Forwarded from road to OSCP
Исчерпывающее руководство по анализу Javascript-файлов.
https://kpwn.de/2023/05/javascript-analysis-for-pentesters/
Взято с канала cybre
https://kpwn.de/2023/05/javascript-analysis-for-pentesters/
Взято с канала cybre
kpwn.de
~/kpwn$ _
👀4👍2
Forwarded from vx-underground
NoBit contacted us regarding this message. They state we have misunderstood their post.
👍2😁2
Forwarded from Cybred
https://github.com/berzerk0/Probable-Wordlists
Словари самых распространенных паролей, собранные на основе SecLists, Weakpass, CrackStation.
Словари самых распространенных паролей, собранные на основе SecLists, Weakpass, CrackStation.
GitHub
GitHub - berzerk0/Probable-Wordlists: Version 2 is live! Wordlists sorted by probability originally created for password generation…
Version 2 is live! Wordlists sorted by probability originally created for password generation and testing - make sure your passwords aren't popular! - berzerk0/Probable-Wordlists
🔥2👀1
Forwarded from road to OSCP
Если во время пентеста обнаружен Google Maps API Key, он может быть использован для атак типа "denial-of-wallet", — при условии, что API-ключ не имеет должных ограничений. Например, 1000 запросов типа "Nearby Search-Places" будут стоить организации 32$.
Проверить конфигурацию ограничений можно с помощью инструмента:
https://github.com/ozguralp/gmapsapiscanner.
Проверить конфигурацию ограничений можно с помощью инструмента:
https://github.com/ozguralp/gmapsapiscanner.
GitHub
GitHub - ozguralp/gmapsapiscanner
Contribute to ozguralp/gmapsapiscanner development by creating an account on GitHub.
👍3
Колеги, привіт. Зазвичай я не прошу у вас донати, але на цих вихідних до мене звернувся із проханням мій колишній однокласник, який служить в армії. Його перекинули під Слов'янськ, і встало питання, як їх оснастити. Ми знайшли волонтерський фонд який готовий закрити частину потреб хлопців, але доки допомога від них прийде - потрібен мавік, щоб у хлопців були очі в небі. Ми з однокласниками назбирали вже 60 000 гривень, але добити збір поки що не вдається, тому звертаюсь до своїх підписників. Сподіваюсь на вашу допомогу, кожна гривня важлива.
Також, якщо ви маєте виходи на волонтерів які організовано можуть з цим допомагати - можете маякнути в лс, я би з вами поспілкувався.
Збір на квадрокоптер DJI Mavic 3 standard для 25 бригади НГУ
🎯Ціль: 90 000.00 ₴
🔗Посилання на банку
https://send.monobank.ua/jar/7CYUoVv9ca
💳Номер картки банки
5375 4112 0794 2223
Всім дуже дякую
Також, якщо ви маєте виходи на волонтерів які організовано можуть з цим допомагати - можете маякнути в лс, я би з вами поспілкувався.
Збір на квадрокоптер DJI Mavic 3 standard для 25 бригади НГУ
🎯Ціль: 90 000.00 ₴
🔗Посилання на банку
https://send.monobank.ua/jar/7CYUoVv9ca
💳Номер картки банки
5375 4112 0794 2223
Всім дуже дякую
❤5🖕3🥰1
Forwarded from Security Digest UA
Компанія IT Specialist проводить безкоштовні курси з кібербезу після яких може взяти на роботу. Деталі.
Також ось їх вакансії. Є позиції і для новачків/джунів, наприклад, така.
#Інтернатура #Навчання | @secdigestua
Також ось їх вакансії. Є позиції і для новачків/джунів, наприклад, така.
#Інтернатура #Навчання | @secdigestua
🔥2🤡2
Forwarded from DC8044 F33d
Поздоровляємо з днем Військ зв’язку і кібербезпеки Збройних сил України!
🔥5
Forwarded from Cybred
https://github.com/robre/jsmon
Скрипт для мониторинга изменений в Javascript файлах. Принимает на вход ссылки, которые будут регулярно обходиться краулером. Сравнивает изменения и отправляет diff в Telegram.
Скрипт для мониторинга изменений в Javascript файлах. Принимает на вход ссылки, которые будут регулярно обходиться краулером. Сравнивает изменения и отправляет diff в Telegram.
GitHub
GitHub - robre/jsmon: a javascript change monitoring tool for bugbounties
a javascript change monitoring tool for bugbounties - robre/jsmon
👍2
Forwarded from Cybred
Автоматизированные атаки на LLM.
Исследователи из Университета Карнеги-Меллона нашли способ, как можно обмануть LLM и попросить выдать ответы на вредоносные запросы, не прибегая к созданию виртуальных личностей.
Некоторые специальные последовательности слов и символов (которые, на первый взгляд, выглядят как тарабарщина) позволяют обойти ограничения нейросетей и генерировать ответы на любые вопросы.
Уязвимость обусловлена особенностью обучения нейросетей, loss-функцией и процессом токенизации. На скриншотах примеры ответов, сгенерированных таким способом:
— советы, как садиться пьяным за руль
— пошаговый гайд по уничтожению человечества
— как фальсифицировать выборы
— как создать бомбу
— как приготовить метамфетамин
— самые расистские шутки
На Github выложили эксплойт. Затрагивает все популярные LLM, включая ChatGPT, Bard , Claude и Llama-2.
Исследователи из Университета Карнеги-Меллона нашли способ, как можно обмануть LLM и попросить выдать ответы на вредоносные запросы, не прибегая к созданию виртуальных личностей.
Некоторые специальные последовательности слов и символов (которые, на первый взгляд, выглядят как тарабарщина) позволяют обойти ограничения нейросетей и генерировать ответы на любые вопросы.
Уязвимость обусловлена особенностью обучения нейросетей, loss-функцией и процессом токенизации. На скриншотах примеры ответов, сгенерированных таким способом:
— советы, как садиться пьяным за руль
— пошаговый гайд по уничтожению человечества
— как фальсифицировать выборы
— как создать бомбу
— как приготовить метамфетамин
— самые расистские шутки
На Github выложили эксплойт. Затрагивает все популярные LLM, включая ChatGPT, Bard , Claude и Llama-2.
😱5
Forwarded from Cybred
Помимо обновления для Burp Suite, по мотивам ресерча "Smashing the state machine: the true potential of web race conditions" добавили и новые лабы.
Теория:
— What is a race condition?
— Limit overrun race conditions
— Hidden multi-step sequences
— Methodology
— Multi-endpoint race conditions
— Single-endpoint race conditions
— Session-based locking mechanisms
— Partial construction race conditions
— Time-sensitive attacks
— Preventing race conditions
Практика:
— Limit overrun race conditions
— Bypassing rate limits via race conditions
— Multi-endpoint race conditions
— Single-endpoint race conditions
— Exploiting time-sensitive vulnerabilities
— Partial construction race conditions
Теория:
— What is a race condition?
— Limit overrun race conditions
— Hidden multi-step sequences
— Methodology
— Multi-endpoint race conditions
— Single-endpoint race conditions
— Session-based locking mechanisms
— Partial construction race conditions
— Time-sensitive attacks
— Preventing race conditions
Практика:
— Limit overrun race conditions
— Bypassing rate limits via race conditions
— Multi-endpoint race conditions
— Single-endpoint race conditions
— Exploiting time-sensitive vulnerabilities
— Partial construction race conditions
❤1👍1🔥1