Fsecurity | HH
@HelloHackingTeam
2.02K subscribers
1.77K photos
108 videos
64 files
6.42K links
Канал про ИБ
Наш Discord: https://discord.gg/Eg8aDS7Hn7
Пожертвовать:
> https://www.donationalerts.com/r/xackapb
Download Telegram
About
Blog
Apps
Platform
Join
Fsecurity | HH
2.02K subscribers
Fsecurity | HH
Forwarded from Похек
➡️ Лучшие практики для MCP
➡️Используйте аннотации в инструментах (например, readOnlyHint), чтобы контейнеры запускались с минимальными правами.
➡️Изолируйте MCP-сервера друг от друга, не давайте им лишних прав.
➡️Внедряйте CI/CD-процессы с проверкой целостности контейнеров и автоматическим обновлением.
➡️Интегрируйте MCP-безопасность с корпоративными политиками и фреймворками управления доступом.

Вывод:
MCP - это круто, но только если выстроить правильную архитектуру безопасности. Контейнеризация, грамотное управление секретами, централизованный контроль доступа и постоянный аудит - вот что делает MCP не только мощным, но и безопасным инструментом для расширения возможностей LLM.

🔗Почитать ещё

🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч
Please open Telegram to view this post
VIEW IN TELEGRAM
142 views
Fsecurity | HH
GitHub
GitHub - emalderson/ThePhish: ThePhish: an automated phishing email analysis tool
ThePhish: an automated phishing email analysis tool - emalderson/ThePhish
🔗Ссылка:
https://github.com/emalderson/ThePhish
146 views
Fsecurity | HH
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
140 views
Fsecurity | HH
Forwarded from GISCYBERTEAM
⚠️ SQL-инъекция в WordPress плагине Slider & Popup Builder by Depicter

Обнаружена SQL-инъекция в популярном WordPress-плагине Slider & Popup Builder by Depicter, установленном на более чем 100 000 сайтов.

📈 CVSS рейтинг: 7.5 (High)

📍 Уязвимый компонент:
/wp-admin/admin-ajax.php — параметр s в одном из обработчиков AJAX-запросов.

🧨 Возможности атакующего:
- Инъекция произвольных SQL-запросов
- Извлечение всех хэшей паролей (user_pass из wp_users)
- Потенциальный офлайн брутфорс
- Извлечение данных без аутентификации

🔬 Proof-of-Concept уже находится в открытом доступе.
GitHub
GitHub - datagoboom/CVE-2025-2011: PoC for CVE-2025-2011 - SQLi in Depicter plugin <= 3.6.1
PoC for CVE-2025-2011 - SQLi in Depicter plugin <= 3.6.1 - datagoboom/CVE-2025-2011
145 views
Fsecurity | HH
SecurityLab.ru
CVE-2025-27920: нулевой день, полная компрометация, ноль шансов
Когда 0day долго остаётся без внимания, доступ к секретам получают совсем не те люди.
🔗Ссылка:
https://www.securitylab.ru/news/559255.php
129 views
Fsecurity | HH
Forwarded from SecuriXy.kz
💥 Тот случай, когда взяли одну уязвимость -
CVE-2025-30208 (📂 Vitejs File Read) и докрутили до следующей: CVE-2025-31125

📦 Обе позволяют обойти защиту @fs и читать файлы вне разрешённого списка.
🧵 Разные методы - один результат: произвольное чтение файлов через URL-параметры.

💡 PoC: github.com/MuhammadWaseem29/Vitejs-exploit
🔐 Обновите Vite, если ваш dev-сервер доступен из сети.
144 views
Fsecurity | HH
PortSwigger Research
Document My Pentest: you hack, the AI writes it up!
Tired of repeating yourself? Automate your web security audit trail. In this post I'll introduce a new Burp AI extension that takes the boring bits out of your pen test. Web security testing can be a
🔗Ссылка:
https://portswigger.net/research/document-my-pentest
150 views
Fsecurity | HH
Seqrite Labs
Unveiling Swan Vector APT Targeting Taiwan and Japan with varied DLL Implants
<p>Content Introduction Initial Findings. Looking into the decoy. Infection Chain. Technical Analysis. Stage 1 – Malicious LNK Script. Stage 2 – Malicious Pterois Implant. Stage 3 – Malicious Isurus Implant. Stage 4 – Malicious Cobalt Strike Shellcode. Infrastructure…
🔗Ссылка:
https://www.seqrite.com/blog/swan-vector-apt-targeting-taiwan-japan-dll-implants/
168 views
Fsecurity | HH
OffSec
PostgreSQL Exploit | OffSec
Sharpen your hacking skills! Learn from our walkthrough of a PostgreSQL exploit in the Nibbles machine on PG Practice.
🔗Ссылка:
https://www.offsec.com/blog/postgresql-exploit/
162 views
Fsecurity | HH
SecurityLab.ru
Patch Tuesday устраняет 72 уязвимости, но zero-day уже гуляют по Сети — особенно опасен баг в ядре Windows
Пять из них уже успели сослужить хакерам хорошую службу.
🔗Ссылка:
https://www.securitylab.ru/news/559296.php
150 views
Fsecurity | HH
SecurityLab.ru
CVE-2025-4427 + CVE-2025-4428 = вход без логина, RCE в подарок
Shadowserver бьёт тревогу: сотни серверов как на ладони, атаки уже идут.
🔗Ссылка:
https://www.securitylab.ru/news/559299.php
158 views
Fsecurity | HH
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
144 views
Fsecurity | HH
Хабр
Взлом ИИ-ассистентов. Абсолютный контроль: выдаём разрешение от имени системы (Gemini, DeepSeek, ChatGPT...)
Немного теории ChatGPT рассказал мне что все сообщения для модели выглядят как простой текст, будь то системные или пользовательские. Он же и подготовил мне такой пример, где часть запроса модель...
🔗Ссылка:
https://habr.com/ru/articles/909188/
166 views
Fsecurity | HH
Forwarded from Кибер ПТУ | Кибербезопасность
2025 attacks playbook.pdf
882.1 KB
Смотрим, как нас будут атаковать

Держите плейбук, а точнее сшитые вместе кучу плейбуков с векторами атак по абсолютно разным направлениям уибербеза и IT: от цепочек поставок и дипфейков до зеродеев и IoT-а.

В общем, сюда запихнули почти все известные вам ИБшные термины.

#BaseSecurity

🧠 Твой Пакет Знаний | 👨‍🏫 Менторство ИБ
📂 Другие каналы
Please open Telegram to view this post
VIEW IN TELEGRAM
175 views
Fsecurity | HH
Forwarded from Adaptix Framework
С версии 0.5 агент gopher будет также работать и в Windows системах...

Еще в данном агенте появится socks5 прокси... А так как агент синхронный, то для каждого канала поднимаются свой поток и отдельное соединение с сервером C2. Туннель способен выдерживать даже многопоточные сканеры)
181 views
Fsecurity | HH
GitHub
GitHub - simplerhacking/Evilginx3-Phishlets: This repository provides penetration testers and red teams with an extensive collection…
This repository provides penetration testers and red teams with an extensive collection of dynamic phishing templates designed specifically for use with Evilginx3. May be updated periodically. - si...
🔗Ссылка:
https://github.com/simplerhacking/Evilginx3-Phishlets
190 views
Fsecurity | HH
SecurityLab.ru
Система CVE пошла ко дну? Европа запускает спасательную капсулу с названием EUVD
Новая база уязвимостей  — запасной парашют для всей кибербезопасности.
🔗Ссылка:
https://www.securitylab.ru/news/559318.php
194 views
Fsecurity | HH
www.opennet.ru
Проект Tor представил Oniux, утилиту для сетевой изоляции приложений
Разработчики проекта Tor представили утилиту Oniux, предназначенную для принудительного направления трафика отдельных приложений через сеть Tor. По своему назначению Oniux напоминает ранее доступную программу torsocks и отличается использованием для изоляции…
🔗Ссылка:
https://opennet.ru/63237/
170 views
Fsecurity | HH
Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈
147 views
Fsecurity | HH
Хабр
Соревнование по взлому AI-ассистентов: впечатления от соревнования Hackaprompt
Только закончился очередной конкурс по взлому AI-ассистента — DougDoug’s Buffet . Участвовала только одна модель — ChatGPT от OpenAI. Соревнование было скорее про взлом установленной роли у модели в...
🔗Ссылка:
https://habr.com/ru/articles/908814/
151 views
Fsecurity | HH
Forwarded from AP Security
#soc

FalconHound

С момента своего выхода в 2016 году BloodHound стал основным инструментом для специалистов по наступательной безопасности, позволяющим выявлять неправильные конфигурации в Active Directory.

Основная цель FalconHound - обеспечить использование всех различных событий в системе и обновление базы данных BloodHound для улучшения качества работы синих команд при его использовании
GitHub
GitHub - FalconForceTeam/FalconHound: FalconHound is a blue team multi-tool. It allows you to utilize and enhance the power of…
FalconHound is a blue team multi-tool. It allows you to utilize and enhance the power of BloodHound in a more automated fashion. It is designed to be used in conjunction with a SIEM or other log ag...
👍1
147 views