Fsecurity | HH – Telegram

Fsecurity | HH

@hellohackingteam

2.01K subscribers

1.77K photos

108 videos

64 files

6.43K links

Канал про ИБ
Наш Discord: https://discord.gg/Eg8aDS7Hn7
Пожертвовать:
> https://www.donationalerts.com/r/xackapb

Download Telegram

About

Blog

Apps

Platform

2.01K subscribers

Forwarded from haxx

🛠 Всем привет.
Я тут допилил плагин CSP Recon для Burp Suite для рекона по Content-Security-Policy хэдерам.

Общая идея этого вида рекона в том, что в хэдерах Content-Security-Policy можно найти дополнительные домены/поддомены по исследуемому нами таргету. Зачастую это будут скучные интеграции (например разного рода аналитика, соцсети, видеохостинги), но иногда попадается что-то интересное.

Для работы "по площадям" можно воспользоваться консольной csprecon (тут писали), но это не сработает вглубь приложения. Смысл в том, что у больших и склеенных из разных кусков приложений в разных частях бывают разные CSP полиси. Например, возьмем Яндекс. По пути / мы получаем одну полиси, а по пути /portal/set/any совсем другую. Так можно находить места склейки приложений и потенциально новые домены.

Теперь это безобразие можно детектить в фоне, пока тыкаешь кнопки и кавычки.

🔗 Где исходники, Билли?
https://github.com/haxxm0nkey/csprecon-burp-extension

215 views08:06

На GitHub нашли сотни репозиториев с вредоносным кодом

Эксперты Kaspersky GReAT обнаружили на GitHub множество репозиториев с малварью, которая замаскирована под проекты с открытым исходным кодом. Например, злоумышленники маскируют малварь под Telegram-бот для управления криптовалютными кошельками или читы для…

🔗Ссылка:
https://xakep.ru/2025/02/25/gitvenom/

249 views10:11

Gmail отказывается от SMS-кодов для аутентификации

Google делает ставку на QR-коды.

🔗Ссылка:
https://www.securitylab.ru/news/556738.php

282 views12:29

486 серверов Chamilo оказались доступны хакерам через SOAP-запросы

Positive Technologies нашла "бэкдор" в учебной платформе с миллионами пользователей.

🔗Ссылка:
https://www.securitylab.ru/news/556758.php

353 views14:12

Огромное спасибо! 🥳

Это значительная цифра для меня, и я очень рад, что мы этого достигли!
Спасибо каждому за вклад как в YouTube, так и в наше сообщество в Discord, а также за участие в Telegram-канале!

🔥1

436 views15:20

Fsecurity | HH pinned a photo

15:20

This media is not supported in your browser

VIEW IN TELEGRAM

381 views15:20

Атаки через старые бреши: чем грозит эксплуатация уязвимостей в ColdFusion и Agile PLM

Организации рискуют потерять контроль над критически важной информацией.

🔗Ссылка:
https://www.securitylab.ru/news/556759.php

323 views16:14

Бэкдор или уход с рынка: Швеция ставит ультиматум WhatsApp и Signal

Швеция повторяет британский сценарий давления на технологические компании.

🔗Ссылка:
https://www.securitylab.ru/news/556786.php

273 views18:07

Forwarded from Перевод энтузиаста | Информационная безопасность

#Статья

Как найти свой первый легкий баг в Bug Bounty (Пошаговое руководство) на реальных сайтах

👉 В статье разобраны простые шаги для новичков в Bug Bounty, включая выбор правильной цели, поиск уязвимостей на React-сайтах, тестирование OTP Rate-limiting и утечек приватных ключей, чтобы быстро найти свой первый баг.

⏱️ Время чтения: 5 минут

Как найти свой первый легкий баг в Bug Bounty (Пошаговое руководство) на реальных сайтах

Ну что ж, я вернулся! После долгого перерыва разбираем одну из самых популярных тем — как найти самые простые баги на сайтах, которые иногда даже приносят награды! 💰 📌 Эти уязвимости настолько просты, что их может найти каждый, даже без опыта. 📌 Гарантирую…

216 views08:05

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

196 viewsedited 08:22

Forwarded from Social Engineering

📝

HackerOne reports.

• Держите ссылки на очень объемный и полезный репозиторий, который включает в себя топ отчеты HackerOne. Репо постоянно поддерживают в актуальном состоянии, что поможет вам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).

• Tops 100:

➡

Top 100 upvoted reports;

➡

Top 100 paid reports.

• Tops by bug type:

➡

Top XSS reports;

➡

Top XXE reports;

➡

Top CSRF reports;

➡

Top IDOR reports;

➡

Top RCE reports;

➡

Top SQLi reports;

➡

Top SSRF reports;

➡

Top Race Condition reports;

➡

Top Subdomain Takeover reports;

➡

Top Open Redirect reports;

➡

Top Clickjacking reports;

➡

Top DoS reports;

➡

Top OAuth reports;

➡

Top Account Takeover reports;

➡

Top Business Logic reports;

➡

Top REST API reports;

➡

Top GraphQL reports;

➡

Top Information Disclosure reports;

➡

Top Web Cache reports;

➡

Top SSTI reports;

➡

Top Upload reports;

➡

Top HTTP Request Smuggling reports;

➡

Top OpenID reports;

➡

Top Mobile reports;

➡

Top File Reading reports;

➡

Top Authorization Bypass reports;

➡

Top Authentication Bypass reports;

➡

Top MFA reports.

• Tops by program:

➡

Top Mail.ru reports;

➡

Top HackerOne reports;

➡

Top Shopify reports;

➡

Top Nextcloud reports;

➡

Top Twitter reports;

➡

Top X (formerly Twitter) reports;

➡

Top Uber reports;

➡

Top Node.js reports;

➡

Top shopify-scripts reports;

➡

Top Legal Robot reports;

➡

Top U.S. Dept of Defense reports;

➡

Top Gratipay reports;

➡

Top Weblate reports;

➡

Top VK.com reports;

➡

Top New Relic reports;

➡

Top LocalTapiola reports;

➡

Top Zomato reports;

➡

Top Slack reports;

➡

Top ownCloud reports;

➡

Top GitLab reports;

➡

Top Ubiquiti Inc. reports;

➡

Top Automattic reports;

➡

Top Coinbase reports;

➡

Top Verizon Media reports;

➡

Top Starbucks reports;

➡

Top Paragon Initiative Enterprises reports;

➡

Top PHP (IBB) reports;

➡

Top Brave Software reports;

➡

Top Vimeo reports;

➡

Top OLX reports;

➡

Top concrete5 reports;

➡

Top Phabricator reports;

➡

Top Localize reports;

➡

Top Qiwi reports.

S.E. ▪️ infosec.work ▪️ VT

Please open Telegram to view this post

VIEW IN TELEGRAM

211 views10:19

GitHub - Cyber-Anonymous/Dark-Phish: A Powerful Phishing Tool with 50+ phishing templates. For more about Dark-Phish tool please…

A Powerful Phishing Tool with 50+ phishing templates. For more about Dark-Phish tool please visit the website. - Cyber-Anonymous/Dark-Phish

🔗Ссылка:
https://github.com/Cyber-Anonymous/Dark-Phish

224 views12:34

Вечный двигатель Wi-Fi: OpenWrt представил первый бессмертный роутер

Этот маршрутизатор переживёт любые атаки и эксперименты.

🔗Ссылка:
https://www.securitylab.ru/news/556788.php

249 views14:07

Как мы взломали цепочку поставок и получили 50 тысяч долларов

В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой...

🔗Ссылка:
https://habr.com/ru/post/885950/

260 views16:14

This media is not supported in your browser

VIEW IN TELEGRAM

266 views18:27

Forwarded from BugXplorer (j b)

Hacking High-Profile Bug Bounty Targets: Deep Dive into a Client-Side Chain

https://vitorfalcao.com/posts/hacking-high-profile-targets/

🪳

Please open Telegram to view this post

VIEW IN TELEGRAM

278 views20:22

Data Ransom: шантаж выделился в самостоятельный сервис на черном рынке данных

Как работает новая схема Anubis?

🔗Ссылка:
https://www.securitylab.ru/news/556824.php

235 views10:27

Discord сервер
👆🏻Тут можно пообщаться и найти много полезной информации 🦈

223 views10:28

Forwarded from Кибер ПТУ | Кибербезопасность

Визуал – наше всё

Полезная нейронка для визуализации чего-угодно. Очень круто выстраивает связи и визуально структурирует любую текстовую информацию, которую в нее загружаешь. Умеет пережевывать разные форматы – хоть презентации в PowerPoint, хоть ГуглДоксы, хоть странички из Ноушена.

Очень полезно для того, чтобы разложить по полочкам большие объемы информации, когда что-то изучаешь или разбираешь новую тему например.

А вот и сервис – ссылка

🧠 Твой Пакет Знаний | 🛍 Другие каналы

Please open Telegram to view this post

VIEW IN TELEGRAM

233 views12:07

Avast обязана выплатить пользователям $16,5 млн за продажу их данных

Все пострадавшие уже могут подать заявку на компенсацию.

🔗Ссылка:
https://www.securitylab.ru/news/556816.php

242 views14:04