🔎 Поиск XSS-уязвимостей

XssPy – это инструмент на Python для поиска уязвимостей межсайтового скриптинга (XSS) в веб-сайтах

— В отличие от большинства инструментов, которые проверяют только одну страницу, XssPy перемещается по веб-сайту и ищет все ссылки и поддомены

После этого он начинает сканирование каждого ввода на каждой странице, которые найдены во время индексации

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🚰 Из-за взлома у Google утекли данные клиентов Google Ads

⚠️ На прошлой неделе компания Google сообщила, что пострадала от утечки данных – этот инцидент стал очередной атакой хак-группы ShinyHunters, которая в последние месяцы нацелена на Salesforce CRM

— Скомпрометированные данные содержали названия компаний, номера телефонов и «связанные заметки», которые используются менеджерами для повторной связи с клиентами

Хотя в Google не сообщают о количестве пострадавших, хакеры заявили журналистам, что похитили у компании примерно 2,55 млн записей, а после потребовали у Google выкуп в размере 20 биткоинов (около 2,3 млн долларов США по текущему курсу)

🗄 Источник – линк.

// Не хакинг, а ИБ

☁️ P2P-мессенджеры нового поколения. Связь без интернета

BitChat – приложение для обмена сообщениями в режиме P2P-сети, которое работает без интернета, сотовых вышек или какой-либо инфраструктуры

Используя сетевую технологию Bluetooth Low Energy (BLE) и Noise Protocol Framework, она обеспечивает безопасные приватные коммуникации

— Основная инновация в том, что BitChat объединяет mesh-сети на Bluetooth, протокол Noise для шифрования, а также эфемерные ID для повышения конфиденциальности

До сих пор на рынке не было мессенджеров, которые сочетают все три эти качества

🗄 Читать статью – линк.

// Не хакинг, а ИБ

👀 Шпаргалка по OSINT

— Шпаргалка включает в себя список инструментов OSINT, вики, набор данных, статьи, книги, red team OSINT для хакеров и советы, а также RoadMap

Этот репозиторий часто расширяется и актуален на сегодняшний день

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ

📝 Идентификация типов файлов по их бинарным сигнатурам

TrID – она использует базу данных определений (сигнатур), которые описывают повторяющиеся шаблоны для поддерживаемых типов файлов

— Чем больше определений доступно, тем точнее может быть анализ неизвестного файла

Текущая библиотека определений насчитывает до 14160 типов файлов и быстро растёт

🗄 Домашняя страница – линк.

// Не хакинг, а ИБ

👁‍🗨 США тайно внедряют трекеры в партии ИИ-чипов Nvidia и AMD

⚠️ Американские власти тайно размещают устройства для отслеживания местоположения в партиях чипов

— Трекеры могут использоваться при поставках оборудования компаний Dell, SuperMicro, Nvidia и AMD

Трекеры призваны помочь в вопросах возбуждения дел против лиц и компаний, которые получают прибыль от нарушения экспортного контроля

🗄 Источник – линк.

// Не хакинг, а ИБ

😁 Kaisen Linux официально закрыт: что теряют сисадмины и какие есть альтернативы

⚠️ Проект Kaisen Linux, созданный в 2019 году для системных администраторов и ИТ-специалистов, прекратил своё существование с релизом версии 3.0

Разработчик Кевин Шеврей объявил, что у него больше нет времени на проект из-за личных и профессиональных приоритетов

— Ключевой особенностью Kaisen Linux была его специализация: он предоставлял готовую платформу для профессионалов, минимизируя время на настройку окружения

🗄 Читать статью – линк.

// Не хакинг, а ИБ

😁 Огромная шпаргалка по командам Linux на русском языке

— Тут собраны все основные системные команды и консольные утилиты Linux

🗄 Шпаргалка на GitHub – линк.

// Не хакинг, а ИБ

😈 Инструмент обхода антивирусной и EDR защиты

Shellter – инструмент для динамического внедрения шёлл-кода, применяется для встраивания шёлл-кода в нативные Windows-приложения

— Он может использовать легитимный файл Windows.exe и добавить к нему код-оболочку, а затем выполнить работу по модификации файла для обхода антивирусной защиты

А также Shellter умеет создавать на компьютере поддельные файлы, папки и записи в реестре, чтобы затруднить криминалистический анализ системы

🗄 Официальный сайт – линк.
🗄 Shellter: антивирусы его не видят, пентестеры им гордятся, а хакеры — уже пользуются
🗄 Инъекция по-черному. Обходим антивирусы при помощи Shellter
🗄 Утилита Shellter: Теория, первый запуск и авто-режим | Результаты тестов антивирусов

// Не хакинг, а ИБ

😩 Как работала «машина-спамер»: маршрутизаторы + антенны + портативная электростанция = фишинг на колёсах

— Киберполиция Таиланда совместно с местным оператором связи AIS провела масштабную операцию KHAO SAN, в ходе которой были задержаны двое молодых граждан страны, выполнявших поручения китайской преступной группировки

⚠️ Они использовали автомобиль с замаскированным оборудованием для массовой рассылки поддельных SMS-сообщений, содержащих ссылки на фишинговые сайты

По данным полиции, преступники устанавливали в автомобиле комплекс из ложной базовой станции (False Base Station), маршрутизаторов и антенн, подключённых к мобильной электростанции, которые позволяли в режиме реального времени рассылать сообщения

🗄 Источник – линк.

// Не хакинг, а ИБ

🤒 Метод наипростейшей стенографии. Алфавит и шрифт для неё

Стенография (от греч. στενός – узкий, тесный и γράφειν – писать) – способ письма посредством особых знаков и целого ряда сокращений, дающий возможность быстро записывать устную речь

— В статье мы познакомимся с наипростейшим методом записи русской устной речи с помощью упрощенных значков, что конечно не повысит в 2-4 раза скорость записи как в стенографии, но точно облегчит эту запись

Такой метод можно использовать для простого сокрытия информации.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🧰 Массивный список всех инструментов кибербезопасности

В список вошли:
1. Инструменты сбора информации
2. Пароли
3. Исследования и обратная инженерия
4. Снифинг и спуфинг
5. Стресс-тестирование
6. Анализ уязвимостей
7. Беспроводные сети

🗄 Забираем себе – линк.

Оставляем инструменты по отдельности?
🔥 – да
👍 – не интересно

// Не хакинг, а ИБ

🤔 Взлом PayPal с помощью фишинг-инструмента PyPhisher

В этой статье я покажу как с помощью социальной инженерии и инструмента PyPhisher хакеры могут получить ваш пароль PayPal

Атаки с помощью социальной инженерии эффективны, потому что они часто полностью обходят механизмы защиты

PyPhisher – это инструмент для фишинга, созданный для упрощения процесса создания фишинговых страниц. Включает 77 шаблонов веб-сайтов, что облегчает его использование.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

📄 Шпаргалка по Burp Extensions

Burp Extensions – это дополнения к инструменту Burp Suite, которые позволяют расширить его функционал

Некоторые примеры расширений:
⏺HUNT Proxy Extension. Предупреждает о уязвимых параметрах, чтобы пользователь мог проверить их вручную
⏺Burp-vulners-scanner. Определяет уязвимые компоненты веб-приложения и даёт ссылку на описание или эксплоит
⏺Burp Automator. Автоматизирует проверки, используя в качестве основы Burp Suite, slackclient и burp-rest-api
⏺Autorize. Автоматизирует проверки авторизации в веб-приложениях
⏺CO2. Предоставляет различные инструменты и сценарии тестирования для разных уязвимостей безопасности
⏺AuthMatrix. Управляет и визуализирует сложные тесты авторизации
⏺Burp Bounty. Позволяет создавать настраиваемые тесты безопасности и полезные нагрузки
⏺Upload Scanner. Тестирует функции загрузки файлов и выявляет потенциальные уязвимости безопасности в этих функциях
⏺Collaborator Everywhere. Автоматически использует сервис Burp Collaborator во время различных тестов и атак для выявления внешних взаимодействий и уязвимостей безопасности из внешних источников

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🙁 Подтвердите, что вы не робот и получите бэкдор: новый трюк для захвата вашего Windows

— Специалисты выпустили свежий выпуск, где разобран инцидент с участием двух группировок – UNC5518 и UNC5774

⏺Первая компрометирует легитимные сайты и подменяет страницы проверок CAPTCHA на «ClickFix»-ловушки, вынуждая посетителей запускать команды в Windows Run
⏺Вторая использует полученный таким образом доступ и развёртывает многофункциональную вредоносную программу CORNFLAKE.V3

В статье читайте подробный разбор каждой уязвимости

🗄 Источник – линк.

// Не хакинг, а ИБ

🌐 Утилита командной строки для захвата рендеринга

CutyCapt – это маленькая кроссплатформенная утилита командной строки для захвата рендеринга WebKit веб-страницы в различных векторных и растовых форматах, включая SVG, PDF, PS, PNG, JPEG, TIFF, GIF и BMP

Захват рендеринга (отрисовки) с помощью движка WebKit – это процесс, при котором элементы веб-страницы, обработанные WebKit, преобразуются в визуальное представление, которое можно захватить и сохранить в виде изображения

🗄 Домашняя страница – линк.

// Не хакинг, а ИБ

🤨 От РЖД до Wildberries — кого Минцифры обязало интегрироваться с Max

⚠️ Минцифры рекомендовало ряду крупнейших российских компаний провести интеграцию их внутренних систем с чат-ботом в национальном мессенджере Ma

25 августа ведомство направило письмо с призывом в Авито, Ростелеком, Согаз, РЖД, Wildberries, Ozon, Альфастрахование, hh.ru, Мегафон, МТС, Билайн, Т2, Почту России, СДЭК глобал, Инвитро, Гемотест, Авиасейлс и Аэрофлот

— В министерстве подчеркнули, что «при такой схеме все данные пользователей остаются под надёжной защитой»

В дальнейшем список сервисов будет пополняться.

🗄 Источник – линк.

// Не хакинг, а ИБ

👩‍💻 Эксплуатация Active Directory: инструменты, уязвимости и методы защиты

Active Directory (AD) – нервная система корпоративной инфраструктуры, которая незримо управляет учётными записями, правами доступа и политиками

— В этом материале мы:
⏺разложим по полочкам самые популярные инструменты нападающих;
⏺обсудим ключевые уязвимые зоны;
⏺и соберём практический набор контрмер, пригодный как для молодой сети из десяти хостов, так и для распределённого леса, насчитывающего тысячи контроллеров

🗄 Читать статью – линк.

// Не хакинг, а ИБ