👾 Инъекция XSS в скрытых полях ввода и мета-тегах
В этой статье автор покажет, как мы можем использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода:
Читать статью — линк.
// Не хакинг, а ИБ
В этой статье автор покажет, как мы можем использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода:
Читать статью — линк.
// Не хакинг, а ИБ
👍6
🛠 KisMac2
Инструмент для обнаружения и обеспечения безопасности беспроводной сети для Mac OS X.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Инструмент для обнаружения и обеспечения безопасности беспроводной сети для Mac OS X.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
🔥5👍2
🔍 SearchMyName
OSINT-инструмент позволяет перечислять имена пользователей на сайтах.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
OSINT-инструмент позволяет перечислять имена пользователей на сайтах.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍6
🔎 Tosint
Инструмент для извлечения информации из ботов Telegram и связанных с ними каналов.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Инструмент для извлечения информации из ботов Telegram и связанных с ними каналов.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👨💻5❤3
🥔 CoercedPotato
Новый инструмент для локального повышения привилегий на компьютере под управлением Windows со служебной учетной записи на NT SYSTEM.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Новый инструмент для локального повышения привилегий на компьютере под управлением Windows со служебной учетной записи на NT SYSTEM.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍7🔥1
👾 Небезопасная многопоточность или Race Condition
Race condition — это ситуация, при которой несколько потоков (или процессов) одновременно пытаются выполнить операции чтения или записи к общим ресурсам без должной синхронизации.
В статье рассказали, как это можно эксплуатировать:
Читать статью — линк.
// Не хакинг, а ИБ
Race condition — это ситуация, при которой несколько потоков (или процессов) одновременно пытаются выполнить операции чтения или записи к общим ресурсам без должной синхронизации.
В статье рассказали, как это можно эксплуатировать:
Читать статью — линк.
// Не хакинг, а ИБ
🔥5👍3
⚙️ BloodHound. Натаскиваем ищейку на поиск NTLM Relay
Прежде чем применять технику NTLM Relay, необходимо собрать информацию об исследуемом объекте и выбрать первоочередные цели. Но как это сделать, если атакуемая сеть насчитывает многие десятки или сотни узлов? На помощь придет очень полезный и удобный инструмент — BloodHound!
Читать статью — линк.
// Не хакинг, а ИБ
Прежде чем применять технику NTLM Relay, необходимо собрать информацию об исследуемом объекте и выбрать первоочередные цели. Но как это сделать, если атакуемая сеть насчитывает многие десятки или сотни узлов? На помощь придет очень полезный и удобный инструмент — BloodHound!
Читать статью — линк.
// Не хакинг, а ИБ
👍7👨💻1
🔍 reNgine
Автоматизированная среда разведки для веб-приложений, в которой особое внимание уделяется гибко настраиваемому оптимизированному процессу разведки с помощью механизмов, корреляции и организации разведывательных данных, непрерывному мониторингу на основе базы данных и простому, но интуитивно понятному пользовательскому интерфейсу.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Автоматизированная среда разведки для веб-приложений, в которой особое внимание уделяется гибко настраиваемому оптимизированному процессу разведки с помощью механизмов, корреляции и организации разведывательных данных, непрерывному мониторингу на основе базы данных и простому, но интуитивно понятному пользовательскому интерфейсу.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👨💻6👍3
🛠 Privaxy
MITM HTTP(s)-прокси, который находится между HTTP-приложениями, такими как веб-браузер, и HTTP-серверами, например, обслуживающими веб-сайты.
Устанавливая двусторонний туннель между обоими концами, Privaxy может блокировать сетевые запросы на основе шаблонов URL-адресов и внедрять сценарии и стили в HTML-документы.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
MITM HTTP(s)-прокси, который находится между HTTP-приложениями, такими как веб-браузер, и HTTP-серверами, например, обслуживающими веб-сайты.
Устанавливая двусторонний туннель между обоими концами, Privaxy может блокировать сетевые запросы на основе шаблонов URL-адресов и внедрять сценарии и стили в HTML-документы.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍8🔥2
👾 Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз
SSRF — это атака, которая позволяет отправлять запросы от имени сервера к внешним или внутренним ресурсам. При этом злоумышленник может контролировать либо весь запрос целиком, либо его отдельные части.
SSRF можно встретить при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – рассказали в статье.
Читать статью — линк.
// Не хакинг, а ИБ
SSRF — это атака, которая позволяет отправлять запросы от имени сервера к внешним или внутренним ресурсам. При этом злоумышленник может контролировать либо весь запрос целиком, либо его отдельные части.
SSRF можно встретить при проведении работ по анализу защищенности веб-приложений, и иногда эта атака открывает пентестерам (а, значит, и реальным хакерам) массу возможностей. А каких именно – рассказали в статье.
Читать статью — линк.
// Не хакинг, а ИБ
👍7
⚙️ Обновись сейчас! ТОП-5 самых опасных уязвимостей сентября
В этой заметке рассказали о самых опасных уязвимостях сетевого периметра, которые автор в CyberOK отслеживал в сентябре 2023 года.
Топ-5:
— Гонки на Битриксе (BDU:2023-05857);
— Экспериментальный разгласитель почты (ZDI-23-1473 и их друзья);
— Когда Пойнт слишком Шеринг (CVE-2023–29357);
— Не звоните наверх (CVE‑2022‑46764);
— Город Команд (CVE-2023-42793).
Читать статью — линк.
// Не хакинг, а ИБ
В этой заметке рассказали о самых опасных уязвимостях сетевого периметра, которые автор в CyberOK отслеживал в сентябре 2023 года.
Топ-5:
— Гонки на Битриксе (BDU:2023-05857);
— Экспериментальный разгласитель почты (ZDI-23-1473 и их друзья);
— Когда Пойнт слишком Шеринг (CVE-2023–29357);
— Не звоните наверх (CVE‑2022‑46764);
— Город Команд (CVE-2023-42793).
Читать статью — линк.
// Не хакинг, а ИБ
🔥7👍2👎1
🔍 telegram-phone-number-checker
Скрипт, который позволяет проверить, подключен ли определенный номер телефона к учетной записи Telegram.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Скрипт, который позволяет проверить, подключен ли определенный номер телефона к учетной записи Telegram.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍8
🔎 The Atypical OSINT Guide
Самый необычный OSINT-гайд, который вы когда-либо видели. Репозиторий предназначен только для скучающих профессионалов.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Самый необычный OSINT-гайд, который вы когда-либо видели. Репозиторий предназначен только для скучающих профессионалов.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍8
⚙️ Arkime
Крупномасштабная система с открытым исходным кодом, обеспечивающая полный захват пакетов, индексацию и работу с базами данных.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Крупномасштабная система с открытым исходным кодом, обеспечивающая полный захват пакетов, индексацию и работу с базами данных.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍7⚡2
🛠 bore
Современный, простой TCP-туннель в Rust, который предоставляет локальные порты удаленному серверу, минуя стандартные брандмауэры подключения NAT.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Современный, простой TCP-туннель в Rust, который предоставляет локальные порты удаленному серверу, минуя стандартные брандмауэры подключения NAT.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍6
🔎 vnStat
Монитор сетевого трафика для Linux и BSD, который использует статистику сетевого интерфейса, предоставляемую ядром, в качестве источника информации.
Это означает, что vnStat фактически не будет перехватывать какой-либо трафик, а также будет обеспечивать минимальное использование системных ресурсов независимо от скорости сетевого трафика.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Монитор сетевого трафика для Linux и BSD, который использует статистику сетевого интерфейса, предоставляемую ядром, в качестве источника информации.
Это означает, что vnStat фактически не будет перехватывать какой-либо трафик, а также будет обеспечивать минимальное использование системных ресурсов независимо от скорости сетевого трафика.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
🔥5👍1
👾 Новый вид DDoS-атаки HTTP/2 Rapid Reset. Что это и почему вам нужно знать о ней?
Статья описывает новый вид DDoS-атаки, затронувшей сервисы Google. Такие атаки отличаются увеличенным масштабом и основаны на быстром сбросе потоков протокола HTTP/2.
В статье разбираем варианты атаки Rapid Reset и меры смягчения, а также предлагаем стратегии для минимизации рисков.
Читать статью — линк.
// Не хакинг, а ИБ
Статья описывает новый вид DDoS-атаки, затронувшей сервисы Google. Такие атаки отличаются увеличенным масштабом и основаны на быстром сбросе потоков протокола HTTP/2.
В статье разбираем варианты атаки Rapid Reset и меры смягчения, а также предлагаем стратегии для минимизации рисков.
Читать статью — линк.
// Не хакинг, а ИБ
👍6
🛠 onionpipe
Инструмент, который перенаправляет порты на локальном хосте на удаленные адреса Onion как скрытые службы Tor.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Инструмент, который перенаправляет порты на локальном хосте на удаленные адреса Onion как скрытые службы Tor.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
❤6👨💻3👍2
🏞 Форензика: идентификация поддельных изображений
Итак, вы, возможно, видели в этих фильмах о серийных убийствах, как криминалисты идентифицируют поддельные изображения, выглядит круто, не так ли?
В этой статье рассмотрим самые распространенные варианты такой идентификации.
Читать статью — линк.
// Не хакинг, а ИБ
Итак, вы, возможно, видели в этих фильмах о серийных убийствах, как криминалисты идентифицируют поддельные изображения, выглядит круто, не так ли?
В этой статье рассмотрим самые распространенные варианты такой идентификации.
Читать статью — линк.
// Не хакинг, а ИБ
🔥6👍4👎1
🛠 Apktool
Инструмент для реверс-инжиниринга сторонних, закрытых, бинарных приложений для Android. Он может декодировать ресурсы почти до исходной формы и восстанавливать их после внесения некоторых изменений.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Инструмент для реверс-инжиниринга сторонних, закрытых, бинарных приложений для Android. Он может декодировать ресурсы почти до исходной формы и восстанавливать их после внесения некоторых изменений.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👍7
🔓 Shapeshifter Dispatcher
Инструмент преобразует подключаемые транспортные средства, реализующие
Предусмотрено несколько режимов прокси, включая проксирование трафика TCP и UDP.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
Инструмент преобразует подключаемые транспортные средства, реализующие
Go API из спецификации Pluggable Transports 2.1, в прокси, используемые приложениями.Предусмотрено несколько режимов прокси, включая проксирование трафика TCP и UDP.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
👨💻6👍2