Интересный ресерч вместе с ссылкой на полученный рабочий скрипт для автоматизации процесса.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Расшифровка сессий OpenSSH для забавы и профита
Введение Некоторое время назад у нас был случай судебной экспертизы, в котором сервер Linux был скомпрометирован, а модифицированный двоичный файл OpenSSH был загружен в память веб-сервера. Модифицированный бинарный файл OpenSSH использовался злоумышленниками…
В этой статье рассмотрим небольшую методологию поиска уязвимостей веб-кэша с советами и примерами из реальных находок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Как тестировать веб-кэш на наличие уязвимостей
Мы поделимся «Методологией» поиска проблем с кэшем, а затем покажу несколько недавних реальных находок с соответствующими наградами. Стоит упомянуть, что я не использую автоматизированные инструменты для поиска этих багов. На самом деле единственным автоматизированным…
❤3
Инъекция команд в Google Cloud Shell
В этой статье рассмотрим простую уязвимость, позволяющая выполнять произвольный код и получить реверс шелл на одном из сервисов гугла.
➖ https://telegra.ph/Inekciya-komand-v-Google-Cloud-Shell-12-10
В этой статье рассмотрим простую уязвимость, позволяющая выполнять произвольный код и получить реверс шелл на одном из сервисов гугла.
➖ https://telegra.ph/Inekciya-komand-v-Google-Cloud-Shell-12-10
Telegraph
Инъекция команд в Google Cloud Shell
28 января 2022 года я общался в телеграм-группе TR Bug Hunters. Один из участников группы, Нуман Тюрле, сказал нам, что мы должны попробовать Google Cloud Shell, чтобы найти что-нибудь интересное. Я был на грани выгорания, но мое внимание привлекло исследование…
👍4
Инъекция NoSQL в простом виде
В этой статье описание мыслительного процесса и подхода при тестировании конкретного приложения на NoSQL инъекцию.
➖ https://telegra.ph/Inekciya-NoSQL-v-prostom-vide-12-10
В этой статье описание мыслительного процесса и подхода при тестировании конкретного приложения на NoSQL инъекцию.
➖ https://telegra.ph/Inekciya-NoSQL-v-prostom-vide-12-10
Telegraph
Инъекция NoSQL в простом виде
Обратите внимание, что это не будет техническим руководством по причинам существования NoSQL инъекций. Я просто поделюсь мыслительным процессом и подходом, которые были у меня при тестировании этого конкретного приложения. Когда я попал в эту программу, у…
🔥3
Как обойти защиту антивируса
В этой статье рассмотрим обход антивирусных программ с помощью Merlin. Шифрование и отсутствие поддержки протокола со стороны инспекционных инструментов дает возможность избежать обнаружения.
➖ https://telegra.ph/Kak-obojti-zashchitu-antivirusa-12-08
В этой статье рассмотрим обход антивирусных программ с помощью Merlin. Шифрование и отсутствие поддержки протокола со стороны инспекционных инструментов дает возможность избежать обнаружения.
➖ https://telegra.ph/Kak-obojti-zashchitu-antivirusa-12-08
Telegraph
Как обойти защиту антивируса
Merlin-это сервер HTTP/2 Command & Control (C&C) для многоплатформенной эксплуатации Post, написанный на языке Golang. Merlin основан на архитектуре клиент-сервер и использует протокол HTTP/2 для связи между агентами сервера и хоста
❤2
База для пентестера: обзор инструментов
В этой статье представляем вам шесь наиболее популярных в кругах пентестера инструмента для тестирования на веб-проникновения.
➖ https://telegra.ph/Baza-dlya-pentestera-obzor-instrumentov-12-07
В этой статье представляем вам шесь наиболее популярных в кругах пентестера инструмента для тестирования на веб-проникновения.
➖ https://telegra.ph/Baza-dlya-pentestera-obzor-instrumentov-12-07
Telegraph
База для пентестера: обзор инструментов
К 2021 году в мире насчитывалось более 3424971237 пользователей Интернета. Будучи центром многих пользователей, возникает ответственность за заботу о безопасности этих многих пользователей. Большая часть Интернета - это совокупность веб-сайтов или веб-пр…
👍2
10 лучших хакерских гаджетов
В этой статье подобрали для вас 10 лучших гаджетов для различных видов деятельности.
➖ https://telegra.ph/10-luchshih-hakerskih-gadzhetov-10-10
В этой статье подобрали для вас 10 лучших гаджетов для различных видов деятельности.
➖ https://telegra.ph/10-luchshih-hakerskih-gadzhetov-10-10
Telegraph
10 лучших хакерских гаджетов
1) Raspberry Pi 4 8GB Extreme Kit – 128 ГБ
👍8
Базовые инструменты для тестирования в Kali Linux
В этой статье рассмотрим 6 наиболее популярных в кругах пентестера инструмента для тестирования на веб-проникновения.
➖https://telegra.ph/tools-for-kali-linux-10-11
В этой статье рассмотрим 6 наиболее популярных в кругах пентестера инструмента для тестирования на веб-проникновения.
➖https://telegra.ph/tools-for-kali-linux-10-11
Telegraph
Базовые инструменты для тестирования в Kali Linux
К 2021 году в мире насчитывалось более 3424971237 пользователей Интернета. Будучи центром многих пользователей, возникает ответственность за заботу о безопасности этих многих пользователей. Большая часть Интернета - это совокупность веб-сайтов или веб-пр…
👍4
10 лучших советов по безопасности Linux-сервера
В этой статье рассмотрим руководство по безопасному использованию Linux сервера.
➖ https://telegra.ph/10-luchshih-sovetov-po-bezopasnosti-Linux-servera-09-08
В этой статье рассмотрим руководство по безопасному использованию Linux сервера.
➖ https://telegra.ph/10-luchshih-sovetov-po-bezopasnosti-Linux-servera-09-08
Telegraph
10 лучших советов по безопасности Linux-сервера
Существует множество инструментов и методологий для защиты серверов от незаконного доступа и других киберугроз. Системным администраторам и специалистам по кибербезопасности важно правильно защитить серверы. Большинство пользователей считают Linux отличной…
👍4
Интервью: 50 вопросов этичному хакеру
В этой статье мы рассмотрели топ-50 вопросов интервью по этическому хакерству с ответами на них.
➖https://telegra.ph/Intervyu-50-voprosov-ehtichnomu-hakeru-09-07
В этой статье мы рассмотрели топ-50 вопросов интервью по этическому хакерству с ответами на них.
➖https://telegra.ph/Intervyu-50-voprosov-ehtichnomu-hakeru-09-07
Telegraph
Интервью: 50 вопросов этичному хакеру
Этический взлом - это практика тестирования системы на наличие уязвимостей, которые могут быть использованы злоумышленниками. Этические хакеры используют различные методы, такие как тестирование на проникновение и сетевой анализ, для выявления слабых мест…
🔥10
ТОП-5 причин быть этичным хакером
В этой статье расскажем пять причин, почему вам стоит стать этичным хакером.
➖ https://telegra.ph/TOP-5-prichin-byt-ehtichnym-hakerom-09-06
В этой статье расскажем пять причин, почему вам стоит стать этичным хакером.
➖ https://telegra.ph/TOP-5-prichin-byt-ehtichnym-hakerom-09-06
Telegraph
ТОП-5 причин быть этичным хакером
Этический взлом ставит под угрозу компьютерные системы для оценки их безопасности и действует добросовестно, информируя уязвимую сторону. Этический хакерство является ключевым навыком для многих должностных обязанностей, связанных с обеспечением безопасности…
👍6
Подделка межсайтовых запросов (CSRF) – уязвимость OWASP
В этой статье рассмотрим уязвимость CSRF с подробным объяснением принципа атак, а также дадим несколько советов по защите.
➖ https://telegra.ph/Poddelka-mezhsajtovyh-zaprosov-CSRF--uyazvimost-OWASP-08-14
В этой статье рассмотрим уязвимость CSRF с подробным объяснением принципа атак, а также дадим несколько советов по защите.
➖ https://telegra.ph/Poddelka-mezhsajtovyh-zaprosov-CSRF--uyazvimost-OWASP-08-14
Telegraph
Подделка межсайтовых запросов (CSRF) – уязвимость OWASP
Подделка межсайтовых запросов является одной из наиболее распространенных форм атак онлайн-спамеров и мошенников. Эксплойтивность этой атаки немного сложна, ее распространенность распространена. Но атаки CSRF можно легко предсказать, и их воздействие является…
👍6
Проверка маршрутизатора на наличие вредоносных программ
В этой статье речь пойдёт о проверке на наличие уязвимостей и обеспечении безопасности вашего маршрутизатора.
➖https://telegra.ph/Proverka-marshrutizatora-na-nalichie-vredonosnyh-programm-07-25
В этой статье речь пойдёт о проверке на наличие уязвимостей и обеспечении безопасности вашего маршрутизатора.
➖https://telegra.ph/Proverka-marshrutizatora-na-nalichie-vredonosnyh-programm-07-25
Telegraph
Проверка маршрутизатора на наличие вредоносных программ
Безопасность маршрутизаторов, которые покупают пользователи, почти не существует. Злоумышленники используют низкокачественные маршрутизаторы и атакуют уязвимые устройства. Посмотрите, как вы можете проверить, был ли ваш маршрутизатор скомпрометирован. Покупка…
👍4🤮1
OWASP Top 10: A10 Недостаточное ведение журнала и мониторинг
В этой статье рассмотрим последнюю уязвимость из списка OWASP Top 10, связанную с плохими логами и мониторингом.
➖ https://telegra.ph/owasp-a10-09-03
В этой статье рассмотрим последнюю уязвимость из списка OWASP Top 10, связанную с плохими логами и мониторингом.
➖ https://telegra.ph/owasp-a10-09-03
Telegraph
OWASP Top 10: A10 Недостаточное ведение журнала и мониторинг
Введение Недостаточное ведение журнала и мониторинг входят в Top 10 OWASP по многим разным причинам. Это не только трудно обнаружить, но и трудно защитить от. Есть несколько способов, которыми мы можем защитить себя от этой уязвимости, но сначала нам нужно…
👍5
OWASP Top 10: A8 Небезопасная десериализация
В этой статье рассмотрим очень сложную для понимания уязвимость связанную с десериализацией.
➖ https://telegra.ph/owasp-a8-09-01
В этой статье рассмотрим очень сложную для понимания уязвимость связанную с десериализацией.
➖ https://telegra.ph/owasp-a8-09-01
Telegraph
OWASP Top 10: A8 Небезопасная десериализация
Введение Небезопасная сериализация исторически рассматривалась как очень сложная для понимания уязвимость, почти как черный ящик, но, хотя она содержит свои проблемы, как и любой другой тип проблем в OWASP top 10. сериализация - это метод, используемый для…
👍5
OWASP Top 10: A5 Нарушенный контроль доступа
В этой статье рассмотрим уязвимость связанную с предоставлением или ограничением прав пользователя в приложении.
➖ https://telegra.ph/owasp-a5-08-24
В этой статье рассмотрим уязвимость связанную с предоставлением или ограничением прав пользователя в приложении.
➖ https://telegra.ph/owasp-a5-08-24
Telegraph
OWASP Top 10: A5 Нарушенный контроль доступа
Что такое контроль доступа? Контроль доступа, как следует из названия, предназначен для предоставления или ограничения прав определенным пользователям в приложении. Если управление доступом реализовано правильно, обычный пользователь не должен иметь возможности…
👍3
OSINT: инструмент Sarenka
В этой статье рассмотрим инструмент OSINT разведки с открытым исходным кодом получает данные от таких сервисов, как Shodan, Censys и т. д. в одном приложении.
➖ https://telegra.ph/Sarenka--instrument-OSINT-08-31
В этой статье рассмотрим инструмент OSINT разведки с открытым исходным кодом получает данные от таких сервисов, как Shodan, Censys и т. д. в одном приложении.
➖ https://telegra.ph/Sarenka--instrument-OSINT-08-31
Telegraph
OSINT: инструмент Sarenka
SARENKA - это инструмент анализа данных с открытым исходным кодом (OSINT), который помогает вам получать и понимать поверхность атаки. Основная цель - сбор информации из поисковых систем для устройств, подключенных к Интернету (https://censys.io /, https…
👍1
9 Уязвимостей Android нулевого дня
В этой статье рассмотрим самые популярные уязвимости которые затрагивают миллиарды устройств Android.
➖ https://telegra.ph/9-Uyazvimostej-Android-nulevogo-dnya-08-30
В этой статье рассмотрим самые популярные уязвимости которые затрагивают миллиарды устройств Android.
➖ https://telegra.ph/9-Uyazvimostej-Android-nulevogo-dnya-08-30
Telegraph
9 Уязвимостей Android нулевого дня
Эксклюзивное исследование обнаружило 9 критических уязвимостей Android VoIP нулевого дня системного уровня, которые позволяют злоумышленникам выполнять вредоносные операции, включая отказ в голосовых вызовах, подделку идентификатора вызывающего абонента,…
🥰3
OWASP Top 10: A6 Неправильная конфигурация безопасности
В этой статье рассмотрим уязвимость охватыватывающая всё, что связано с конфигурациями безопасности.
➖ https://telegra.ph/owasp-a6-08-25
В этой статье рассмотрим уязвимость охватыватывающая всё, что связано с конфигурациями безопасности.
➖ https://telegra.ph/owasp-a6-08-25
Telegraph
OWASP Top 10: A6 Неправильная конфигурация безопасности
Что такое неправильная настройка безопасности? Я считаю, что это название было выбрано как можно более двусмысленным для одной из 10 лучших уязвимостей OWASP. Он может охватывать все, что связано с конфигурациями, но если мы приложим некоторые усилия, можно…
👍2
MetaFinder – поиск документов в домене через Google
В этой статье рассмотрим инструмент поиска документов в доменах через поисковую систему Google.
➖ https://telegra.ph/MetaFinder--poisk-dokumentov-v-domene-cherez-Google-08-28
В этой статье рассмотрим инструмент поиска документов в доменах через поисковую систему Google.
➖ https://telegra.ph/MetaFinder--poisk-dokumentov-v-domene-cherez-Google-08-28
Telegraph
MetaFinder – поиск документов в домене через Google
Метаданные - это простые данные, описываемые как необработанные значения, которые необходимо обработать для получения информации и получения знаний. Метаданные обычно описываются как ‘данные о данных’. Эти данные часто включают в себя различные фрагменты…
👍3