Forwarded from Похек (RandomGodBot⚡️ [Рандомайзер])
Условия участия:
Важно: Раздача промокодов на подписку будет происходить не всем победителям в день розыгрыша, чтобы избежать спам-блока. Дальнейшие инструкции по получению подписок будут опубликованы в отдельном посте после оглашения победителей.
Please open Telegram to view this post
VIEW IN TELEGRAM
👎1
🧠 Kiterunner — API enumeration для тех, кто устал от 404
🎣 Знаете, что общего у классического
Эту проблему решает инструмент Kiterunner от Assetnote, который не просто брутфорсит пути, а делает это с контекстом:
➡️ Знает правильные HTTP-методы
➡️ Знает, что
➡️ Сам подставляет UUID, id-шники и даже нужные заголовки
💡 Как он это делает?
Команда собрала ~67,500 Swagger файлов со всего интернета (даже с BigQuery и APIs.guru) и сделала на их основе датасеты роутов, которые можно использовать для сканирования.
📌 Пример
Или:
📂 Вишенка на торте — можно реплеить запросы в Burp, чтобы изучить поведение вручную:
#инструменты #api
🎣 Знаете, что общего у классического
ffuf и рыбалки без наживки? Ты вроде что-то делаешь, но ни черта не ловится, особенно если в приложении используется REST API.Эту проблему решает инструмент Kiterunner от Assetnote, который не просто брутфорсит пути, а делает это с контекстом:
/user/create работает только с POSTКоманда собрала ~67,500 Swagger файлов со всего интернета (даже с BigQuery и APIs.guru) и сделала на их основе датасеты роутов, которые можно использовать для сканирования.
📌 Пример
GET /download —> 404
GET /download/123456 —> 200 (файл!)
Или:
GET /user/create —> 404
POST /user/create —> 500 (значит, эндпоинт жив)
📂 Вишенка на торте — можно реплеить запросы в Burp, чтобы изучить поведение вручную:
kr replay -w routes.kite --proxy http://localhost:8080 "POST ..."
#инструменты #api
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Forwarded from Информационная опасность
https://vulnbank.org
Намеренно уязвимое веб-приложение для отработки тестирования безопасности веб-приложений, API и LLM, безопасного обзора кода и внедрения безопасности в конвейеры CI/CD.
Vulnbank представляет собой банковское приложение с заложенными уязвимостями. Он призван помочь инженерам по безопасности, разработчикам, стажерам, аналитикам QA и специалистам DevSecOps узнать о:
- Распространенных уязвимостях веб-приложений и API;
- Уязвимостях AI/LLM;
- Безопасных методах разработки;
- Автоматизации тестирования безопасности;
- Реализация DevSecOps.
⚠️ ВНИМАНИЕ: Это приложение намеренно уязвимо и должно использоваться только в образовательных целях в изолированных средах.
https://github.com/Commando-X/vuln-bank
Намеренно уязвимое веб-приложение для отработки тестирования безопасности веб-приложений, API и LLM, безопасного обзора кода и внедрения безопасности в конвейеры CI/CD.
Vulnbank представляет собой банковское приложение с заложенными уязвимостями. Он призван помочь инженерам по безопасности, разработчикам, стажерам, аналитикам QA и специалистам DevSecOps узнать о:
- Распространенных уязвимостях веб-приложений и API;
- Уязвимостях AI/LLM;
- Безопасных методах разработки;
- Автоматизации тестирования безопасности;
- Реализация DevSecOps.
⚠️ ВНИМАНИЕ: Это приложение намеренно уязвимо и должно использоваться только в образовательных целях в изолированных средах.
https://github.com/Commando-X/vuln-bank
👍5
Госдума отклонила законопроект о легализации «белых хакеров» – Минцифры в ответ уже готовит новые предложения: требования к поиску уязвимостей и ответственность за их нарушение.
Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в софте за вознаграждение.
Однако в Госдуме посчитали, что законопроект не учитывает особенности информационного обеспечения работы госорганов – она регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры.
Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в софте за вознаграждение.
Однако в Госдуме посчитали, что законопроект не учитывает особенности информационного обеспечения работы госорганов – она регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры.
💡 Фича-флаги для багхантера
Обращайте внимание на всё, что в HTML содержит
Иногда достаточно:
▪️ поменять
▪️ или добавить строку в массив через
⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Обращайте внимание на всё, что в HTML содержит
featureFlag или просто flag. Часто разработчики проводят A/B-тесты, и фичи «выключены» у вас на глазах.Иногда достаточно:
false на true,match-and-replace в Burp.⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Просто напоминаем: если ты хочешь работать с большим файлом в Burp Intruder
Load ... в Simple list. Simple list предназначен для простых словарей и загружает весь файл в GUI. Большой файл повесит Burp, что может привести к потере данных проекта. Вместо этого используй
Runtime file!P. S. Скорее всего, увеличение оперативки не поможет
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Burp Suite можно расширять, но глубокая кастомизация требует глубокого погружения и больших затрат. Решение — инструмент Piper, который интегрирует внешние инструменты и их пайплайны в Burp Suite.
Расширение может передавать HTTP-запросы и ответы из Burp во внешний софт, а затем передавать результат их выполнения обратно в Burp.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
-d: максимальная глубина сканирования-kf: включает сканирование известных файлов-jc: включает разбор и сканирование эндпоинтов в JS-файлах-fx: извлекает элементы форм, поля ввода, текстовые области и выпадающие списки-ef: фильтрует вывод по указанным расширениям-o: имя выходного файлаkatana -u subdomains_alive.txt -d 5 -kf -jc -fx -ef woff, css, png, svg, jpg, woff2, jpeg, gif, svg -o allurls.txt
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Впервые автономный ИИ-багхантер возглавил мировой рейтинг, а ты продолжаешь тыкать кавычки. Это не прошлое и не будущее — это настоящее!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13
В разведке все методы хороши, особенно когда речь идет о больших скоупах. Reverse DNS и анализ SSL-сертификатов — тот самый необходимый минимум.
$ echo 173.0.84.0/24 | dnsx -silent -resp-only -ptr
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10
В MySQL и ее форках можно использовать versioned comments, что позволяет в некоторых кейсах с точностью узнать версию СУБД.
Допустим, у тебя потенциальная SQLi в параметре
id, но атака возможна только в слепом режиме, и ты не знаешь тип/версию СУБД.👉 Попробуй заменить значение параметра на:
/*!50000 <id_value>*/
id, значит, скорее всего, приложение использует MySQL, форки или совместимые СУБД с версией ≥ 5.0.0.Дальше можно играться с числами (
/*!51000 ...*/, /*!51010 ...*/ и т. д.) и нащупать точную версию без вызова функции version().Такой кейс позволяет обнаружить MySQL и заодно часто обходить WAF — фильтры могут просто игнорировать эти конструкции.
/*!<число> ...*/ выполнится только если версия БД ≥ этого числа. Это даёт возможность прятать пэйлоад прямо внутри комментариев.Кстати,
sqlmap уже умеет использовать этот кейс через tamper. А если число не указано (например, просто /*! ... */), то содержимое выполняется всегда.Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
REcollapse генерирует пэйлоад для байпаса валидаций/WAF и обнаружения нормализации в веб-приложениях. Новая версия добавляет:
📌 Mode 6 для тестирования на устойчивость к изменениям регистра (case folding/upper/lower)
📌 Mode 7 для тестирования на устойчивость к усечению байтов (byte truncations)
Как использовать:
$ recollapse -e 1 -m 1,2,4 -r 10-11 https://legit.example.com
%0ahttps://legit.example.com
%0bhttps://legit.example.com
https%0a://legit.example.com
https%0b://legit.example.com
...
$ echo "a@b.com" | recollapse
%00a@b.com
%01a@b.com
...
$ echo "<svg/onload=alert(1)>" | recollapse | ffuf -w - -u "https://example.com/?param=FUZZ" -mc 200,403,500
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Forwarded from SecuriXy.kz
🧠 HexStrike AI - автопентест фреймворк.
Раньше Penterra была доступна только корпорациям и ограничена. Теперь есть HexStrike - бесплатный опенсорс-фреймворк на LLM, который делает больше и лучше. Понятно, что это лишь начало, но уже фиксируются случаи его применения для эксплуатации багов Citrix и продажи взломанных NetScaler этим инструментом.
⚙️ Возможности:
+ MCP-сервер с клиентами - можно работать командой
+ Автоматизация 150+ инструментов: OSINT, веб-скан, инфраструктура, привилегии
+ ИИ-агенты сами выбирают утилиты, параметры и стратегию
+ Поддержка цепочек: поиск → эксплоит → шелл → постэксплуатация
+ Визуальные дашборды и прогресс
+ Логи и воспроизводимость шагов - удобно для отчётов и ресерча
🎯 Для кого: пентестеры, purple-team, багхантеры и исследователи
🔮 В v7.0 планируется: десктоп-клиент, one-command install, Docker, ~250 тулов, Selenium-анализ веба с антидетектом, runtime JS-чек, многозадачность, API для CI/CD
📎 GitHub: https://github.com/0x4m4/hexstrike-ai
Раньше Penterra была доступна только корпорациям и ограничена. Теперь есть HexStrike - бесплатный опенсорс-фреймворк на LLM, который делает больше и лучше. Понятно, что это лишь начало, но уже фиксируются случаи его применения для эксплуатации багов Citrix и продажи взломанных NetScaler этим инструментом.
⚙️ Возможности:
+ MCP-сервер с клиентами - можно работать командой
+ Автоматизация 150+ инструментов: OSINT, веб-скан, инфраструктура, привилегии
+ ИИ-агенты сами выбирают утилиты, параметры и стратегию
+ Поддержка цепочек: поиск → эксплоит → шелл → постэксплуатация
+ Визуальные дашборды и прогресс
+ Логи и воспроизводимость шагов - удобно для отчётов и ресерча
🎯 Для кого: пентестеры, purple-team, багхантеры и исследователи
🔮 В v7.0 планируется: десктоп-клиент, one-command install, Docker, ~250 тулов, Selenium-анализ веба с антидетектом, runtime JS-чек, многозадачность, API для CI/CD
📎 GitHub: https://github.com/0x4m4/hexstrike-ai
👍1