Forwarded from Positive Events
Багхантинг приложений: с чего начать
📱 Приложения становятся все сложнее, а риск эксплуатации их уязвимостей хакерами — все выше. В рамках программ bug bounty можно привлекать большое число исследователей безопасности, чтобы с их помощью успешно выявлять и исправлять уязвимости до того, как ими воспользуются злоумышленники.
Как следствие, растущая заинтересованность компаний в таких специалистах и в результативной кибербезопасности делает профессию багхантера все более популярной и востребованной.
📄 Существует немало полезных материалов для охотников за уязвимостями. Мы подготовили свой увлекательный гайд, который будет интересен не только начинающим, но и опытным багхантерам. В нем мы подробно прошлись по теме bug bounty и рассказали о том, как прокачаться в багхантинге мобильных и веб-приложений.
Читайте первую статью из этого цикла на Хабре.
📱 Приложения становятся все сложнее, а риск эксплуатации их уязвимостей хакерами — все выше. В рамках программ bug bounty можно привлекать большое число исследователей безопасности, чтобы с их помощью успешно выявлять и исправлять уязвимости до того, как ими воспользуются злоумышленники.
Как следствие, растущая заинтересованность компаний в таких специалистах и в результативной кибербезопасности делает профессию багхантера все более популярной и востребованной.
📄 Существует немало полезных материалов для охотников за уязвимостями. Мы подготовили свой увлекательный гайд, который будет интересен не только начинающим, но и опытным багхантерам. В нем мы подробно прошлись по теме bug bounty и рассказали о том, как прокачаться в багхантинге мобильных и веб-приложений.
Читайте первую статью из этого цикла на Хабре.
👍1
Forwarded from white2hack 📚
𝐃𝐢𝐬𝐜𝐨𝐯𝐞𝐫 12 𝐀𝐈 𝐭𝐨𝐨𝐥𝐬 𝐭𝐨 𝐚𝐮𝐭𝐨𝐦𝐚𝐭𝐞 𝐲𝐨𝐮𝐫 𝐏𝐞𝐧𝐭𝐞𝐬𝐭 𝐚𝐧𝐝 𝐂𝐲𝐛𝐞𝐫𝐬𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐚𝐮𝐝𝐢𝐭𝐬! 🧠⚔️
1. 🧠 PentestGPT
LLM-based tool that simulates a step-by-step penetration testing process, emulating a realistic attack workflow.
2. 🤖 Auto-Pentest-GPT-AI
An AI-powered framework using GPT-4 to perform automated pentests with logical, chain-of-thought exploration.
3. 🔍 BurpGPT
A Burp Suite extension that integrates GPT to analyze requests/responses and suggest payloads or detect vulnerabilities.
4. 🌐 ReconAIzer
An AI-driven reconnaissance assistant using GPT-4 to interpret recon tool results and recommend next steps.
5. 🔐 PassGAN
A generative adversarial network trained to generate real-world passwords based on leaked data — a smart brute-force ally.
6. 🧩 Nuclei AI Extension
Official extension for Nuclei that uses AI to suggest and create new detection templates from HTTP responses.
7. 💣 HackGPT
A GPT-powered hacking CLI to assist with payload crafting, bypass techniques, and offensive scripting.
8. 🛡 AutorizePro
Authorization fuzzing tool with GPT integration to generate smarter test cases and detect access control issues.
9. ☁️ CloudGPT
Uses GPT to identify misconfigurations and vulnerabilities in cloud environments like AWS, GCP, and Azure.
10. 📦 K8sGPT
Diagnoses misconfigurations and vulnerabilities in Kubernetes clusters, explained in natural language via LLMs.
11. 📉 Garak
NVIDIA’s tool for red-teaming and probing LLMs, designed to test model safety, robustness, and leakage.
12. 🧭 Auto Recon LLM
Automates the reconnaissance phase using LLMs to interpret recon output and make tactical decisions.
#AI
1. 🧠 PentestGPT
LLM-based tool that simulates a step-by-step penetration testing process, emulating a realistic attack workflow.
2. 🤖 Auto-Pentest-GPT-AI
An AI-powered framework using GPT-4 to perform automated pentests with logical, chain-of-thought exploration.
3. 🔍 BurpGPT
A Burp Suite extension that integrates GPT to analyze requests/responses and suggest payloads or detect vulnerabilities.
4. 🌐 ReconAIzer
An AI-driven reconnaissance assistant using GPT-4 to interpret recon tool results and recommend next steps.
5. 🔐 PassGAN
A generative adversarial network trained to generate real-world passwords based on leaked data — a smart brute-force ally.
6. 🧩 Nuclei AI Extension
Official extension for Nuclei that uses AI to suggest and create new detection templates from HTTP responses.
7. 💣 HackGPT
A GPT-powered hacking CLI to assist with payload crafting, bypass techniques, and offensive scripting.
8. 🛡 AutorizePro
Authorization fuzzing tool with GPT integration to generate smarter test cases and detect access control issues.
9. ☁️ CloudGPT
Uses GPT to identify misconfigurations and vulnerabilities in cloud environments like AWS, GCP, and Azure.
10. 📦 K8sGPT
Diagnoses misconfigurations and vulnerabilities in Kubernetes clusters, explained in natural language via LLMs.
11. 📉 Garak
NVIDIA’s tool for red-teaming and probing LLMs, designed to test model safety, robustness, and leakage.
12. 🧭 Auto Recon LLM
Automates the reconnaissance phase using LLMs to interpret recon output and make tactical decisions.
#AI
🔥1
Видео показывает, что человек чувствует, объединяя несколько уязвимостей в цепочку, для достижения high/critical severity. 😁
https://x.com/jobertabma/status/955930221261111297
https://x.com/jobertabma/status/955930221261111297
X (formerly Twitter)
Jobert Abma (@jobertabma) on X
This is how I sometimes feel chaining multiple vulnerabilities to get to high/critical severity.
😁1
Forwarded from Около DevOps
Remote Prompt Injection in GitLab Duo Leads to Source Code Theft
https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo
https://www.legitsecurity.com/blog/remote-prompt-injection-in-gitlab-duo
Legitsecurity
Remote Prompt Injection in GitLab Duo Leads to Source Code Theft
The Legit research team unearthed vulnerabilities in GitLab Duo.
AgentHopper: An AI Virus
Статья показывающая как в нынешнее время с множеством AI агентов можно сделать плохие действия на машинах использующих эти агенты для работы
также видео из статьи
https://www.youtube.com/watch?v=vlF0sblunQY
Статья показывающая как в нынешнее время с множеством AI агентов можно сделать плохие действия на машинах использующих эти агенты для работы
также видео из статьи
https://www.youtube.com/watch?v=vlF0sblunQY
Embrace The Red
AgentHopper: An AI Virus Research Project
AgentHopper: A proof-of-concept AI Virus
Весьма интересный автономный AI агент для поиска уязвимостей с помощью LLM
https://github.com/usestrix/strix/
Берешь генеришь API ключ для подключения к LLM от OpenAI, и натравливаешь агент на свое приложение для тестирования, будь то урл приложения, исходный код на диске или проект на гитхабе, и вперед
Кто пробовал ставь 👌
Кто собирается 👏
https://github.com/usestrix/strix/
Берешь генеришь API ключ для подключения к LLM от OpenAI, и натравливаешь агент на свое приложение для тестирования, будь то урл приложения, исходный код на диске или проект на гитхабе, и вперед
Кто пробовал ставь 👌
Кто собирается 👏
GitHub
GitHub - usestrix/strix: Open-source AI agents for penetration testing
Open-source AI agents for penetration testing. Contribute to usestrix/strix development by creating an account on GitHub.
👏2
Статья на SiliconANGLE описывает три уязвимости в искусственном интеллекте Google Gemini, выявленные компанией Tenable Holdings. Эти уязвимости, названные "Gemini Trifecta", касаются Gemini Cloud Assist, Gemini Search Personalization Model и Gemini Browsing Tool. Они демонстрируют риски, связанные с косвенной инъекцией команд и необходимость усиленной безопасности AI-систем.
Gemini Cloud Assist: Уязвимость позволяла злоумышленникам подменять данные логов и внедрять вредоносные команды, которые могли запускаться при запросе на объяснение логов.
Gemini Search Personalization Model: Здесь злоумышленники могли использовать вредоносные сайты для внедрения поддельных запросов в историю поиска пользователя, что приводило к утечке личной информации.
Gemini Browsing Tool: Уязвимость позволяла обойти защиту Google и отправлять данные на контролируемые злоумышленниками URL, при этом пользователь не замечал никаких аномалий.
Авторы статьи подчеркивают, что эти уязвимости используют доверенные потоки данных, и рекомендуют подходить к интеграции AI как к активной угрозе, внедряя многоуровневую защиту и регулярно тестируя системы на устойчивость к инъекциям.
Gemini Cloud Assist: Уязвимость позволяла злоумышленникам подменять данные логов и внедрять вредоносные команды, которые могли запускаться при запросе на объяснение логов.
Gemini Search Personalization Model: Здесь злоумышленники могли использовать вредоносные сайты для внедрения поддельных запросов в историю поиска пользователя, что приводило к утечке личной информации.
Gemini Browsing Tool: Уязвимость позволяла обойти защиту Google и отправлять данные на контролируемые злоумышленниками URL, при этом пользователь не замечал никаких аномалий.
Авторы статьи подчеркивают, что эти уязвимости используют доверенные потоки данных, и рекомендуют подходить к интеграции AI как к активной угрозе, внедряя многоуровневую защиту и регулярно тестируя системы на устойчивость к инъекциям.
SiliconANGLE
‘Gemini Trifecta’ vulnerabilities in Google AI highlight risks of indirect prompt injection
A new report out today from network security company Tenable Holdings Inc. details three significant flaws that were found in Google LLC's Gemini artificial intelligence suite that highlight the risk
https://speakerdeck.com/dk999/to-the-docs-and-beyond
Интересная дека из данного поста с описанием несколькими видами векторов атак
Интересная дека из данного поста с описанием несколькими видами векторов атак
Speaker Deck
To the docs and beyond!
<strong>Developer Documentation</strong>, as the name suggests, acts as a point of solid reference and hence, plays an integral role from a developer's …