446476
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
💉 Command Injection с обходом блокировки ключевых слов
Атаки подобного вида осуществляются через формы ввода данных, cookie файлы, заголовки HTTP с последующим внедрением в системную оболочку. Это становится возможным, когда отсутствует контроль вводимых данных или он носит поверхностный характер.
— Если вы нашли Command Injection, а WAF блокирует ключевые слова, то можно попробовать один из способов обхода, заключающийся в добавлении обратного слеша и символа новой строки между словами из черного списка:c\%0aat /et\%0ac/pas\%0aswd#Web #RCE | 💀 Этичный хакер
😈 DeepFaceDrawing — генерация лиц своими руками
Глубокая генерация изображений лиц из эскизов. Система позволяет пользователям, не имеющим достаточной подготовки к рисованию, создавать высококачественные изображения лиц из набросков от руки.
🗣 Ссылка на GitHub
🗣 Ссылка на оф. сайт
#Tools #deeplearning | 💀 Этичный хакер
😈 CSRF: детектируем и блокируем уязвимость
Уязвимость CSRF – дает возможность злоумышленнику производить различные манипуляции с аккаунтом пользователя от лица самого пользователя, при этом, жертва даже не будет знать об этом.
— В этом видеоматериале поговорим о том, как защитить веб-сайты от данной уязвимости.
#Web #CSRF | 💀 Этичный хакер
😈 Руководство по пентесту WebSocket
WebSocket — это продвинутая технология, позволяющая открыть постоянное двунаправленное сетевое соединение между браузером пользователя и сервером.
В этой статье рассмотрим, что из себя представляет захват веб-сокета, как обнаружить и каковы последствия.
🗣 Ссылка на чтиво
#WebSocket #Protocol | 💀 Этичный хакер
🤩 Как попасть на самый прекрасный митап этой осени — Standoff Talks, где лучшие профессионалы offensive и defensive security обменяются опытом с активным комьюнити?
Все просто: нужно быть матерым спецом по ИБ (уверены, в нашем канале только такие) и оставить заявку на сайте.
А 24–25 ноября встретиться в Кибердоме в рамках Moscow Hacking Week, чтобы круто прокачать свои скилы в багхантинге и пентесте, да и в целом круто провести время.
Не забудьте рассказать о себе в заявке и поторопитесь — количество мест ограничено.
🆕 У российского менеджера паролей Пассворк вышло очередное обновление
Пассворк упрощает совместную работу с корпоративными паролями — в нём можно создать общие папки, добавить туда доступы от разных сервисов и пригласить своих коллег. Сотрудники будут быстро находить нужные пароли, а администратор сможет управлять правами пользователей, отслеживать все действия и проводить аудит безопаности.
Что нового в Пассворк 6.1
• Ограничение редактирования администраторов
• Политики сложности паролей авторизации и мастер-паролей
• Выбор способа авторизации для отдельных пользователей
• Сброс 2ФА независимо от пароля авторизации
• Больше настроек LDAP и SSO
—
Подробнее об обновлении в официальном Телеграм-канале — t.me/passwork_ru
Реклама. ООО "ПАССВОРК". ИНН 2901311774. erid: LjN8KCUDb
Среднее время до появления эксплойта для только что выявленной уязвимости — 24 часа.
🦸 Чтобы вовремя обезопасить компанию от киберугроз, нужно быть супергероем. А еще можно пройти курс Positive Technologies «Как построить процесс управления уязвимостями». Его преподаватели и авторы — эксперты, которые знают все о результативной безопасности.
😎 Курс подойдет специалистам по ИБ, которые:
• хотят научиться выстраивать управление уязвимостями или прокачать скилы;
• работают с решениями VM;
• заинтересованы в повышении своей конкурентоспособности.
👨🏫 Подробнее об обучении
Курс стартует 29 октября и продлится четыре недели. Можно смотреть лекции в удобное время, а по воскресеньям подключаться к воркшопам с экспертами. В результате вы сумеете самостоятельно выстроить процесс управления уязвимостями в любой компании.
О преподавателях и программе рассказали на сайте курса
Запишитесь сейчас и пройдите первое занятие бесплатно!
😈 OFFZONE: Тестирование gRPC-веб-приложений с помощью Burp Suite
Доклад посвящен исследованию безопасности веб‑приложений, использующих gRPC, при помощи Burp Suite. Этот инструмент не имеет встроенных возможностей для десериализации protobuf, а имеющиеся на данный момент расширения не являются широко распространенными и имеют ограниченную функциональность для тестирования gRPC.
— gRPC это архитектура и система API, она основана на модели удаленного вызова процедур (RPC). Хотя модель RPC обширна, gRPC обладает особой реализацией.
Цель доклада — повысить осведомленность о тестировании gRPC. Также в ходе выступления он представит собственное расширение для исследования gRPC.
#OFFZONE #gRPC #BurpSuite | 💀 Этичный хакер
🔍 Subfinder: инструмент для исследования поддоменов
Subfinder - это мощный инструмент поиска, который можно использовать для создания полного списка поддоменов, активных в любом доменном имени.
В этой статье мы рассмотрим инструмент, который призван помочь Red-team создать полную карту поддоменов своей цели: мы говорим о Subfinder, одном из лучших доступных инструментов обнаружения поддоменов, который поможет в задачах по сбору информации.
🗣 Ссылка на чтиво
#Web #subdomain | 💀 Этичный хакер
14–15 ноября в Центре международной торговли а Москве состоится IX ежегодный SOC-Forum — ключевое и ожидаемое событие в сфере кибербезопасности в России.
В этом году в программе пять тематических треков с дискуссиями, практикумами и более чем 90 докладами.
Технические треки: практикумы по направлениям Offense и Defense, а также по выявлению и реагированию на инциденты.
Бизнесово-технологический трек: доклады по выявлению угроз, реагированию на инциденты и предотвращению кибератак.
Два бизнес-трека: регуляторы представят свои ключевые доклады по развитию угроз, а эксперты обсудят основные тренды в киберугрозах и в защите, развитие стратегий и фреймворков в ИБ, а также в формате «прожарки» расскажут о реальных взломах и клиентском опыте тестирования ИБ-продуктов.
Регистрация: https://forumsoc.ru/?utm_source=pr&utm_medium=email&utm_campaign=press_release
🎩 Speek.Chat — анонимный меcсенджер
Speek работает без сервера, не хранит метаданные, не требует идентификатора или номера телефона, а все сообщения полностью зашифрованы и маршрутизируются через сеть Tor.
— Это делает возможным, чтобы IP-адреса никогда не были общедоступными, а пользователи могли оставаться анонимными.
Вы можете общаться, не раскрывая свою личность (или IP-
адрес), нет серверов или операторов, которые могли бы быть
скомпрометированы, раскрывая вашу информацию.
Работает в OS X, GNU/Linux, Windows
🗣 Ссылка на оф. сайт
#Web #Anon #Tools | 💀 Этичный хакер
🔎 Nmap: сканирование портов
Nmap - это инструмент аудита безопасности, используемый в области безопасности для активного перечисления целевой системы.
Nmap используется для активного зондирования целевой сети на наличие активных хостов (обнаружение хостов), сканирования портов, обнаружения ОС, сведений о версии и активных служб, запущенных на хостах, которые включены. В этой статье рассмотрим три метода сканирования портов и их типы состояния.
🗣 Ссылка на чтиво
#Web #Recon #Nmap | 💀 Этичный хакер
✔️ Privaxy: прокси сервер
— Прокси-сервер для блокирования рекламы и кода отслеживания перемещений между сайтами.
Метод работы Privaxy сводится к развёртыванию промежуточного фильтра между пользователем и сайтами, используя подмену TLS-сертификатов для перехвата содержимого шифрованных HTTPS-сеансов и скрытия предупреждения о вклинивании в канал связи (MITM).
Privaxy генерирует собственный корневой сертификат, который пользователь устанавливает в хранилище сертификатов своей системы и прописывает работу приложений через прокси localhost:8100.
⏺ Ссылка на GitHub
#infosec #proxy | 💀 Этичный хакер
😈 Уязвимости в коде, генерируемом нейросетями
— Нейросети, которые становятся повседневным инструментом все большего числа программистов, далеко не совершенны.
Разберемся, почему они допускают ошибки в коде, насколько эти ошибки могут быть серьезными и как минимизировать риски. Доклад будет полезен всем, кто используют нейросети для различных задач.
#ИИ | 💀 Этичный хакер
🔍 Форензика: идентификация поддельных изображений
Форензика — это наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.
— Итак, вы, возможно, видели в этих фильмах о серийных убийствах, как криминалисты идентифицируют поддельные изображения, выглядит круто, не так ли? В этой статье рассмотрим самые распространенные варианты.
⏺ Ссылка на чтиво
#Forensics | 💀 Этичный хакер
no system is safe // cybersec — один из древнейших ресурсов по информационной безопасности в рунете. Книги, курсы, полезные тулсы, уроки по Linux, новости клирнета и даркнета.
@nsis_cybersec
🔒 Deanon ClubV7
Самое известное Darknet комьюнити вернулось! Те самые ребята, которые подняли на уши всю Россию взломом крупнейшей платформы по продаже наркотиков
Это седьмой канал ребят! Подписывайтесь, и следите за происходящим. В представлении они не нуждаются!
Deanon Club - /channel/+dv_8w2pVRaU5OWNk
Пара полезных каналов для тех, кто увлекается кибербезопасностью:
🏳️ Mr. Robot - обучение хакингу в простой и доступной форме. OSINT, СИ, анонимность.
🐥 Лаборатория Хакера — полезные github-инструменты для пентеста, сетевой разведки, xss, криптографии.
😈 Nebula — облачная среда SaaS
Nebula - это масштабируемый оверлейный сетевой инструмент для построения защищённых оверлейных сетей, которые могут объединять от нескольких до десятков тысяч территориально разделённых хостов, формируя отдельную изолированную сеть поверх глобальной сети.
— Узлы в сети Nebula взаимодействуют друг с другом напрямую в режиме Р2P - по мере появления необходимости передачи данных между узлами динамически создаются прямые VPN-соединения.
Поддерживается работа в GNU/Linux, FreeBSD, macOS, Windows, iOS и Android.
🗣 Ссылка на GitHub
#Network | 💀 Этичный хакер
😈 Blind SQL Injection: практический пример
Blind SQL Injection - это тип атаки SQLi, которая задает базе данных истинные или ложные вопросы и определяет истинность на основе ответа приложений. Эта атака часто используется, когда веб-приложение настроено на отображение общих сообщений об ошибках, но при этом не фильтрует код, уязвимый для внедрения SQL.
— В этом видеоматериале мы рассмотрим как можно найти слепую SQL-инъекцию.
#SQL #Injection | 💀 Этичный хакер
😈 API: гайд для самых маленьких
API - это интерфейс, позволяющий двум независимым компонентам программного обеспечения обмениваться информацией. API играет роль посредника между внутренними и внешними программными функциями, обеспечивая эффективный обмен информацией.
— В этом всеобъемлющем руководстве простыми словами будут объяснены API, их важность и то, как они работают.
🗣 Ссылка на чтиво
#Web #API | 💀 Этичный хакер
🚠 Manyverse: Сеть на одноранговом протоколе SSB
Manyverse - это приложение/социальная сеть, построенная на одноранговом протоколе SSB, доступное для компьютеров и мобильных устройств.
— Сообщения, лайки, профили, личные сообщения и т. д., все то что вы ожидаете от социальной сети.
Оно не работает в облаке, принадлежащем компании, вместо этого сообщения ваших друзей и все ваши социальные данные полностью хранятся в вашем устройстве.
🗣 Ссылка на оф. сайт
🗣 Ссылка на GitHub
#Web #Network | 💀 Этичный хакер
Как давно вы были на вписках? Впрочем, неважно. Предлагаем вписаться в авантюрную IT-вечеринку от МТС и не думать о работе.
Что будет:
• финал олимпиады True Tech Champ
• выступления и воркшопы от топовых спикеров
• кодинг на скорость и игровые зоны
• тату-студия для самых смелых
• лаунджи, чтобы было где пообщаться
• и afterparty со звездным лайнапом
Когда и где: 24 октября (вторник), МТС live холл в Москве
Зовем всех причастных к IT-комьюнити на наш фест. Регистрация открыта по ссылке, количество мест ограничено. И кстати, это все абсолютно бесплатно
🔌 oniongrok — перенаправляем трафик через Tor
Бывают ситуации когда необходима анонимность, но VPN под рукой нет. И VPN вряд ли можно назвать анонимным инструментом, ведь вы на него заходите как правило со своего IP (если это не двойной VPN), а значит оставляете следы, даже если не ведутся логи.
oniongrok - способ в одну команду пробросить доступ через скрытые службы Tor, с временным или постоянным .onion адресом. oniongrok работает через перенаправление портов и не требует общедоступный IPv4 или IPv6.
— Формально это децентрализованный способ создания практически неостановимых глобальных сетевых туннелей.
⏺ Ссылка на GitHub
#Web #Tor | 💀 Этичный хакер
®️ OFFZONE: EAP-Mirror: атака на WPA2-Enterprise и 802.1x
Wi‑Fi-пентест в последнее время теряет популярность. Пробив корпоративной Wi‑Fi-точки не обещает перетекания во внутреннюю сеть. А самые интересные точки работают чаще всего только по EAP‑TLS.
— Протокол EAP‑TLS считается самым безопасным решением для аутентификации в корпоративных сетях. На то есть основная причина: использование PKI для авторизации клиента и сервера.
#Web #WiFi | 💀 Этичный хакер
😈 Как я обнаружил более 40 важных уязвимостей в течение 1 часа
В этой статье подробно расскажем о своем поэтапном подходе к обнаружению множественных уязвимостей на примере реального кейса.
🗣 Ссылка на чтиво
#Recon #BugBounty #Web | 💀 Этичный хакер
Друзья, поддержите наш канал бустом, чтобы мы могли публиковать интересный контент в сторис.
/channel/hack_less?boost
😈 Хакерская группа Killnet выпустила заявление по поводу происходящего в Израиле:
«Правительство Израиля, вы виноваты в этом кровопролитии. Ещё в 2022 году вы поддержали террористический режим Украины. Вы предали Россию. Сегодня Killnet официально сообщает вам об этом! Нашим атакам подвергнутся все правительственные системы Израиля!
WE ARE KILLNET»
upd: Killnet нарушили работу главного государственного сайта Израиля.
#news | 💀 Этичный хакер
😈 Нетсталкинг: использование техник и приёмов OSINT
Разведка на основе открытых источников (англ. Open-source intelligence, OSINT) — одна из разведывательных дисциплин. Включает в себя поиск, выбор и сбор разведывательной информации, полученной из общедоступных источников, и её анализ.
— В репозитории целая коллекция материалов по OSINT для нетсталкинга. Базовые знания, инструменты, гайды, реальные кейсы, работа с ресурсами как русскими так и английскими.
⏺ Ссылка на GitHub
#OSINT #netstalking | 💀 Этичный хакер
🛡CyberINS — OSINT, инструменты, внешнее и внутреннее тестирование.
Кратко и понятно.