Атаки на веб-приложения с помощью Burp Suite
И SQL инъекции

Burp suite - это платформа для выполнения тестирования по безопасности веб-приложений. Данная статья пошаговый туториал как пользоваться данным инструментом в комбинации с SQL инъекциями.

https://teletype.in/@onehellsus/XFAyvDOPfc3

​​​Взлом камер с помощью Termux

В данном посте будет разобран способ парсинга и получения доступа к камерам наблюдения при помощи Termux. Сам по себе парсинг представляет собой процесс сбора данных с последующей их обработкой и анализом.

Установка:
$ apt install python3
$ apt install git
$ git clone https://github.com/yan4ikyt/webhack
$ cd webhack
$ bash install.sh

Использование:
$ python WebHack.py

После того, как вы введете представленную выше команду, вам останется выбрать страну и утилита нам выдаст IP камер. Теперь можно вставлять полученные IP в браузер и просматривать, но учтите, что половина камер из списка под паролем.

Полезные источники для OSINT:
├организация онлайн-источников
├визуализация данных расследования
├создание виртуальных личностей
├исследование профиля Skype
├исследование профиля Telegram
├исследование профиля ВКонтакте
├исследование профиля Instagram
├поиск совпадений никнеймов
├сбор данных по геолокации
├сбор данных по паролю
├исследование криптокошелька
├инструменты для работы в Даркнет
├исследование вебсайта
├анализ рекламных идентификаторов
├исследование фотоснимков
├логгирование пользователей сети
├исследование ip-адреса
├идентификация телефонных номеров
├геолокация мобильных телефонов
├идентификация электронной почты
├геолокация электронной почты
├обучение использованию Maltego
├бесплатные программы безопасника
├сбор данных об автомобиле в РФ
├сбор данных о субъекте бизнеса (мир)
├сбор данных о субъекте бизнеса в РФ
├сбор данных о физлицах в РФ
├мониторинг субъекта бизнеса
└мониторинг упоминаний в СМИ

📔 ПРАКТИЧЕСКОЕ РУКОВОДСТВО ПО ЗАПРОСУ ЭЛЕКТРОННЫХ ДОКАЗАТЕЛЬСТВ ЧЕРЕЗ ГРАНИЦУ (англ.)

Как начать заниматься расследованиями по открытым источникам - Беллингкэт
https://ru.bellingcat.com/materialy/2021/11/15/first-steps-to-getting-started-in-open-source-research-ru/

Бот @TgScanRobot покажет вам, в каких телеграм-группах состоит (или состоял) интересующий вас человек.

В базе данных бота содержится более миллиона групп и более полутора миллиардов связей пользователь-группа.

База бота постоянно пополняется новыми группами. Ежедневно бот заново сканирует список пользователей в каждой из миллиона известных ему групп.

Бот не ищет телефонные номера и не принимает телефонные номера в качестве параметра для поиска. Бот является 100% OSINT-инструментом, база бота полностью основана на данных, свободно доступных в сети интернет. Для пополнения базы связей бот не использует утечки, доступные на хак-форумах.

Бот является платным. Бесплатного демо-доступа нет. Вы можете задать интересующие вас вопросы в группе поддержки бота: grablab_osint_ru

Если вы автор популярного InfoSec канала или продукта, вы можете обратиться к автору бота и получить бесплатный доступ для оценки качества информации, выдаваемой ботом.

Вышло исследование по деанону пользователей Tor. Смысл атаки предполагает, что злоумышленник (деанонер) запускает выходной узел, чтобы фиксировать разнообразие трафика генерируемого реальными пользователями, который затем используется в качестве источника для сбора следов трафика Tor и разработки модели классификации на основе машинного обучения. При этом, необходимо иметь доступ к логам и тех сайтов которые посещает пользователь. По собранным данным с некоторой долей вероятности делается вывод о идентификации пользователей со своим fingerprint.

Читаем в оригинале: https://thehackernews.com/2021/11/researchers-demonstrate-new.html

В процессе решения задачи по GEO-OSINT https://t.me/osint_rf/3953 , помимо популярных сервисов поиска изображений - Yandex, Google, TinEye c функцией search by image, сделал подборку альтернативных ресурсов:

https://www.picsearch.com/
https://imagefinder.co/
https://www.vecteezy.com/ (+ поиск видео)
https://www.mostphotos.com/
https://pikwizard.com/ (+ поиск видео)
https://www.shutterstock.com/ (+ Search by image)
https://www.gettyimages.co.uk/ (+ Search by image)
https://stocksnap.io/
https://www.istockphoto.com/ (+ Search by image)

Поисковые машины (поисковики) повышенной степени анонимности. Не логируют действия пользователей и не составляют его портрет. Ну или говорят, что не делают этого.

🖥 duckduckgo.com
🖥 swisscows.com
🖥 gibiru.com
🖥 startpage.com
🖥 qwant.com

Присоединяйтесь к нам в ВКонтакте
♾ https://vk.com/zeroday_spb

/// @zeroday_spb

MARPLE

New tool from
@Sox0j
(creator Maigret, YaSeeker, Mailcat).

It collect links contains nickname/name/surname in url from Google and DuckDuckGo search results.

https://github.com/soxoj/marple

#python #opensource #github

​paranoid-ninja – Скрипт для защиты вашей конфиденциальности

Может применить прозрачный прокси через Tor с помощью nftables или iptables и опционально подменить случайный MAC-адрес, локальное время, имя хоста, IP.

GitHub | #Shell #Proxy #Privacy

Уходим из-под радаров Интернета: методы сокращения цифрового следа

Безопасность – это всегда компромисс. Если речь идёт об информационной безопасности личности, то мы стоим на отрезке, на одном конце которого находится пользователь, связывающий всю свою жизнь с Интернетом и интегрирующим в него все свои действия. На другом конце отрезка находится человек, который не пользуется сетью Интернет. От каждого конкретного человека зависит, в каком месте отрезка он будет стоять и ближе к какому концу.

https://teletype.in/@onehellsus/7EaTarbnlW0

instaloader - это библиотека для Python, позволяющая загружать фотографии, сторизы, комментарии, и многое другое из профилей в Instagram.

Библиотека даже позволяет авторизоваться через аккаунт.
Чтобы получить доступ к закрытым профилям.
И к фиду подписок.

Ставится командой pip install instaloader
Документация и примеры кода здесь.

http://github.com/GuidoBartoli/sherloq

Open source image #forensic toolset made by profesional photograph Guido Bartoli

Metadata, Noise, Tampering, Luminance, JPEG properties etc.

All 36 tools in one app.

#osint #python #opensource

​Бесплатно отправляем смс с помощью Termux.

SmsSender — скрипт, предназначенный для бесплатной отправки SMS на любой номер и с любым текстом.

Установка:
$ pkg upgrade
$ pkg install -y git python
$ git clone https://github.com/KrasProject2021/SmsSender
$ cd SmsSender

Запуск:
$ python main.py

Далее вводим номер (без +) с текстом и отсылаем смску.

#sms #лайфхак #скрипт #spam

Я использую парсеры в основном для сбора друзей со страницы целевого объекта. И после долгого пользования ПепперНинджа, перешел на парсер https://vk.barkov.net/

Стоит 800 рублей в месяц, функционал просто огромный, есть парсеры для самых диких задач. Например, "Люди, активные в фотоальбомах" — это вообще кому надо?

В общем, мастхэв для тех, кто не хочет делать собственный инструментарий. И нет, это не реклама :)

🔖 S.E. Заметка. #OSINT коллекция от Cyber Detective.

🖖🏻 Приветствую тебя user_name.

• Продолжаем пополнять нашу коллекцию #OSINT ресурсов и инструментов. На этот раз, я поделюсь с тобой не только отличным и сочным репозиторием, но и отличным блогом, в котором ты найдешь много полезной информации. Автор является значимой фигурой в OSINT-сообществе.

• Коллекция инструментов: https://github.com/cipher387/osint_stuff_tool_collection

• Блог автора в Twitter: @cyb_detective

• Блог в Telegram: @cybdetective

‼️ За 3 года существования S.E., я собрал огромное количество материала на тему #OSINT, так как навыки искать необходимую информацию о цели, очень важны и являются ключевыми при проведении атак с использованием #СИ. Дополнительный материал, ты можешь найти по хештегам в заметке. Твой S.E.

​​​​Взлом почты

H8Mail - утилита способна прогнать нужную вам почту по своим базам и выдает некоторое кол-во паролей, С ее помощью можно получить доступ не только к почтовому ящику, а вообще ко всем аккаунтам, если пользователь использует одни и те же пароли.

Установка:
$ apt update -y & pkg upgrade -y
$ pkg install git python
$ pip install requests
$ pip install h8mail

Использование:
$ h8mail -t почта

За минуту утилита прогонит почту по своим базам и если она где-то засветилась в слитых БД, то вы получите положительный результат.

Продолжаем изучение OSINT по видео-урокам от Мефодий Келевра

Урок 30. Ищем секретные документы
Курс: "Master OSINT"

#OSINT #видеоуроки