Life-Hack - Хакер

09 февраля 2025 12:16

haccking/ap04-PUfkqO">Захват аккаунта: Как я нашел способ получить доступ к любому аккаунту благодаря простой ошибке в регистрации

#статья #перевод #web #bugbounty #OTP #ATO

простой недостаток в процессе регистрации может привести к легкому захвату учетной записи. Обходя проверку электронной почты и используя такую уязвимость, как отсутствие истечения срока действия OTP, я смог легко взять под контроль любую учетную запись пользователя или сотрудника. Я также обнаружил, что, слегка изменив адрес электронной почты, например используя такие варианты, как attabombo5@gmail.coM или moraa3@company.coM, я могу переписать существующую учетную запись и полностью обойти процесс верификации.

haccking/ap04-PUfkqO">Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

08 февраля 2025 13:13

Быстрые советы по ОСИНТ: 2 простых способа обойти навязчивую страницу входа в Твиттере.

#статья #перевод #OSINT

Как часто вы пытались посетить профиль в Твиттере (без авторизации) и замечали, что первоначально он может отобразиться, а затем вы сразу же видите раздражающее всплывающее окно входа в систему? Без учетной записи (которую становится все труднее создать и сохранить), вы не сможете преодолеть этот неожиданный барьер.

Раздражает, но нет ничего невозможно. То есть, если все, что нам нужно видеть, это верхняя часть страницы профиля, где хранятся биография, местоположение, ссылки и другая полезная информация, если это все, что вам нужно от целевой страницы, вот несколько простых вариантов...

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

07 февраля 2025 13:18

Active Directory под прицелом: ищем следы злоумышленников в корпоративной сети с помощью BloodHound

#pentest #BloodHound #AD

В статье расскажу о том, как работает это приложение и за что его так любят вышеупомянутые специалисты. Мы выясним, почему мониторинг Active Directory является ключевым элементом в построении безопасной сетевой инфраструктуры, и разберемся, как теория графов помогает защищать корпоративные сети. Напоследок поделюсь парой практических советов, которые помогут вам максимизировать пользу от этого инструмента при проведении пентестов.

Ссылка на чтиво

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

06 февраля 2025 17:27

OSINT хакеры: как они используют открытые данные для взломов и как защититься

#OSINT #статья

В этой статье мы рассмотрим, как хакеры применяют OSINT для подготовки и осуществления атак, а также обсудим потенциальные риски и меры предосторожности, которые могут помочь защитить информацию в условиях растущей угрозы.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

06 февраля 2025 09:12

Tryharder

#pentest #payload #loader #bypass #av

Поэтапный загрузчик шеллкода на C++ с возможностями обхода средств защиты.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

05 февраля 2025 15:18

😈 Senior-безопасник создал крутейший канал про ИБ

Благодаря простым картинкам даже новичок поймет основы хакинга и информационной безопасности.

Присоединяйтесь: @infosec

Life-Hack - Хакер

04 февраля 2025 16:59

Пробив по номеру телефона в Telegram: как найти информацию и защитить свои данные

#OSINT

В Telegram существует возможность поиска контактов не только через стандартный интерфейс, но и с помощью ботов. Некоторые боты предлагают функции, которые могут помочь в поиске пользователей по номеру телефона или другим критериям.

Узнайте, как работает поиск по номеру телефона в Telegram, какие инструменты использовать и как защитить свои данные. Полное руководство с примерами и советами.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

04 февраля 2025 09:12

CORS-one-liner

#web #bugbounty #CORS #pentest

Это чрезвычайно полезная и практичная шпаргалка для охотников за ошибками, которая помогает вам найти неправильную настройку CORS. Вам просто нужно заменить https://example.com на URL-адрес, который вы хотите проверить. Это поможет вам просканировать уязвимость CORS без необходимости использования сложного инструмента. Все, что вам нужно сделать, это скопировать и вставить команды в свой терминал и держать пальцы скрещенными на случай нахождения какой-либо уязвимости CORS.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

03 февраля 2025 13:18

Нева-Автоматизация приглашает вас принять участие в вебинаре "Обзор и характеристики отечественных систем виртуализации", который состоится 06 февраля в 11:00 МСК.

Мы начинаем новый образовательный 2025 год с обзорного онлайн-семинара по системам виртуализации, имеющимся в нашем портфеле решений!

Вы познакомитесь с актуальными российскими решениями на рынке виртуализации, узнаете об их особенностях и ключевых преимуществах: кому подойдут те или иные решения, какой уникальный функционал они предлагают. Отдельно затронем вопрос миграции на импортонезависимые гипервизоры.

Эксперты дистрибьютора Axoft предложат вам рекомендации по выбору оптимальных решений, полностью соответствующих вашим задачам и требованиям.

В течение вебинара у вас будет возможность получить ответы на все интересующие вопросы, а также обратиться за индивидуальной демонстрацией.

Присоединяйтесь к вебинару 06 февраля в 11:00 и узнайте больше о решениях:

- ПК СВ «Брест» (Группа Астра),
- Альт Виртуализация («Базальт СПО»),
- РЕД Виртуализация (РЕД СОФТ), Rosa Virtualiazation (РОСА),
- HOSTVM,
- Кибер Инфраструктура (КИБЕРПРОТЕКТ),
- Numa vServer (Нума Технологии),
- Базис.vCore («Базис») и др.

Участие по предварительной регистрации: https://axoftglobal.ru/events/obzor_i_kharakteristiki_otechestvennykh_sistem_virtualizatsii_neva

До встречи на вебинаре 06 февраля в 11:00!

Life-Hack - Хакер

02 февраля 2025 15:04

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Капча в виде DOOM
3. Подборка инструментов для резервного копирования
4. Как я заработал $15k из-за утечки секретов GitHub
5. Список open source сканеров, для тестирования безопасности веб-сайтов
6. Отопление майнингом. Как я грею дом бесплатно и получаю от этого дополнительный доход
7. OSINT для начинающих: полное руководство по работе с открытыми источниками

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

02 февраля 2025 09:12

PoshC2

#C2 #malware #RedTeam #payload #pentest

C2 фреймворк для Red Team проектов. Пригодится для постэксплуатации и бокового перемещения.

Ссылка на инструмент

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

01 февраля 2025 09:12

AwesomeXSS

#xss #bugbounty #web

Набор инструментов, ресурсов и информации, связанных с поиском и эксплуатацией XSS. Репозиторий полезен для багхантеров и тех, кто хочет глубже понять, как защитить свои веб-приложения от XSS атак.

Ссылка на инструмент

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

31 января 2025 13:03

Исследователи из Лаборатории Касперского сообщают о новой вредоносной кампании, нацеленной на пользователей Android-устройств с использованием стилера Tria.

Злоумышленники используют фишинг (приглашения на свадьбу в качестве приманки) для распространения вредоносного APK-файла и в случае успешной атаки получают доступ к личным сообщениям и электронной почте жертвы. 

География атак ограничена двумя странами - Малайзией и Брунеем.

Наибольшее количество детектов пришлось на середину 2024 года, однако фиксируется распространение Tria и в январе 2025 года.

Задетектить новую угрозу удалось благодаря телеметрии Kaspersky Security Network (KSN) и данных сторонних антивирусных платформ.

Затем в соцсетях обнаружились многочисленные посты пользователей Android из Малайзии с обсуждением вредоносных APK и взломов WhatsApp.

Нашлось сразу две версии вредоносных APK: первая появилась в марте, а вторая - в августе 2024 года.

Последняя включала дополнительный функцион, а также новые формулировки в сообщениях, отправляемых в Telegram-боты.

Название Tria обусловлено именем пользователя в сообщениях, которые стилер передает на командный сервер при первом запуске. Возможно, Mr. Tria отвечает за поддержку или вовсе за организацию всей кампании.

Замеченные артефакты на индонезийском языке в совокупности с шаблонами наименований Telegram-ботов для связи с С2 указывают на то, что за атаками стоят злоумышленники, владеющие индонезийским языком.

Похожие сценарии использовались в кампаниях с UdangaSteal в отношении жителей Индонезии, Малайзии и Индии, однако между кампаниями есть существенные различия.

Стилер Tria собирает данные из SMS и электронной почты (например, из сервисов Gmail и Outlook), ведет мониторинг журналов вызовов и сообщения (например, из приложений WhatsApp и WhatsApp Business).

Tria задействует API Telegram для отправки собранных данных через несколько ботов. Стилер обрабатывает все собранные данные и отправляет их в бот одним сообщением.

Согласно наблюдениям, злоумышленники используют отдельные Telegram-боты для работы с разными типами украденных данных: один используется для сбора текстовых данных из мессенджеров и электронной почты, а другой - для работы с SMS.

Злоумышленники используют украденные данные для взлома учетных записей жертвы в WhatsApp и Telegram, которые затем задействуется для рассылки сообщений контактам жертвы для доставки вредоносного APK-файла или просьб перевести деньги.

Кроме того, перехватывая содержимое SMS-сообщений, злоумышленники также могли взламывать учетные записи жертв в различных сервисах для осуществления другой вредоносной деятельности.

Подробный технический разбор и IoC Tria - в отчете.

Life-Hack - Хакер

30 января 2025 17:16

OSINT для начинающих: полное руководство по работе с открытыми источниками

#OSINT

OSINT (Open Source Intelligence) — это процесс сбора, анализа и использования информации из открытых источников, таких как интернет, публикации, социальные сети, базы данных и другие доступные материалы.

Узнайте, что такое OSINT, как использовать его для поиска информации, и какие инструменты помогут вам начать. Подробное руководство для новичков с примерами и советами.

Ссылка на статью

P.S.
Поддержите канал на дзене лайком, мы стараемся для вас!

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

30 января 2025 09:12

Screenpipe

#AI #Ollama #полезное

Screenpipe — Записывает ваш экран, а затем пропускает то, что вы сделали, через Ollama. Программа позволяет автоматически собирать данные с экрана и аудиовхода. Особое внимание уделяется безопасности данных, с акцентом на локальное хранение в SQLite.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

09 февраля 2025 09:12

Favihash

#OSINT #recon #pentest #bugbounty

Получите хэш фавикона сайта (по URL или файлу) и быстро найдите его в Shodan или Censys.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

08 февраля 2025 09:13

WEF

#WiFi #RedTeam #взлом

Этот проект был создан для изучения и тестирования безопасности беспроводных сетей. Это фреймворк для проведения аудита Wi-Fi сетей с использованием различных типов атак на WPA/WPA2, WPS и WEP, автоматизированного взлома хэндшейков и многого другого.

Ссылка на инструмент

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

07 февраля 2025 09:12

Global Brand Database

#OSINT

Глобальная база брендов.
Можно искать по названию, по части названия, по фото, по правообладателю и по стране.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

06 февраля 2025 13:18

Сценарий анализа киберинцидента

#статья #перевод #Forensics #Volatility

Вы аналитик кибербезопасности ведущего финансового учреждения, ваше SIEM-решение зафиксировало необычную активность на внутренней рабочей станции. Учитывая чувствительные финансовые данные, которые могут быть под угрозой, необходимо предпринять немедленные действия для предотвращения потенциальных утечек.

Ваша задача - проанализировать предоставленный дамп памяти из скомпрометированной системы. Вам необходимо выявить основные индикаторы компрометации (IOC) и определить масштаб вторжения. Исследуйте вредоносные команды или файлы, выполненные в среде, и подробно сообщите о своих находках для помощи в восстановлении и улучшении будущих защит.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

05 февраля 2025 16:18

AI на фронтире кибервойны. Как LLM меняют ИБ-ландшафт

#AI #LLM #статья

Искусственный интеллект в информационной безопасности — такая обширная тема, что можно легко заблудиться в дебрях спекулятивных прогнозов. Понятие ИИ охватывает все — от рекомендательных алгоритмов, подсовывающих видео с котиками, до роботов, которые хотят убить всех человеков. Чтобы не написать вместо статьи сценарий низкобюджетного sci-fi, стоит сузить фокус.

Представим, что мир ИИ застыл. Никаких революций, никаких сверхразумных AGI на горизонте. Сосредоточимся на анализе больших языковых моделей (LLM) и их влиянии на информационную безопасность. Конечно, выпуск новой мощной модели может разнести вдребезги все эти выкладки, но примем этот риск. Ведь с чего-то надо начинать.

В этой статье я рассмотрю, какие новые возможности открываются перед атакующими и защитниками, и что за вызовы стоят перед отраслью. Под катом вас ждет увлекательное путешествие на ИБ-фронтир.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

05 февраля 2025 10:13

Bellingcat Challenges

#OSINT

Тренировочные задания для OSINT-исследователей. Проверь свои навыки. Разблокируй задачи, выполнив предыдущие в серии, или подожди, пока они со временем откроются.

Ссылка на сайт

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

04 февраля 2025 13:17

Необычные проекты на базе «малинки»: что можно сделать своими руками

#статья #raspberrypi
#малинка

Raspberry Pi — это настоящий клад для тех, кто любит мастерить и экспериментировать. С его помощью можно собрать всё что угодно: умный дом, игровую приставку, робота или даже собственную метеостанцию. Посмотрим на самые крутые «малиновые» DIY-проекты, которые можно повторить.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

03 февраля 2025 14:18

Ansible + Grafana Loki: Настраиваем отправку уведомлении в чат после логина на сервер по SSH.

#статья #SSH #мониторинг #DevOps #Ansible #Grafana

В этой статье мы развёрнем через Terraform несколько серверов в Yandex.Cloud, а затем при помощи Ansible настроим необходимый софт на каждом сервере. У нас будет основной сервер, где будет развёрнут Loki (система агрегирования логов) и Grafana (инструмент для визуализации данных), на серверах, которые мы хотим отслеживать, будет установлен Promtail (агент для сбора и отправки логов). Мы разберёмся с тем, как отслеживать входы на сервер, а затем в удобном формате отправлять об этом уведомления в чат Telegram с помощью вышеуказанных сервисов.

Помимо этого, вы можете использовать Grafana не только для отслеживания коннектов к вашим серверам. Вы также можете развернуть Node-Exporter(-s)+Prometheus для мониторинга, чтобы отслеживать производительность серверов.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

03 февраля 2025 09:12

Sickle

#payload #pentest #shellcode

Инструмент для разработки полезной нагрузки. Хотя текущие модули в основном ориентированы на ассемблер, этот инструмент не ограничивается одним лишь shellcode.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

02 февраля 2025 12:14

Как установить и использовать ИИ-модель DeepSeek R-1 на вашем компьютере

#AI #статья #полезное

Многие говорят о DeepSeek R-1 — новой языковой ИИ-модели с открытым исходным кодом, созданной китайской ИИ-компанией DeepSeek. Некоторые пользователи утверждают, что по возможностям рассуждения она не уступает или даже превосходит модель o1 от OpenAI.

В настоящее время DeepSeek можно использовать бесплатно, что является отличной новостью для пользователей, но вызывает некоторые вопросы. Как при таком резком росте числа пользователей они справляются с затратами на сервера?

Ведь эксплуатационные расходы на оборудование не могут быть дешёвыми, верно?

Единственный логичный ответ здесь — данные. Данные — это жизненная сила ИИ-моделей. Вероятно, они собирают данные о пользователях, чтобы использовать их в своей модели квантовой торговли или для другой формы монетизации.

Поэтому, если вы беспокоитесь о конфиденциальности данных, но при этом хотите использовать R1, не предоставляя свои данные, лучший способ — запустить модель локально.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

01 февраля 2025 13:17

Forensics: Обзор инструментария и тренировочных площадок

#статья #Forensic

Форензика (компьютерная криминалистика, расследование киберпреступлений) — прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. В этой статье мы рассмотрим популярные инструменты для проведения криминалистического анализа и сбора цифровых доказательств.

Ссылка на чтиво

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

31 января 2025 14:38

Топ-8 самых удобных систем управления задачами в 2025 году. Обзор и рейтинг

#статья #lead #полезное

Я Иван, за двадцать лет самых разных занятий в области инфотеха успел плотно поработать переводчиком внутри разных удалённых команд, даже поруководил проектом. Людей было не много, но сейчас жалею, что не пользовался одним из этих таск-трекеров, а вёл вручную огромный чек-лист контроля качества текстов.

Сегодня делюсь рейтингом из восьми лучших, перебранных руками, систем управления задачами — именно задачами, причём для небольших и средних команд.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

31 января 2025 09:12

DCOMUploadExec

#payload #RedTeam #pentest

Продвинутая техника бокового перемещения для загрузки и выполнения пользовательских полезных нагрузок на удаленных компьютерах.

Ссылка на статью
Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

30 января 2025 13:16

Cговор менеджеров среднего звена одной зелёной и одной красной компании позволяет выводить миллионы со счетов россиян

#статья #арест #мошенники

Это история про русского предпринимателя Анатолия, который попал в Нью-Йоркский СИЗО. В жизни бывает всякое. Главное – не забывать родину. А уж родина... Пока Анатолий боролся с ФБР и мерил шагами камеру, наши ребята не растерялись и вывели все деньги с его счетов. А ещё месяц в тюрьме – и домой можно не возвращаться, ведь и дома уже не будет!

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

29 января 2025 13:18

Отопление майнингом. Как я грею дом бесплатно и получаю от этого дополнительный доход

#статья #crypto #майнинг #полезное

2023 год мы с коллегой занимаемся монтажом отопления и вдруг на просторах интернета коллега замечает ролик про майнер, который охлаждается водой. Тут приходит одна незамысловатая мысль. Возможно ли будет интегрировать этот аппарат  в систему отопления дома и зимой получать бесплатное отопление. Как оказалось далее, ДА! Первые часы был небольшой шок, это вообще законно, греть дом еще и помимо этого получать прибыль с майнинга.

Ссылка на статью

LH | Новости | Курсы | OSINT