Fsecurity | HH
前往频道在 Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
显示更多2 011
订阅者
+124 小时
无数据7 天
-730 天
帖子存档
2 012
Repost from SHADOW:Group
😒 Apache Tomcat HTTP Request Smuggling (Client- Side Desync)
Недавно была найдена критическая уязвимость в Apache Tomcat, которой был присвоен код CVE-2024-21733.
Уязвимость позволяет злоумышленникам заставить браузер жертвы рассинхронизировать свое соединение с веб-сайтами, размещенными поверх Apache Tomcat, что приводит к контрабанде конфиденциальных данных с сервера и/или клиентских подключений (смотри скрин ниже).
Для получения дополнительной информации об атаках десинхронизации со стороны клиента, можете почитать исследование Джеймса Кеттла.
Ссылка на отчет
#web #cve #poc
2 012
🧰GOAD — одна из самых актуальных и самодостаточных тестовых лаб для пентеста окружения на базе Active Directory.
Главная цель — предоставить пентестерам уязвимую среду Active Directory, готовую к использованию для отработки основных атак, включая:
• Password reuse between computer (PTH)
• Spray User = Password
• Password in description
• SMB share anonymous
• SMB not signed
• Responder
• Zerologon
• Windows defender
• ASREPRoast
• Kerberoasting
• AD Acl abuse
• Unconstraint delegation
• Ntlm relay
• Constrained delegation
• Install MSSQL
• MSSQL trusted link
• MSSQL impersonate
• Install IIS
• Upload asp app
• Multiples forest
• Anonymous RPC user listing
• Child parent domain
• Generate certificate and enable ldaps
• ADCS - ESC 1/2/3/4/6/8
• Certifry
• Samaccountname/nopac
• Petitpotam unauthent
• Printerbug
• Drop the mic
• Shadow credentials
• Mitm6
• Add LAPS
• GPO abuse
• Add Webdav
• Add RDP bot
• Add full proxmox integration
• Add Gmsa и многие другие
#practice #pentest
2 012
Repost from no system is safe // cybersec
🔥IntelOwl - это интеллектуальное решение с открытым исходным кодом или OSINT, предназначенное для получения данных анализа угроз о конкретном цифровом артефакте из единого масштабируемого API.
Он объединяет большое количество сервисов, доступных онлайн, и множество передовых инструментов анализа вредоносных программ.
🖍 Ссылка на GitHub
#tool // nsis
2 012
Repost from Cybred
Благодаря устаревшему OAuth-приложению, хакеры из Midnight Blizzard получили доступ ко всей электронной почте компании, включая руководителей, сотрудников юридического отдела и специалистов по кибербезопасности.Статья от Hadess про вредоносные OAuth-приложения, по мотивам атаки https://blog.devsecopsguides.com/malicious-use-of-oauth-applications. Скрытые вектора https://portswigger.net/research/hidden-oauth-attack-vectors Кликабельный чеклист для пентеста https://www.syncubes.com/oauth2_threat_model Базовые статьи: — OAuth 2.0 Hacking Simplified — Part 1 — Understanding Basics — OAuth 2.0 Hacking Simplified — Part 2 — Vulnerabilities and Mitigation — Finding and Exploiting Unintended Functionality in Main Web App APIs
2 012
Repost from Hacker News
45 000 серверов Jenkins уязвимы перед свежей RCE-уязвимостью
https://xakep.ru/2024/01/30/cve-2024-23897-servers/
2 012
Вы знали, что есть целый сборник разной информации по ИБ на моем Github 🦑
Хочу также посоветовать:
1 - Проверить себя на утечки! 💧
2 - Наш discord сервер! Где можно пообщаться 👾
3 - Новый ТГ канал [Ximera-Chan] который ведёт Ai
2 012
Uscrapper 2.0, мощный веб-браузер OSINT для сбора персональных данных. Uscrapper использует веб-скрапинг для извлечения идентификаторов электронной почты, ссылок в социальных сетях, геолокации, телефонных номеров и имен пользователей с веб-страниц, поддерживает многопоточность, имеет расширенные модули обхода веб-скрапинга, поддерживает веб-скрапинг для извлечения из различных подсылок в пределах одного домена.
🔗Ссылка:
https://github.com/z0m31en7/Uscrapper
2 012
Repost from Kraken
🤔 Подборка полезных материалов за эту неделю:
— Сканируем сети с помощью скриптов Bash
— О фреймворке Volatility на Windows
— Определяем тип WAF с помощью WafW00f
— Об инструменте ReNgine
— О Foremost — инструменте для восстановления данных
P.S. Напоминаем, что мы запустили бот для предложений тем материалов и новостей — https://t.me/news_kraken_bot
2 012
Repost from Life-Hack - Хакер
Топ популярных постов за прошедшую неделю:
1. Предыдущий топ статей
2. Docker Remote API Scanner and Exploit
3. Telegram показывает удаленные сообщения
4. usbsas - это инструмент с открытым исходным кодом
5. Расширенная шпаргалка по доркам для Censys
6. Penetration-List: Это ресурс предназначенный для специалистов по тестированию
7. Cyber Security University представлен список превосходных бесплатных образовательных ресурсов
8. F31 - это bash-скрипт, который защищает Kali Linux и позволяет скрыть Kali Linux в сети.
#подборка
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
现已上线!2025 年 Telegram 研究 — 年度关键洞察 
