446476
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
😈 Руководство по фреймворку для взлома BEeF
В этой статье будем применять как взлом BEeF, так и социальную инженерию для кражи учетных данных из браузера нашей цели.
➖ https://telegra.ph/Rukovodstvo-po-frejmvorku-dlya-vzloma-BEeF-04-11
#BEeF | 💀 Этичный хакер
🔎 Фреймворк для автоматизации разведки и сканирования веб-приложений
Vajra - это фреймворк, автоматизирующий рутинные задачи сбора информации и сканирования целей во время тестирования на проникновение веб-приложений.
Vajra использует наиболее распространенные инструменты с открытым исходным кодом, которые каждый охотник за ошибками использует во время тестирования на цели.
— Инструмент делает всё через веб-браузер с очень простым пользовательским интерфейсом, что делает его абсолютно удобным фреймворком для начинающих.
Более подробно вы можете ознакомиться с данным инструментом на его странице GitHub.
🗣 Ссылка на GitHub
#Web
📝 Топ открытых отчётов с HackerOne
Чтение отчётов других исследователей часто помогает узнать что-то новое, например, увидеть варианты эксплуатации той или иной уязвимости или узнать вектор атаки, который ты раньше не использовал.
Ниже представлен репозиторий, содержащий топ открытых отчётов с HackerOne, отсортированный по типам уязвимостей и программам, в которых эти уязвимости найдены.
Кроме того, прилагаю ссылку на GoogleDocs, содержащий 6200+ различных отчетов.🗣 Ссылка на GitHub
😈 Обход Rate Limit'а с помощью Tor
Когда при фаззинге вас блокируют по IP за большое число запросов, а рабочих прокси нет под рукой, то можно использовать Tor. Скорость будет сильно снижена, но чтобы обойти ограничение - хватит.
➖ https://telegra.ph/Obhod-Rate-Limita-s-pomoshchyu-Tor-06-14
#Fuzz #Recon | 💀 Этичный хакер
Хочешь узнать, как защитить свои данные в сети и не стать жертвой хакеров?
Присоединяйся к нам!
— У нас ты найдешь реальные кейсы о том, как люди теряют свои данные;
— Узнаешь, как использовать инструменты с github для повышения своей безопасности.
— Расскажем тебе о социальной инженерии и анонимности в Интернете.
🔐 Hack Proof
🔗 Необычный случай обхода файрвола веб-приложения (WAF)
- WAF заблокировал тег <img>;
- Атрибут «src» также блокируется;
- Однако, найденный WAF не блокировал тег <image>;
- Используем нагрузку на скрине ниже и получаем XSS.
Данная нагрузка обходит Dotdefender, Comodo и еще несколько WAF.
#Web #XSS
😈 Стрим: методология SSRF
Стрим от KathanP19, посвящённый методологии поиска SSRF уязвимостей в ручном и автоматическом режиме. Видеоролик на английском языке, если возникнут трудности с переводом, воспользуйтесь закадровым переводом от Яндекса.
#SSRF #video
👾 Evil-WinRM: оболочка для пентеста
В этой статье рассмотрим оболочку, которая является идеальной для взлома/ пентеста.
➖ https://telegra.ph/Evil-rmwin-11-10
#guide | 💀 Этичный хакер
😈 Инъекция команд в Google Cloud Shell
В этой статье рассмотрим простую уязвимость, позволяющая выполнять произвольный код и получить реверс шелл на одном из сервисов гугла.
➖ https://telegra.ph/Inekciya-komand-v-Google-Cloud-Shell-12-10
#Injection | 💀 Этичный хакер
😈 Инъекция NoSQL в простом виде
В этой статье описание мыслительного процесса и подхода при тестировании конкретного приложения на NoSQL инъекцию.
➖ https://telegra.ph/Inekciya-NoSQL-v-prostom-vide-12-10
#Injection | 💀 Этичный хакер
Как за 1 секунду узнать пароль от чужого вай-фая?
А еще прочитать переписку любого человека в радиусе 10м, по блютузу подключиться к чьей-то камере и без интернета смотреть ютуб.
Здесь находят фишки и уязвимости разных устройств и объясняют, как ими пользоваться.
Подпишись и твой старый телефон превратится в универсальное оружие: @white_hack
👾 theHarvester - расширенный инструмент сбора информации
В этой статье рассмотрим инструмент сбора информации для пентестеров и этических хакеров.
➖ https://telegra.ph/theHarvester---rasshirennyj-instrument-sbora-informacii-08-14
#less | 💀 Этичный хакер
😈 Взлом с помощью картинки. Полезная нагрузка PHP в изображении.
С помощью инструмента php-jpeg-injector можно производить атаки на веб-приложения, которые запускают изображение .jpeg через графическую библиотеку PHP GD.
Инструмент создаёт новый .jpeg файл с полезной нагрузкой PHP. Зараженный .jpeg файл запускается через gd-библиотеку PHP. PHP интерпретирует полезную нагрузку, введенную в jpeg, и выполняет ее.
⏺ Ссылка на GitHub
#Web #PHP | 💀 Этичный хакер
🔎 Быстрое сканирование сайта с помощью Google дорков
Данный OSINT проект позволяет найти на веб-сайте уязвимые страницы и файлы с конфиденциальной информацией, используя 45 типов Google Dorks.
Инструмент может находить популярные админ-панели, распространённые типы файлов и Path Traversal.
⏺ Ссылка на GitHub
#Web #Dork #Recon #Google | 💀 Этичный хакер
😈 Руководство по фреймворку для взлома BEeF
В этой статье будем применять как взлом BEeF, так и социальную инженерию для кражи учетных данных из браузера нашей цели.
➖ https://telegra.ph/Rukovodstvo-po-frejmvorku-dlya-vzloma-BEeF-04-11
#BEeF | 💀 Этичный хакер
Нашли лучшие курсы по кибербезопасности!
Tutortop — образовательный маркетплейс №1, где представлено более 5000 курсов от более чем 300 школ. Вы можете сравнить курсы по рейтингу, цене и отзывам, а еще купить дешевле, чем напрямую 🔥
Подборка лучших курсов для специалистов по кибербезопасности от tutortop:
— Профессия «Инженер кибербезопасности» от ProductStar. Рейтинг 4.8 из 5.
— Курс «Информационная безопасность. Техническая защита конфиденциальной информации» от Академии АйТи. Рейтинг 4.8 из 5.
— Курс «Специалист по информационной безопасности» от Нетологии. Рейтинг 4.8 из 5.
Скидку до 10 000 ₽ на эти и десятки других курсов можно приобрести на tutortop ⚡️
😈 Обход WAF для выполнения продвинутой SQL инъекции на основе ошибок
Полный дамп базы данных и получения данных пользователей с помощью Error Based SQL и обхода защиты веб приложения.
➖ https://telegra.ph/Obhod-WAF-dlya-vypolneniya-prodvinutoj-SQL-inekcii-na-osnove-oshibok-06-15
#Web #SQL | 💀 Этичный хакер
🗣 Книга: Записки исследователя компьютерных вирусов
Автор: Крис Касперски
Описание: Данная книга представляет собой робкую попытку хотя бы частично заткнуть информационную брешь, раскрывая повадки вирусов и предлагая эффективные средства защиты и борьбы. Материал ориентирован на системных администраторов и программистов с минимальным уровнем подготовки.
Скачать: здесь
#books | 💀 Этичный хакер
🗣Книга: Призрак в сети. Мемуары величайшего хакера
Призрак в Сети - захватывающая невыдуманная история интриг, саспенса и невероятных побегов. Это портрет провидца, обладающего такой изобретательностью, хваткой и настойчивостью, что властям пришлось полностью переосмыслить стратегию погони за ним. Отголоски этой эпической схватки чувствуются в сфере компьютерной безопасности и сегодня.
Скачать: здесь
#books | 💀 Этичный хакер
😈 Краткий экскурс по захвату поддоменов
Используя захват поддомена, злоумышленники могут отправлять фишинговые электронные письма с легитимного домена, выполнять межсайтовые сценарии (XSS) или наносить ущерб репутации бренда, связанного с доменом.
➖ https://telegra.ph/Kratkij-ehkskurs-po-zahvatu-poddomenov-03-30
#Web #STO | 💀 Этичный хакер
👩💻 Набор инструментов для тестирования безопасности WebSockets
Это исследование было впервые представлено на OWASP Global AppSec US 2021.
Серверы WebSocket в значительной степени игнорируются в сообществе безопасности, несмотря на высокую распространенность их применения в современных веб приложениях. Во многом это связано с отсутствием полноценных инструментов тестирования.
Для решения этой проблемы разработан инструмент под названием STEWS, позволяющий:
1. Находить конечные точки WebSocket сервера (сканирует более 5000 URL-адресов в секунду);Дополнительные репозитории, созданные в рамках этого исследования, включают в себя:
2. Снимать фингерпринт WebSocket сервера (с использованием идентификаторов, обнаруженных в представленном исследовании);
3. Выполнять обнаружение уязвимых серверов WebSocket с помощью известных векторов эксплуатации.
📟 Материалы по пентесту API
Небольшая подборка полезных ресурсов и чеклистов по пентесту API:
▫️ OWASP API Security Top 10 (на русском)
▫️ HolyTips
▫️ API-Audit-Checklist
▫️ 31-days-of-API-Security-Tips
▫️ API Security Checklist
▫️ OAuth 2.0 Threat Model Pentesting Checklist
▫️ JWT Security Cheat Sheet
▫️ Microservices Security Cheat Sheet
▫️ GraphQL Cheat Sheet
▫️ REST Assessment Cheat Sheet
▫️ REST Security Cheat Sheet
▫️ API Security Encyclopedia
#Web #API | 💀 Этичный хакер
👾 30 Лучших инструментов для взлома на Android
В этой статье мы перечислим 30 лучших инструментов для взлома Android, которые помогут в решении задач тестирования.
➖ https://telegra.ph/30-Luchshih-instrumentov-dlya-vzloma-dlya-Android-10-11
#tools | 💀 Этичный хакер
😈 Методы обхода защиты от CSRF
В статье представлены наиболее эффективные способы манипуляций с токенами в запросе, для обхода защиты от CSRF.
➖ https://telegra.ph/Metody-obhoda-zashchity-ot-CSRF-03-16
#Web #CSRF
😈 Обход аутентификации с использованием root-массива
В этой статье рассмотрим способ обхода аутентификации, который может быть использован для сайтов, передающих данные в формате JSON.
➖ https://telegra.ph/Obhod-autentifikacii-s-ispolzovaniem-root-massiva-01-13
#Web #WAF | 💀 Этичный хакер
😈 MalwareBazaar - база образцов вредоносного ПО
В базе вы найдете широкий выбор малварных образцов для исследований и анализа.Можно использовать удобную форму поиска, чтобы находить образцы по хэшу (MD5, SHA256, SHA1), импорт-хэшу (imphash), хэшу TLSh, сигнатуре ClamAV, тегу или семейству вредоносного ПО.
👾 AndroTickler – инструмент для аудита Android приложений
В этой статье рассмотрим инструментарий для тестирования и аудита на проникновение Android приложений.
➖ https://telegra.ph/AndroTickler--instrument-dlya-audita-Android-prilozhenij-08-28
#less | 💀 Этичный хакер
😈 Методы доступа к встроенной файловой системе Tuxera Reliance Nitro и FlashFX Tera устройств
В рамках доклада будут рассмотрены аппаратные и программные методы доступа к внутренней памяти устройства промышленного образца, использующего менеджер необработанной флэш-памяти Tuxera FlashFX Tera и защищенные файловые контейнеры FlashPack внутри транзакционной файловой системы Reliance Nitro. Также будет описано несколько существующих механизмов защиты от подобных атак.
#video | 💀 Этичный хакер
😈 Утечка конфиденциальной информации через .gitignore
Отсутствие должной защиты для файлов .gitignore может привести к серьезным проблемам для компании или организации, потому что некоторые из них могут содержать конфиденциальные данные, такие как учетные данные для входа и др.
➖ https://telegra.ph/Utechka-konfidencialnoj-informacii-cherez-gitignore-05-23
#Web #Leak
🗣 Книга: Вскрытие покажет! Практический анализ вредоносного ПО
Как только перед вами встает задача защитить сеть (или тысячу сетей), вы приступаете к такому анализу, и без этой книги вам попросту не обойтись.
Скачать: здесь
#books | 💀 Этичный хакер