«Hack Me на TryHackMe», или Небезопасное изучение инфобеза на известной платформе

Все блоги / Про интернет 15 июня 2021 169

Привет, Хабрчане. Сегодня мы поговорим об одной проблеме, которую обнаружил мой хороший знакомый Иван Глинкин.

Это очень серьезный косяк с безопасностью платформы для обучения пентесту TryHackMe. Заключается он в том, что виртуальные стенды видят абсолютно все в сети, и их можно использовать для атаки на пользователей сервиса.

Когда мы подключаемся по VPN к платформе, мы не можем взаимодействовать с другими хостами в сети, кроме самих виртуальных машин для взлома. Верно? Верно!

Ну, а что по поводу самих виртуальных стендов? Они-то, наверное, тоже не могут взаимодействовать с кем попало? А вот и нет! Виртуальный стенд, как оказалось, видит всех и вся в сети ...

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Альтернативы VirtualBox для любителей приватности и свободы. Гипервизоры и менеджеры виртуальных машин. Часть I

Приветствую читателей. Меня зовут Андреас, давно веду видеоблог (SunAndreas) на темы гражданской информационной безопасности и сегодня о том, какими гипервизорами и менеджерами виртуальных машин лучше пользоваться особым любителям приватности и свободы. Если вы не знакомы с иными материалами моего

подробнее »

3 января 2021

DRAMA: Новая атака позволяет похищать данные из не подключенных к сети виртуальных машин

На проходившей с 1 по 4 ноября в Лондоне конференции Black Hat Europe австрийские исследователи представили новую атаку, использующую особенности реализации взаимодействия CPU с DRAM. Метод позволяет злоумышленникам с помощью JavaScript красть чувствительную информацию прямо из виртуальных машин.

подробнее »

10 ноября 2016

Vulnhub. Прохождение Sunset: 1

HackTheBox — популярная площадка среди специалистов информационной безопасности, проводящих тестирование на проникновение. Однако существуют не менее интересные CTF площадки для проверки и тренировки своих навыков, которые подойдут как начинающим, так и опытным пентестерам. Одной из таких площадок

подробнее »

30 ноября 2020

[Перевод] Лучшие VPN-решения для пользователей Linux

Если вы выходите в интернет со своего Linux-ноутбука, вам стоит знать об особенностях виртуальных частных сетей (Virtual Private Network, VPN). Эта технология особенно актуальна для тех, кто подключается к Сети через точки доступа, расположенные в общественных местах, однако, во многих ситуациях

подробнее »

24 ноября 2017

Типичные проблемы с безопасностью корпоративной сети, которые удается обнаружить с помощью Check Point Security CheckUP

Все персонажи вымышлены, все совпадения с реальными компаниями абсолютно случайны! Какие проблемы с безопасностью корпоративной сети чаще всего встречаются? Ответ на этот вопрос не такой простой. Но мы можем поделиться некоторой статистикой, которую мы получили проводя аудиты безопасности сети с

подробнее »

19 октября 2018

Провайдер, поставь мой антивирус на VDI

Среди наших клиентов есть компании, которые используют решения Kaspersky как корпоративный стандарт и самостоятельно управляют антивирусной защитой. Казалось бы, им не очень подходит сервис виртуальных рабочих столов, в котором за антивирусом следит провайдер. Сегодня покажу, как заказчики могут

подробнее »

15 октября 2020