטות. בואו לשרשור קצרצר 🧵 >>
25
15
671
אפרופו הפריצה לחשבון הטלגרם של רה"מ לשעבר בנט, כדאי לזכור ולהתגונן מאחת השיטות האפקטיביות לפריצה לטלגרם גם כשלא לחצתם על אף לינק או מסרתם קוד כולשהו. גם פה, אימות דו שלבי הוא פתרון מעולה שיפחית את הסיכון שלכם להיפגע ב99%.
איגוד האינטרנט הישראלי מפרסם היום על גל חדש של גניבת חשבונות טלגרם ישראלים באמצעות השתלטות על התא קולי מרחוק (אם הסיסמא היא הדיפולטיבית, 1234). דובר על זה בעבר לא מעט בפיד, אבל זה הזמן להזכיר: אם אין לכם צורך בתא הקולי בטלו אותו ובהקדם ואם יש צורך - תוודאו שאתם מחליפים את הסיסמא
0
0
4
There is critical vulnerability in React Server Components disclosed as CVE-2025-55182 that impacts React 19 and frameworks that use it. A fix has been published in React versions 19.0.1, 19.1.2, and 19.2.1. We recommend upgrading immediately. https://t.co/kue7kd0XEX
react.dev
The library for web and native user interfaces
153
1K
4K
אחרי הפסקה ארוכה מאד, חוזר לפעילות מלאה כאן בפרופיל 🙌 וכמובן, אין כמו לחזור עם פוסט חדש בבלוג והפעם על מבוא לחולשות אבטחה בסביבות מבוססות Docker. בפוסט אני מפרט מושגים בסיסיים חשובים ומתייחס לסיכוני האבטחה הבולטים ב-Docker. הלינק בתגובה הראשונה 👇
1
0
3
פוסט חדש בבלוג והפעם על פרוטוקול OAuth2, אחד הפרוטוקולים הנפוצים ביותר לביצוע אימות והרשאה. בפוסט אני מתייחס לצורות המימוש הנפוצות של הפרוטוקול ולחולשות האבטחה הנפוצות שניתן לאתר כאשר הוא ממומש בצורה לא נכונה (כמו כאשר הוא מוגדר עם הגדרות ברירת המחדל).
0
0
5
🚨New Black Hat research released: Over $200k in bounties earned in just two weeks. Join the movement to kill HTTP/1.1 today ⬇️ 🔍PortSwigger’s James Kettle (@albinowax) introduces two new classes of HTTP desync attacks capable of compromising credentials on tens of millions of
1
13
95
we got a persistent 0click on ChatGPT by sharing a doc that allowed us to exfiltrate sensitive data and creds from your connectors (google drive, sharepoint, ..) + chat history + future conversations it gets worse. we deploy a memory implant #DEFCON #BHUSA @tamirishaysh
21
196
823
הפגיעויות מנוצלות באופן פעיל על ידי תוקפים מדינתיים, בפרט כאלו המזוהים עם סין ובמקביל קיימים לה כבר POC זמינים לניצול ב-GitHub וברחבי הרשת.
1
0
5
שלב זה, של יצירת ה-ViewState המזויף קיבל את המזהה CVE‑2025‑53770. שרשרת החולשות הזו קיבלה את השם "ToolShell" והיא למעשה "ווריאנטים" של החולשות CVE‑2025‑49704 ו‑CVE‑2025‑49706, שאותרו קודם לכן במסגרת תחרות Pwn2Own על-ידי @_l0gg. מהי "Pwn2Own"? 👇 >> https://t.co/s2JsVCx8bu
כנס ההאקרים השנתי Pwn2Own בהובלת @thezdi התקיים בשבוע שעבר באירלנד ובמסגרתו חולקו למעלה ממיליון דולר לחוקרי אבטחה שמצאו מגוון חולשות במכשירים מסוגים שונים. החוקרים הצליחו לזהות מעל ל-70 פרצות אבטחה שונות במגוון מכשירים ומוצרים ולשלשל לכיסם (במשותף) כ-1,066,625 דולר. >>
1
0
6
1. לייצר ViewState מזויף עם payload זדוני בתוך אובייקט סריאליזציה. 2. לחתום עליו בצורה חוקית, כך שהשרת יאמין שמדובר בבקשה לגיטימית. 3. לשלוח אותו לשרת דרך בקשת POST לדוגמא לטופס כלשהו. 4. השרת יבצע דה-סראליזציה ל-Payload, יריץ את הפקודה הזדונית ויחזיר את הפלט למשתמש. >>
1
0
4
השרת, בתורו, מאמת את תקינותם באמצעות חתימה דיגיטלית שמבוססת על ה-MachineKey ומפענח את התוכן אשר מוצפן בתוכם. ברגע שלתוקף יש גישה ל-MachineKey (ValidationKey ו-DecryptionKey), הוא יכול: >>
1
0
5
במערכת כמו ASP[.]NET, ה-MachineKey הוא סט של מפתחות קריפטוגרפיים אשר משמשים לחתימה והצפנה של אובייקטים רגישים. אובייקטים אלו (כגון VIEWSTATE) נשלחים כחלק מבקשות רגילות מהדפדפן לשרת ומכילים מידע על מצב הטופס או המשתמש. >>
1
0
4
בשלב הבא התוקף נפרד לשלום מה-webshell שגלוי הרבה יותר למערכות הגנה ועובר להרצת קוד באמצעות בקשות HTTP פשוטות: התוקף משתמש ב-webshell כדי לשלוף את מפתחות ההצפנה הקריפטוגרפיים של השרת, ה-MachineKey, מתוך קובץ הקונפיגורציה web[.]config. >>
1
0
6
בשלב השני בשרשרת, התוקף מנצל את ההרשאות לבצע העלאה של קובץ aspx זדוני (שכמובן ירוץ בצד השרת) אל תוך ספריית LAYOUTS - ספרייה בה SharePoint שומר את קבצי השרת של ממשק המשתמש וניתן לגשת אליה כמובן באמצעות הדפדפן. בדרך זו מעלה התוקף webshell ומקבל גישה מלאה להרצת פקודות בשרת. >>*
1
0
7
מכיוון שהשרת בוחן את ה-Refererr בלבד, הוא מסתכל על הבקשה ככזו שהגיעה ממשק פנימי ונותן לשולח הבקשה לקבל הרשאות מנהל ולבצע פעולות עריכה או העלאה, מבלי שהוא מבצע אימות שיש לו אכן הרשאות בשביל כך. חולשה זו קיבלה את המזהה CVE‑2025‑53771. >>
1
0
6
החולשה הראשונה בשרשרת היא עקיפת אימות (Authentication Bypass) דרך נקודת הקצה: /_layouts/15/ToolPane[.]aspx?DisplayMode=Edit. במקום ש-SharePoint ידרוש משתמש מאומת או הרשאות מתאימות, התוקף שולח בקשת POST רגילה עם Referer Header מזויף שמצביע ל-/_layouts/SignOut.aspx. >>
1
0
7
קהילת ה-Security התעסקה בשבוע האחרון ב-0day משמעותי שהתגלה ב-SharePoint, פלטפורמת Microsoft לניהול מידע ארגוני ואפשרה לעקוף הרשאות ולהריץ קבצים זדוניים ופקודות. הפגיעות מסוג Vulnerability Chain (שרשור של מספר חולשות) סווגה כקריטית עם דירוג חומרה CVSS של 9.8 מתוך 10. >>
1
1
22
פוסט חדש בבלוג והפעם, חלק ב' של ואחרון לעת-עתה של סדרת הפוסטים אשר עוסקת ב-"מבוא למחקר חולשות בעולמות ה-GenAI" בפוסט אני ממשיך לדבר על ה-OWASP Top 10 For LLMs וגם מתייחס לסיכוני האבטחה בעולמות ה-AI Agent ומתקפות אדברסריות בתחומי ה-Computer Vision. הלינק לפוסט בתגובה הראשונה 👇
1
0
10
איך מתגוננים? כמו במה שקשור להתגוננות מ-CSRF, הקפידו לא לסמוך על ה-Cookie בלבד, אלא תמיד להשתמש ב-Token כמו JWT. הקפידו תמיד להשתמש ב-SameSite במצב Strict או לכל הפחות Lax (בעבר SameSite לא היה משפיע על בקשות WS, אך בשנתיים האחרונות זה השתנה), וודאו Origin בצד השרת וכן הלאה.
0
0
4