💉 Использование sqlmap для инъекции в адресе страницы сайта (URI). Произвольные точки инъекции

sqlmap не выполняет каких либо автоматических тестов в отношении URI путей, если на них не указано вручную.

⏺Для этого вам нужно указать точку инъекции в командной строке, добавив звёздочку (*) (Обратите внимание: Havij стиль %INJECT HERE% также поддерживается) после точки URI, которую вы хотите, чтобы sqlmap протестировала и эксплуатировала SQL-инъекцию.

💬 Читаем - статью

#SQLmap #Injection
HACK WARRIOR.

🤒 Розыгрыш стула, похищение прав: что нашел пентестер в пет-проекте

Приложение тестировалось легко, а уязвимости оказались классическими — ровно те, что чаще всего всплывают в небольших проектах.

Взломать незащищенный сайт или приложение легче, чем кажется.

⏺В этой статье рассмотрим, как автор проводила пентест пет-проекта своего коллеги: получала права админа, обнуляла голоса других пользователей, меняла цены, самовольно назначала победителя и подкручивала результаты голосований.

💬 Читаем - статью

#Pentesting #Web #IT
HACK WARRIOR.

✈️ Android-бэкдор Baohuo ворует учетные записи Telegram

Аналитики «Доктор Веб» обнаружили бэкдор Baohuo (Android.Backdoor.Baohuo.1.origin), скрывающийся в модифицированных версиях мессенджера Telegram X.

Помимо возможности похищать конфиденциальные и учетные данные пользователя, а также историю переписки, малварь обладает рядом уникальных особенностей.

⏺Например, умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств.

💬 Читаем - новость

#News #Android #Backdoor #Baohuo #Telegram #Malware
HACK WARRIOR.

🎃 Как составить отчёт о пентесте: гайд для пентестеров 2025

Закончил пентест, но заказчик не понимает отчёт? Научись создавать понятные и убедительные отчёты!

Разбираем структуру, PoC, кейсы и тренды. Узнай, как донести риски бизнесу, избежать ошибок.

— Практические советы: пиши просто, добавляй графики, приоритизируй уязвимости.

💬 Читаем - статью

#Pentesting #OWASP #Vulnerability #Cybersecurity
HACK WARRIOR.

👺 Расширение Burp Suite для тестирования на проникновение GraphQL API

inql — это расширение для популярного прокси-инструмента Burp Suite, разработанное специально для облегчения тестирования на проникновение и анализа безопасности GraphQL API.

⏺Предоставляет специализированные функции для работы с GraphQL запросами и схемами, включая автоматическое обнаружение GraphQL эндпоинтов, просмотр схемы, возможность выполнения интроспекции, а также инструменты для фаззинга и поиска уязвимостей, характерных для GraphQL.

💬 Ссылка на инструмент

#Tools #BurpSuite #Pentesting #API #GraphQL
HACK WARRIOR.

🖥 Telnet, HTTP и UPnP всё ещё включены? Чеклист базовой защиты маршрутизатора для тех, кто не хочет проблем

В этом материале разберем три самые важные темы. Сначала убираем лишние сервисы.

Затем наводим порядок в протоколах управления. После этого закрываем консольный и удаленный доступ.

⏺По пути примеры для популярных систем, отметим типовые ошибки и соберем короткий чеклист, чтобы было удобно проверять себя.

💬 Читаем - статью

#Telnet #HTTP #UPnP #Security #Network
HACK WARRIOR.

🥷 Браузер для «приватности». Который оказался трояном и частью гигантской криминальной сети Vault Viper, связанной с триадами

Среди азиатских криминальных группировок, действующих в цифровом подполье Юго-Восточной Азии, выявлена структура, масштабы и техническая оснащённость которой сопоставимы с полноценной киберпреступной платформой.

Команда Infoblox Threat Intel опубликовала исследование, в котором раскрывает работу сети Vault Viper — сложной инфраструктуры, связывающей нелегальный онлайн-гемблинг, хищение данных, отмывание средств и распространение вредоносного ПО.

⏺В центре этой схемы — компания Baoying Group, более известная под брендом BBIN, развернувшая в регионе целую экосистему сервисов, завуалированных под законную игровую платформу.

💬 Читаем - новость

#News #Browser #Privacy #VaultViper #Crime #BBIN
HACK WARRIOR.

🪟 Pass-The-Hash Toolkit — взлом пароля учетной записи Windows

Pass-the-Hash Toolkit это набор утилит которые позволяют получить доступ к домену при помощи NTLM/LM-хэша учетной записи.

⏺Программа использует функцию винды, которая позволяет аутентифицироваться с использованием протокола NTLM, используя только хэш пароля.

💬 Читаем - статью

#Tools #Hacking #Windows #Password
HACK WARRIOR.

🥸 Kodachi: ОС для анонимности, безопасности и антикриминалистики

На этом месте должна была быть инструкция по ОС Kodachi, аналогичная инструкциям по Tails, Whonix, BackBox, Kali Linux.

⏺Но по мере знакомства, Kodachi не нравится и вызывает вопросы доверия к этой ОС. 

Дело не во вкусовщине — оформление или наляпанные виджиты — о вкусах не спорят. Дело в практичности.

💬 Читаем - статью

#Kodachi #OC #Anonymity #Security #Forensics
HACK WARRIOR.

🤒 Bug Bounty vs Penetration testing

Количество инцидентов и утечек возросло многократно, что стало дополнительным стимулом усиливать безопасность инфраструктуры и приложений, а уход иностранных вендоров только усугубил этот процесс.

Одним из новых трендов стало проведение Багбаунти программ.

⏺В этой статье автор раскроит основные плюсы и минусы таких подходов как Bug Bounty и penetration testing.

💬 Читаем - статью

#BugBounty #Pentesting #OWASP #BudHunters
HACK WARRIOR.

🐩 Расширения для Firefox обязали раскрывать, собирают ли они данные пользователей

Mozilla будет требовать от создателей расширений для Firefox открыто указывать, какие пользовательские данные они собирают или передают третьим сторонам.

⏺Новые правила вступят в силу 3 ноября 2025 года и станут обязательными для всех разработчиков в первой половине 2026 года.

Mozilla заявляет, что эти нововведения — еще один шаг на пути к большей прозрачности и безопасности пользователей.

💬 Читаем - новость

#News #Browser #Privacy #Firefox #Confidentiality
HACK WARRIOR.

⚠️ Эволюция вирусов и эксплойтов: от хаоса 90-х до APT-угроз 2025

В статье вы узнаете, как вирусы 90-х вроде Morris Worm уступили место современным вымогателям и шпионам, разберете развитие эксплойтов от buffer overflow до zero-day с обходом DEP/ASLR.

Погрузимся в APT-группы, C2-сервера, фишинг+0-day и тренды 2025 с ИИ.

⏺Практические примеры на Python/Bash, реальные кейсы и советы по слежению за отчетами – все для перехода от теории к навыкам.

💬 Читаем - статью

#APT #Ransomware #Malware #Vulnerability #0day #Attack #Exploit
HACK WARRIOR.

🎃 Инструмент для обнаружения и эксплуатации CSRF-уязвимостей

XSRFProbe — это инструмент командной строки, предназначенный для автоматизированного обнаружения и эксплуатации уязвимостей типа Cross-Site Request Forgery (CSRF или XSRF) в веб-приложениях.

Автоматизирует процесс проверки на CSRF, позволяя идентифицировать уязвимые точки, генерировать готовый Proof-of-Concept (PoC) код для эксплуатации и потенциально обходить некоторые защитные механизмы.

⏺Инструмент полезен для тестировщиков на проникновение и специалистов по безопасности веб-приложений.

💬 Ссылка на инструмент

#Tools #Exploitation #Pentesting #Vulnerability #CSRF #Web
HACK WARRIOR.

🖥 Переход с Windows на Linux без боли — лучшие дистрибутивы для обычных пользователей

Linux давно повзрослел, перестал пугать терминалом и научился встречать новых пользователей с порога — с графическим установщиком, магазином приложений и привычной панелью задач.

Переезд больше не похож на прыжок в неизвестность: сегодня всё выглядит скорее как смена квартиры в соседнем квартале — мебель знакомая, кухня на месте, даже чайник кипятит воду как прежде.

💬 Читаем - статью

#Linux #Microsoft #UI #UX #Windows #OC #Distribution
HACK WARRIOR.

🧅 Релиз Tor Browser 15.0

В конце октября 2025 года состоялся выпуск открытого, кроссплатформенного и бесплатного браузера Tor Browser 15.0. Версия 14.0 решения вышла год назад. В проекте осуществлён переход на ESR-ветку Firefox 140.

⏺Браузер создан для обеспечения конфиденциальности и безопасности, весь трафик перенаправляется только через сеть Tor.

Сборки Tor Browser представленыдля Linux, Android, Windows и macOS.

💬 Читаем - новость

#News #Browser #Tor #Anonymity #OpenSource #Linux #Android
HACK WARRIOR.

🐩 PasswordFox — просмотр логинов и паролей Firefox

PasswordFox – это небольшая утилита, которая позволяет просматривать логины и пароли, хранящиеся в браузере Mozilla Firefox.

⏺По умолчанию, PasswordFox отображает пароли в вашем текущем аккаунте, но вы можете легко переключиться на просмотр паролей любого другого аккаунта.

💬 Читаем - статью

#Tools #Forensics #Firefox #Browser #Password
HACK WARRIOR.

🔎 Поиск и брут-форс служб на нестандартных портах

В этой статье научимся искать и определять службы, даже если они работают на необычных портах.

⏺Научимся работать с Router Scan by Stas'M и patator на нестандартных портах.

Рассмотрим анализ сетевой активности совсем простого приложения.

💬 Читаем - статью

#Search #Bruteforse #Web #Analysis #Network
HACK WARRIOR.

🤒 «Проклятый DDoS!»: защищаем сеть с помощью групп безопасности

Кажется, каждый день выходят новости о том, как злоумышленники или зашифровали, или скомпрометировали критичные для бизнеса данные.

⏺В этой статье автор расскажет о рекомендуемых уровнях защиты и покажет, как повысить безопасность инфраструктуры в облаке, используя группы безопасности и облачный файрвол.

Давайте разберемся, что и зачем нужно.

💬 Читаем - статью

#DDoS #IT #Network #Firewall
HACK WARRIOR.

👮‍♀ Закрытый брифинг по взлому от Celebrite слили в сеть. Главный спойлер: Google Pixel - да, GrapheneOS - нет

Исследователь под ником rogueFed смог незаметно подключиться к закрытому онлайн-брифингу компании Cellebrite и опубликовал материалы, показывающие, какие модели смартфонов Google Pixel уязвимы к взлому с помощью инструментов этой фирмы.

Утечка, зафиксированная на форуме GrapheneOS и замеченная изданием 404 Media, раскрыла внутреннюю таблицу совместимости устройств, где впервые фигурирует и защищённая сборка GrapheneOS.

GrapheneOS — независимая операционная система на базе Android, ориентированная на повышенную конфиденциальность.

💬 Читаем - новость

#News #Pixel #GrapheneOS #Security #Leak #Encryption #Android
HACK WARRIOR.

⚔️ От CTF к реальному пентесту: Системный подход и OSCP как основа мастерства в кибербезопасности

Узнайте, как подготовка к OSCPпревращает разрозненные знания в мощный системный подход кибербезопасность, повышает твою ценность на рынке труда и открывает двери в мир этичного хакинга.

⏺Мы рассмотрим, как ваше стремление освоить пентест станет вашей высокооплачиваемой профессией.

💬 Читаем - статью

#CTF #Pentesting #Hacking #OSCP #Cybersecurity
HACK WARRIOR.

👩‍💻 Инструмент для обнаружения доменов-сквоттеров

OpenSquat — это инструмент командной строки (CLI), предназначенный для идентификации потенциальных доменов-сквоттеров (typosquatting, cybersquatting), которые могут использоваться для фишинга или других вредоносных целей, имитируя легитимные доменные имена.

⏺Генерирует и проверяет множество вариантов доменных имен, схожих с заданным, используя различные алгоритмы искажения (например, опечатки, замены символов, пропуски).
⏺Автоматизирует процесс проверки доступности сгенерированных доменных имен и их IP-адресов, а также предоставляет информацию о регистрации.
⏺Помогает компаниям и владельцам брендов проактивно выявлять и защищаться от киберсквоттинга и фишинговых атак, предотвращая потенциальный ущерб репутации и безопасности.

💬 Ссылка на инструмент

#OSINT #Scanning #Mlware #Phishing #Cybersecurity #BlueTeam
HACK WARRIOR.