Life-Hack - Хакер

28 апреля 2025 15:16

Инфраструктурный пентест по шагам: боковое перемещение и повышение привилегий в сети

#статья #AD #pentest

В этой статье мы разберемся в парольных политиках, ACL, DNS, способах бокового перемещения и проведем обзор основных актуальных техник повышения привилегий. В статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

28 апреля 2025 10:11

Awesome Threat Detection and Hunting

#полезное #ThreatHunting

Полный список инструментов, методов и методологий для специалистов по кибербезопасности для расширения их навыков и возможностей обнаружения угроз.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

27 апреля 2025 13:14

Уменьшаем размер двоичного файла на C# в 90 раз

#статья #code #полезное

Идею с ужиманием двоичного файла я хотел попробовать реализовать, прочитав потрясающий пост MStrehovsky/building-a-self-contained-game-in-c-under-8-kilobytes-74c3cf60ea04">Building a self-contained game in C# under 8 kilobytes Михала Стреховски. Его исходники можно посмотреть в репозитории GitHub: SeeSharpSnake

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

26 апреля 2025 14:16

Пентест gRPC

#статья #API #pentest #bugbounty

В последнее время в современных веб-приложениях с микросервисной архитектурой всё чаще в качестве API используется фреймворк удалённого вызова процедур gRPC. Данный фреймворк чаще всего использует protocol buffers(protobuf) в качестве языка определения интерфейсов и в качестве основного формата обмена сообщениями. Однако, в отличие от более привычных форматов обмена сообщениями (JSON,XML и тд), которые являются текстовыми, в protobuf фигурируют бинарные данные. Помимо этого, gRPC в качестве транспорта использует исключительно HTTP/2. Чаще всего эти обстоятельства вызывают затруденения при тестировании безопасности веб-приложений, которые используют данный фреймворк.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

25 апреля 2025 14:16

IDOR & UUIDs для утечки PII

#статья #перевод #IDOR #bugbounty

Привет, сегодня я поделюсь с вами очередным отчетом. Уязвимость, о которой мы поговорим, это IDOR. С помощью которой, я смог раскрыть личную идентификационную информацию (сокращенно PII).

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

24 апреля 2025 16:06

Что будет, если не использовать TCP или UDP?

#статья #полезное #network

Коммутаторы, маршрутизаторы, брандмауэры — все это устройства, на которых держится интернет. Они перекидывают, фильтруют, дублируют и вырезают трафик такими способами, о которых большинство даже не догадывается. Без них вы бы не смогли прочитать этот текст.
Но сеть — это всего лишь один из уровней. Операционная система тоже играет по своим правилам: классификация, очереди, правила фаервола, NAT — все это влияет на то, что проходит, а что отбрасывается без следа. Каждый слой работает по-своему, и вместе они формируют ответ на вопрос: «А этот пакет вообще можно пропустить?»

Однажды мне стало интересно: а что будет, если отправить пакет с несуществующим транспортным протоколом? Не TCP, не UDP, не ICMP — вообще что-то выдуманное. Пропустит ли его ОС? Дойдет ли он хотя бы до сетевого интерфейса? Не зарежет ли его какой-нибудь промежуточный маршрутизатор? А вдруг он еще и быстрее обычного дойдет, потому что никто не знает, что с ним делать?

Ответа у меня не было. Так что я решил проверить.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

24 апреля 2025 11:12

ClustrMaps

#OSINT

Сервис для поиска информации о гражданах США по имени (адреса, номера телефонов, связанные лица, возраст и т.д.). Сервис бесплатный, но содержит много рекламы. Также имеются некоторые устаревшие данные.

🔗 Ссылка на сервис

LH | News | OSINT | AI

Life-Hack - Хакер

23 апреля 2025 10:11

MassDNS

#pentest #bugbounty

MassDNS — это простой высокопроизводительный DNS резолвер, предназначенный для тех, кто хочет разрешить огромное количество доменных имен. Без специальной настройки MassDNS способен обрабатывать более 350000 имён в секунду с использованием общедоступных резолверов.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

22 апреля 2025 11:12

Markitdown

#полезное #документация #аналитика

MarkItDown — это утилита для преобразования различных файлов в Markdown (например, для индексирования, анализа текста и т.д.). Она поддерживает файлы формата:

• PDF
• PowerPoint
• Word
• Excel
• Изображения (EXIF-метаданные и оптическое распознавание символов)
• Аудио (EXIF-метаданные и транскрипцию речи)
• HTML
• Текстовые форматы (CSV, JSON, XML)
• ZIP-файлы (обход содержимого)

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

21 апреля 2025 16:41

Kubernetes как PaaS: максимум возможностей без разработки. Часть 1

#Kubernetes #k8s #статья

Kubernetes — это не просто оркестратор контейнеров, а целая экосистема инструментов, которые позволяют построить PaaS без написания кода. Helm, ArgoCD, Crossplane, Knative и другие решения делают управление приложениями и инфраструктурой настолько простым, что разработка собственной платформы превращается в задачу конфигурации, а не программирования. В серии статей разберем, как создать PaaS, используя мощь Kubernetes и его экосистему.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

21 апреля 2025 10:11

DockerSpy

#docker #bugbounty #pentest

DockerSpy ищет образы на Docker Hub и извлекает чувствительную информацию, такую как аутентификационные данные, приватные ключи и многое другое.

🔗 Ссылка на инструмент

LH | News | OSINT | AI

Life-Hack - Хакер

20 апреля 2025 13:14

$$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS

#статья #ATO #CORS #bugbounty #перевод

В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

19 апреля 2025 14:51

NAS за шапку сухарей

#статья #полезное

Сегодня предлагаю рассмотреть вариант сборки домашнего NAS дендральным методом. Всё описанное в статье является результатом деятельности моего воспаленного мозга поиска оптимальной конфигурации для своего домашнего файлохранилища и не является призывами к прямому действию. Представляет из себя изыскание того самого продукта, который может максимально покрыть мои потребности за сравнительно небольшую плату. Не поднимает вопрос о подлинности и законности использования указанного решения на территории предприятия, для всего остального – есть GPL v2.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

19 апреля 2025 10:11

ssh-audit

#admin #blueteam #ssh

Инструмент для аудита конфигурации SSH-серверов и клиентов.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

18 апреля 2025 11:12

DeepFace

#Face #полезное

Фреймворк на Python для распознавания лиц и анализа атрибутов, таких как возраст, пол, эмоции или раса, достигающий точности свыше 97%. Он использует современные модели, такие как VGG-Face и FaceNet. Возможна работа в реальном времени через вебкамеру.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

28 апреля 2025 14:11

Детектив 🤝 кибербезопасник

Специалист по информбезопасности часто вживается в роль киберпреступника: имитирует атаки на инфраструктуру и находит уязвимости. Всё для того, чтобы усилить защиту системы и предотвратить кражу данных.

Примерить на себя роль этого специалиста вы можете на бесплатном курсе Нетологии. Вы будете решать реальные задачи кибербезопасника и поймёте, подходит ли вам профессия.

Вы узнаете:

- какие инструменты и методы использует специалист,
- какие направления информационной безопасности востребованы,
- как начать карьеру в сфере.

🔗 Сделайте первый шаг к новой профессии

Реклама. ООО "Нетология". ИНН 7726464125 Erid 2VSb5z2SJcQ

Life-Hack - Хакер

27 апреля 2025 16:17

🔠🔠🔠🔠🔠🔠🔠🔠

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. OSINT инструмент для сбора и анализа информации из публичных профилей Нельзяграм
3. В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта
4. DockerSpy ищет образы на Docker Hub и извлекает чувствительную информацию
5. MarkItDown — это утилита для преобразования различных файлов в Markdown
6. Сервис для поиска информации о гражданах США по имени

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | News | OSINT | AI

Life-Hack - Хакер

27 апреля 2025 10:11

OneForAll

#bugbounty #web #pentest

Мощный инструмент для сбора поддоменов.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

26 апреля 2025 10:11

SMShell

#SMS #malware #redteam #payload

Shell на основе SMS. Отправляйте команды и получайте ответы с удаленных компьютеров через SMS.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

25 апреля 2025 10:11

reNgine

#OSINT #Recon #pentest #bugbounty

Дашборд для автоматизации разведки, предназначенный для сбора информации во время тестирования на проникновение веб-приложений. Ищет поддоменены, сканит порты, делает скриншоты, перебирает директории и готов к расширению функциональности.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

24 апреля 2025 15:03

🎫 Не пропусти крупнейший международный киберфестиваль Positive Hack Days!

PHDays Fest пройдет 22–24 мая в «Лужниках». Здесь раскрывают секреты технологий и их роль в повседневной жизни каждого из нас.

Мероприятие будет разделено на две зоны: закрытую конференцию для технических специалистов и представителей бизнеса, а также открытую бесплатную часть для всех желающих.

🤟 В программе — 270 докладов, 26 треков и выступления более 500 спикеров — от начинающих специалистов до именитых экспертов со всего мира, CIO и CISO крупных IT-компаний. А также кибербитва Standoff.

Получить билет на закрытую конференцию можно за пожертвование в благотворительный фонд на сумму от 1500 рублей.

😏 Приобрести билет

Life-Hack - Хакер

23 апреля 2025 14:16

Они взломали пылесос, принтер и даже зубную щетку: пять реальных кейсов

#статья #полезное #iot

Ваш дом полон шпионов, и это не сценарий бондианы. Когда мы покупаем умный робот-пылесос или принтер с Wi-Fi, мы думаем о комфорте. Но что если ночью, пока вы спите, эти IoT-устройства начинают работать против вас? Стиральная машина майнит криптовалюту, принтер тайно перегружает сеть, а пылесос картографирует квартиру и передает планы незнакомцам. Звучит как сюжет дешевого сериала, но это реальные кейсы, с которыми столкнулись пользователи по всему миру.

Как хакеры превращают обычную технику в цифровых шпионов? И почему даже ваш умный чайник может стать звеном в цепи глобальной кибератаки? Добро пожаловать в эру бытового хакинга, где каждая розетка — потенциальная ловушка.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

22 апреля 2025 15:16

Как легко настроить аутентификацию для нескольких доменов в Kubernetes: Deckhouse Kubernetes Platform

#Kubernetes #k8s #статья

Как-то мы насобирали запросы от пользователей Deckhouse Kubernetes Platform (DKP), связанные с проблемой динамического развёртывания стендов разработки. Каждый стенд требовал деплоя в кластер отдельного аутентификатора, что приводило к созданию множества объектов в кластере. Например, было более 100 стендов, каждый со своим доменом, соответственно, это создавало сотни объектов аутентификации.

В итоге это вызывало несколько проблем: использование значительных ресурсов (CPU и RAM), усложнение управления настройками безопасности и доступом для нескольких стендов одновременно. Стало понятно, что подход под названием «один домен — один аутентификатор» неудобен. Поэтому мы решили создать многодоменный аутентификатор.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

22 апреля 2025 10:13

Как не утонуть в терминах и ошибках при работе с ЭП?

24 апреля в 20:00 МСК разложим по полочкам всё, что важно знать об электронной подписи — от базовой терминологии до практики внедрения в компаниях.

Разберём:
— чем отличается ЭП, ЭЦП, УКЭП и простая подпись;
— как устроена система удостоверяющих центров;
— какие риски возникают при работе с ЭП — и как их избежать.

Если вы работаете с цифровыми документами, занимаетесь ИБ или внедрением электронного документооборота — этот вебинар для вас.

Открытый урок проходит в преддверие старта курса “Информационная безопасность. Basic”.Все участники получат скидку на обучение.

Присоединяйтесь:https://otus.pw/Am8wC/?erid=2W5zFHLyZVz

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Life-Hack - Хакер

21 апреля 2025 13:41

Киберугрозы не ждут. А вы?
Защити себя или свою команду от проверок и взломов — обучись защите КИИ по стандартам ФСТЭК.

 До 31 мая действует спецпредложение🔥 -50% на второй курс!

 Выбирай один, а второй — за полцены:
 1️⃣ Техническая защита информации → 29 950 ₽
 2️⃣ Безопасность персональных данных → 40 000 ₽

 Записал сотрудника на курс по КИИ?
 → Получи -50% на “Защиту объектов КИИ” (всего 32 000 ₽)
👨‍🎓 Выпускникам Softline — скидка 40% на «Безопасность КИИ»
 (149 000 → 89 400 ₽)

Почему выбирают нас:
 ✔ Преподаватели из ФинЦЕРТа и Банка России
 ✔ Программы одобрены ФСТЭК
 ✔ Вебинары в прямом эфире
 ✔ Рассрочка 0%
⏳ До 31 мая — оставь заявку и зафиксируй скидку

 👉 Оставить заявку 

Life-Hack - Хакер

20 апреля 2025 16:02

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Конвертируйте электронные книги в аудиокниги, используя динамические ИИ-модели и клонирование голоса
3. Сборник советов и подсказок по пентесту AD и прочего внутряка
4. Сервис поиска людей по различным идентификаторам. От username до отпечатка системы.
5. Погружение в AD: разбираем продвинутые атаки на Microsoft Active Directory и способы их детекта
6. Фреймворк на Python для распознавания лиц и анализа атрибутов, таких как возраст, пол, эмоции или раса, достигающий точности свыше 97%
7. Как получить привилегии администратора домена, начав с принтера
8. Инструмент для аудита конфигурации SSH-серверов и клиентов

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | News | OSINT | AI

Life-Hack - Хакер

20 апреля 2025 10:11

Osintgram — OSINT в Instagram

#OSINT #Instagram

OSINT инструмент для сбора и анализа информации из публичных профилей Instagram (подписчики, лайки, посты и прочее).

*Instagram запрещенная соц. сеть.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Life-Hack - Хакер

19 апреля 2025 13:21

Присоединяйтесь к IV
THE TRENDS!

⚡️ Главное событие индустрии высоких технологий, объединяющее 11000 участников.


1️⃣- Разнообразие Тем:
Свыше 10 технологических направлений;

2️⃣- 15 иностранных спикеров эксклюзивно в Москве;

3️⃣- 1700+ компаний-участников
Мощнейший Нетворкинг обеспечен;

4️⃣ - 1500+ Инфлюенсеров
И комьюнити из Web2 и Web3 мира.

———————————————

В ПРОГРАММЕ:

🟩 PRE-PARTY (27 мая)
(Для Business и VIP-билетов)

🟩 Сцена TRENDX:
Лучшие из лучших со всего 🌍;

🟩 Сцена LEVEL UP:
Живые лекции, кейсы, питчи стартапов;

🟩 Выставка 70+ стендов:
Продукты и решения на любой вкус;

🟩 VIP-пространство:
Лучший нетворкинг в РФ, VIP бар;

🟩 AFTERPARTY (29 мая)
(Для VIP билетов)

———————————————

#thetrends

LH | News | OSINT | AI

Life-Hack - Хакер

18 апреля 2025 15:16

В начале был принтер. Как получить привилегии администратора домена, начав с принтера

#AD #pentest #статья

В этом посте я расскажу о том, как получение доступа к панели администрирования принтера может привести к компрометации всего домена Active Directory с помощью эксплуатации уязвимости PrintNightmare и использования неограниченного делегирования. А коллеги из Jet CSIRT дополнили пост рекомендациями по мониторингу на каждом этапе на случай, если вы хотите мониторить такие атаки в вашем SIEM.

🔗 Ссылка на статью

LH | News | OSINT | AI

Life-Hack - Хакер

18 апреля 2025 10:11

😎 Лонгрид недели!

Как работают компьютерные криминалисты — большой разговор с Антоном Величко.

🔥 Лаборатория цифровой криминалистики и исследования вредоносного кода — одно из старейших подразделений F6. Более 70 000 часов реагирований на инциденты по всему миру, свыше 3500 экспертиз и исследований — это всё про специалистов Лабы (так уважительно называют подразделение внутри компании). 

🎙 Больше месяца мы ждали, когда в графике руководителя Лабы Антона Величко появится свободный час (последние два года ребята не вылезают из реагирований!), чтобы он смог рассказать об особенностях национального кибербеза.

➡️ Подписывайтесь на канал

Актуальные материалы о кибербезе, расследованиях и технологиях.

#реклама
О рекламодателе