Fsecurity | HH
@HelloHackingTeam
2.06K subscribers
1.74K photos
105 videos
62 files
6.19K links
Канал про ИБ
Наш Discord: https://discord.gg/Eg8aDS7Hn7
Пожертвовать:
> https://www.donationalerts.com/r/xackapb
Download Telegram
About
Blog
Apps
Platform
Join
Fsecurity | HH
2.06K subscribers
Fsecurity | HH
Хабр
Калькулятор? Да его напишет кто угодно
[Прим. пер.: на Хабре уже был перевод этой статьи, но незавершённый примерно на четверть.] Неправда. Калькулятор должен показывать результат введённого математического выражения. А это намно-о-ого...
🔗Ссылка:
https://habr.com/ru/articles/883366/
198 views
Fsecurity | HH
Хабр
Я перешёл на Firefox и обратно возвращаться не намерен
Мой рабочий PC — древний мамонт, и когда я открываю в Chrome много вкладок, кулеры начинают вопить. Я всегда думал, что дело в моём старом компьютере, но потом перешёл на Firefox и обнаружил, что...
🔗Ссылка:
https://habr.com/ru/companies/nmg/articles/797103/
200 views
Fsecurity | HH
Forwarded from Adaptix Framework
AdaptixC2 v0.2 is out

* Socks4/5
* Local/Reverse Port forwardin
* MultiProjects
* Light GUI

And more in the changelog
198 views
Fsecurity | HH
Forwarded from haxx
🛠 Всем привет.
Я тут допилил плагин CSP Recon для Burp Suite для рекона по Content-Security-Policy хэдерам.

Общая идея этого вида рекона в том, что в хэдерах Content-Security-Policy можно найти дополнительные домены/поддомены по исследуемому нами таргету. Зачастую это будут скучные интеграции (например разного рода аналитика, соцсети, видеохостинги), но иногда попадается что-то интересное.

Для работы "по площадям" можно воспользоваться консольной csprecon (тут писали), но это не сработает вглубь приложения. Смысл в том, что у больших и склеенных из разных кусков приложений в разных частях бывают разные CSP полиси. Например, возьмем Яндекс. По пути / мы получаем одну полиси, а по пути /portal/set/any совсем другую. Так можно находить места склейки приложений и потенциально новые домены.

Теперь это безобразие можно детектить в фоне, пока тыкаешь кнопки и кавычки.

🔗 Где исходники, Билли?
https://github.com/haxxm0nkey/csprecon-burp-extension
213 views
Fsecurity | HH
XAKEP
На GitHub нашли сотни репозиториев с вредоносным кодом
Эксперты Kaspersky GReAT обнаружили на GitHub множество репозиториев с малварью, которая замаскирована под проекты с открытым исходным кодом. Например, злоумышленники маскируют малварь под Telegram-бот для управления криптовалютными кошельками или читы для…
🔗Ссылка:
https://xakep.ru/2025/02/25/gitvenom/
245 views
Fsecurity | HH
SecurityLab.ru
Gmail отказывается от SMS-кодов для аутентификации
Google делает ставку на QR-коды.
🔗Ссылка:
https://www.securitylab.ru/news/556738.php
278 views
Fsecurity | HH
SecurityLab.ru
486 серверов Chamilo оказались доступны хакерам через SOAP-запросы
Positive Technologies нашла "бэкдор" в учебной платформе с миллионами пользователей.
🔗Ссылка:
https://www.securitylab.ru/news/556758.php
350 views
Fsecurity | HH
Огромное спасибо! 🥳
Это значительная цифра для меня, и я очень рад, что мы этого достигли!
Спасибо каждому за вклад как в YouTube, так и в наше сообщество в Discord, а также за участие в Telegram-канале!
🔥1
427 views
Fsecurity | HH
Fsecurity | HH pinned a photo
Fsecurity | HH
This media is not supported in your browser
VIEW IN TELEGRAM
378 views
Fsecurity | HH
SecurityLab.ru
Атаки через старые бреши: чем грозит эксплуатация уязвимостей в ColdFusion и Agile PLM
Организации рискуют потерять контроль над критически важной информацией.
🔗Ссылка:
https://www.securitylab.ru/news/556759.php
320 views
Fsecurity | HH
SecurityLab.ru
Бэкдор или уход с рынка: Швеция ставит ультиматум WhatsApp и Signal
Швеция повторяет британский сценарий давления на технологические компании.
🔗Ссылка:
https://www.securitylab.ru/news/556786.php
270 views
Fsecurity | HH
Forwarded from Перевод энтузиаста | Информационная безопасность
#Статья

Как найти свой первый легкий баг в Bug Bounty (Пошаговое руководство) на реальных сайтах

👉 В статье разобраны простые шаги для новичков в Bug Bounty, включая выбор правильной цели, поиск уязвимостей на React-сайтах, тестирование OTP Rate-limiting и утечек приватных ключей, чтобы быстро найти свой первый баг.

⏱️ Время чтения: 5 минут
Telegraph
Как найти свой первый легкий баг в Bug Bounty (Пошаговое руководство) на реальных сайтах
Ну что ж, я вернулся! После долгого перерыва разбираем одну из самых популярных тем — как найти самые простые баги на сайтах, которые иногда даже приносят награды! 💰 📌 Эти уязвимости настолько просты, что их может найти каждый, даже без опыта. 📌 Гарантирую…
211 views
Fsecurity | HH
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
191 viewsedited  
Fsecurity | HH
Forwarded from Social Engineering
📝 HackerOne reports.

• Держите ссылки на очень объемный и полезный репозиторий, который включает в себя топ отчеты HackerOne. Репо постоянно поддерживают в актуальном состоянии, что поможет вам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).

Tops 100:
Top 100 upvoted reports;
Top 100 paid reports.

Tops by bug type:
Top XSS reports;
Top XXE reports;
Top CSRF reports;
Top IDOR reports;
Top RCE reports;
Top SQLi reports;
Top SSRF reports;
Top Race Condition reports;
Top Subdomain Takeover reports;
Top Open Redirect reports;
Top Clickjacking reports;
Top DoS reports;
Top OAuth reports;
Top Account Takeover reports;
Top Business Logic reports;
Top REST API reports;
Top GraphQL reports;
Top Information Disclosure reports;
Top Web Cache reports;
Top SSTI reports;
Top Upload reports;
Top HTTP Request Smuggling reports;
Top OpenID reports;
Top Mobile reports;
Top File Reading reports;
Top Authorization Bypass reports;
Top Authentication Bypass reports;
Top MFA reports.

Tops by program:
Top Mail.ru reports;
Top HackerOne reports;
Top Shopify reports;
Top Nextcloud reports;
Top Twitter reports;
Top X (formerly Twitter) reports;
Top Uber reports;
Top Node.js reports;
Top shopify-scripts reports;
Top Legal Robot reports;
Top U.S. Dept of Defense reports;
Top Gratipay reports;
Top Weblate reports;
Top VK.com reports;
Top New Relic reports;
Top LocalTapiola reports;
Top Zomato reports;
Top Slack reports;
Top ownCloud reports;
Top GitLab reports;
Top Ubiquiti Inc. reports;
Top Automattic reports;
Top Coinbase reports;
Top Verizon Media reports;
Top Starbucks reports;
Top Paragon Initiative Enterprises reports;
Top PHP (IBB) reports;
Top Brave Software reports;
Top Vimeo reports;
Top OLX reports;
Top concrete5 reports;
Top Phabricator reports;
Top Localize reports;
Top Qiwi reports.

S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
203 views
Fsecurity | HH
GitHub
GitHub - Cyber-Anonymous/Dark-Phish: A Powerful Phishing Tool with 50+ phishing templates. For more about Dark-Phish tool please…
A Powerful Phishing Tool with 50+ phishing templates. For more about Dark-Phish tool please visit the website. - Cyber-Anonymous/Dark-Phish
🔗Ссылка:
https://github.com/Cyber-Anonymous/Dark-Phish
218 views
Fsecurity | HH
SecurityLab.ru
Вечный двигатель Wi-Fi: OpenWrt представил первый бессмертный роутер
Этот маршрутизатор переживёт любые атаки и эксперименты.
🔗Ссылка:
https://www.securitylab.ru/news/556788.php
244 views
Fsecurity | HH
Хабр
Как мы взломали цепочку поставок и получили 50 тысяч долларов
В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой...
🔗Ссылка:
https://habr.com/ru/post/885950/
257 views
Fsecurity | HH
This media is not supported in your browser
VIEW IN TELEGRAM
264 views