В этом докладе представлена новая техника взлома веб-софта, которая позволяет злоумышленнику обходить большинство XSS-блокираторов.
Суть этой техники – в использовании так называемых скрипт-гаджетов.
Скрипт-гаджет – это законный фрагмент JS-кода на веб-странице, который при помощи CSS-селекторов считывает содержимое DOM-элементов и затем обрабатывает их таким образом, чтобы запустился вредоносный скрипт.
Статья на SPY-SOFT – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👍1
ИБ-исследователь под ником Q Continuum обнаружил 287 расширений для Chrome, которые незаметно передают все данные об истории посещений сторонним компаниям. Суммарное количество установок таких расширений превышает 37,4 млн.
Специалист разработал автоматизированную систему тестирования на базе Docker с Chromium за MITM-прокси: пайплайн генерировал синтетический браузерный трафик и сопоставлял исходящие сетевые запросы с посещенными URL, выявляя утечки.
— Проверке подверглись 32 000 расширений из Chrome Web Store, и в итоге было найдено более 30 компаний, которые собирают такие данные.
Новость на Xakep – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯4❤2🕊1
При получении доступа к настройкам сетевого оборудования, когда физически мы находимся с ним не в одной локальной сети (по сути, когда невозможна атака человек-посередине), то одной из альтернатив может стать использование DNS прокси.
Данный метод позволяет собрать разнообразную информацию и даже получить логины и пароли от сайтов.
— Данный метод применим, например, для каждого из роутеров в административную панель которых мы имеем доступ с помощью программы Router Scan by Stas’M.
Статья на HackWare – линк.
Часть 3 – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1
Кибербезопасность в принципе мобильна, а сейчас меняется стремительно.
— Эксперты AM Live обсудили, какие ключевые навыки и специализации будут наиболее востребованы на рынке труда в 2025–2026 годах, с чего начать карьеру и как построить эффективный план саморазвития, чтобы стать ценным специалистом.
Статья на Anti-Malware – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
"Краткость - сестра таланта" - именно так сказал Антон Павлович Чехов, и теперь говорю я.
До конца дней площадки речь пойдет о WebSocket-ах: "Что это?", "Как работает?" и главное - "Как это взламывать?" (в целях этичного хакинга конечно).
— Начнем с простого и будем идти к более сложному, пробираясь через тернии к звёздам.
Статья на Codeby – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
AppSec Payloads — это систематизированная коллекция векторов атак, полезных нагрузок и чеклистов, используемых специалистами по безопасности (AppSec), пентестерами и охотниками за багами (Bug Bounty) для тестирования веб-сервисов.
— Включает в себя готовые строки для эксплуатации популярных уязвимостей: XSS, SQL-инъекции, SSRF, LFI/RFI, а также техники обхода WAF (Web Application Firewall) и проверки безопасности API, JWT и OAuth.
Репозиторий на GitHub – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1
В статье рассмотрим способ шифровать свои сообщения, используя любой мессенжер, в том числе Max.
— Работать будет на любой ОС, где есть броузер не старше 7 лет.
Практичная реализация шифра Вернама, которая ориентирована на русский и английский текст. Да, того самого шифра, который принципиально не взламываемй без наличия ключа. Да, того самого, которому 110 лет в обед, и про который рассказывают всем учащимся на айтишных специальностях.
Статья на Habr – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2👍1
HackRF One — универсальный инструмент, который открывает перед пользователями широкие возможности для изучения радиосигналов, разработки новых технологий и обеспечения безопасности беспроводных сетей.
Основная особенность HackRF One заключается в его возможности работать с различными программными средствами для обработки радиосигналов.
— Это позволяет пользователям настраивать и оптимизировать его для выполнения специфических задач.
Статья на SecurityLab – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👏1
Скрытое имя беспроводной сети и фильтрация клиентов по MAC-адресам слабо препятствуют ее взлому.
SSID и подходящие адреса из «белого списка» легко узнать, просто дождавшись очередного хендшейка или сразу выполнив атаку деавторизации.
— О том как узнать имя скрытой WiFi-сети и как обойти фильтрацию по MAC мы и поговорим в этой статье.
Статья на SPY-SOFT – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2❤1
Обычная покупка продуктов в крупной сети может закончиться кражей данных банковской карты. Компания Sansec обнаружила вредоносный код на сайте одной из десяти крупнейших продуктовых сетей мира, однако спустя четыре дня после уведомлений скрипт продолжал работать.
— Речь идёт о ритейлере с годовой выручкой около 100 млрд евро и более чем 10 тысячами магазинов в 25 странах. Часть интернет-продаж компания ведёт на платформе PrestaShop. По данным исследователей, вредоносный код активен с 16 февраля.
Новость на SecurityLab – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
😢4🤔1
VeraCrypt – это наследница программы TrueCrypt.
Она предназначена для шифрования дисков и обеспечивает очень надёжную безопасность.
— Программа полностью бесплатная, у неё открыт исходный код, автор программы регулярно выпускает обновления, которые не только исправляют ошибки, но и приносят новые функции и улучшения.
Статья на HackWare – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3🔥1👏1
CURATOR.ANTIDDOS – облачное решение для защиты от DDoS-атак. Обеспечивает защиту от DDoS-атак на всех уровнях стека протоколов, включая уровень приложений (L7).
Заявленное время реакции на атаку на всех тарифах – менее секунды для L3-L4, до 10 секунд для L7. SLA – 99,5 %.
— Включает 18 центров очистки, обеспечивающих пропускную способность от 4 Тбит/с. Возможно подключение через DNS и BGP.
Статья на Anti-Malware – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👏1
Тестировать сети Wi-Fi на предмет обхода изоляции клиентов (CVE-2022-47522). Атака может перехватить (украсть) трафик, направленный к другим клиентам на MAC-уровне, даже если клиенты лишены возможности взаимодействовать друг с другом.
Данная уязвимость затрагивает Wi-Fi сети с "malicious insiders", где наша атака позволяет обойти изоляцию клиентов, которую иногда также называют изоляцией точек доступа.
— Атака также может быть использована для обхода Dynamic ARP inspection (DAI) и, вероятно, для обхода других методов, препятствующих атакам клиентов друг на друга.
Статья на Codeby – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2👍1
Atomic Red Team – этот проект от компании Red Canary является одним из самых популярных инструментов для эмуляции действий злоумышленников. Он предназначен для того, чтобы специалисты по безопасности (Red и Blue Team) могли быстро и эффективно проверять свои системы обнаружения и защиты.
— Основная концепция заключается в использовании «атомарных тестов» – небольших, высокоэффективных и переносимых скриптов, которые имитируют конкретную технику атаки.
Тесты описаны в формате YAML, что позволяет легко автоматизировать их запуск (например, с помощью Invoke-AtomicRedTeam) и интегрировать в процессы непрерывного тестирования безопасности (Continuous Security Testing) для различных операционных систем: Windows, macOS, Linux и облачных сред.
Репозиторий на GitHub – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1
Для начала, погружу в лор тех, кто забыл, и кто не помнил. Но в 2018 году Telegram в России уже блокировался РКН.
Основная причина — отказ предоставить ФСБ ключи дешифровки сообщений пользователей в соответствии с требованиями «пакета Яровой» (широко известный закон о противодействии терроризму).
Процесс блокировки тогда растянулся на полгода:
⏺ Осень 2017 — ФСБ направила Telegram требование предоставить техническую возможность расшифровки сообщений.⏺ 20 марта 2018 — Верховный суд России отклонил иск Telegram и дал 15 дней на передачу ключей.⏺ 13 апреля 2018 — Таганский районный суд Москвы постановил заблокировать мессенджер.⏺ 16 апреля 2018 — Роскомнадзор начал техническую блокировку, начав массовую блокировку IP-адресов.
Статья на Habr – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
😢4🕊3🔥1
В мире кибербезопасности Shodan занимает особое место, предлагая уникальные возможности для анализа и мониторинга сетевых устройств.
Shodan стал первым в мире поисковиком для устройств, доступных из Интернета, качественно отличаясь от традиционных поисковых систем, индексирующих только веб-страницы.
— В этой статье мы подробно рассмотрим функционал Shodan и его возможности, а также приведём примеры использования, чтобы помочь вам понять, как этот инструмент может быть полезен для профессионалов в области безопасности и простых интернет-пользователей.
Статья на SecurityLab – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👏1
Query-параметров можно подсмотреть, проксируя запросы в том же Burp. Однако на множестве сайтов существуют скрытые параметры, которые не видны.
Утилита arjun может найти такие скрытые параметры.
Алгоритм работы следующий:
⏺ Имеем вордлист со списком большого количества всех возможных query-параметров.⏺ Последовательно идем по нему.⏺ Проверяем ответы. Если параметр отражается, значит,
он потенциально уязвим.
Статья на SPY-SOFT – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥1
В конце февраля 2026 года состоялся выпуск обновления стабильной версии свободного программного сетевого анализатора Wireshark 4.6.4.
— Первый релиз ветки 4.6 открытого проекта вышел в октябре 2025 года. Стабильный релиз Wireshark 1.0.0 случился в 2008 году.
Код проекта распространяется под стандартной общественной лицензией GPLv2.
Новость на Habr – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1
Ruby — это скриптовый язык, то есть для запуска программ не требуется предварительная компиляция. В этом смысле Ruby является аналогом PHP, Python, PERL и других.
— Ruby достаточно популярный язык и на нём написано много интересных программ; если говорить применительно к InfoSec, то в качестве примеров можно привести знаменитые WPScan, WhatWeb, Wayback Machine Downloader и другие.
Статья на HackWare – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
Всё больше аналитиков говорит о переходе от реактивной защиты к проактивной разведке на основе открытых источников.
Появились системы раннего предупреждения, которые анализируют соцсети и даркнет для выявления угроз до начала атаки. Какие есть реальные кейсы и как пользоваться этими технологиями?
— OSINT (Open-source Intelligence, разведка на основе открытых данных) становится новым элементом системной архитектуры защиты.
Статья на Anti-Malware – линк.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤1