ar
Feedback
Fsecurity | HH

Fsecurity | HH

الذهاب إلى القناة على Telegram
2 011
المشتركون
لا توجد بيانات24 ساعات
لا توجد بيانات7 أيام
-1030 أيام
أرشيف المشاركات

Repost from SHADOW:Group
​​😒 Apache Tomcat HTTP Request Smuggling (Client- Side Desync) Недавно была найдена критическая уязвимость в Apache Tomcat, которой был присвоен код CVE-2024-21733. Уязвимость позволяет злоумышленникам заставить браузер жертвы рассинхронизировать свое соединение с веб-сайтами, размещенными поверх Apache Tomcat, что приводит к контрабанде конфиденциальных данных с сервера и/или клиентских подключений (смотри скрин ниже). Для получения дополнительной информации об атаках десинхронизации со стороны клиента, можете почитать исследование Джеймса Кеттла. Ссылка на отчет #web #cve #poc

🧰GOAD — одна из самых актуальных и самодостаточных тестовых лаб для пентеста окружения на базе Active Directory. Главная цел
🧰GOAD — одна из самых актуальных и самодостаточных тестовых лаб для пентеста окружения на базе Active Directory. Главная цель — предоставить пентестерам уязвимую среду Active Directory, готовую к использованию для отработки основных атак, включая: • Password reuse between computer (PTH) • Spray User = Password • Password in description • SMB share anonymous • SMB not signed • Responder • Zerologon • Windows defender • ASREPRoast • Kerberoasting • AD Acl abuse • Unconstraint delegation • Ntlm relay • Constrained delegation • Install MSSQL • MSSQL trusted link • MSSQL impersonate • Install IIS • Upload asp app • Multiples forest • Anonymous RPC user listing • Child parent domain • Generate certificate and enable ldaps • ADCS - ESC 1/2/3/4/6/8 • Certifry • Samaccountname/nopac • Petitpotam unauthent • Printerbug • Drop the mic • Shadow credentials • Mitm6 • Add LAPS • GPO abuse • Add Webdav • Add RDP bot • Add full proxmox integration • Add Gmsa и многие другие #practice #pentest

🔥IntelOwl - это интеллектуальное решение с открытым исходным кодом или OSINT, предназначенное для получения данных анализа у
🔥IntelOwl - это интеллектуальное решение с открытым исходным кодом или OSINT, предназначенное для получения данных анализа угроз о конкретном цифровом артефакте из единого масштабируемого API. Он объединяет большое количество сервисов, доступных онлайн, и множество передовых инструментов анализа вредоносных программ. 🖍 Ссылка на GitHub #tool // nsis

Repost from Cybred
Благодаря устаревшему OAuth-приложению, хакеры из Midnight Blizzard получили доступ ко всей электронной почте компании, включ
Благодаря устаревшему OAuth-приложению, хакеры из Midnight Blizzard получили доступ ко всей электронной почте компании, включая руководителей, сотрудников юридического отдела и специалистов по кибербезопасности.
Статья от Hadess про вредоносные OAuth-приложения, по мотивам атаки https://blog.devsecopsguides.com/malicious-use-of-oauth-applications. Скрытые вектора https://portswigger.net/research/hidden-oauth-attack-vectors Кликабельный чеклист для пентеста https://www.syncubes.com/oauth2_threat_model Базовые статьи: OAuth 2.0 Hacking Simplified — Part 1 — Understanding Basics OAuth 2.0 Hacking Simplified — Part 2 — Vulnerabilities and Mitigation Finding and Exploiting Unintended Functionality in Main Web App APIs

Repost from Hacker News
45 000 серверов Jenkins уязвимы перед свежей RCE-уязвимостью https://xakep.ru/2024/01/30/cve-2024-23897-servers/

Вы знали, что есть целый сборник разной информации по ИБ на моем Github 🦑 Хочу также посоветовать: 1 - Проверить себя на утечки! 💧 2 - Наш discord сервер! Где можно пообщаться 👾 3 - Новый ТГ канал [Ximera-Chan] который ведёт Ai

Uscrapper 2.0, мощный веб-браузер OSINT для сбора персональных данных. Uscrapper использует веб-скрапинг для извлечения идентификаторов электронной почты, ссылок в социальных сетях, геолокации, телефонных номеров и имен пользователей с веб-страниц, поддерживает многопоточность, имеет расширенные модули обхода веб-скрапинга, поддерживает веб-скрапинг для извлечения из различных подсылок в пределах одного домена. 🔗Ссылка: https://github.com/z0m31en7/Uscrapper

Repost from Kraken
🤔 Подборка полезных материалов за эту неделю: Сканируем сети с помощью скриптов BashО фреймворке Volatility на WindowsОпределяем тип WAF с помощью WafW00fОб инструменте ReNgineО Foremost — инструменте для восстановления данных P.S. Напоминаем, что мы запустили бот для предложений тем материалов и новостей — https://t.me/news_kraken_bot