Капець часу пройшло з тих пір...

Wow! Microsoft Recall reviews!

"⭐️⭐️⭐️⭐️⭐️, it helped our customers get more and faster" - Redline stealer

"⭐️⭐️⭐️⭐️⭐️, helped us optimize our code base. Love it!" - Formbook stealer

"⭐️⭐️⭐️⭐️⭐️, so easy to use! Required no work to get information" - Rhadamanthys stealer

Скоро...

Слоупоки, активуємось

https://t.me/+GcQNt2sx2oo3MTUy

Починаємо через 15 хвилин

Тема - рекон на широкому скоупі

Всім дякую, хто прийшов, вийшло круто)

Презентація
https://docs.google.com/presentation/d/1djoggJYuu-enFAdJGHj9L-Fz8BtBw0i0DRU2M4MNOkQ/edit?usp=sharing

Репа з кодом (обережно, треба бути некромантом щоб запрацювало)
https://github.com/Morronel/reconutils/tree/main

Послухайте розумну людину)

1. Subfinder лучше использовать с флагом -all, но сперва необходимо зарегистрироваться на всех сервисах, что поддерживает subfinder и взять оттуда апи ключи, количество доменов увеличивается в +20-30%.

2. Сперва резолвим при помощи DNSX, затем отдаем на скан портов в Naabu, а лишь потом отправляем в HTTPX для поиска живых HTTP сервисов.

3. Naabu лучше гонять с ключом -ec, позволит скипнуть все таргеты, что за CDN, и будет сканировать только 80,443 порт, в таком случае можно без проблем ставить -p - и сканировать все 65535 портов, а не лишь ТОП 10-20 портов.

4. Katana поддерживает с последнего релиза интеграцию с waybackarchive,commoncrawl,alienvault, и исключает необходимость использовать gau, waybackurls, чтобы не тянуть в баш скрипт кучу утилит, все можно делать одной. Через флаг -passive.

5. Поиск секретов. Не только вытягивать инфу с архивов, но и собирать сразу живые, для этого существует связка getJS + nuclei, и при скане желательно исключать из сканирования темплейты у которых критичность стоит в unknown, генерируют тонну фолз-позитива, увеличивают время скана и в целом грузит систему.

docker run -v $(pwd):/src secsi/getjs --input /src/alive_http_services --complete --output /src/js_links
docker run -v $(pwd):/src projectdiscovery/nuclei:latest -l /src/js_links -tags token,tokens -es unknown -o /src/secret-results

Без Дімона, цього спічу би не було. Чи був би, але через пару років. Зацініть його контент!

https://t.me/bughuntertips

В мене для вас заплановано дещо особливе. На наступну суботу, в нас на каналі буде підкаст, з моїм хорошим товаришем. Будемо спілкуватись про кібербезпеку, життя, багбаунті, програмування... Має бути прикольно!

Сам він - full time bug bounty hunter, топ-3 по Україні за 2023!

https://hackerone.com/olex_vel?type=user

Набагато більш плідний багхантер ніж я. Розкаже вам, як він опинився в кібербезпеці, чому вирішив кинути роботу пентестером в банку на користь багбаунті, і як краще шукати баги - руками чи автоматично

Ставте лайк на цей пост, якщо плануєте бути на івенті, подивимось скільки нас, і чи вліземо в діскорд)

Наступна субота! Десь в районі обіду! Приходьте)

Mobile Pentest Like a Pro

Great article that discusses the following topics in detail:
-IOS Jailbreak Methods
-Andr-oid Root Methods
-Important Folders & Files
-Static Analytics
-Hooking
-SSL Pin
-Root Detection
-Insecure Logging
-Insecure Storage
-Content Provider
-Static Scanner

https://redteamrecipe.com/mobile-pentest-like-a-pro

Як за допомогою різних додатків та сервісів, включаючи вбудовані в автомобілі, страхові компанії в США стежать за водіями та їхньою поведінкою на дорозі.

🔺 Агрегатори даних купують дані в інших додатків, комбінують та одержують результат, який потім може впливати на вартість страховки. Відбувається це, найчастіше, без відома користувачів, очевидно.

@secdigestua

Happy Birthday to herm1t.

herm1t was the creator and administrator for vxHeaven. vxHeaven was our inspiration — we try to act a successor for.

We hope you have a wonderful day.

#outlook #rce

Critical Microsoft Outlook Vulnerability Executes as Email is Opened

https://blog.morphisec.com/cve-2024-30103-microsoft-outlook-vulnerability

а я і не знав, що в pwndbg вже завезли ai

Йоу йоу йоу!

Завтра в нас буде стрім з Алексом. Будемо обговорювати багбаунті, вкат в кібербезпеку, розбір цікавих вразливостей та поради новачкам!

Де?
Прям тут, в телеграмі, скоріш за все в чаті каналу "Бінарний XOR". Посилання надам ближче до стріму

Коли?
Субота 15.06, 14:00 за київським часом. Розраховуємо провести в етері не більше години

Навіщо і для кого?
Новачки дізнаються про вкат в кібербезпеку, досвідчені задроти дізнаються про багбаунті. І все це від одного з топових багхантерів України!

Чекаємо всіх, має бути прикольно)

Через півгодинки починаємо!

Доєднуйтесь до нашого затишного чатіку, де буде стрім

https://t.me/binaryxor_chat

Всім дякую хто прийшов, було прикольно!

За годинку не впорались, та і за три не впорались, але набалакали добряче. Вирішили що зробимо з тим самим гостем ще один подкаст, через тиждень-два. Розкриємо глибше цю таємничу презентацію, приділимо час детальному розбору якихось кейсів

Слідкуйте за анонсами, і до нових зустрічей!