Fsecurity | HH
الذهاب إلى القناة على Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
إظهار المزيد2 009
المشتركون
+124 ساعات
+17 أيام
-730 أيام
أرشيف المشاركات
2 009
Repost from no system is safe // cybersec
⚡️Новая уязвимость GitHub грозила угоном более 4000 проектов
Исследователь из Checkmarx обнаружил новый способ обхода защиты GitHub от злоупотреблений. Найденная им уязвимость позволяет захватить контроль над чужим репозиторием и уже пропатчена.
Согласно блог-записи авторов находки, при выполнении на хостинге операций по созданию репозитория и смене имени пользователя иногда возникает состояние гонки. Подобную ошибку можно использовать для проведения repojacking-атаки.
Во избежание подобных абьюзов на GitHub создали механизм удаления популярных, но устаревших пространств имен (связок имя пользователя / имя репозитория).
Эта контрмера пускается в ход, когда на момент переименования аккаунта число клонов opensource-проекта перевалило за сотню. Новая уязвимость позволяет обойти эту защиту.
Разработанный экспертами PoC-эксплойт выполняется следующим образом:
1. Владелец пространства имен victim_user/repo запускает процедуру смены имени пользователя.
2. Связка victim_user/repo сбрасывается как устаревшая.
3. Злоумышленник с юзернеймом attacker_user практически одновременно создает репозиторий с именем repo и меняет attacker_user на victim_user.
На последнем этапе используются API-запрос на создание репозитория и перехват запроса на смену имени пользователя.
По данным Checkmarx, выявленная уязвимость ставит под удар более 4000 пакетов кода на Go, PHP и Swift, а также GitHub Actions. Сотни затронутых проектов собрали как минимум по 1000 звезд.
Сообщение о новой проблеме было выслано оператору GitHub 1 марта. К началу текущего месяца возможность обхода защиты была закрыта.
#news // nsis
2 009
Этот инструмент проверит утечку конфиденциальных данных с помощью некоторых полезных шаблонов/регулярных выражений
https://github.com/Dheerajmadhukar/back-me-up/
2 009
Хотел бы рассказать про наш discord сервер! Где можно пообщаться и задать вопросы!
Заходите и общайтесь ! 👾📖
Также вот мой GitHub. В нем вы можете найти SocialKraken и другие проекты! 🦑
2 009
Repost from infosec
😈 Атаки на Active Directory: от 0 до 0,9.
• Цель статьи — рассмотреть Active Directory с точки зрения злоумышленника. Чтобы понять, как атаковать Active Directory (и любую другую технологию), я думаю, важно знать не только инструменты, но и то, как они работают, какие протоколы/механизмы они используют и почему эти механизмы/протоколы существуют.
• Оригинал: https://zer1t0.gitlab.io/posts/attacking_ad/
• Перевод на RU: https://defcon.ru/penetration-testing/18872/
#Пентест #AD #ИБ
2 009
Repost from Не хакинг, а ИБ
🔎 back-me-up
Инструмент, который позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных выражений. Шаблоны в основном нацелены на данные с Wayback Machine.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
2 009
Repost from Life-Hack - Хакер
Bashtop - Линуксовый менеджер ресурсов, который показывает статистику по загруженности процессора, оперативной памяти, жесткого диска и сети
Ссылка на GitHub
#рекомендация
Life-Hack [Жизнь-Взлом]/Хакинг
2 009
Repost from Не хакинг, а ИБ
🦅 White-Phoenix
Инструмент для восстановления содержимого файлов, зашифрованных с помощью прерывистого шифрования.
Опробовать инструмент — линк.
// Не хакинг, а ИБ
2 009
Repost from AP Security
⚡️ CloudSploit. Пробиваем облачные платформы
Проект, содержит в себе сценарии для обнаружения ошибочных конфигураций, типичных ошибок и угроз безопасности👻
Заточен для пробива таких облачных платформ как:
1. Amazon Web Services
2. Microsoft Azure
3. Google Cloud Platform
4. Oracle Cloud Infrastructure
5. GitHub
📣Ссылка на ресурс:
https://github.com/aquasecurity/cloudsploit
#web #pentest #redteam #tools
2 009
Repost from Не хакинг, а ИБ
🛠 XXE-инъекции: обнаружение и предотвращение
XXE – это инъекция внешних сущностей XML. С помощью такой уязвимости киберпреступники могут попасть в обработку XML-данных приложением. При успешной атаке, злоумышленники смогут увидеть файлы в системе сервера приложений и совершать действия с серверными системами.
В этой статье мы узнаем, как обнаружить и предотвратить XXE-инъекции, а также об атаке с помощью LPE и XXE:
Читать статью — линк.
// Не хакинг, а ИБ
2 009
Repost from no system is safe // cybersec
Gosec - Проверяет исходный код на наличие проблем безопасности путем сканирования Go AST.
🖍 Ссылка на GitHub
#tool // nsis
2 009
Спасибо всем кто подписывает! 👾
Нас уже 350 🎉👾
Хотел бы рассказать про наш discord сервер! Где можно пообщаться и задать вопросы!
Заходите и общайтесь ! 👾📖
Также вот мой GitHub. В нем вы можете найти SocialKraken и другие проекты! 🦑
2 009
Repost from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Воскрешению подлежит! Восстанавливаем файлы в NTFS с использованием PowerShell
2. Обзор лучших сканеров URL-адресов для проверки безопасности ссылок
3. Как отфильтровать конкретный IP-адрес
4. Словари для пентестера: что это, зачем нужны, как найти или составить эффективный словарь
5. Извлечение и анализ информации о сайте с помощью Web-Check
6. Уязвимость SUID/SGID - Обучение
7. Книга: Компьютер глазами хакера - Коллектив ЖХ 2022
#подборка
Life-Hack [Жизнь-Взлом]/Хакинг
2 009
Repost from Не хакинг, а ИБ
🔎 JSFScan.sh
Скрипт, созданный для всей вашей автоматизации javascript recon в bugbounty. Просто передайте ему список поддоменов и варианты в соответствии с вашими предпочтениями.
Изучить инструмент — линк.
// Не хакинг, а ИБ
2 009
Repost from Не хакинг, а ИБ
🛠 TinyCheck
Инструмент для проверки ваших устройств на наличие сталкерского ПО и приложений для мониторинга. Разработан экспертами Лаборатории Касперского.
Изучить инструмент — линк.
// Не хакинг, а ИБ
