Available now! Telegram Research 2025 — the year's key insights 
Fsecurity | HH
Open in Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Show more2 019
Subscribers
+324 hours
-17 days
-1830 days
Posts Archive
2 018
Repost from Кибер ПТУ | Кибербезопасность
Наконец-то OWASP Top 10 подаёт признаки жизни - выпустили релиз кандидат топа веб уязвимостей.
Коротко по изменениям:
○ A01:2025 Broken Access Control – Данный вид уязвимостей остаётся на первом месте. Вдобавок к этому пункту теперь относятся ещё SSRF уязвимости, которые были на 10-м месте топа 2021-го года.
○ A02:2025 Security Misconfiguration – Проблемы мисконфигурации стали встречаться чаще, поэтому уязвимость перенесена с 5-го места на 2-е.
○ A03:2025 Software Supply Chain Failures – Это расширенная версия A06:2021-Vulnerable and Outdated Components. В эту категорию добавились угрозы цепочки поставок.
○ A04:2025 Cryptographic Failures – Концептуальных изменения в этой категории нет, она переместилась со 2-го места на 4-е.
○ A05:2025 Injection – Эта категория также не претерпела серьёзных изменений. Она сместилась с 3-го места на 5-е.
○ A06:2025 Insecure Design – В данной категории также стало встречаться меньше уязвимостей, поэтому она сместилась с 4-го места на 6-е.
○ A07:2025 Authentication Failures – Данная категория заменяет собой A07:2021-Identification and Authentication Failures. В остальном концептуально ничего не поменялась, все угрозы связаны с аутентификацией.
○ A08:2025 Software or Data Integrity Failures – Категория повторяет аналогичный пункт из прошлого топа A08:2021-Software and Data Integrity Failures.
○ A09:2025 Logging & Alerting Failures – Также как и в 7-м пункте топа, у этой категории слегка изменено название. В остальном значительных изменений нет.
○ A10:2025 Mishandling of Exceptional Conditions – Полностью новая категория, которая концентрируется на некорректной обработке исключений, приводящей к сбою в системе. К этому пункту относятся логические баги, случаи переполнения буфера, состояния гонки и т.д.
Более подробно документ можно изучить тут. Финальный релиз списка запланирован на 20-е ноября.
🧠 Твой Пакет Знаний | 👨🏫 Менторство ИБ
📂 Другие каналы
2 018
Repost from s0ld13r ch.
gophish-auto v0.1 📥
Порой разворачивание серваков и прочие рутинные задачи сильно тормозят работу, решил написать небольшой Ansible Playbook и One-Shot bash скрипт для автоматического деплоя GoPhish 😃
Features 🤩
• Удаляет/заменяет заметные хэдеры (X-GoPhish-Contact → X-Contact-Address, X-GoPhish-Signature → X-Sender-Signature)
• Меняет дефолтный server name и rid, чтобы снизить «отпечаток» сервера
• Клонирует репо, билдит на хосте и поднимает systemd-сервис
• Поддерживает массовую установку через Ansible inventory - закинул креды в hosts и запустил
Usage 👀
ansible-playbook -i ansible/example.hosts ansible/deploy-gophish.yml
2 018
Repost from Ralf Hacker Channel
Недавно у моего любимого инструмента bloodyAD появился новый модуль
msldap.
https://github.com/CravateRouge/bloodyAD/wiki/User-Guide#msldap-commands
Кто юзает, обновляйтесь. А если не слышали о bloodyAD, советую попробовать)
#ad #pentest #redteam