Life-Hack - Хакер

22 июня 2024 19:05

Хакер заявляет, что похитил у Apple исходные коды внутренних инструментов

#Apple #взлом #IntelBroker

Хакер под ником IntelBroker заявил на BreachForums, что похитил у компании Apple исходный код нескольких внутренних инструментов.

Согласно опубликованному злоумышленником сообщению, «в июне 2024 года у Apple.com произошла утечка данных» (к которой хакер, вероятно, был причастен), что и привело к раскрытию информации. IntelBroker утверждает, что в результате он заполучил исходный код для следующих внутренних инструментов компании: AppleConnect-SSO, Apple-HWE-Confluence-Advanced и AppleMacroPlugin.

Как отмечает издание 9to5Mac, об инструментах Apple-HWE-Confluence-Advanced и AppleMacroPlugin известно мало. Зато AppleConnect-SSO — это система аутентификации, которая позволяет сотрудникам получать доступ к определенным приложениям в сети Apple. Известно, что эта система интегрирована с базой данных Directory Services, что обеспечивает безопасный доступ к внутренним ресурсам.

Так, iOS-приложения, предназначенные только для сотрудников, используют AppleConnect-SSO для быстрой и безопасной аутентификации. Бывший сотрудник розничной сети Apple рассказал журналистам, что AppleConnect служит для сотрудников эквивалентом Apple ID и используется для доступа ко всем внутренним системам, за исключением электронной почты. Инструмент интегрирован во множество внутренних сервисов, используемых сотрудниками Apple Store, включая Concierge, EasyPay и MobileGenius, а также сайты AppleWeb и PeopleWeb и так далее.

Издание подчеркивает, что предполагаемая утечка явно локализована внутри компании и вряд ли затрагивает данные клиентов Apple.

В своем сообщении IntelBroker не раскрывает никакой дополнительной информации. Судя по всему, он намерен продать предположительно украденные у компании данные.

Напомним, что в последнее время IntelBroker регулярно сливает данные, похищенные у целого ряда правительственных учреждений США, включая Госдеп, Министерство обороны и армии США, а также Иммиграционную и таможенную полицию (ICE) и Службу гражданства и иммиграции США (USCIS).

Кроме того, ранее IntelBroker связывали с другими громкими инцидентами, включая утечку данных, затронувшую членов и сотрудников Палаты представителей США (нижняя палата Конгресса США), взлом Hewlett Packard Enterprise (HPE), утечку данных General Electric, утечку данных разведывательного альянса Five Eye и так далее.

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

22 июня 2024 10:11

Cloud Enum

#OSINT #cloud #AWS #Azure

Multi-cloud OSINT-инструмент. Перечисление общедоступных ресурсов в AWS, Azure и Google Cloud.

Поможет найти:

• Open / Protected S3 Buckets
• awsapps (WorkMail, WorkDocs, Connect, etc.)
• Storage Accounts
• Open Blob Storage Containers
• Hosted Databases
• Virtual Machines
• Web Apps
• Open / Protected GCP Buckets
• Open / Protected Firebase Realtime Databases
• Google App Engine sites
• Cloud Functions (enumerates project/regions with existing functions, then brute forces actual function names)
• Open Firebase Apps

Life-Hack - Хакер

21 июня 2024 10:11

Keyfinder🔑 - инструмент, который позволяет находить ключи во время веб-серфинга!

#Web #bugbounty

Это расширение для Chrome, которое ищет ключи для определенного API (например, Google maps API) в DOM. Вы можете добавить ключевые слова для поиска на любом веб-сайте, который вы посещаете.

Функции:
• ищет в DOM "src" скриптов и смотрит на наличие определенных слов, таких как "keys".
• работает в фоновом режиме
• расширяется (так как вы можете добавлять слова)

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

20 июня 2024 16:07

По данным сайта hh.ru, профессия специалиста по кибербезопасности находится на первом месте по востребованности в 2024 году.
 
Если вы хотите защищать бизнес и госсектор от хакерских атак и бороться со злоумышленниками в цифровой среде, получите востребованную профессию в онлайн-магистратуре НИУ ВШЭ и Нетологии «Кибербезопасность». Диплом ведущего вуза и актуальные знания от экспертов-практиков откроют вам дорогу на руководящие позиции в сфере кибербезопасности.
 
За 2 года вы освоите современные инструменты и технологии информационной безопасности, научитесь программировать на Python, пройдёте практику у партнёров и наполните своё портфолио.
 
Во время обучения вы примете участие в киберучениях на учебном полигоне компании «Инфосистемы Джет», выполните лабораторные работы на серверах ВШЭ и проведёте пентест реальной компании. По окончании программы получите диплом магистра по направлению «10.04.01 Информационная безопасность».
 
Узнать подробности о программе 👉 https://netolo.gy/deJM

Реклама. ООО "Нетология". Erid: 2VSb5wSXhLL

Life-Hack - Хакер

19 июня 2024 19:21

Поддержите нас бустом 🙌
Осталось совсем чуть чуть 💪🏻

Life-Hack - Хакер

19 июня 2024 14:16

Промпт-инженеринг — новый хайп или перспективная профессия? 🤔

Рассказываем про направление с большим потенциалом и маленькой конкуренцией на рынке на нашей бесплатной лекции.

По итогам эфира вы узнаете:
— Кто такой промт-инженер и чем он занимается;
— Как интегрировать скиллы промт-инжинеринга в работу, если вы работаете в IT;
— Кому в действительности нужны его услуги и какие результаты это даст;
— Сколько платят промт-инженеру в России и мире;
— Кто может стать промт-инженером и какой порог входа;

Кликай на ссылку и забирай подробную информацию вместе с классными бонусами 👈🏼

erid: LjN8KXeHA
ООО Зерокодер, ИНН 9715401631

Life-Hack - Хакер

18 июня 2024 16:50

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

18 июня 2024 11:03

MaxPatrol SIEM — не делайте это сами 🦾
27 июня в 14:00 (мск)

💥 MaxPatrol SIEM берет на себя рутинную работу аналитика по мониторингу и управлению событиями на себя.
Регистрируйтесь на онлайн-запуск MaxPatrol SIEM 8.2, чтобы узнать, как ML-модуль BAD 🤖 не только выдает второе мнение по событию в виде risk score, но и самостоятельно обнаруживает целенаправленные атаки.

Регистрируйтесь, чтобы узнать обо всех обновлениях системы и получить гайд по подключению источников. Авторы лучших вопросов получат памятные призы!

👉 Зарегистрироваться

Life-Hack - Хакер

17 июня 2024 15:02

Подведем итоги нашего бесплатного курса "OSINT для новичков". В рамках курса были изучены фундаментальные основы поиска по открытым источникам (Open-Source Intelligence) и инструменты для автоматизации этого процесса. Также были рассмотрены специальные сервисы для сбора данных, часть из которых уже достаточно известна в кругах специалистов, а часть знакома лишь единицам и стремительно набирает популярность. Этот курс поможет вам понять важность защиты данных и конфиденциальности.

Если вы что-то пропустили и желаете прочитать, то вот список пройденых материалов:

Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking

Вторая серия материалов - "OSINT инструменты":
• Хакерские поисковые системы.
• OSINT на платформе Telegram.
• OSINT: theHarvester и HaveIbeenPwned.
• OSINT: Snoop, GHunt, ReconSpider.
• OSINT: Поиск по фото.
• Инструменты для OSINT в VKontakte и YouTube.
• OSINT: Отслеживание транспорта

Не забывайте делиться нашим бесплатным курсом "OSINT для новичков"!

P.S.: Подборки полезных материалов, которые мы любезно собрали специально для вас:
• OSINT подборка №1
• OSINT подборка №2
• OSINT подборка №3

P.P.S.: Ещё немного полезного по теме OSINT:
• OSINT collection.
• Remini: Инструмент размытия/повышения резкости изображения может помочь получить лучший результат обратного поиска изображений и распознавания лиц.
• Cleanup.Pictures: Один из лучших онлайн-инструментов для удаления фотообъектов, которые я когда-либо видел.
• Как «пробить» человека в Интернете: используем операторы Google и логику
• Red Team Trickery.
• История одного наследства: как я с помощью OSINT и социальной инженерии заскамил скамера.

Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.

#OSINT #обучениеOSINT #статья

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

17 июня 2024 10:11

Bandit

Это инструмент, предназначенный для поиска распространенных проблем безопасности в коде Python. Для этого Bandit обрабатывает каждый файл, строит из него AST и запускает соответствующие плагины на узлах AST. После того, как Bandit закончит сканирование всех файлов, он сгенерирует отчет.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

16 июня 2024 13:33

Брутфорс хэшей в Active Directory

#AD #RedTeam #hashcat

Слабые пароли пользователей — очень распространенная проблема, которая может позволить злоумышленнику повысить свои привилегии и закрепиться в сети компании.

В этой статье мы расскажем о том, как можно легко получить хэши паролей пользователей и провести эффективный перебор паролей, используя различные методы.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

15 июня 2024 14:02

Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре

#статья #XSS #BugBounty

Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.

Материал будет интересен специалистам, которые уже сталкивались с DOM XSS и Prototype Pollution. Если вы еще не знакомы с этими уязвимостями, стоит обратить внимание на лабораторные PortSwigger и теорию и только потом приступать к изучению DOM Invader. А если знакомы, то быстро вспомним основные понятия и объясним, а в чем же, собственно, состоит опасность.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

14 июня 2024 15:02

На второй неделе курса "OSINT для новичков" мы познакомились с полезными OSINT сервисами и утилитами, хакерскими поисковиками, разобрали способы получения OSINT информации на различных платформах, научились искать информацию по фото и отслеживать любой вид транспорта.

Если вы что-то пропустили и желаете прочитать, то вот список материалов второй недели:

Вторая серия материалов - "OSINT инструменты":
• Хакерские поисковые системы.
• OSINT на платформе Telegram.
• OSINT: theHarvester и HaveIbeenPwned.
• OSINT: Snoop, GHunt, ReconSpider.
• OSINT: Поиск по фото.
• Инструменты для OSINT в VKontakte и YouTube.
• OSINT: Отслеживание транспорта

Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!

Первая неделя курса.

Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.

#OSINT #обучениеOSINT #статья

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

14 июня 2024 10:11

Evading Detection: A Beginner's Guide to Obfuscation

Защитники постоянно адаптируют свою систему безопасности для противодействия новым угрозам. Задача атакующих состоит в том, чтобы определить, как они планируют защищать свои системы, и избежать идентификации как угрозы. Это практическое занятие для изучения методологии, лежащей в основе доставки вредоносных программ и предотвращения обнаружения. На этом семинаре исследуется внутренняя работа Microsoft's Antimalware Scan Interface (AMSI), Windows Defender и Event Tracing для Windows (ETW). Мы узнаем, как использовать вредоносное ПО обфусцированное с помощью Visual Basic (VB), PowerShell и C#, чтобы обойти защиту Microsoft. Студенты научатся создавать методы обхода AMSI, обфусцировать полезную нагрузку, а также об альтернативных методах уклонения.

Ссылка на репозиторий.

Видео на YouTube:
• Beginner's Guide to Obfuscation - 2022
• Beginner's Guide to Obfuscation - 2021

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

13 июня 2024 14:51

Продолжаем, погружаться в мир #OSINT с нашим бесплатным теоретическим курсом "OSINT для новичков"!

#статья #обучениеOSINT

Вторая серия материалов: "OSINT инструменты"

OSINT: Отслеживание транспорта.

Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!

Первая неделя курса.

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

22 июня 2024 14:37

Продолжаем, погружаться в #Pentest с нашим новым бесплатным теоретическим курсом «Тестирование на проникновение"!

#статья #обучениеPentest

Основные этапы тестирования.

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

21 июня 2024 14:16

Друзья, приветствуем вас на нашем новом бесплатном теоретическом курсе «Тестирование на проникновение"!

#статья #обучениеPentest

Тестирование на проникновение (#Pentest) - это метод активного анализа безопасности информационных систем путем имитации атаки злоумышленника. Тестирование помогает выявить уязвимости, которые могут быть использованы для несанкционированного доступа и полной компрометации сети компании.

Пентест является незаменимым способом оценки и улучшения безопасности информационных систем. Успешное проведение пентеста помогает повысить уровень защиты и предотвратить возможные атаки злоумышленников.

Моделирование атаки - тестрирование на проникновение.

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

20 июня 2024 17:09

Крекер. SQL инъекции. Уязвимость LFI

#SQLi #LFI #статья

Наша новая рубрика "Крекер"! В серии этих статьей мы будем разбирать различные уязвимости и их эксплуатацию. В этой вступительной статье мы разберём уязвимости SQL, LFI и инструменты их эксплуатации.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

20 июня 2024 11:12

Список тестовых заданий для прокачки

Тестовые задания для самостоятельного выполнения от разных IT компаний

Ссылка на GitHub.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

19 июня 2024 15:17

Встраиваем JS- скрипты в PDF для социальной инженерии — пошаговое руководство

#RedTeam #phishing #статья

Согласно статистике, большинство всех атак совершается с использованием вредоносного программного обеспечения, а половина от всех атак проводится с использованием методов социальной инженерии.

В статье представлена пошаговая инструкция, как сделать фишинговый документ (детали и примеры кода). Кроме того, кратко рассмотрена структура PDF-файла, описано как и куда в него внедрять JavaScript, а также способы маскировки факта внедрения скрипта.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

19 июня 2024 10:11

WELA

#Log #Windows #BlueTeam

WELA (Windows Event Log Analyzer) призван стать незаменимым помощником при анализе журналов событий Windows. Самым большим плюсом WELA является создание простой для анализа временной шкалы входа в систему, чтобы помочь с быстрым реагированием на инциденты и расследованием. Генератор временной шкалы входа в систему использует только полезную информацию из журнала (4624, 4634, 4647, 4672, 4776), игнорируя около 90% шума, и преобразует любые трудночитаемые данные (например, шестнадцатеричные коды состояния) в удобочитаемый формат.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

18 июня 2024 12:01

«Я стал тимлидом и боюсь». Что почитать и зачем

#статья

Стресс, связанный с переходом на менеджерскую роль, способен пошатнуть любые, даже самые крепкие нервы. А если ваше решение стать руководителем желанное и осознанное, то вы легко можете загнать себя в ловушку из двух стен: тревожности и перфекционизма.

В этой статье поделюсь своим личным топом книг, которые оказались в свое время полезны мне и, я уверен, будут полезны и вам как будущим или начинающим техническим менеджерам.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

18 июня 2024 08:09

WMEye

#RedTeam #lateralmovement

Инструмент разработан для бокового перемещения с использованием WMI и удаленного выполнения MSBuild. Он загружает закодированный/зашифрованный шеллкод в WMI Class Property удаленной цели, создает фильтр событий, который при срабатывании записывает полезную нагрузку на основе MSBuild, используя специальный WMI Class под названием LogFileEventConsumer, и, наконец, выполняет полезную нагрузку.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

17 июня 2024 14:03

На конференциях по кибербезу теперь можно найти работу

CyberYozh выкатил новый формат онлайн-конференции, где можно не только послушать умных дядек из отделов безопасности, но и получить оффер от крупной компании.

Мероприятие под названием «Войти_в_IT» пройдет с 20 по 28 июня. Выступать будут руководители направлений из VK, СберТех, HH, RuTube и других компаний.

😎Основной уклон мероприятия на кибербез и защиту от мошенничества, но фишка здесь в другом: каждый участник может оставить заявку на стажировку или работу.

Участие полностью бесплатное, а расписание можно посмотреть здесь.

Life-Hack - Хакер

16 июня 2024 16:37

Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Инструменты для OSINT в VKontakte и YouTube.
3. Mimikatz Comprehensive Guide
4. Email Hunter
5. Вторая серия материалов - "OSINT инструменты"
6. Инструменты для анализа и тестирования безопасности баз данных

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

16 июня 2024 10:11

Инструменты для анализа и тестирования безопасности баз данных

1. NoSQLMap: Это инструмент на Python, предназначенный для аудита и автоматизации атак на инъекции, а также эксплуатации слабостей в конфигурации NoSQL.

2. jSQL Injection: Это легкое приложение, используемое для поиска информации о базе данных с сервера. Он бесплатный, с открытым исходным кодом и кросс-платформенный .

3. SQLiv: Массивный сканер уязвимостей SQL-инъекций.

4. BBQSQL: Это инструмент для эксплуатации SQL-инъекций, который построен так, чтобы быть чрезвычайно универсальным и тестировать любые виды баз данных.

5. ODAT: это инструмент с открытым исходным кодом для тестирования безопасности баз данных Oracle.

6. Enumdb: это инструмент для перебора и постэксплуатации реляционных баз данных, таких как MySQL и MSSQL.

7. PowerUpSQL: Набор инструментов PowerShell, предназначенный для проведения атак на SQL Server, включает в себя функции для аудита слабых конфигураций и эскалации привилегий.

8. Mongoaudit: Инструмент для аудита серверов MongoDB, обнаружения слабых настроек безопасности и проведения автоматизированного тестирования на проникновение.

9. SQLmap: Инструмент для тестирования на проникновение с открытым исходным кодом, который автоматизирует процесс обнаружения и эксплуатации уязвимостей SQL-инъекции и захвата базы данных.

10. SQLi Hunter: Программа на Python, которая проверяет уязвимость URL'ов на SQL (слепую) инъекцию. Программа разработана таким образом, чтобы быть простой в использовании, практичной и полезной.

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

15 июня 2024 10:11

PowerView.py

#ad #RedTeam

Это альтернатива потрясающему оригинальному инструменту PowerView. Большинство модулей, используемых в PowerView, доступны в этом проекте.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

14 июня 2024 14:01

Start EASM — новый продукт экосистемы Start X, который позволяет управлять внешней поверхностью атаки и защищать компанию от угроз человеческого фактора

Start EASM не только показывает информацию об угрозах на внешней поверхности атаки, но и определяет причину их возникновения — небезопасные действия сотрудников. Он помогает:

— провести инвентаризацию публичных активов компании,
— увидеть подробную информацию по каждому из них,
— определить и назначить владельцев на каждый актив,
— построить непрерывный процесс обучения с помощью других продуктов экосистемы Start X: AWR, EDU и CTF.

Благодаря этому команды безопасности могут увидеть и устранить саму причину появления угроз на внешней поверхности атаки — через целевое обучение своих сотрудников, тренировку навыков безопасной работы и доставку актуальных требований до продуктовых команд.

Запишитесь на бесплатную демонстрацию, чтобы узнать как Start EASM поможет именно вашей компании.

Реклама
ООО "Антифишинг"
erid 2VtzqxRqtmm

Life-Hack - Хакер

13 июня 2024 20:03

Яндекс Браузер лучше других защищает от фишинга — Softline

Тестирование проводилось на платформах Windows, Android и iOS. В общей сложности эксперты проанализировали шесть браузеров: Safari, Firefox, Edge, Opera, Yandex Browser и Google Chrome. Лучше всего на сайты злоумышленников реагировал Яндекс Браузер — он обнаружил в семь раз больше фишинговых сайтов, чем Chrome, который занял второе место в рейтинге. Далее расположились Firefox и Edge, а пятое и шестое места достались Opera и Safari соответственно.

При проведении исследования аналитики Softline использовали методику, при которой браузеры анализировали 100 новых фишинговых сайтов, после проверки они блокировались.

#рекомендация

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

13 июня 2024 10:11

Email Hunter

#email #OSINT

Плагин который легко извлекает адреса электронной почты с посещаемых страниц и автоматически их сохраняет. Найдет адреса электронной почты независимо от того, что вы видите на странице.

Ссылка на расширение.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Меняй крипту тут