Life-Hack - Хакер

25 Aug 2025 15:16

Никаких игр, только хакинг — как я заработал $3000 на TikTok Bug Bounty

#статья #bugbounty #перевод

Это была очередная обыкновенная ночь. Мой друг попросил меня зайти поиграть в Valorant — типичный вечерний ритуал. Но по какой-то причине я отказался. Вместо этого я запустил Burp Suite и начал искать баги (мое лучшее решение когда-либо, потому что в ту ночь я нашел три бага в TikTok, которые в итоге принесли мне $3,000).

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

24 Aug 2025 16:21

🙌🙌🙌🙌

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Бесплатный инструмент на основе ИИ для полнотекстового перевода PDF-документов
3. Безопасность с Astra Linux: ресурсы для специалиста ИБ
4. Онлайн-инструмент с искусственным интеллектом, который помогает создавать поисковые запросы (Google Dorks) для поиска уязвимостей и информации в открытом доступе
5. 10 Bash-трюков для скрытого хакинга
6. В этом отчете я делюсь историей о том, как простая страница входа привела к получению полного административного доступа
7. Инструмент предназначен для создания зашифрованного канала управления и контроля (C&C) через протокол DNS
8. Как найти данные о человеке по его ФИО⁠⁠

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг #кибербезопасность

LH | News | OSINT | AI

Life-Hack - Хакер

24 Aug 2025 10:11

Deepce

#Docker #devops #admin #pentest #полезное

Deepce (Docker Enumeration, Escalation, Privilege Container Escapes) — это мощный инструмент с открытым исходным кодом, предназначенный для анализа безопасности Docker-контейнеров. Разработанный для обнаружения уязвимостей, ошибок конфигурации и потенциальных путей для побега из контейнеров.

Возможности:
1) Анализ конфигурации контейнеров:
• Проверка Docker Daemon на неправильно настроенные параметры.
• Обнаружение чувствительных данных, таких как переменные окружения, которые могут содержать секреты.
2) Поиск путей эскалации привилегий:
• Выявление SUID-файлов, предоставляющих доступ к хосту.
• Анализ монтирования файловых систем на предмет уязвимостей.
3) Сканирование побегов из контейнеров:
• Проверка возможности доступа к хостовой файловой системе.
• Обнаружение процессов, которые могут быть использованы для побега из контейнера.
4) Интуитивный интерфейс:
• Удобное использование через командную строку.
• Подробные отчёты с цветовым кодированием для выделения критических проблем.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

23 Aug 2025 10:11

Username Anarchy

#pentest #bruteforce #redteam

Неотъемлемый инструмент для генерации имен пользователей. Составление списка имен пользователей в процессе тестирования на проникновение является важной частью атаки password spraying. При внимательном подходе к данной задаче вы сможете без особых трудностей получить начальный доступ, распыляя несколько простых паролей на множество учетных записей, ведь в любой организации обязательно найдется любитель Qwerty или 123456.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

22 Aug 2025 10:11

CORScanner

#bugbounty #pentest #CORS

Инструмент с открытым исходным кодом, разработанный для автоматического обнаружения уязвимостей, связанных с механизмом CORS (Cross-Origin Resource Sharing). CORS — это важный механизм безопасности в веб-приложениях, но его неправильная настройка может привести к серьезным уязвимостям, таким как утечка данных и CSRF-атаки.

Возможности CORScanner:
- Обнаружение неправильно настроенных CORS
- Проверка уязвимых конфигураций заголовков (например, `Access-Control-Allow-Origin: `)
- Поддержка различных методов проверки (GET, POST, OPTIONS)
- Гибкость настройки (возможность задавать пользовательские заголовки и параметры)
- Поддержка мультипоточности для ускорения сканирования

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

21 Aug 2025 10:11

Dnscat2

#c2 #redteam #pentest #malware #evasion #bypass

Инструмент предназначен для создания зашифрованного канала управления и контроля (C&C) через протокол DNS, который является эффективным способом выхода из почти любой сети. В README файле вы найдете всю необходимую информацию для запуска. Если вас интересует более глубокое изучение протокола, структуры кода или других тонкостей, загляните в папку doc.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

20 Aug 2025 10:11

Cats

#fuzzer #pentest #полезное

Продвинутый REST API фаззер на языке Java, с высокой скоростью работы. Разработан для проверки REST API на основе принимаемого на вход YAML-файла Swagger'а.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

19 Aug 2025 14:47

Онлайн-митап честных кейсов по сетевой безопасности
⌛️16 сентября в 15:00

Надоело слушать рассказы о фичах?
🔗 Присоединяйтесь ко второму митапу от Positive Technologies, где специалисты по ИБ поделятся честным опытом работы с PT Sandbox и PT NAD.

В программе
🔴 Реальные кейсы обнаружения угроз
🔴 Сценарии использования песочницы и системы поведенческого анализа трафика
🔴 Синергия PT NAD и PT Sandbox для максимальной защиты

Будет интересно всем, кто занимается сетевой безопасностью, уже использует или только планирует внедрять продукты Positive Technologies.

Регистрируйтесь, чтобы узнать много технических деталей и практических инсайтов!

Life-Hack - Хакер

18 Aug 2025 15:16

Overempolyment:
проблема или новая норма
в русскоязычном IT?

#статья #полезное #карьера

Тема overemployment оказалась на слуху в 2022 году — когда IT-пузырь лопнул, компании начали массовые сокращения, а айтишники впервые за много лет оказались в ситуации, когда вакансий меньше, чем кандидатов. При этом уровень зарплат в IT за «жирные годы» 2019−2021 значительно вырос, и ожидания работников, конечно, остались на том же уровне.

Тогда и стало понятно, что часть людей готова идти на прямой обман работодателей — совмещая 2 и более фултайм работы или добирая нужный уровень дохода с помощью подработок в нерабочее время. На рынке появились яркие кейсы такого рода, и все разом заговорили о проблеме.

В 2024-2025 годах тема никуда не делась, и мы в NEWHR решили выяснить, так ли страшен чёрт, как его малюет наше коллективное воображение. Мы опросили 3169 айтишников (и работников, и работодателей), чтобы из первых рук узнать, что сейчас происходит на рынке.

1️⃣ Ссылка на первую часть статьи
2️⃣ Ссылка на вторую часть статьи
3️⃣ Ссылка на статью с выводами

LH | News | OSINT | AI

Life-Hack - Хакер

17 Aug 2025 16:21

🙌🙌🙌🙌

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Большой сборник статей и исходных кодов различных методов инъекции в процессы для Windows и Linux
3. За неделю от ночных кошмаров до спокойного сна: как я автоматизировал защиту от AI-хакеров
4. Мощный, модульный и легко настраиваемый инструмент для закрепления в ОС Linux
5. Как поднять свой почтовый сервер Mailcow
6. Инструмент для автоматизированного сбора и анализа данных из публичных репозиториев GitHub
7. Общее представление о том, как именно устроена проверка подлинности Kerberos
8. Инструмент для постэксплуатации (post-exploitation) и управления заражёнными системами
9. Практическое руководство по атакам на IPv6 в локальной сети
10. haccking/NKRnROp9tB7">Как проверить утекли ли ваши данные: сервисы для проверки сливов

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | News | OSINT | AI

Life-Hack - Хакер

17 Aug 2025 10:11

PDFMathTranslate

#AI #полезное #документы

Бесплатный инструмент на основе ИИ для полнотекстового перевода PDF-документов. Работает очень шустро — даже статью на 200 страниц переводит за минуту. Полностью сохраняет расположение текста и не делает фразы топорными. Знает 10 языков, в том числе русский.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

16 Aug 2025 10:11

Public Pentesting Reports

#обучение #pentest

Список публичных отчетов по проведению пентестов, опубликованных несколькими консалтинговыми фирмами и академическими группами по исследованию безопасности.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

15 Aug 2025 10:11

GPTKit

#AI #полезное

Бесплатный инструмент для обнаружения сгенерированного с помощью искусственного интеллекта текста. Использует шесть различных методов для точной идентификации и классификации машинного текста. Предоставляет отчеты о подлинности и реальности проанализированного контента.

🔗 Ссылка на сервис

LH | News | OSINT | AI

Life-Hack - Хакер

14 Aug 2025 15:16

Практическое руководство по атакам на IPv6 в локальной сети

#статья #pentest

IPv6 всё ещё далёк от повсеместного внедрения, однако большинство современных операционных систем имеют IPv6, включённый по умолчанию. В корпоративных сетях это часто приводит к появлению скрытых уязвимостей: даже если используется только IPv4, системы Windows по умолчанию предпочитают IPv6 и периодически запрашивают его настройки.

Злоумышленники могут использовать доверительную природу протоколов IPv6 для проведения атак внутри локальной сети. Особенно опасны атаки подмены (спуфинг), когда злоумышленник выдаёт себя за легитимный узел сети или внедряет поддельные пакеты с целью проведения MITM и/или DNS-спуфинга в локальной сети.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

13 Aug 2025 15:16

Управляем паролем локального администратора с помощью LAPS

#AD #статья #admin #pentest #полезное

Одной из самых распространенных проблем, с которой сталкивается почти каждый системный администратор, является управление паролями локального администратора. Одним из вариантов решения является LAPS.

В этой статье рассмотрены основные этапы развертывания LAPS (Local Administrator Password Solution), он бесплатен и не требует дополнительных расходов на инфраструктуру, так как использует Active Directory в качестве базы данных.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

25 Aug 2025 10:11

Netlas-cookbook

#OSINT #pentest #bugbounty

Netlas — сервис для специалистов в области информационной безопасности, который помогает в исследовании веб-сайтов и другой публично доступной информации в интернете. С его помощью можно проанализировать и найти различные устройства и службы, включая базы данных, сетевое оборудование, веб-камеры, IoT-устройства.

А в данном репозитории подробно расписано, как использовать данный сервис и как выжать из него максимум информации.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

24 Aug 2025 13:41

Как я нашел критическую IDOR уязвимость в корпоративном портале бронирования Индийских железных дорог

#статья #bugbounty #IDOR #перевод

Пошаговый разбор того, как простая уязвимость IDOR раскрыла конфиденциальные личные данные, позволила несанкционированное отправление отзывов и сделала возможной отмену билетов на рейсы, что затронуло пассажиров по всей Индии.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

23 Aug 2025 15:02

Как я превратил простую HTML-инъекцию в SSRF с помощью рендеринга PDF

#статья #ssrd #bugbounty

Сегодня я расскажу вам об интересной уязвимости, которую я нашёл в одном закрытом баг-баунти проекте: простая HTML-инъекция превратилась в полноценную SSRF с утечкой учетных данных AWS.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

22 Aug 2025 15:16

От согласия на использование Cookie, до выполнения команд: реальный вектор от SQLi + утечки персональных данных до RCE

#статья #перевод #bugbounty #rce #sqli

Мне нравится исследовать логику приложений, забытые параметры и превращать свои предположения в критические находки (как эта SQL-инъекция, скрытая в баннере с согласием на использование файлов cookie). Моя цель — делиться практическими техническими статьями, которые помогают исследователям и разработчикам понять, откуда берутся эти уязвимости — и, что более важно, как их предотвратить.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

21 Aug 2025 15:16

Как найти данные о человеке по его ФИО⁠⁠

#статья #OSINT #полезное

Иногда возникает необходимость найти человека по ФИО. Причины могут быть разные: вы утратили контакт со старым другом, хотите проверить личность потенциального делового партнера или просто стремитесь обеспечить безопасность при аренде жилья. Такие ситуации требуют точной и быстрой реакции, особенно когда других зацепок нет.

Сейчас поиск информации о человеке — это уже не задача только для детективов. Интернет предлагает широкий спектр инструментов, позволяющих отыскать данные даже о тех, кто редко проявляется онлайн. Если под рукой только ФИО, это уже неплохая отправная точка.

В этой статье разберём, как находить сведения о людях, используя всего лишь имя, фамилию и, при возможности, отчество. От бесплатных поисковых систем и форумов  до более глубоких OSINT-методов. Даже если человек старается не светиться в сети, узнать ключевую информацию всё же можно.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

20 Aug 2025 16:41

От страницы входа до полного захвата админ-панели

#статья #перевод #bugbounty

В этом отчете я делюсь историей о том, как простая страница входа привела к получению полного административного доступа. Всё началось с базовой разведки и превратилось в одну из самых серьезных уязвимостей, которые я обнаружил.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

19 Aug 2025 15:49

Stealth Mode: 10 Bash-трюков для скрытого хакинга

#статья #перевод #linux #redteam #полезное

В мире этичного хакинга, быть невидимым зачастую так же важно, как и получить первичный доступ. Подумайте сами: если вы проникнете в систему, но оставите за собой следы в логах, идентификаторах процессов и временных метках файлов, то практически оставите свою подпись на месте преступления.
Этот гайд посвящен скрытности и bash-скриптингу. Мы говорим не о супер эксплойтах, а о низкоуровневой невидимости, которая заставит команду криминалистов чесать затылки.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

19 Aug 2025 10:11

Prowler

#Cloud #bugbounty #pentest

Open-source инструмент, предназначенный для автоматизированного аудита безопасности облачных сред (AWS, Azure и Google Cloud), и проверки соответствия облачных инфраструктур международным стандартам, включая CIS Benchmark, ISO 27001, GDPR, HIPAA и другие. С его помощью можно выявлять уязвимости, ошибки конфигурации и потенциальные векторы атак.

Ключевые возможности:
- Поддержка основных облачных провайдеров (AWS, Azure, GCP).
- Проверка на соответствие стандартам безопасности (CIS, NIST, SOC 2, PCI DSS и др.)
- Вывод результатов в CSV, JSON, HTML, интеграция с Slack, Security Hub, Jira.
- Работает через Docker, CLI или напрямую из кода.
- Интеграция в CI/CD (может быть встроен в процессы DevOps для раннего обнаружения уязвимостей).

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

18 Aug 2025 10:11

DorkGPT

#AI #OSINT #pentest #bugbounty

Онлайн-инструмент с искусственным интеллектом, который помогает создавать поисковые запросы (Google Dorks) для поиска уязвимостей и информации в открытом доступе.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

17 Aug 2025 13:41

Безопасность с Astra Linux: ресурсы для специалиста ИБ

#статья #Astra #Linux #admin

Astra Linux Special Edition — одна из самых популярных ОС, сертифицированная для работы с информацией ограниченного доступа, включая государственную тайну. В условиях импортозамещения и ужесточения требований регуляторов (ФСТЭК, ФСБ, Минобороны) специалистам информационной безопасности удобно иметь под рукой проверенные ресурсы для настройки, аудита и защиты инфраструктуры на базе этой ОС.

Однако поиск актуальных материалов по Astra Linux часто превращается в сложную задачу: документация разрознена, курсы требуют адаптации под конкретные задачи, а анализ требует глубокого погружения в архитектуру системы. Эта статья объединяет все ключевые ресурсы про ИБ Astra Linux — от официальных руководств до практических кейсов и обучающих программ, — чтобы вы могли:
• Быстро внедрять механизмы защиты;
• Соответствовать требованиям ФСТЭК и ГОСТ;
• Эффективно выдвигать требования в проектах связанных с ОС.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

16 Aug 2025 15:16

Разбор Memory Forensics с OtterCTF и знакомство с фреймворком Volatility

#статья #pentest #Forensics

Возможно, на Хабре уже были статьи, описывающие работу с Volatility, но, к сожалению, я их не нашел. Если не прав — киньте в меня ссылкой в комментариях. Эта статья преследует две цели — показать, насколько бессмысленны все попытки администратора защитить систему, в случае если у атакующего есть дамп оперативной памяти и познакомить читателей с самым прекрасным, на мой взгляд, инструментом. Ну и, конечно же, обменяться опытом. Достаточно воды, приступим!

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

15 Aug 2025 15:16

Если вам звонят из службы безопасности банка — будьте осторожны. Это может быть служба безопасности банка

#статья #полезное #мошенники

"Здравствуйте это служба безопасности банка. Вам срочно необходимо подтвердить ваши операции. Вот прям завтра до 18:00 необходимо собрать полный комплект документов и предоставить нам. Вы под подозрением в отмывании денег! Отправили письмо на почту, срочно ответьте!."
Чем заканчиваются подобные звонки - знает, наверное, каждый. А вот и нет...

До сего дня, я имел достаточно плодотворное взаимодействие с одним из ведущих банков страны. Называть я его не буду, скажу только, что название начинается на «В», заканчивается на «Б», посередине «Т». Тон звонка был достаточно категоричный и не подразумевал сомнений. Сомнений в том, что это мошенники…

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

14 Aug 2025 20:40

haccking/NKRnROp9tB7">Как проверить утекли ли ваши данные: сервисы для проверки сливов

#OSINT #статья #утечки

Приветствуем дорогих читателей! В этой статье разберём для вас некоторые пути для проверки утечки ваших данных в сеть. Рассмотрим наиболее популярные сервисы и телеграм-ботов для проверки. Оценим их эффективность и доступность для пользователей.

🔗 haccking/NKRnROp9tB7">Прочитать нашу статью можно тут

LH | News | OSINT | AI

Life-Hack - Хакер

14 Aug 2025 10:11

1Panel

#linux #admin #полезное

Веб-интерфейс для управления Linux-серверами. Интегрирует функции мониторинга серверов, управления контейнерами, базами данных и веб-сайтами, а также систему резервного копирования и восстановления. Платформа поддерживает развертывание сайтов (включая WordPress) с одной кнопки, автоматическое обновление приложений и безопасность через контейнеризацию.

🔗 Ссылка на Github

LH | News | OSINT | AI

Life-Hack - Хакер

13 Aug 2025 10:11

Koadic — удалённое управление системами Windows

#Pentest #payload

Инструмент для постэксплуатации (post-exploitation) и управления заражёнными системами, написанный на Python.

Ключевые возможности:
• Выполнение команд и скриптов на заражённой системе.
• Сбор информации о системе, пользователях и настройках сети.
• Управление файлами и процессами.
• Поддержка множества модулей для расширения функционала.
• Взаимодействие по протоколам HTTP(S), что облегчает обход фаерволов и прокси.

🔗 Ссылка на GitHub

LH | News | OSINT | AI