Passhunt. Утилита для нахождения дефолтных данных устройств
Здравствуйте ,Уважаемые Жители Форума. Появилась интересная утилита,которую можно использовать в виде справочника. Собственно,справка ко многим устройствам и является её предназначением. Passhunt-инструмент для поиска данных по умолчанию для сетевых устройств и web-приложений Обладает базой наименований 523 поставщиков ,включая 2084 пароля по-умолчанию к устройствам.
Читать: https://codeby.net/threads/passhunt-utilita-dlja-naxozhdenija-defoltnyx-dannyx-ustrojstv.62536/
#passwords #netowrk #web
Здравствуйте ,Уважаемые Жители Форума. Появилась интересная утилита,которую можно использовать в виде справочника. Собственно,справка ко многим устройствам и является её предназначением. Passhunt-инструмент для поиска данных по умолчанию для сетевых устройств и web-приложений Обладает базой наименований 523 поставщиков ,включая 2084 пароля по-умолчанию к устройствам.
Читать: https://codeby.net/threads/passhunt-utilita-dlja-naxozhdenija-defoltnyx-dannyx-ustrojstv.62536/
#passwords #netowrk #web
Forwarded from Positive Events
Интерес к Positive Hack Days 10 и кибербитве The Standoff за последнюю неделю вырос во много раз 👀
🙌🏽 Письма, звонки и комментарии с поддержкой приходят в наш адрес со всего мира. Поэтому мы решили перенести форум на наше «историческое» место — в Центр международной торговли в Москве. Это позволит пригласить на юбилейный, десятый PHDays в гораздо больше гостей.
Мы хотим увидеть офлайн наших коллег из сообщества ИБ, партнеров, заказчиков и друзей компании. Первоначальный камерный формат не позволил бы это сделать. Теперь все желающие смогут вживую задать вопросы и вместе с нами обсудить проблемы и задачи отрасли.
Приходите, вас ждет «Начало»! 👉🏼 https://clck.ru/UTJrd
🙌🏽 Письма, звонки и комментарии с поддержкой приходят в наш адрес со всего мира. Поэтому мы решили перенести форум на наше «историческое» место — в Центр международной торговли в Москве. Это позволит пригласить на юбилейный, десятый PHDays в гораздо больше гостей.
Мы хотим увидеть офлайн наших коллег из сообщества ИБ, партнеров, заказчиков и друзей компании. Первоначальный камерный формат не позволил бы это сделать. Теперь все желающие смогут вживую задать вопросы и вместе с нами обсудить проблемы и задачи отрасли.
Приходите, вас ждет «Начало»! 👉🏼 https://clck.ru/UTJrd
Forwarded from Positive Events
Киберучения на The Standoff начнутся уже 18 мая 🖤
Что такое The Standoff? Это киберполигон. Инструмент, с помощью которого моделируются технологические процессы и бизнес-системы реальных компаний в промышленности, на транспорте, финансовом и других секторах.
⌨️ Уже хочется взломать все это! Тогда до 30 апреля подавай заявку на https://clck.ru/UTmvv и присоединяйся к атакующей команде.
Не упусти возможность показать миру, насколько хороши твои навыки в пентесте 🤘🏼
Подробности 👉🏼 https://clck.ru/UTmvU
Что такое The Standoff? Это киберполигон. Инструмент, с помощью которого моделируются технологические процессы и бизнес-системы реальных компаний в промышленности, на транспорте, финансовом и других секторах.
⌨️ Уже хочется взломать все это! Тогда до 30 апреля подавай заявку на https://clck.ru/UTmvv и присоединяйся к атакующей команде.
Не упусти возможность показать миру, насколько хороши твои навыки в пентесте 🤘🏼
Подробности 👉🏼 https://clck.ru/UTmvU
Android, анонимность и pentest. часть 1
В цикле этих статей я расскажу вам как настроить свой смартфон и обезопасить себя от различных плохих моментов. Шифрование, firewall (защищаемся от утечек), анонимизация и спуфинг идентификаторов, криптоконтейнеры(в которых будем храниться вашу OS с инструментами и важными данными)
Читать: https://codeby.net/threads/android-anonimnost-i-pentest-chast-1.62521/
#android #pentest
В цикле этих статей я расскажу вам как настроить свой смартфон и обезопасить себя от различных плохих моментов. Шифрование, firewall (защищаемся от утечек), анонимизация и спуфинг идентификаторов, криптоконтейнеры(в которых будем храниться вашу OS с инструментами и важными данными)
Читать: https://codeby.net/threads/android-anonimnost-i-pentest-chast-1.62521/
#android #pentest
Брутим почты с помощью Patator
Всем доброго времени суток. В связи с последними событиями в моей жизни , пришлось вспомнить старый добрый метод для получения доступа к почте через брут. С тем условием , что я давно не смотрел атаки данного типа , мне стало интересно , что на рынке существует кроме гидры. Покопавшись в интернетах , я наткнулся на интересную тулзу - Patator. На мой взгляд - это достаточно интересная и мощьная тулза , которая позволяет брутить все известные пртоколы.
Читать: https://codeby.net/threads/brutim-pochty-s-pomoschju-patator.62511/
#mail #bruteforce #smtp
Всем доброго времени суток. В связи с последними событиями в моей жизни , пришлось вспомнить старый добрый метод для получения доступа к почте через брут. С тем условием , что я давно не смотрел атаки данного типа , мне стало интересно , что на рынке существует кроме гидры. Покопавшись в интернетах , я наткнулся на интересную тулзу - Patator. На мой взгляд - это достаточно интересная и мощьная тулза , которая позволяет брутить все известные пртоколы.
Читать: https://codeby.net/threads/brutim-pochty-s-pomoschju-patator.62511/
#mail #bruteforce #smtp
Небольшой локальный рекорд
Число установок мобильного клиента превысило 1000. МК дает возможность оперативного получения push - уведомлений. Пока клиент не особо удобен, признаем этот факт. Если стоит выбор между "Посмотреть форум на компе" и "Посмотреть в МК телефона" - я выбрал бы компьютер. Но все меняется, и кто знает, где со временем будет удобнее :)
А пока для тех, кто еще не установил клиент, ссылка на версию:
🔗 Android https://play.google.com/store/apps/details?id=net.codeby.forum.nobitame&hl=ru
🔗 IOS https://apps.apple.com/ru/app/codeby/id1533773781
#mobile
Число установок мобильного клиента превысило 1000. МК дает возможность оперативного получения push - уведомлений. Пока клиент не особо удобен, признаем этот факт. Если стоит выбор между "Посмотреть форум на компе" и "Посмотреть в МК телефона" - я выбрал бы компьютер. Но все меняется, и кто знает, где со временем будет удобнее :)
А пока для тех, кто еще не установил клиент, ссылка на версию:
🔗 Android https://play.google.com/store/apps/details?id=net.codeby.forum.nobitame&hl=ru
🔗 IOS https://apps.apple.com/ru/app/codeby/id1533773781
#mobile
Forensic Framework Volatility
Здравствуйте друзья!) Я недавно познакомился с одним из фреймворков в компьютерной криминалистике "Volatility" и его гуи версией "VolUtility", теперь вот хочу и вас с ним тоже познакомить так сказать. Данный фреймворк кросcплатформенный с открытым исходным кодом, написан на python. Имеет множество плагинов, позволяет писать свои, на официальном сайте фреймворка вроде как, даже проходил конкурс на написание лучшего плагина. Это инструмент командной строки, но имеется и web интерфейс, который устанавливается отдельно. Фреймворк предустановлен в Kali linux и BlackArch, кто нибудь интересовался им? вот только честно)
Читать: https://codeby.net/threads/forensic-framework-volatility.62374/
#forensic #framework
Здравствуйте друзья!) Я недавно познакомился с одним из фреймворков в компьютерной криминалистике "Volatility" и его гуи версией "VolUtility", теперь вот хочу и вас с ним тоже познакомить так сказать. Данный фреймворк кросcплатформенный с открытым исходным кодом, написан на python. Имеет множество плагинов, позволяет писать свои, на официальном сайте фреймворка вроде как, даже проходил конкурс на написание лучшего плагина. Это инструмент командной строки, но имеется и web интерфейс, который устанавливается отдельно. Фреймворк предустановлен в Kali linux и BlackArch, кто нибудь интересовался им? вот только честно)
Читать: https://codeby.net/threads/forensic-framework-volatility.62374/
#forensic #framework
Форензика. Что это и как это.
Здравствуйте дорогие пользователи и гости этого замечательного форума) Сегодня с этой статьи возможно начнется цикл публикаций по такой теме как "Компьютерная криминалистика" ака "Форензика", а пока просто рассмотрим что это и как это. Поехали. "Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Читать: https://codeby.net/threads/forenzika-chto-ehto-i-kak-ehto.62285/
#forensic #information
Здравствуйте дорогие пользователи и гости этого замечательного форума) Сегодня с этой статьи возможно начнется цикл публикаций по такой теме как "Компьютерная криминалистика" ака "Форензика", а пока просто рассмотрим что это и как это. Поехали. "Форензика"-от латинского «foren»,«речь перед форумом»,выступление перед судом, судебные дебаты. В русский язык пришло из английского. Сам термин «forensics» это сокращенная форма от «forensic science», дословно «судебная наука», то есть наука об исследовании доказательств – криминалистика. Криминалистика которая изучает компьютерные доказательства, по английски будет «computer forensics». В России слово форензика имеет одно значение - компьютерная криминалистика.
Читать: https://codeby.net/threads/forenzika-chto-ehto-i-kak-ehto.62285/
#forensic #information
Установка Ubuntu в связке с Metasploit [TERMUX]
Доброго времени суток, обитатели Codeby. Думаю не у каждого есть возможность иметь при себе ноутбук с хакерским арсеналом или же NetHunter, но на помощь к нам приходит Termux. Не буду тянуть кота за хвост. Как вы поняли из названия темы сегодня мы установим Ubuntu в связке с Metasploit.
Читать: https://codeby.net/threads/ustanovka-ubuntu-v-svjazke-s-metasploit-termux.62260/
#termux #metasploit #ubuntu
Доброго времени суток, обитатели Codeby. Думаю не у каждого есть возможность иметь при себе ноутбук с хакерским арсеналом или же NetHunter, но на помощь к нам приходит Termux. Не буду тянуть кота за хвост. Как вы поняли из названия темы сегодня мы установим Ubuntu в связке с Metasploit.
Читать: https://codeby.net/threads/ustanovka-ubuntu-v-svjazke-s-metasploit-termux.62260/
#termux #metasploit #ubuntu
👍1
Уязвимости WordPress и их эксплуатация для начинающего пентестера
Для начала предлагаю вспомнить (или выучить) основы. Что из себя представляет процесс взлома сайта хакером? Как происходит разведка перед эксплуатацией?
Читать: https://codeby.net/threads/ujazvimosti-wordpress-i-ix-ehkspluatacija-dlja-nachinajuschego-pentestera.67676/
#wordpress #exploit
————————————————
Фриланс Кодебай (https://freelance.codeby.net/) — сервис поиска удаленной работы и размещения заказов
Для начала предлагаю вспомнить (или выучить) основы. Что из себя представляет процесс взлома сайта хакером? Как происходит разведка перед эксплуатацией?
Читать: https://codeby.net/threads/ujazvimosti-wordpress-i-ix-ehkspluatacija-dlja-nachinajuschego-pentestera.67676/
#wordpress #exploit
————————————————
Фриланс Кодебай (https://freelance.codeby.net/) — сервис поиска удаленной работы и размещения заказов
#реклама
Научитесь проводить тестирование на проникновение и станьте «атакующим» игроком в кибербезопасности!
Приходите на интенсив Pentesting: Level 0, где ребята из HackerU расскажут:
— Основные процессы тестирования на проникновение
— Инструменты для работы с анализом защищенности
— Как проходит взлом веб-приложения
Кстати, все занятия пройдут в формате CTF, а общение с экспертами-пентестерами проходит в закрытых видеоконференциях.
С вас 3 дня вовлечённости, за что вы получите сертификат и бонусы на любые курсы по кибербезопасности от HackerU!
Старт уже скоро! Регистрируйтесь на интенсив по ссылке: https://is.gd/0NTgy9
Научитесь проводить тестирование на проникновение и станьте «атакующим» игроком в кибербезопасности!
Приходите на интенсив Pentesting: Level 0, где ребята из HackerU расскажут:
— Основные процессы тестирования на проникновение
— Инструменты для работы с анализом защищенности
— Как проходит взлом веб-приложения
Кстати, все занятия пройдут в формате CTF, а общение с экспертами-пентестерами проходит в закрытых видеоконференциях.
С вас 3 дня вовлечённости, за что вы получите сертификат и бонусы на любые курсы по кибербезопасности от HackerU!
Старт уже скоро! Регистрируйтесь на интенсив по ссылке: https://is.gd/0NTgy9
Пишем скрипт для брута хэшей
Приветствую тебя #username# ! В этой не большой статье мы напишем инструмент для брута md5 хэшей на python. Надеюсь у вас есть опыт программирования на данном языке, если же нет настоятельно рекомендую посмотреть эту лекцию в которой собраны те навыки с которыми мы столкнемся сегодня. Заранее предупреждаю что здесь не будут рассматриваться темы ООП, многопоточности и других на первый взгляд сложных терминов.
Читать: https://codeby.net/threads/pishem-skript-dlja-bruta-xehshej.62252/
#bruteforce #hash #python
Приветствую тебя #username# ! В этой не большой статье мы напишем инструмент для брута md5 хэшей на python. Надеюсь у вас есть опыт программирования на данном языке, если же нет настоятельно рекомендую посмотреть эту лекцию в которой собраны те навыки с которыми мы столкнемся сегодня. Заранее предупреждаю что здесь не будут рассматриваться темы ООП, многопоточности и других на первый взгляд сложных терминов.
Читать: https://codeby.net/threads/pishem-skript-dlja-bruta-xehshej.62252/
#bruteforce #hash #python
Установка ArchLinux
Хочу предложить на ваш суд мой скромный труд, познакомить Вас с замечательной Linux — системой под именем ARCH. Рассказывать об Arch“е можно много и долго. ARCH будет тем, что вы из него сделаете. Бытует мнение, что Arch очень труден в установке и освоении. Это верно лишь в том случае, если вы не знакомы с Linux вообще. Если же вы знакомы с идеологией и возможностями Linux, и консолью в особенности, то для Вас ничего сложного не будет. И я попробую Вам это показать. Если возникнет желание, можете взять свободный HDD или SSD, и пройти все этапы установки Arch“а вместе со мной.
Читать: https://codeby.net/threads/ustanovka-archlinux.62180/
#linux #tutorial #arch
Хочу предложить на ваш суд мой скромный труд, познакомить Вас с замечательной Linux — системой под именем ARCH. Рассказывать об Arch“е можно много и долго. ARCH будет тем, что вы из него сделаете. Бытует мнение, что Arch очень труден в установке и освоении. Это верно лишь в том случае, если вы не знакомы с Linux вообще. Если же вы знакомы с идеологией и возможностями Linux, и консолью в особенности, то для Вас ничего сложного не будет. И я попробую Вам это показать. Если возникнет желание, можете взять свободный HDD или SSD, и пройти все этапы установки Arch“а вместе со мной.
Читать: https://codeby.net/threads/ustanovka-archlinux.62180/
#linux #tutorial #arch
Forwarded from Social Engineering
🔎 Поиск информации о цели, зная Email адрес.
• haveibeenpwned.com — проверка почты в слитых базах
• emailrep.io — найдет на каких сайтах был зарегистрирован аккаунт использующий определенную почту
• dehashed.com — проверка почты в слитых базах
• intelx.io — многофункциональный поисковик, поиск осуществляется еще и по даркнету
• @info_baza_bot — покажет из какой базы слита почта, 2 бесплатных скана
• leakedsource.ru — покажет в каких базах слита почта;
• mostwantedhf.info — найдет аккаунт skype;
• email2phonenumber (t) — автоматически собирает данные со страниц восстановления аккаунта, и находит номер телефона;
• spiderfoot — автоматический поиск с использованием огромного количества методов, можно использовать в облаке если пройти регистрацию;
• reversegenie.com — найдет местоположение, Первую букву имени и номера телефонов;
• @last4mailbot — бот найдет последние 4 цифры номера телефона клиента Сбербанка;
• searchmy.bio — найдет учетную запись Instagram с электронной почтой в описании;
• leakprobe.net — найдет ник и источник слитой базы;
• recon.secapps.com — автоматический поиск и создание карт взаимосвязей;
• @AvinfoBot (r) — найдет аккаунт в ВК;
• account.lampyre.io (t) (r) — программа выполняет поиск по аккаунтам в соц. сетях и мессенджерам и другим источникам;
• eog.pw (r) — найдет фото аккаунта;
• @StealDetectorBOT — покажет часть утекшего пароля;
• @UniversalSearchBot — бот найдет ID аккаунта, даст ссылку на Google Maps и альбомы и многое другое;
• scylla.so — поисковик по базам утечек, найдет пароли, IP, ники и многое другое, в поле поиска введите
• @Quick_OSINT_bot — найдет пароли, соц. сети, логины, телефоны и многое другое;
• GHunt — инструмент достанет Google ID, устройства, имя аккаунта, найдет какие сервисы Google используется, данные из отзывов на Google картах;
• cyberbackgroundchecks.com — найдет все данные гражданина США, вход на сайт разрешен только с IP адреса США
• holehe (t) — инструмент проверяет аккаунты каких сайтов зарегистрированы на искомый email адрес, поиск по 30 источникам;
• tools.epieos.com — найдет Google ID, даст ссылки на профиль в Google карты, альбомы и календарь, найдет к каким сайтам привязана почта, профиль LinkedIn;
• grep.app — поиск в репозиториях GitHub;
• @PasswordSearchBot — выдает пароли;
• m.ok.ru — показывает часть номера телефона, email, фамилии и полностью город с датой регистрации, используй во вкладке инкогнито;
• www.avatarapi.com — найдет аватарку из множества источников;
• @mailExistsBot — найдет к каким сайтам привязана почта, даст данные из форм восстановления пароля;
• @SEARCHUA_bot — выдает досье на гражданина Украины где есть паспорт, адрес проживания, ФИО, автомобили, родственники, email, номера телефонов и много другого;
• @SovaAppBot — найдет к каким сайтам привязана почта, результаты могут отличаться от аналогичных инструментов;
• @shi_ver_bot — утекшие пароли;
• @smart_search_3_bot — найдет ФИО, дату рождения, адрес, телефон и много другого, дает несколько бесплатных попыток на один аккаунт;
‼️ Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
🖖🏻 Приветствую тебя user_name.Продолжаем пополнять нашу коллекцию #OSINT ресурсов. Каким образом используется полученная информация в сфере #СИ ты можешь узнать в нашем канале если воспользуешься поиском по словам или хештегу. Сегодня я собрал для тебя подборку полезных сервисов и инструментов, благодаря которым ты сможешь найти полезную информацию о цели, зная электронный адрес:
💬
• haveibeenpwned.com — проверка почты в слитых базах
• emailrep.io — найдет на каких сайтах был зарегистрирован аккаунт использующий определенную почту
• dehashed.com — проверка почты в слитых базах
• intelx.io — многофункциональный поисковик, поиск осуществляется еще и по даркнету
• @info_baza_bot — покажет из какой базы слита почта, 2 бесплатных скана
• leakedsource.ru — покажет в каких базах слита почта;
• mostwantedhf.info — найдет аккаунт skype;
• email2phonenumber (t) — автоматически собирает данные со страниц восстановления аккаунта, и находит номер телефона;
• spiderfoot — автоматический поиск с использованием огромного количества методов, можно использовать в облаке если пройти регистрацию;
• reversegenie.com — найдет местоположение, Первую букву имени и номера телефонов;
• @last4mailbot — бот найдет последние 4 цифры номера телефона клиента Сбербанка;
• searchmy.bio — найдет учетную запись Instagram с электронной почтой в описании;
• leakprobe.net — найдет ник и источник слитой базы;
• recon.secapps.com — автоматический поиск и создание карт взаимосвязей;
• @AvinfoBot (r) — найдет аккаунт в ВК;
• account.lampyre.io (t) (r) — программа выполняет поиск по аккаунтам в соц. сетях и мессенджерам и другим источникам;
• eog.pw (r) — найдет фото аккаунта;
• @StealDetectorBOT — покажет часть утекшего пароля;
• @UniversalSearchBot — бот найдет ID аккаунта, даст ссылку на Google Maps и альбомы и многое другое;
• scylla.so — поисковик по базам утечек, найдет пароли, IP, ники и многое другое, в поле поиска введите
email: и после e-mail адрес, например email:example@gmail.com;• @Quick_OSINT_bot — найдет пароли, соц. сети, логины, телефоны и многое другое;
• GHunt — инструмент достанет Google ID, устройства, имя аккаунта, найдет какие сервисы Google используется, данные из отзывов на Google картах;
• cyberbackgroundchecks.com — найдет все данные гражданина США, вход на сайт разрешен только с IP адреса США
• holehe (t) — инструмент проверяет аккаунты каких сайтов зарегистрированы на искомый email адрес, поиск по 30 источникам;
• tools.epieos.com — найдет Google ID, даст ссылки на профиль в Google карты, альбомы и календарь, найдет к каким сайтам привязана почта, профиль LinkedIn;
• grep.app — поиск в репозиториях GitHub;
• @PasswordSearchBot — выдает пароли;
• m.ok.ru — показывает часть номера телефона, email, фамилии и полностью город с датой регистрации, используй во вкладке инкогнито;
• www.avatarapi.com — найдет аватарку из множества источников;
• @mailExistsBot — найдет к каким сайтам привязана почта, даст данные из форм восстановления пароля;
• @SEARCHUA_bot — выдает досье на гражданина Украины где есть паспорт, адрес проживания, ФИО, автомобили, родственники, email, номера телефонов и много другого;
• @SovaAppBot — найдет к каким сайтам привязана почта, результаты могут отличаться от аналогичных инструментов;
• @shi_ver_bot — утекшие пароли;
• @smart_search_3_bot — найдет ФИО, дату рождения, адрес, телефон и много другого, дает несколько бесплатных попыток на один аккаунт;
‼️ Другую дополнительную информацию ты можешь найти по хештегам #OSINT и #СИ. Делись с друзьями, добавляй в избранное и включай уведомления чтобы не пропустить новый материал. Твой S.E.
👍2
Современные web-уязвимости (3.Username Enumeration – SSN)
В 2020 году уязвимости получения имен пользователей (username enumeration) по-прежнему широко распространены. Многие компании отказываются исправлять эти недостатки из-за страха перед негативным влиянием на прибыль и удобство пользователей. Вместо того, чтобы рассматривать примеры username enumeration, которые хорошо описаны во многих книгах и онлайн, давайте рассмотрим более эффективный и продвинутый сценарий. С повсеместным использованием фреймворков JavaScript большая часть логики приложений была перенесена со стороны сервера (бекенд) на сторону клиента (фронтенд). Искусственный интеллект закрепляется в инструментах служб безопасности (синей команды). Все больше и больше компаний полагаются на обфускацию и готовые решения по безопасности для предотвращения эксплуатации уязвимостей, которые могли бы быть легко устранены несколькими строчками в серверной логике.
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
#pentest #research #web
В 2020 году уязвимости получения имен пользователей (username enumeration) по-прежнему широко распространены. Многие компании отказываются исправлять эти недостатки из-за страха перед негативным влиянием на прибыль и удобство пользователей. Вместо того, чтобы рассматривать примеры username enumeration, которые хорошо описаны во многих книгах и онлайн, давайте рассмотрим более эффективный и продвинутый сценарий. С повсеместным использованием фреймворков JavaScript большая часть логики приложений была перенесена со стороны сервера (бекенд) на сторону клиента (фронтенд). Искусственный интеллект закрепляется в инструментах служб безопасности (синей команды). Все больше и больше компаний полагаются на обфускацию и готовые решения по безопасности для предотвращения эксплуатации уязвимостей, которые могли бы быть легко устранены несколькими строчками в серверной логике.
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-3-username-enumeration-ssn.77394/
#pentest #research #web
Современные web-уязвимости (2.Host Header Injection)
В то время пока работает новая схема пассивного дохода Юрия (описанная в предыдущей главе), он решает поискать другую уязвимость на GitHub. На домашней странице GitHub он выполняет поиск «$SERVER ['HTTPHOST']». Для тех, кто с PHP не знаком, $SERVER - это зарезервированная переменная, содержащая массив заголовков HTTP, путей (paths) и местоположений скриптов. Переменная $SERVER 'HTTP_HOST' получает заголовок хоста из веб-запроса (request), отправленного в приложение.
Снимок экрана, показывающий результаты поиска GitHub:
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-2-host-header-injection.77349/
#pentest #research #web
В то время пока работает новая схема пассивного дохода Юрия (описанная в предыдущей главе), он решает поискать другую уязвимость на GitHub. На домашней странице GitHub он выполняет поиск «$SERVER ['HTTPHOST']». Для тех, кто с PHP не знаком, $SERVER - это зарезервированная переменная, содержащая массив заголовков HTTP, путей (paths) и местоположений скриптов. Переменная $SERVER 'HTTP_HOST' получает заголовок хоста из веб-запроса (request), отправленного в приложение.
Снимок экрана, показывающий результаты поиска GitHub:
Читать: https://codeby.net/threads/sovremennye-web-ujazvimosti-2-host-header-injection.77349/
#pentest #research #web
Forwarded from Positive Events
Каким будет юбилейный PHD, чего от него ждут участники и почему он так важен для IT-сообщества и бизнеса? Ответы на эти и другие вопросы – в роликах наших партнёров.
😎 Впервые на Positive Hack Days в качестве технологического партнера выступает знаменитый фуд-ритейлер, российская сеть продуктовых супермаркетов «Азбука вкуса» 🖤 – компания, которая первая в ритейл-сегменте запустила программу bug bounty. На The Standoff «Азбука вкуса» организует магазин с кассовым узлом, системой лояльности и ERP-системами и предложит участникам Bug Hunting Village пошопиться поискать в них уязвимости и дыры безопасности за вознаграждение. Приходите на PHDays 10, будет необычно!
Руководитель отдела информационной безопасности Азбуки вкуса Дмитрий Кузеванов участникам Positive Hack Days 👇🏼
https://youtu.be/7L_OdKZc9EI
😎 Впервые на Positive Hack Days в качестве технологического партнера выступает знаменитый фуд-ритейлер, российская сеть продуктовых супермаркетов «Азбука вкуса» 🖤 – компания, которая первая в ритейл-сегменте запустила программу bug bounty. На The Standoff «Азбука вкуса» организует магазин с кассовым узлом, системой лояльности и ERP-системами и предложит участникам Bug Hunting Village пошопиться поискать в них уязвимости и дыры безопасности за вознаграждение. Приходите на PHDays 10, будет необычно!
Руководитель отдела информационной безопасности Азбуки вкуса Дмитрий Кузеванов участникам Positive Hack Days 👇🏼
https://youtu.be/7L_OdKZc9EI
YouTube
[RUS] Дмитрий Кузеванов, Азбука вкуса
Делаем MiniPwner из Orange Pi Zero или на что годен апельсин
Недавно я приобрел себе плату Orange Pi Zero. Размер платы всего 46 x 48мм. Я давно хотел сделать MiniPwner. Так давайте попробуем сделать эту игрушку. MiniPwner это небольшое устройство, при незаметном подключение этого устройства к сети которую вы хотите атаковать мы получите доступ 100% доступ к сети.
Читать: https://codeby.net/threads/delaem-minipwner-iz-orange-pi-zero-ili-na-chto-goden-apelsin.62231/
#pi #armbian #lan
Недавно я приобрел себе плату Orange Pi Zero. Размер платы всего 46 x 48мм. Я давно хотел сделать MiniPwner. Так давайте попробуем сделать эту игрушку. MiniPwner это небольшое устройство, при незаметном подключение этого устройства к сети которую вы хотите атаковать мы получите доступ 100% доступ к сети.
Читать: https://codeby.net/threads/delaem-minipwner-iz-orange-pi-zero-ili-na-chto-goden-apelsin.62231/
#pi #armbian #lan
Адаптеры для пентестера в свободной продаже
Привет всем! Начну тему с описанием и тестированием на себе адаптеров из своболной продажи в наших магазинах без всяких Китайских рынков, с которых ждать долго и получаешь порой не совсем нужное. Тестирую на ос Kali и Parrot установленные как на VirtualBox так и в живую. airgeddon как основная утилита для хендшейка и wps
Читать: https://codeby.net/threads/adaptery-dlja-pentestera-v-svobodnoj-prodazhe.62224/
#pentest #wifi #adapter
Привет всем! Начну тему с описанием и тестированием на себе адаптеров из своболной продажи в наших магазинах без всяких Китайских рынков, с которых ждать долго и получаешь порой не совсем нужное. Тестирую на ос Kali и Parrot установленные как на VirtualBox так и в живую. airgeddon как основная утилита для хендшейка и wps
Читать: https://codeby.net/threads/adaptery-dlja-pentestera-v-svobodnoj-prodazhe.62224/
#pentest #wifi #adapter
SocialFish фишинговая атака с помощью Ngrok
Приветствую Друзей,Уважаемых Форумчан и Гоcтей форума. Сегодня мы рассмотрим и поговорим о ещё одном способе метода фишинговой атаки. Основана она на злоупотреблении сервисом Ngrok. Как известно,сервис позволяет осуществить проброс локального вашего веб-сервиса. Задуман он для того,чтобы разработчики смогли поделиться между собой какими-то работами,посмотреть их,продемонстрировать c любой точки планеты. А мы,в свою очередь,будем говорить о том ,как можно атаковать,используя ту лёгкость ,с которой позволяет Ngrok в глобальной сети увидеть вашу фишинговую страницу.
Читать: https://codeby.net/threads/socialfish-fishingovaja-ataka-s-pomoschju-ngrok.62104/
#phishing #ngrok #se
Приветствую Друзей,Уважаемых Форумчан и Гоcтей форума. Сегодня мы рассмотрим и поговорим о ещё одном способе метода фишинговой атаки. Основана она на злоупотреблении сервисом Ngrok. Как известно,сервис позволяет осуществить проброс локального вашего веб-сервиса. Задуман он для того,чтобы разработчики смогли поделиться между собой какими-то работами,посмотреть их,продемонстрировать c любой точки планеты. А мы,в свою очередь,будем говорить о том ,как можно атаковать,используя ту лёгкость ,с которой позволяет Ngrok в глобальной сети увидеть вашу фишинговую страницу.
Читать: https://codeby.net/threads/socialfish-fishingovaja-ataka-s-pomoschju-ngrok.62104/
#phishing #ngrok #se
