🖥 Уязвимости безопасности в расширениях браузеров

— Данная шпаргалка описывает распространенные уязвимости безопасности, обнаруженные в расширениях браузеров, и предоставляет примеры того, как злоумышленники могут эксплуатировать эти уязвимости

— Чрезмерные разрешения: Расширение с широкими разрешениями может получить доступ ко всем вкладкам и данным браузера. Если такое расширение будет скомпрометировано, злоумышленник сможет перехватывать конфиденциальную информацию с любого сайта, который посещает пользователь, включая пароли и личные данные
— Утечка данных: Расширение, отправляющее URL всех посещенных страниц на удаленный сервер, может случайно привести к утечке чувствительной информации, особенно если пользователи посещают банковские или личные сайты
— Межсайтовый скриптинг (XSS): Ввод данных пользователем может привести к выполнению скриптов в контексте страницы. Злоумышленник может внедрить скрипты, которые крадут cookies, токены сессий или чувствительные данные
— Небезопасная передача данных: Данные, передаваемые через незащищенный протокол HTTP, могут быть перехвачены злоумышленниками в той же сети, что позволяет им захватывать конфиденциальную информацию, такую как токены или личные данные
— Внедрение кода: Если злоумышленник контролирует URL скрипта, он может внедрить вредоносный код на страницу, что приведет к краже данных или манипулированию функциональностью страницы.
— Злонамеренные обновления: Если механизм обновлений будет скомпрометирован, злоумышленники смогут незаметно распространять вредоносный код пользователям, потенциально получая контроль над их браузерами
— Зависимость от сторонних библиотек: Расширение, зависящее от устаревших сторонних библиотек, может стать уязвимым, если в этих библиотеках обнаружены известные уязвимости, которые злоумышленники могут эксплуатировать
— Отсутствие политики безопасности контента (CSP): Без надежной CSP злоумышленники могут внедрять недоверенный контент, увеличивая риск XSS и других атак, которые манипулируют поведением расширения
— Небезопасное хранение данных: Если злоумышленник получит доступ к локальному хранилищу, он сможет легко извлечь чувствительную информацию, такую как токены или учетные данные пользователя, что приведет к несанкционированному доступу
— Недостаточные средства контроля конфиденциальности: Пользователи могут не осознавать, как собираются или используются их данные, что может привести к потенциальному злоупотреблению их информацией без согласия или ведома

🗣 Чтиво

#CheatSheet #Vulnerability #Browser / White Hat

👣 Защита сетевого трафика с помощью Shadowsocks

С развитием современных технологий защита сетевого трафика становится не просто актуальной, но и обязательной.

— В этой статье мы рассмотрим, как с помощью  Shadowsocks и плагина Xray настроить защищенное соединение с внешним миром.

С помощью данного способа никто не сможет расшифровать или заблокировать сетевой трафик передаваемый от вас в сеть и обратно.

🗣 Чтиво

#Shadowsocks #Xray #Article #NetworkTraffic / White Hat

🔸 Шах и мат, Skynet: Карлсен от скуки размазал ChatGPT в сухую

Магнус Карлсен обыграл ChatGPT в шахматной партии, не потеряв ни одной фигуры, тогда как виртуальный соперник лишился всех пешек.

Скриншоты с поединка норвежский гроссмейстер выложил в соцсети X 10 июля. Искусственный интеллект признал поражение и сдался.

На кадрах видно, что после завершения партии ChatGPT поздравил его с победой, назвав игру методичной, чистой и острой. Карлсен в ответ похвалил ИИ за хорошо разыгранное начало, но отметил, что дальше тот допустил ряд ошибок.
После этого он попросил бота оценить его собственную игру.

🗣 Чтиво

#AI #News #Karlsen / White Hat

🖥 Многофункциональная утилита для работы с беспроводными сетями Wi-Fi

Kismet – это инструмент для анализа беспроводных сетей, сетевой детектор, анализатор пакетов и система обнаружения вторжений (WIDS)

Программа мониторит беспроводное пространство и ведёт журналы обнаруженных устройств и различных событий

🖥 Свое начало проект Kismet берет в далеком 2001 году. Изначально выпускаемая под лицензией GNU GPL и регулярно обновляемая программа сумела обрасти своим сообществом и войти в десятку лучших сетевых анализаторов

🗣 GitHub

Дополнительный материал:
1. Статья на Habr

#Tool #WiFi #Analysis #Proxy / White Hat

🎉 Большой розыгрыш от крупнейшего IT-медиа 1337, легендарного паблика Рифмы и Панчи, канала Техно.

Победителей будет много, а для участия нужны лишь пара кликов:

1. Подписаться на Рифмы и Панчи, 1337 и на Техно.

2. Нажать «Участвовать» под этим постом

Что по призам:

1 место - Iphone 16 Pro
2 место - PS5 Slim
3 место - Nintendo Switch 2
4-10 места - 10 000 рублей на карту

Победителей определим 21 июля в 18:00 МСК. Всем удачи!

🤒 Безопасность домашней сети | Профессиональные советы

Распространение персональных гаджетов, переход на дистанционную работу, прогресс ИИ — всё это привело к тому, что домашние сети стали частью периметров киберзащиты компаний.

— В данной статье, мы рассмотрим, как повысить стойкость к целевым кибератакам и когда объектами нападения становятся личные устройства сотрудников, в том числе те, которые не используются на работе.

Содержание статьи:
— Введение
— BYOD, пандемия и Ии
— Повышение общей культуры безопасности
— Безопасность в социальных сетях и домашних развлечениях
— Советы по настройке доступа к домашней сети
— Защита от онлайн мошенничества
— Повышение защищённости домашней сети
— Выводы

🗣 Чтиво

#Network #BYOD #Protection / White Hat

🤒 24 часа на «казнь» | Как будут убивать неугодный контент

Минкультуры получило кнопку «удалить» для всего интернета.

— Комитет Государственной думы по информационной политике, информационным технологиям и связи рекомендовал принять поправки, предусматривающие обязательство для владельцев социальных сетей блокировать доступ к произведениям, содержащим материалы, дискредитирующие традиционные российские духовно-нравственные ценности либо пропагандирующие их отрицание.

🗣 Чтиво

#Blocking #News #Amendments / White Hat

🤒 Что стоит за мошенническими схемами с доставкой посылок?

— Авторы статьи обсудили с злоумышленниками которые хотели прислать нам ценные отправления, и изучили методы их работы и делятся с нами выводами.

C прошлого года мошенники начали массово использовать Telegram-боты для кражи данных от федеральной государственной информационной системы «Госуслуги». Авторизация в таких ботах происходит через фишинговые сайты.

Под предлогом уточнения информации о посылке пользователю необходимо воспользоваться ботом, а также пройти авторизацию через фейковую форму Госуслуг. 

🗣 Чтиво

#Article #Phishing #Packages / White Hat

🐼 Огромная шпаргалка по библиотеке Pandas

Pandas – программная библиотека для обработки и анализа данных, предназначенная для работы с структурированными табличными данными

Возможности библиотеки Pandas:
— Обработка данных:
Фильтрация, группировка, агрегация
— Поддержка форматов:
Чтение и запись данных из CSV, JSON, HTML, Excel, SQL
— Очистка данных:
Удаление дубликатов, обработка NaN
— Преобразование данных:
Создание сводных таблиц
— Анализ данных:
Расчёт статистики
— Интеграция с визуализацией:
Использование библиотек Matplotlib и Seaborn для анализа результатов

🗣 GitHub

#CheatSheet #Pandas #Library / White Hat

😵‍💫 Хакеры проникли в ядерное ведомство США и теперь шантажируют целые штаты

Национальное управление по ядерной безопасности США (NNSA), входящее в структуру Министерства энергетики и ответственное за хранение и обслуживание ядерного арсенала страны, оказалось в центре одной из самых масштабных кибершпионских операций последних лет.

— Атака началась 18 июля и была связана с ранее неизвестной уязвимостью в серверном ПО Microsoft SharePoint. Эта уязвимость позволила хакерам проникнуть во внутреннюю инфраструктуру NNSA, вызвав серьёзные опасения за безопасность критически важной информации.

По заявлению Минэнерго США, проникновение действительно произошло, но ущерб оказался минимальным — благодаря облачной инфраструктуре Microsoft 365 и защите уровня корпоративного сегмента.

🗣 Чтиво

#Attack #Vulnerbality #Microsoft / White Hat

🖥 Как устроены цифровые сертификаты?

Цифровые сертификаты, а если еще точнее — сертификаты открытого ключа - это фундамент безопасности в цифровом мире, где вы никогда не можете быть уверены в личности того, с чем взаимодействуете.

— В данной статье взглянем на сертификаты как на независмую единицу, разберем их структуру и применение, а также рассмотрим несколько интересных нюансов.

Задачи сертификатов:
1. Определить некоторый субъект и подтвердить его физическое/юридическое существование. В зависимости от уровня валидациитребования к верификации субъекта могут быть разной строгости.
2. Подтвердить приндлежность этому субъекту пары ключей вида "публичный-приватный", где публичный ключ поставляется вместе с сертификатом, а приватный - хранится в защищённом месте.
3. Определить назначение этой пары ключей, например использование в TLS, подпись других сертификатов, верификация списка отозванных сертификатов и т.д.. Помимо этого определяется и более уточняющее применение, такое как подпись исполняемого кода, аутентификация TLS сервера/клиента, защита email и пр..
4. Предоставить дополнительную информацию, необходимую для проверки сертификата и использования ключей из него, включая информацию о выдавшем ("заверившем") сертификат центре, его цифровую подпись, список криптографических алгоритмов, используемых для создания этой подписи, срок действия сертификата и прочие вспомогательные сведения.

🗣 Чтиво

#Certificates #Web #Domain / White Hat

🤒 Эмулируем SIM-карты, не используя физическую SIM

SIMurai – это инструмент для работы с SIM-картами, с ударением на безопасность

Возможности при работе с SIMurai:
— Эмуляция файловой системы SIM-карты
— Проверка аутентификации с использованием протокола MILENAGE
— Возможность работы с командами SIM-карты и создания проактивных приложений
— Инструмент позволяет эмулировать SIM-карты для работы и взаимодействия с устройствами, не используя настоящую СИМ

🎤 GitHub

#Tool #SIM #Emulation / White Hat

🖥 Один email — и миллиардная дроновая империя Турции рухнула за 30 секунд

Группировка Patchwork развернула новую таргетированную фишинговую кампанию, нацеленную на турецкий оборонный сектор.

Основной целью атакующих, по оценке аналитиков, стало получение чувствительной информации о разработках в области беспилотных платформ и гиперзвуковых вооружений.

— Вредоносная цепочка состоит из пяти этапов и начинается с рассылки LNK-файлов, маскирующихся под приглашения на международную конференцию по беспилотной технике.

🤒 Эти письма были адресованы сотрудникам предприятий, работающих в сфере ВПК Турции, включая производителя высокоточного ракетного оружия.

🗣 Чтиво

#News #Turkey #Phishing / White Hat

🌐 Поднимаем свой Jabber/XMPP сервер в 2025 году

WhatsApp в России депутаты обещают заблокировать уже в очень скором времени, Max - оставим для безвыходных ситуаций, учитывая, кто и зачем его создал, Signal - отличный мессенджер и всем хорош, но в России его тоже периодически пытаются заблокировать.

На фоне всего этого многие начали задумываться о поднятии своего сервера для обмена сообщениями. Но всегда встает проблема "а с кем там общаться?", потому что перетащить прям вот вообще всех собеседников и контрагентов на что-то им непривычное практически нереально.

— В данной статье мы рассмотрим настройку XMPP-сервер Prosody на сервере Ubuntu 22.04.

🗣 Чтиво

#XMPP #Server #Messenger / White Hat

🖥 Как vibe-кодинг ломает ваш проект, если вы не контролируете качество

Разработка превратилась в странную игру, программисты сидят перед экранами, шепчут заклинания в ChatGPT, и магическим образом появляется рабочий код.

— Этот подход получил название vibe-кодинг — когда алгоритм создается не через четкое понимание задачи, а через интуитивное взаимодействие с языковой моделью.

Проблема в том, что мы забыли базовые принципы контроля качества, поддавшись иллюзии, что искусственный интеллект решит все сам. Пора восстановить баланс между магией и методологией.

🗣 Чтиво

#VibeCoding #AI #Intuition / White Hat

🤒 Инструмент для поиска поддоменов

Sublist3r – это инструмент на языке Python для перечисления поддоменов веб-сайтов

— Он использует разведку на основе открытых источников (OSINT) и помогает тестерам на проникновение и охотникам за багами собрать информацию по поддоменам для целевого домена

🎤 GitHub

#Tool #Python #OSINT / White Hat

Онлайн-конференция ИБ без фильтров

🔥Мероприятие, где говорим о реальных проблемах и ищем практические решения, возвращается!

🗓 14 августа 11:00-15:00 мск ждем на бесплатной онлайн-конференции «ИБ без фильтров»

Что будет полезного?

Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров.

Кому стоит сходить?

Мероприятие для представителей бизнеса от экспертов в области информационной безопасности.

Какие темы затронем?

— Как оценить навыки ИБ-специалиста.
— Как снизить риски с помощью систем класса «менеджеры паролей».
— Как вовлечь разработчиков, сотрудников и бизнес в защиту компании.
— Чем важны разные источники данных при расследовании инцидентов ИБ.

Кто в спикерах:
— Анастасия Федорова. Руководитель образовательных программ, Positive Education
— Кира Шиянова. Менеджер продукта платформы Jet CyberCamp, «Инфосистемы Джет»
— Никита Вьюгин. Менеджер проектов «МКО Системы»
— Валерий Комягин. Генеральный директор BearPass
— и другие эксперты из крупных компаний рынка ИБ

▶️Регистрация по ссылке.
Ждем вас на самый честный диалог по теме ИБ

Реклама. ООО «АТОМ БЕЗОПАСНОСТЬ», ИНН 5408298569, ОГРН 1125476195459 erid:2SDnjeHaUkv

🖥 Как восстановить удаленные метаданные PDF?

— Формат PDF позволяет сохранить предыдущие изменения документа в более поздней версии документа, тем самым создавая текущую историю изменений для документа.

Получается, что удаленные метаданные инкрементны, а история изменений метаданных сохраняется в самом PDF-файле.

Для восстановления удаленных метаданных, нам потребуется инструмент ExifTool.

ExifTool

— это инструмент для чтения, изменения и удаления метаданных файлов.

🗣 Чтиво

#Guide #Tool #PDF #Recovery / White Hat

🖥 Raspberry Pi притворился системным администратором и обманул крупный банк

Хакеры установили внутри банковской сети мини-компьютер Raspberry Pi с модемом 4G, чтобы получить удалённый доступ к системе банкоматов и попытаться похитить деньги.

Об этом сообщили исследователи из компании Group-IB. По их словам, такая тактика позволила злоумышленникам полностью обойти защиту периметра и незаметно проникнуть в критическую инфраструктуру финансовой организации.

— Устройство было подключено к тому же сетевому коммутатору, что и ATM-система, что фактически дало хакерам прямой доступ к внутренней сети банка.

🗣 Чтиво

#RaspberryPI #Malware #News #Cyberattack / White Hat

⚫️ «Плохие парни работают просто» | Пентестеры разбирают реальные кейсы

Наблюдения команды автора статьи подтверждаются исследованиями кибератак: в 83% случаев злоумышленники добивались успеха за счет «простых» методов — фишинг, эксплуатация уязвимостей по умолчанию или слабые пароли.

State of art атаки с поиском 0-day — это скорее исключение. Обычно компании взламывают куда более прозаичными способами.

— В этой статье мы разберем реальные кейсы из практики, рассмотрим, какие уязвимости не устранялись годами, и узнаем, почему настройки по умолчанию и стандартные пароли — это то, что делать не надо.

🗣 Чтиво

#Pentesting #Attack #Cases #Vulnerabilities / White Hat