446476
Канал №1 на тему хакинга и информационной безопасности в телеграм. Обратная связь: @hackerless_bot Сотрудничество, реклама: @workhouse_price Канал в реестре РКН: https://clck.ru/3FgdFY
👾 Как легко проверить, есть ли в файле вирус без антивируса
В этой статье покажем вам простой способ вручную проверить любые подозрительные документы и проверить, загружены ли они вредоносными программами.
➖https://telegra.ph/Kak-legko-proverit-est-li-v-fajle-virus-bez-antivirusa-09-30
#less | 🔒 Этичный хакер
👾 Скрытая атака в беспроводных сетях
В этой статье рассмотрим Bluesnarfing, атака которая используется для извлечения данных с устройства жертвы посредством сопряжения Bluetooth.
➖ https://telegra.ph/Skrytaya-ataka-v-besprovodnyh-setyah-09-29
#less | 🏃♂️ Этичный хакер
😈 Эффективный поиск XSS-уязвимостей
В докладе Иван Румак расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.
#video #XSS
👾 Типы шифрования беспроводной безопасности
В этой статье расскажем о типах шифрования беспроводных сетей.
➖ https://telegra.ph/Tipy-shifrovaniya-besprovodnoj-bezopasnosti-10-02
#less | 🚗 Этичный хакер
👾 HTTP - флуд атака
В этой статье, мы обсудим одну из наиболее распространенных форм кибератаки, то есть HTTP-флуд, который используется злоумышленниками для нарушения конфиденциальности пользователей.
➖ https://telegra.ph/HTTP---flud-ataka-10-03
#less | 🏖 Этичный хакер
👾 Крупнейшие фишинг мошенничества всех времен
В этой статье расскажем о самых крупнейших корпоративных фишинг атак.
➖ https://telegra.ph/Krupnejshie-fishing-moshennichestva-vseh-vremen-10-06
#less | 🧑💻 Этичный хакер
😈 Поиск уязвимостей IDOR (BOLA)
С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса. Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.
Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
Из видеоматериала вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
#video #IDOR
😈 Тестирование безопасности API: кейсы, инструменты и рекомендации
При анализе защищенности API приложений почти всегда находят кучу уязвимостей.
На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.
#video #API
⌨️ Отсутствие проверки сессии при смене почты
Если на сайте есть возможность сменить (или добавить) адрес электронной почты, то вот один из способов проверки данного функционала.
Вам нужно создать две учетные записи на сайте. Назовем их victim@gmail.com и attacker@gmail.com, предполагая, что это соответсвенно жертва и злоумышленник.
Теперь перейдем в учетную запись злоумышленника и изменим почту на 123@gmail.com, после чего ссылка для подтверждения будет отправлена на 123@gmail.com.Копируем эту ссылку, заходим в аккаунт жертвы victim@gmail.com и переходим по скопированной ссылке. Если адрес электронной почты жертвы будет обновлен до 123@gmail.com, то мы нашли уязвимость.
Это произошло потому, что отсутствует проверка сессии пользователя и кто бы ни нажал на эту ссылку для проверки, его/ее учетная запись будет обновлена и привязана к новой почте.
Таким образом, злоумышленник может скинуть жертве ссылку и если жертва перейдёт по ней, то злоумышленник захватит её аккаунт.
#Web #Logic
😈 История кражи переписки и контактов в iOS-приложениях mail.ru и myMail через XSS
В статье рассмотрим отличный пример того, как можно произвести XSS, разместив полезную нагрузку в файле, и к чему такая атака может привести.
➖ https://telegra.ph/Istoriya-krazhi-perepiski-i-kontaktov-v-iOS-prilozheniyah-mailru-i-myMail-cherez-XSS-05-10
#XSS #iOS
😈 SQL-инъекция через остановку перенаправления на страницу входа
Обзор отчета, в котором сервер компании Razer пострадал от обхода авторизации в странице администратора и SQL-инъекции. Это позволило получить доступ к игровым ключам из раздач, почтовым перепискам, данным пользователей и т.д.
➖ https://telegra.ph/SQL-inekciya-cherez-ostanovku-perenapravleniya-na-stranicu-vhoda-05-08
#Web #SQLi
😈 История о том, как взять под контроль более 450 поддоменов французской электрокомпании EDF
Брошенные домены, несогласованность и ошибки при настройке CNAME, а также полный игнор от компании и тихое устранение уязвимости.
➖ https://telegra.ph/Istoriya-o-tom-kak-vzyat-pod-kontrol-bolee-450-poddomenov-francuzskoj-ehlektrokompanii-EDF-05-06
#Web #STO #Tools
😈 Shodan и Censys: поиск скрытых деталей в Интернете
Поиск Shodan и Censys позволяет найти любые уязвимые устройства в Интернете. Это может быть частью вашего теста на проникновение, чтобы упростить поиск новых вещей в Интернете.
➖ https://telegra.ph/Shodan-i-Censys-poisk-skrytyh-detalej-v-Internete-03-06
#OSINT
😈 OSINT фреймворк для Github
В этой статье рассмотрим OSINT - фреймворк с Github для аналитики пользователей и организаций.
➖ https://telegra.ph/OSINT-frejmvork-dlya-Github-12-17
#tools | 💀 Этичный хакер
😈 Что такое WSDL-атака?
В этой статье рассмотрим тип атак за счёт использования языка описания служб (WSDL), который используется для предоставления доступа к интерфейсам систем.
➖ https://telegra.ph/CHto-takoe-WSDL-ataka-04-26
#WSDL | 💀 Этичный хакер
🔥 ПОЛУЧИ НОВУЮ ПРОФЕССИЮ. ОПЛАТА ОБУЧЕНИЯ ПОСЛЕ ТРУДОУСТРОЙСТВА
ТОП ПРОФЕССИЙ:
✅ Project-менеджер
✅ Интернет-маркетолог
✅ Android-разработчик
✅ Frontend-разработчик
✅ C#-разработчик
✅ Таргетолог
ПРОЦЕСС ОБУЧЕНИЯ И ПОИСКА РАБОТЫ
🔹 Вы осваиваете профессию на курсе
🔹 Мы помогаем вам найти работу
🔹 После трудоустройства вы оплачиваете обучение
✔️ Гарантия трудоустройства
✔️ Поможем определиться с выбором и подберём подходящую программу обучения
Университет СИНЕРГИЯ
Переходите для получения более подробной информации
Реклама. Университет «Синергия» ИНН 7729152149
Хотите начать карьеру в IT?
Быстро освоить навыки и перейти к практике — легко!
Платформа Deepskills представляет методику микрообучения, которая поможет вам быстро войти в профессию и получить работу мечты!
Курсы от практикующих экспертов.
Бесплатный пробный период в течение 14 дней, чтобы вы убедились в качестве нашего обучения.
Начни свой путь к успеху уже сегодня.
Учись на практике с Deepskills!
Бесплатный курс: старт в кибербезопасности
В прошлом году число кибератак в России взлетело на 80%. Поэтому информационная безопасность становится ключевым приоритетом для многих компаний — спрос на специалистов по кибербезопасности резко вырос.
На бесплатном курсе вы попробуете себя в качестве такого специалиста и решите его настоящие задачи — найдёте уязвимости в веб-сервисах и настроите компоненты операционной системы для обеспечения безопасности.
Узнайте, с чего начать карьеру в перспективном направлении: https://netolo.gy/bE8p
Реклама. ООО «Нетология» LatgBXaiy
😈 Анализ защищенности Windows-приложений
В докладе спикер Василий Буров познакомит вас с некоторыми методами тестирования на проникновение и их применением для анализа защищенности Windows-приложений, что позволит не допустить превращения разрабатываемых вами приложений в оружие злоумышленника.
#video #Windows
😈 Как мы автотестируем VK Звонки
С начала пандемии и бума онлайн-конференций решения для видеозвонков VK тоже сильно эволюционировали: появились новые функции, увеличилось количество участников с восьми до бесконечности, стали поддерживаться разные платформы.
Спикер Михаил Шваркунов расскажет, с чего начиналась автоматизация тестирования десктоп-клиента, какие автоматические проверки в команде делают для контроля качества звонков и как проверяют клиентский перформанс.
#video #WPA
😈 TestOps. Построение процесса тестирования на примере Azure DevOps
Принципы TestOps могут быть использованы на любой платформе. В докладе в качестве примера взят Azure DevOps — это комплексное решение по разработке программного обеспечения, объединяющее в себе планирование работ, систему управления версиями, сборку, CI/CD, баг-трекинг, TCMS, запуск тестов и многое другое. На его примере Александр рассмотрит, как можно автоматически построить TestOps во множестве команд и уходить в отпуск с уверенностью, что все процессы работают без вас.
#video
🔗 Необычный случай обхода файрвола веб-приложения (WAF)
- WAF заблокировал тег <img>;
- Атрибут «src» также блокируется;
- Однако, найденный WAF не блокировал тег <image>;
- Используем нагрузку на скрине ниже и получаем XSS.
Данная нагрузка обходит Dotdefender, Comodo и еще несколько WAF.
#Web #XSS
Предлагаем ознакомиться с самыми крупными и интересными проектами Telegram в сфере информационной безопасности:
🧠 Social Engineering — самый крупный ресурс в Telegram, посвященный Информационной Безопасности, OSINT и Cоциальной Инженерии.
👾 CyberYozh - подборка бесплатных лекций по анонимности, безопасности, хакингу, мультиаккаунтингу от известных экспертов (КиберДед, Люди PRO, Codeby, BespalePhone, VektorT13 и др.).
🔥 Russian OSINT — авторский канал о кибербезопасности, хакеры, искусственный интеллект и самые горячие IT-новости.
🤖 Open Source — крупнейший агрегатор полезных программ и скриптов с открытым исходным кодом.
‼️ SecAtor — всё про инфосек: операции спецслужб в киберпространстве, хакерские кампании, уязвимости в ПО и инсайды отрасли.
🛡 Обход фильтрации в AngularJS
AngularJS - это JavaScript-фреймворк с открытым исходным кодом, предназначенный для разработки одностраничных приложений. Часто используется различными конструкторами сайтов.
Если вам требуется короткая полезная нагрузка для XSS в AngularJS 1.2.24 - 1.2.29, то можно воспользоваться той, что представлена ниже:{{[].%22-alert`1`-%22}}По этой ссылке пример её выполнения для версии 1.2.26.
Фильтрацию самой последней версии AngularJS можно обойти с помощью Unicode и HTML кодирования:{{$on.constructor('%26bsol;%26bsol;u%26bsol;u007b61}lert`1`')()}}По этой ссылке пример её выполнения для версии 1.8.2.
#Web #XSS #WAF
😈 Поиск уязвимостей в функции сброса пароля
В статье рассказано об основных способах реализации функций сброса пароля, а также возможных вариантах эксплуатации данных функций. В качестве примеров данных уязвимостей приведены отчеты с hackerone.
➖ https://telegra.ph/Poisk-uyazvimostej-v-funkcii-sbrosa-parolya-12-21
#bypass | 💀 Этичный хакер
😈 Переходим от SSRF к RCE
Статья рассказывает о том, как с помощью SSRF можно получить учетные данные экземпляра Amazon EC2 и использовать их для выполнения произвольного кода на сервере.
➖ https://telegra.ph/Perehodim-ot-SSRF-k-RCE-05-07
#Web #SSRF #RCE
😈 Как обнаружить и парировать компьютерные backdoor-атаки на нейронные сети
В рамках доклада будут представлены подходы к обнаружению и нейтрализации последствий компьютерных атак с внедрением закладок в нейросетевые модели, основанные на выявлении закладки и возможных триггеров.
Слушатели смогут оценить эффективность применения обрезки нейронов и отмены обучения нейронной сети, разработанной с помощью фреймворка TensorFlow.
#guide | 💀 Этичный хакер
😈 Раскрытие электронной почты и захват аккаунта в Facebook
Анализ конечных точек в APK файлах, изучение логики работы и передаваемых в запросе параметров, а также брутфорс OTP, приводящие к захвату аккаунта с помощью функции восстановления пароля по звонку.
➖ https://telegra.ph/Raskrytie-ehlektronnoj-pochty-i-zahvat-akkaunta-v-Facebook-04-30
#Web #ATO
😈 Эксплуатация SQL-инъекции в токене авторизации
В данной статье вы увидите пример уязвимости из за забытой валидации закодированных значений и последующую эксплуатацию SQL инъекцию в токене авторизации.
➖ https://telegra.ph/EHkspluataciya-SQL-inekcii-v-tokene-avtorizacii-12-11
#Injection | 💀 Этичный хакер
😈 Подборка браузерных расширений для Bug Bounty и пентеста
Некоторые расширения для браузера, которые помогают находить ошибки безопасности во время просмотра страницы.
➖ https://telegra.ph/Podborka-brauzernyh-rasshirenij-dlya-Bug-Bounty-i-pentesta-04-25
#Web #Extensions | 💀 Этичный хакер
