🔎 Захват аккаунта: Как я нашел способ получить доступ к любому аккаунту благодаря простой ошибке в регистрации

Сегодня в статье автор поделится уникальным случаем, с которым он столкнулся при проверке безопасности приложения в рамках одной программы

⚠️ Эта уязвимость позволила обойти проверку электронной почты и завладеть учетной записью любого пользователя благодаря ошибке в регистрации

В этой статье мы пошагово разберем процесс, который привел к этому открытию, исследуем работу сайта и выясним, как каждая упущенная из виду деталь способствовала возникновению серьёзной уязвимости в системе безопасности

Мы рассмотрим методы, использованные для обхода проверки электронной почты, захвата учетных записей и, в конечном счете, раскроем возможные риски

🗄 Читать статью – линк.

// Не хакинг, а ИБ

👴 Утилита для атаки на Wi-Fi

Penetrator-WPS – консольная утилита для атаки на WPS (Wi-Fi Protected Setup)

Программа позволяет атаковать множество беспроводных точек доступа с включённым WPS в режиме реального времени

— Для работы Penetrator-WPS использует атаку Pixie Dust и требует установленной утилиты PixieWPS

Pixie Dust – это автономная атака, которая помогает хакерам получить доступ к паролям на беспроводных маршрутизаторах. Она работает путём взлома ключа для протокола WPS

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

👁‍🗨 Пишем кейлоггер на Linux: Часть 1

— Первая часть полного руководства по кейлоггингу в Linux будет посвящена основам кейлоггинга и его важности в сфере обеспечения безопасности Linux

⏺Подробно разберем кейлоггинг в пользовательском пространстве;
⏺Покажем как написать кейлоггер для Linux, считывающий нажатия с клавиатуры устройства.

🗄 Читать статью – линк.

🔥 – и выкладываю вторую часть

// Не хакинг, а ИБ

😈 Пишем кейлоггер на Linux: часть 2

— Сегодня мы рассмотрим немного другую технику захвата событий клавиатуры

X-сервер находится между GUI и ОС, и отвечает за предоставление различных примитивов

Он реализует парадигму «окна, значки, меню, указатель», которая является базой в системе графического интерфейса

Основной способ захвата ввода выглядит следующим образом:
⏺Проверка запуска X-сервера;
⏺Перечисление доступных дисплеев;
⏺Выбор нужного дисплея;
⏺Проверка доступности XInputExtension;
⏺Установка маски события для включения событий нажатий клавиш;
⏺Чтение событий с дисплея в цикле.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

😈 Пишем кейлоггер на Linux: часть 3, последняя часть

В первой и второй частях мы писали про то, как написать кейлоггер, работающий в пользовательской среде Linux

— А в этой статье мы рассмотрим методы перехвата событий клавиатуры в ядре Linux

🗄 Читать статью – линк.

// Не хакинг, а ИБ

📝 Набор шпаргалок от Offensive Security

Offensive Security – американская международная компания, работающая в области информационной безопасности, тестирования на проникновение и цифровой криминалистики

Offensive Security Cheatsheet – это шпаргалка, в которую занесены часто используемые команды и векторы в контексте тестирования на проникновение в области кибербезопасности

— Такие cheat-листы могут быть полезны при аудите безопасности и подготовке к экзамену OSCP

🗄 Шпаргалки – линк.

// Не хакинг, а ИБ

🎃 Всё о прокси: виды, как пользоваться, как проверить качество прокси

Содержание статьи:
1. Что такое прокси, чем они различаются, виды прокси
2. Анонимность прокси
3. Где скачать списки прокси
4. Как включить прокси
5. Как самому проверить анонимность прокси
6. Другие способы выявления прокси
7. Заголовки запроса браузера Tor

В этой статье мы рассмотрим всё самое важное о прокси: что такое прокси, какие бывают виды прокси, чем они различаются

— Мы заглянем во внутрь их работы: увидим, как эти прокси раскрывают наш настоящий IP в своих заголовках и научимся самостоятельно перепроверять анонимность прокси

🗄 Читать статью – линк.

// Не хакинг, а ИБ

⬛️ Defensive Programming

Защитное программирование – методика разработки ПО, предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу

— Эта статья рассматривает историю этого термина и анализирует проблемы защитного программирования

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🔎 Поиск XSS-уязвимостей

XssPy – это инструмент на Python для поиска уязвимостей межсайтового скриптинга (XSS) в веб-сайтах

— В отличие от большинства инструментов, которые проверяют только одну страницу, XssPy перемещается по веб-сайту и ищет все ссылки и поддомены

После этого он начинает сканирование каждого ввода на каждой странице, которые найдены во время индексации

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🚰 Из-за взлома у Google утекли данные клиентов Google Ads

⚠️ На прошлой неделе компания Google сообщила, что пострадала от утечки данных – этот инцидент стал очередной атакой хак-группы ShinyHunters, которая в последние месяцы нацелена на Salesforce CRM

— Скомпрометированные данные содержали названия компаний, номера телефонов и «связанные заметки», которые используются менеджерами для повторной связи с клиентами

Хотя в Google не сообщают о количестве пострадавших, хакеры заявили журналистам, что похитили у компании примерно 2,55 млн записей, а после потребовали у Google выкуп в размере 20 биткоинов (около 2,3 млн долларов США по текущему курсу)

🗄 Источник – линк.

// Не хакинг, а ИБ

☁️ P2P-мессенджеры нового поколения. Связь без интернета

BitChat – приложение для обмена сообщениями в режиме P2P-сети, которое работает без интернета, сотовых вышек или какой-либо инфраструктуры

Используя сетевую технологию Bluetooth Low Energy (BLE) и Noise Protocol Framework, она обеспечивает безопасные приватные коммуникации

— Основная инновация в том, что BitChat объединяет mesh-сети на Bluetooth, протокол Noise для шифрования, а также эфемерные ID для повышения конфиденциальности

До сих пор на рынке не было мессенджеров, которые сочетают все три эти качества

🗄 Читать статью – линк.

// Не хакинг, а ИБ

👀 Шпаргалка по OSINT

— Шпаргалка включает в себя список инструментов OSINT, вики, набор данных, статьи, книги, red team OSINT для хакеров и советы, а также RoadMap

Этот репозиторий часто расширяется и актуален на сегодняшний день

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ