Life-Hack - Хакер

04 октября 2024 13:49

haccking/9619ncQy4q0">IDOR: Полное руководство по продвинутой эксплуатации уязвимостей IDOR

#статья #перевод #IDOR #web #bugbounty

Уязвимости IDOR (незащищённая прямая ссылка на объект) являются одними из наиболее часто встречающихся уязвимостей безопасности в современных веб-приложениях и API. Неудивительно, что они часто рекомендуются начинающим охотникам за уязвимостями, так как их легко обнаружить и эксплуатировать, и по своей природе они являются уязвимостями высокой степени опасности.

В этой статье рассматривается способ, как выявить уязвимости IDOR и как их можно эксплуатировать. Также будут рассмотрены более сложные случаи.

haccking/9619ncQy4q0">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

03 октября 2024 17:18

Каждое приложение, вне зависимости от его размера и назначения, может быть уязвимо, а учитывая количество атак и взломов в связи с тяжелой геополитической обстановкой, защита данных пользователей становится первоочередной задачей.

Ниже представлена подборка интересных статей по теме поиска уязвимостей, которая наверняка затянет вас в увлекательный мир #bugbounty

Первая подборка материалов на тему bugbounty

#web #статья #перевод #подборка

haccking/cGv-btyL-C_">• XSS в URL обратного вызова OAuth с обходом CSP, приводящий к захвату аккаунта без взаимодействия
haccking/5KiNtzz25uU">• Как я нашел свои первые 3 уязвимости за час
haccking/oLT7NpO-Pym">• От нуля до вознаграждения в $750 за Blind XSS
haccking/Yj_LSUCBTDo">• Как я обнаружил утечку исходного кода на 30+ веб-сайтах через папку .git в открытом доступе, с использованием Google Dorks.
haccking/qzp_caP6R9X">• Как я взломал правительство Нидерландов: эксплуатация невинного изображения для удаленного выполнения кода. Взлом правительства Нидерландов с помощью RCE.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

03 октября 2024 09:11

Fort

#firewall #defense #BlueTeam #admin

Надежный и простой в использовании фаервол, разработанный для Windows 7 и более поздних версий. Он предоставляет такие функции, как фильтрация по сетевым адресам и группам приложений, поддержка подстановочных знаков в путях к приложениям и ограничение скорости для групп приложений.

Кроме того, Fort включает в себя графическое отображение использования пропускной способности, статистику трафика и собственный драйвер ядра, основанный на Windows Filtering Platform (WFP).

Также он поддерживает списки блокировки через "Зоны" и фильтрацию по именам служб SvcHost.exe, что делает его универсальным и мощным решением для защиты сети.

Ссылка на GitHub.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

02 октября 2024 14:02

Исследователи из Лаборатории Касперского продолжают методично публиковать аналитику по изменения ландшафта угроз для ICS, представив отчет за второй квартал 2024 года.

Из основного:

- Согласно статданным, во втором квартале доля компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, снизилась по сравнению с предыдущим кварталом и составила 23,5%.

- В региональном аспекте аналогичное снижение наблюдалось в большинстве регионов. Однако показатель вырос только в Восточной Азии, Западной Европе, Австралии и Новой Зеландии, а также США и Канаде.

- В рейтинге отраслей с наиболее высокой долей компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно лидирует автоматизация зданий. В целом, показатель во всех исследуемых отраслях снижается уже второй квартал подряд.

- В целом за квартал защитные решения Лаборатории Касперского заблокировали в системах промышленной автоматизации вредоносное ПО из 11 349 семейств, относящихся к различным категориям.

- При этом по сравнению с предыдущим кварталом наиболее заметно (в 1,2 раза) выросла доля компьютеров АСУ, на которых были заблокированы программы-вымогатели.

- Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, почтовые клиенты и съемные носители.

Грузить конкретными цифрами и графиками нет смысла, достаточно наглядно и четко все отражено в отчете на сайте Kaspersky ICS CERT.

Life-Hack - Хакер

01 октября 2024 13:57

Kubernetes pentest

#Kubernetes #pentest #статья

Статья посвящена тестированию на проникновение Kubernetes. Предварительно статья разделена на сервисы и как их можно найти, эксплуатировать и может быть закрепиться.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

30 сентября 2024 18:16

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

30 сентября 2024 09:42

lssh

#ssh #admin #полезное

Менеджер соединений, который позволяет из окна одного tui приложения выбрать для работы нужный сервер. Имеет возможность параллельного выполнения команд на нескольких выбранных серверах одновременно.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

29 сентября 2024 13:04

Как я узнал номер паспорта и телефон премьер-министра по фото в Instagram

#OSINT #статья

Я занимался домашними делами, ни о чём плохом не думал, пил водичку и ни в коем случае не имел никаких намерений заниматься подрывной деятельностью против Австралийского Союза. А потом я получил сообщение…

Ссылка на статью.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки)

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

28 сентября 2024 17:08

Бот для поиска в судебных документах

Теперь поиск судимостей физического лица доступен прямо в Telegram.

Бот позволяет просматривать документы судов общей юрисдикции, арбитражных судов и мировых судей, с целью определения участия в судебных процессах физического лица(ФИО).

Присутствует возможность вводить дополнительный параметр - регион, для уточнения результатов поиска. Однако пока эта функция может работать некорректно, мы ещё работаем над этим.

Ответы предоставляются в формате таблицы со следующими столбцами :
Суд, ссылка на полный документ,
номер дела, даты поступления и вынесения решения,список участников.

Для каждого нового пользователя предусмотрено 2 бесплатных запроса.

Ссылка на бота тут!

Life-Hack - Хакер

28 сентября 2024 10:11

Bg Eraser

#AI #photo #полезное

Инструмент для удаления фона с изображений, который также способен устранять отдельные объекты. Легкими щелчками мыши можно убрать нежелательные элементы, стереть фоны и удалить водяные знаки с любых фото. Прост в использовании: просто отметьте объекты для удаления, и ИИ сделает остальное.

Ссылка на сервис.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

27 сентября 2024 13:40

Залетай на CyberCamp 2024!

3–5 октября пройдет главный онлайн-кэмп по практической безопасности ⚡️

Эксперты BI.ZONЕ, F.A.C.C.T., Positive Technologies, R-Vision, Инфосистемы Джет, Лаборатория Касперского, Код Безопасности и других подготовили практику и кейсы для всех участников 🔥

Что еще будет на кэмпе:
🔗 Интерактивный эфир, доклады и практические задания для всех
🔗 Общий призовой фонд — 5 000 000 рублей
🔗 Призы и мерч для активных участников и лидеров рейтинга
🔗 Самые масштабные в России командные киберучения

Бронируйте время в календаре и присоединяйтесь! Участие бесплатное.

Регистрация и программа на сайте

P.S. Если вы еще не успели зарегистрироваться, поспешите — в этом году организаторы кэмпа заранее подготовили несколько докладов и заданий для участников. Все задания, которые откроют до начала эфира, закроются ровно в 8:00 мск 3 октября.

Life-Hack - Хакер

26 сентября 2024 15:13

Подборка инструментов для поиска почтовых ящиков целевого домена/компании.

#подборка #osint #mail #RedTeam

- snov.io/email-finder

- experte.com/email-finder

- https://github.com/Josue87/EmailFinder

- github.com/GiJ03/Infoga

- infoga.io

- findemail.io

- hunter.io/domain-search

- https://anymailfinder.com/email-finder-by-domain

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

26 сентября 2024 10:11

EchoStrike

#RedTeam #pentest

Разверните обратные оболочки и выполните скрытую инъекцию процессов с помощью EchoStrike — инструмента на языке Go для этичного хакинга и Red Team проектов.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

25 сентября 2024 14:15

Продолжаем, погружаться в #Pentest с нашим новым бесплатным теоретическим курсом «Тестирование на проникновение"!

#статья #обучениеPentest

haccking/aCAMhFqVJ6v">DCShadow.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

24 сентября 2024 18:19

haccking/ixoSkGL5DEX">OSINT: не инструменты, а тип мышления

#OSINT #статья

Просто найти информацию — это ещё не ОСИНТ. ОСИНТ — способность мыслить стратегически, анализировать данные с разных сторон и находить новые подходы к поиску. Успешный ОСИНТер — это тот, кто может видеть за поверхностной информацией более глубокие взаимосвязи, а также использовать свою логику и интуицию для получения ответов там, где другие их не замечают.

haccking/ixoSkGL5DEX">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

04 октября 2024 10:11

Uptime-kuma

#monitoring #admin #полезное

И нструмент для мониторинга ресурсов в сети. Позволяет настроить различные проверки, например доступность по https. Умеет отправлять уведомления в Telegram, на почту и ещё в большое количество различных сервисов.

Демо без установки.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

03 октября 2024 13:14

haccking/I0ty0-YEEQa">Расширение смысла и инструментария OSINT в США

#OSINT #статья

Пробив дело тонкое и для каждой страны используется свой подход, особенно, если дело касается другого языка, культуры и менталитета. В качестве примера я вам покажу некоторые сервисы похожие на те, что есть в СНГ.

haccking/I0ty0-YEEQa">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

02 октября 2024 16:13

haccking/Q2c3bIjosqi">OSINT: Разведка в ЕВРОПЕ

#OSINT #статья

В статье на сегодня пойдёт разговор про OSINT на территории Европы.
Тема обширная, европа разношерстная, стран много, людей много, менталитет местами разный.

haccking/Q2c3bIjosqi">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

02 октября 2024 10:04

binsider

#reverse

Швейцарский нож для реверсёров. Инструмент может выполнять статический и динамический анализ, исследовать связанные библиотеки и выполнять дампы в шестнадцатеричном формате — всё это в удобном интерфейсе терминала.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

01 октября 2024 09:21

Arjun

#bugbounty #pentest #web

Инструмент для обнаружения параметров HTTP с помощью огромного словаря, содержащего 25 890 названий параметров. Ему требуется менее 10 секунд, чтобы просмотреть этот огромный список, делая всего 50-60 запросов к целевому адресу.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

30 сентября 2024 14:09

haccking/JihmxK_o4Jt">Удаленное выполнение кода (RCE) через инъекцию шаблонов на стороне сервера (SSTI)

#RCE #WAF #SSTI #web #перевод #статья

​В этой статье мы увидим, как я определил уязвимость удаленного выполнения кода и обошел правила Akamai WAF.

haccking/JihmxK_o4Jt">Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

29 сентября 2024 16:53

Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Simple reverse ICMP shell
3. Инструмент эксплуатации приложений на Android и iOS
4. OSINT: не инструменты, а тип мышления
5. Нейронка, которая позволяет вам обмениваться лицом в режиме реального времени
6. Инструменты для поиска почтовых ящиков целевого домена/компании
7. Огромная коллекция bug bounty отчетов с удобным разделением по типу уязвимости и не только
8. Четвертая неделя курса "Тестирование на проникновение"

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

29 сентября 2024 09:27

Socks Over RDP / Socks Over Citrix

#pivoting #SOCKS #RedTeam #RDP #pentest

Этот инструмент добавляет возможность использования SOCKS-прокси в Terminal Services (или Remote Desktop Services) и Citrix (XenApp/XenDesktop). Он использует динамический виртуальный канал, который позволяет нам общаться через открытое соединение RDP/Citrix без необходимости открытия нового сокета, соединения или порта на межсетевом экране.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

28 сентября 2024 13:19

На четвертой неделе курса "Тестирование на проникновение" мы познакомились с незаменимым инструментом Bloodhound, рассмотрели атаки: AS-REP Roasting; Kerberoasting; DCShadow, а также возможности делегирования в Active Directory, для атакующих.

Если вы что-то пропустили и желаете прочитать, то вот список материалов четвертой недели:

• Bloodhound
• AS-REP Roasting
• haccking/5vHKD4qgTTc">Kerberoasting
• haccking/kPhBkCrWnMU">Неограниченное делегирование.
• haccking/A0J1PSh9Dm9">Ограниченное делегирование.
• haccking/K14od5a8CJt">Ограниченное делегирование на основе ресурсов.
• haccking/aCAMhFqVJ6v">DCShadow.

Не забывайте следить и делиться нашим бесплатным курсом "Тестирование на проникновение"!

#статья #обучениеPentest #AD

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

27 сентября 2024 15:40

Топ раскрытых отчетов от HackerOne

#bugbounty #report #подборка #web

Огромная коллекция bug bounty отчетов с удобным разделением по типу уязвимости и не только.

• Top XSS reports
• Top XXE reports
• Top CSRF reports
• Top IDOR reports
• Top RCE reports
• Top SQLi reports
• Top SSRF reports
• Top Race Condition reports
• Top Subdomain Takeover reports
• Top Open Redirect reports
• Top Clickjacking reports
• Top DoS reports
• Top OAuth reports
• Top Account Takeover reports
• Top Business Logic reports
• Top REST API reports
• Top GraphQL reports
• Top Information Disclosure reports
• Top Web Cache reports
• Top SSTI reports
• Top Upload reports
• Top HTTP Request Smuggling reports
• Top OpenID reports
• Top Mobile reports
• Top File Reading reports
• Top Authorization Bypass reports
• Top Authentication Bypass reports
• Top MFA reports

Ссылка на репозиторий.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

27 сентября 2024 09:54

AI Image Variations

#AI #photo

На сайте ИИ поможет сгенерировать несколько изображений, которые будут близко к оригиналу.

Ссылка на сайт.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

26 сентября 2024 14:02

Нева-Автоматизация приглашает на вебинар «Vaulterix: корпоративное хранилище данных и совместная работа с документами», который состоится 1 октября в 11:00 (Мск).

"Vaulterix — корпоративный файлообменник для организации хранения, обмена данными и совместной работы с документами сотрудников и контрагентов, разработанный российской компанией “МИТРА СОФТ”.

Почти каждая компания сталкивается с утечками конфиденциальной информации. Одной из самых эффективных мер для безопасной работы с документами как внутри компании, так и с внешними контрагентами является российское решение Vaulterix.  

В фокусе вебинара:  
 • Что такое Vaulterix  
 • Как Vaulterix защищает важные данные компании  
 • Проблемы, которые решает продукт   
 • Вопросы и ответы  
  
Представители вендора расскажут об особенностях платформы Vaulterix:  
- Преимущества использования,   
- Архитектура платформы и особенности развёртывания,  
- Демонстрация настройки сценариев обмена файлами.

Участие бесплатное. Предварительная регистрация обязательна: https://vebinarmitrasoft.tilda.ws/page45984803.html

До встречи на вебинаре 01.10 в 11:00!

Life-Hack - Хакер

25 сентября 2024 18:15

LH | Новости | Курсы | Мемы

Life-Hack - Хакер

25 сентября 2024 10:11

DeepFaceLive

#Нейронка #полезное #DeepFakes

Нейронка, доступная на GitHub, которая позволяет вам обмениваться лицом в режиме реального времени с помощью обученных моделей лиц.

Репозиторий уже включает в себя список готовых к использованию моделей публичных лиц, включая Киану Ривза и мистера Бина. Пользователи также могут обучать свои собственные модели лица и не только.

Ссылка на GitHub.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Life-Hack - Хакер

24 сентября 2024 14:15

Продолжаем, погружаться в #Pentest с нашим новым бесплатным теоретическим курсом «Тестирование на проникновение"!

#статья #обучениеPentest

haccking/K14od5a8CJt">Ограниченное делегирование на основе ресурсов - RBCD (от англ. Resource Based Constrained Delegation).

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации