Fsecurity | HH
الذهاب إلى القناة على Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
إظهار المزيد2 007
المشتركون
لا توجد بيانات24 ساعات
-27 أيام
-1230 أيام
أرشيف المشاركات
2 009
Repost from Zer0Day Lab
https://github.com/DosX-dev/obfus.h
obfus.h is a macro-only library for compile-time obfuscating C applications, designed specifically for the Tiny C (tcc). It is tailored for Windows x86 and x64 platforms and supports all versions of the compiler.
• Function Call Obfuscation: Confuse function calls to make code less readable to unauthorized eyes. • Anti-Debugging Techniques: Built-in mechanisms to prevent code analysis during runtime. • Control Flow Code Mutation: Turns code into spaghetti, making it difficult to parse conditions and loops
2 009
Repost from burpsuite (not official)
How we escalated a DOM XSS to a sophisticated 1-click Account Takeover for $8000 - Part 1
https://thefrogsec.github.io/2024/04/06/How-we-escalated-a-DOM-XSS-to-a-sophisticated-1-click-Account-Takeover-for-8000-Part-1/
2 009
💡 Найти IDOR иногда бывает проще, чем кажется
#tips #bugbounty
2 009
Как TaipanByte Standoff13 решали
Советую почитать 🍷👾
🔗Ссылка:
https://blog.taipanbyte.ru/standoff/%D0%9A%D0%B0%D0%BA-TaipanByte-Standoff13-%D1%80%D0%B5%D1%88%D0%B0%D0%BB%D0%B8
2 009
Repost from Кавычка
В дискуссии спросили, ну чего опасного в том, что есть XSS на поддомене без юзеров. Допустим, есть у нас
site.kek, а ты нашел уязвимость на subdomain.site.kek
Что может дать XSS на поддомене, где обычный одностраничный лэндинг, нет никаких данных пользователя?
Штош, импакт такой:
- Не только лишь все знают, что поддомен может ставить куки, в том числе на главный сайт (а точнее на весь скоуп, включая другие поддомены), а это может помочь при эксплуатировании других атак, например фиксацию сессии. Или вспомнить про отказ в обслуживании aka cookie bomb
- CORS на других сайтах компании, в том числе сам site.kek может принимать Origin: subdomain.site.kek, а это значит можно выполнять действия от лица пользователя.
- В дополнение к предыдущему - обходится механизм SameSite
- Старый добрый фишинг, если нет дизайна для регистрации или входа - ее можно нарисовать.
Может что-то еще?
>2 009
Repost from Caster
Я опубликовал свою статью о технике пивотинга с использованием инструмента Nebula.
В статье используется концепция "Living off the Land", благодаря чему есть возможность избежать обнаружения системами защиты.
Caster - Strider
Genre: Offensive
Label: exploit.org
Release Date: 12 April 2024
https://blog.exploit.org/strider
2 009
Repost from Pentest HaT
🔄🔺 Dalfox 2.9.2
Мощный инструмент для поиска и обнаружения XSS уязвимостей. Написан на 🖼️ Go
Установка:
go install github.com/hahwul/dalfox/v2@latest
Пример:
dalfox url http://testphp.vulnweb.com/listproducts.php?cat=123&artist=123&asdf=ff -b https://your-callback-url
💻 Home
🔠 Wiki
#soft #dalfox #golang
✈️ // Pentest HaT 🎩
متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
