Fsecurity | HH
Ir al canal en Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Mostrar más2 011
Suscriptores
Sin datos24 horas
Sin datos7 días
-1030 días
Archivo de publicaciones
2 011
Repost from Pentest HaT
🚩 Стеганография в изображениях
Основные инструменты
😹 zsteg - комбайн по работе с PNG и BMP
gem install zsteg
zsteg -a pic.png
😹 png-parser - анализ PNG изображений
pip install --user git+https://github.com/Hedroed/png-parser
png-parser pic.png
🔠 steghide - извлекает данные из JPG
sudo apt install steghide
steghide extract -sf pic.jpg
😹 stegseek - самый быстрый брутер steghide файлов
sudo apt install ./stegseek_0.6-1.deb
stegseek pic.jpg rockyou.txt
😹 stegoveritas - очередной комбайн, разбирает по слоям, применяет кучу фильтров, результат сохраняет в отдельную директорию
pip3 install stegoveritas
stegoveritas pic.png
😹 stegsolve - Java приложение, работа со слоями, LSB, стереограмы
java -jar StegSolve.jar
🔠 exiftool - лучший инструмент по работе с метаданными
exiftool pic.png
🔠 exiftoolGUI - графический интерфейс для exiftool ( 📦 )
🔠 tweakpng - редактор метаданных в PNG ( 📦 )
🔠 pngcheck - анализатор PNG изображений
sudo apt install pngcheck
pngcheck -v pic.png
😹 stegpy - LSB
pip3 install stegpy
stegpy pic.png
🔠 OpenStego - очередная стегано утилита ( 📦 )
🔠 Magic Eye Solver - решение стереограм
🔠 Aperi Solve - веб сервис все в одном
🔠 Piet Solver - веб сервис решение Piet
#steganography #tools #soft
✈️ // Pentest HaT 🎩2 011
Repost from КИБЕР МЕДИА
⌨️Туннельное мышление: зачем pivoting пентестеру
Пивотинг — это набор техник, которые позволяют атакующему получить доступ к внутренним ресурсам, минуя сетевые средства защиты.
➡️ В новой статье на сайте Сергей Зыбнев, автор Telegram-канала «Похек», рассказал об инструментах пивотинга и примерах их применения на проектах по пентесту.
2 011
Repost from SHADOW:Group
💻 Раскрытые уязвимости с багбаунти, ч.9
1️⃣ Захват аккаунта через Self-XSS
Пример того, как с помощью дополнительного функционала можно от бесполезной Self XSS выжать захват аккаунта в один клик. Подробнее смотрите в отчете.
2️⃣ SQL инъекция в POST запросе
Идентификация и эксплуатация Union-based SQL-инъекции в POST запросе на основе ответов сервера. Подробнее про эксплуатацию подобных уязвимостей тут.
3️⃣ OTP Bypass
Обходим подтверждение OTP через манипуляцию с ответом сервера. Про такие баги я вам рассказывал тут.
#web #xss #ato #cache #sqli
2 011
Repost from GreyTeam | Хакеры
«Песочница конфиденциальности» будет постепенно заменять сторонние cookie-файлы и ограничивать скрытое отслеживание с помощью новых безопасных стандартов, чтобы рекламодатели могли продолжать строить цифровой бизнес, сохраняя при этом конфиденциальность пользователей.»
#security
#web
https://telegra.ph/Privacy-Sandbox-kak-rabotaet-tehnologiya-kotoraya-prizvana-izmenit-internet-02-14
2 011
Repost from Белый хакер
👩💻 Наглядно, как работает Веб и что происходит при переходе по URL
💬P. S Будет полезным, для сохранения 🛡
#gif
Белый хакер
2 011
Repost from Лаборатория хакера
🖥 Репозиторий: Ghidra — инструмент для reverse engineering
Ghidra — это мощный инструмент для обратной разработки. Он предоставляет возможности анализа и декомпиляции программного обеспечения.
— Ghidra позволяет анализировать исполняемые файлы, дизассемблировать код, проводить статический анализ и многое другое. Этот инструмент обладает графическим интерфейсом, который упрощает процесс анализа кода.
⏺ Ссылка на GitHub
#ReverseEngineering
2 011
Repost from no system is safe // cybersec
🔥Gitleaks — это инструмент с открытым исходным кодом, предназначенный для предотвращения размещения конфиденциальных данных в репозиториях Git.
Он работает путем сканирования Git‑репозиториев на наличие потенциальных секретов, таких как пароли, API‑ключи и другая конфиденциальная информация, которая не должна быть публично раскрыта.
🖍 Ссылка на GitHub
#tool // nsis
2 011
Cross-site scripting (XSS) cheat sheet
https://portswigger.net/web-security/cross-site-scripting/cheat-sheet
2 011
Repost from Похек
0 == "0" — TRUE
❤️ Prototype Pollution — это атака, с помощью которой изменяют прототип базовых объектов (
Object.prototype, Function.prototype, Array.prototype) для модификации хода выполнения программы. Например, если код обращается к свойству window.foo и выполняет его содержимое с помощью eval, то в некоторых ситуациях можно добиться выполнения произвольного кода, переписав в прототипе объекта свойство foo (Object.prototype.foo = 'alert(1)'). Чаще всего на клиенте prototype pollution используется для реализации XSS с помощью изменения GET-параметров.
➡️ Тут можете более подробно почитать про Prototype Pollution
❤️ Но как же я могу вас оставить без автоматизации))
pphack
Прокаченный сканер на Prototype Pollution.
Установка:
go install github.com/edoardottt/pphack/cmd/pphack@latest
FAQ:
Usage:
pphack [flags]
Flags:
INPUT:
-u, -url string Input URL
-l, -list string File containing input URLs
CONFIGURATION:
-c, -concurrency int Concurrency level (default 50)
-t, -timeout int Connection timeout in seconds (default 10)
-px, -proxy string Set a proxy server (URL)
-rl, -rate-limit int Set a rate limit (per second)
-ua, -user-agent string Set a custom User Agent (random by default)
SCAN:
-p, -payload string Custom payload
-js, -javascript string Run custom Javascript on target
-jsf, -javascript-file string File containing custom Javascript to run on target
OUTPUT:
-o, -output string File to write output results
-v, -verbose Verbose output
-s, -silent Silent output. Print only results
Использование:
pphack -u https://edoardottt.github.io/pp-test/
pphack -l targets.txt
также вы можете встроить его в свой pipeline
echo https://edoardottt.github.io/pp-test/ | pphack
cat targets.txt | pphack
❤️ #You_have_been_poxeked
🌚 @poxek2 011
Repost from Pentest HaT
🔠 Webhooks online
Подборка полезных онлайн сервисов для тестирования HTTP запросов
🔗 webhook.link
🔗 webhook.site
🔗 webhook-test.com
🔗 webhook.cool
Пример:
curl -X POST https://gorgeous-parrot-35.webhook.cool -H "Content-Type: application/json" -H "X-MyHeader: 123" -d '{"hello": "world", "is_true": true}'
#webhook #http
✈️ // Pentest HaT 🎩2 011
Repost from AP Security
#pentest #redteam #osint
Сборник Google Dorks🖥
Данный ресурс содержит огромное число Google Dorks, используемых для разведки. Сайт содержит архивы за каждый год, в который появилась та или иная дорка
Google Dorks
¡Ya disponible! Investigación de Telegram 2025 — los principales insights del año 
