es
Feedback
Fsecurity | HH

Fsecurity | HH

Ir al canal en Telegram

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

Mostrar más
2 011
Suscriptores
Sin datos24 horas
Sin datos7 días
-1030 días
Archivo de publicaciones
💫 Sessionless - это расширение Burp Suite для редактирования, подписания, проверки и атаки на токены: Django TimestampSigner, ItsDangerous Signer, Express cookie-session middleware, OAuth2 Proxy, Tornado's signed cookies, Ruby Rails. 🔗https://github.com/d0ge/sessionless

sticker.webp0.40 KB

Ксть именно про них был снят ролик👇🏻 *Клик*

Repost from Social Engineering
👁 OSINT: Подборка полезных инструментов и ресурсов. V3. • Этот канал наполнен различными кейсами, информацией и инструментами, с помощью которых ты можешь научиться находить интересующую информацию из открытых источников, достаточно только захотеть. • Если Вы обращали внимание на закрепленные сообщения, то наверняка заметили посты с полезными OSINT ресурсами, которые собрали самое большое кол-во просмотров и репостов в канале. Сегодня мы пополним и актуализируем данную информацию. Сохраняйте в избранное и изучайте: - Коллекция OSINT ресурсов от S.E. Часть 1. - Коллекция OSINT ресурсов от S.E. Часть 2. Читаем, слушаем, смотрим: - Подкаст от OSINT mindset; - Сборник журналов от Майкла Баззеля; - RAINBOLT. google maps gameplay; - Подборка зарубежной литературы; - Pulse. YouTube канал, который освещает OSINT тематику; - Bendobrown. Англоязычный YouTube канал c различными кейсами. Курсы: - Бесплатный курс для начинающих. Linux для OSINT; - Бесплатный курс по Python для OSINT специалистов. Подборки: - Подборка ресурсов для поиска IoT; - ТОП ресурсов и инструментов от @cyb_detective; - Подборка лучших OSINT проектов на start.me; - Sans OSINT 2023. Коллекция ресурсов с Sans OSINTSummit; - Коллекция ресурсов для поиска информации о вредоносном ПО; - Коллекция open source инструментов для поиска информации в социальных сетях. Инструменты: - OSINT в ВК; - Twich OSINT; - OSINT crawler; - OSINT в Discord; - Альтернативы Shodan; - OSINT по Криптовалюте, WEB3 и NFT; - Geolocation OSINT. Коллекция инструментов; - Netlas. Используем поисковик на максималках; - 40+ OSINT расширений для Google Chrome и Firefox; - Telerecon. Анализ пользователей и их взаимосвязей в TG; - Poastal. Находим информацию по адресу электронной почты; - OSINTk.o: настраиваемый ISO-образ на базе Kali Linux для OSINT; - OSINT по фото. Обратный поиск лиц. 15 актуальных инструментов. Теория и истории из практики: - OSINT с ChatGPT; - OSINT в Instagram; - Пробив. Каким он бывает? - Алгоритмы сбора информации; - Извлекаем данные из Instagram; - Ловим скамера с помощью OSINT; - 15 малоизвестных приемов OSINT; - OSINT юридических лиц в RU сегменте; - Советы и актуальные методы от OH SHINT; - Изучаем операторы расширенного поиска; - OSINT Guide — 2023. Полезное руководство; - Корпоративный OSINT и социальная инженерия; - Ловим скамера через отслеживание криптовалюты; - 13 актуальных методов для поиска электронной почты; - Мини-руководство по поиску информации по никнейму; - Находим информацию об отправителе фишинг-рассылки; - Находим информацию об отправителе "нигерийских" писем; - Раскрытие личности администраторов сайтов сегмента .onion; - Статья от Netlas, которая научит Вас находить онлайн-камеры; - Поиск информации о хакерских группировках в Dark Web. Практика в GEOINT. Найди геолокацию своей цели по фото: - Задание №1; - Задание №2; - Задание №3; - Задание №4; - Задание №5; - Задание №6; - Задание №7. S.E. ▪️ infosec.work ▪️ VT

Repost from SHADOW:Group
​​​🏆Топ-10 техник веб-хакинга в 2023 году по версии PortSwigger Традиционная номинация от Portswigger, цель которой — выявить самые значимые исследования в области веб-безопасности, опубликованные в 2023 году. Каждая статья в списке заслуживает внимание и, если вы еще не ознакомились, то крайне рекомендую. Ссылка на статью #web

Схема работы партнерской программы для инфостилеров ⏺ Злоумышленников, предоставляющих ВПО как услугу, обычно называют операт
Схема работы партнерской программы для инфостилеров Злоумышленников, предоставляющих ВПО как услугу, обычно называют операторами. Клиент, пользующийся сервисом, — партнер или адверт, а сам сервис — партнерская программа. Изучение множества объявлений с предложениями MaaS позволило выделить 8 компонентов, присущих этой модели распространения вирусов. ZeroDay | #Угрозы #MaaS

Repost from Кавычка
Быстро и дешево брутим хэши Короч, есть чуваки такие, immers.cloud По сути это хостинг с арендой видеокарт. А так как я занимался проектом passleak.ru, иногда нужно было разгадывать хэшики, решил не покупать под это оборудование. Вышло круто. Тут есть два варианта развития событий. Арендуем видеокарту (какую - по желанию, они там выкатили какие-то ультра-модные H100, но мне и 2080 часто хватает), грузим туда наши хэши, делаем что-то типа: sudo apt-get update sudo apt-get install gcc make tmux git mesa-common-dev cmake nvidia-cuda-toolkit build-essential unzip -y https://ru.download.nvidia.com/XFree86/Linux-x86_64/470.63.01/NVIDIA-Linux-x86_64-470.63.01.run chmod +x NVIDIA-Linux-x86_64-470.63.01.run sudo ./NVIDIA-Linux-x86_64-470.63.01.run Устанавливаем hashcat и играемся с этим всем. Но если нам нужно побрутить пароли по словарям, способ еще круче. Берем готовый образ Ubuntu + Hashcat + Weakpass 3, на диске будет лежать архив с Weakpass V3. Запускаем и прогоняем хэши, забираем то что сбрутилось, вырубаем машину. Например, чтоб раскукожить пароли из дампа Linkedin - мне потребовалось рублей... 20? В общем, круто держать под рукой чтобы быстро сбрутить какой-то хэшик. >

Repost from Blue (h/c)at Café
🖼️ Distroless Контейнеры или минимализм ради безопасности и эффективности В эпоху, когда любой проект зависит от модулей (да-да, log4j тому яркий пример), концепция distroless контейнеров от Google выступает как маяк безопасности. Эти контейнеры, лишенные балласта в виде стандартных инструментов и библиотек операционных систем, представляют собой идеальное сочетание минимализма и функциональности. Но что делает их такими особенными, и почему они становятся неотъемлемой частью современной разработки и кибербезопасности? 🤨 Что это такое Distroless контейнеры — это как "рюкзаки" для вашего приложения, в которые вы кладете только самое необходимое для путешествия. Если обычный контейнер — это рюкзак, в который вы упаковали не только теплую куртку, но и кучу вещей "на всякий случай", которые в итоге только занимают место и утяжеляют ваш багаж, то distroless контейнер очень легкий и содержит только то, что действительно нужно вашему приложению для работы. 🤨 Как это работает Ключ к созданию distroless контейнера лежит в использовании минимального базового образа, который включает в себя только необходимые библиотеки и зависимости для запуска конкретного приложения. Google предоставляет несколько таких базовых образов через свой проект google/distroless на 💻 GitHub, которые поддерживают языки программирования, такие как Java, Python (применяется в проекте), Go (применяется в проекте), Node.js и другие.
Спасибо @szybnev за рекомендацию
🤨 Что в них такого особенного 🔵 Углубленная Безопасность Отсутствие shell и лишних утилит сокращает векторы атак, затрудняя эксплуатацию уязвимостей злоумышленниками. 🔵 Эффективность и Производительность Минимализм distroless контейнеров ведет к уменьшению их размера, что обеспечивает более быструю доставку и развертывание приложений. Да, не такой уж и важный фактор в домашних условиях, но для микросервисной архитектуры это очень хороший способ уйти от 40-минутного развёртывания одного проекта 🥺. 🤨 За пределами очевидного 🔵 Статическая связь как искусство — Distroless контейнеры идеально подходят для статически слинкованных приложений, где все необходимые библиотеки включены непосредственно в исполняемый файл. 🔵 Упрощение CI/CD — Включение в процессы непрерывной интеграции и доставки становится более стройной и эффективной, благодаря сокращению времени сборки и развертывания, что способствует более быстрому циклу разработки. Разберём на примере 💻 Gitlab CI/CD и 💻 Kubernetes
FROM golang:1.21.4 AS build

WORKDIR /src
COPY . .
RUN CGO_ENABLED=0 go build -o /bin/app

FROM gcr.io/distroless/base-debian10
COPY --from=build /bin/app /

CMD ["/app"]
❕ Пример использования в gitlab-ci.yml
stages:
  - build
  - deploy

variables:
  # Указываем ваш registry
  DOCKER_IMAGE_NAME: $CI_REGISTRY

build:
  stage: build
  image: docker:19.03.12
  services:
    - docker:19.03.12-dind
  script:
    - docker login -u $CI_REGISTRY_USER -p $CI_REGISTRY_PASSWORD $CI_REGISTRY
    - docker build -t $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA .
    - docker push $DOCKER_IMAGE_NAME:$CI_COMMIT_SHA

deploy:
  stage: deploy
  image: alpine:latest
  script:
    - apk add --no-cache kubectl
    - kubectl config set-cluster default --server=$KUBE_SERVER --certificate-authority=/etc/deploy/ca.pem
    - kubectl config set-credentials default --token=$KUBE_TOKEN
    - kubectl config set-context default --cluster=default --user=default
    - kubectl config use-context default
    # Указываем использование нашего Distroless контейнера
    - kubectl set image deployment/my-deployment my-container=$DOCKER_IMAGE_NAME:$CI_COMMIT_SHA --namespace=my-namespace
  only:
    - main
😜 Заключение Distroless контейнеры от Google предлагают уникальный подход к развертыванию приложений, где безопасность и эффективность идут рука об руку с минимализмом и функциональностью. Эта технология открывает новые горизонты для разработчиков, стремящихся к созданию легковесных, безопасных и высокопроизводительных приложений. #devsecops

Repost from Kali Linux
⚡️ CVE-MAKER: инструмент для поиска CVE и эксплойтов. Полезный Инструмент для обнаружения, поиска, компиляции и выполнения CV
⚡️ CVE-MAKER: инструмент для поиска CVE и эксплойтов. Полезный Инструмент для обнаружения, поиска, компиляции и выполнения CVE на текущей или удаленной машине. apt-get install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential curl pip3 install --upgrade pip pip3 install cve-maker Github @linuxkalii

Repost from Похек
POST based Reflected XSS = SelfXSS, but... Сама по себе POST based Reflected XSS - хрень. Заставить пользователя ввести в как
POST based Reflected XSS = SelfXSS, but... Сама по себе POST based Reflected XSS - хрень. Заставить пользователя ввести в какую-то формочку на сайте вашу полезную нагрузку, звучит как SelfXSS 😁 Но, но, но... Однако есть несколько сценариев, в которых эти уязвимости вполне можно использовать. Reflected XSS в POST просто нужно соединить с другими уязвимостями. Есть три сценария, которые я хотел бы проиллюстрировать: - Method Tampering - Подделка межсайтовых запросов (CSRF) - Spoofed JSON с CSRF ➡️ Это всё можно изучить в статье от TrustedSec: Цепочка уязвимостей для эксплуатации POST based Reflected XSS А для любителей практики есть:
git clone https://github.com/hoodoer/postBasedXSS; cd postBasedXSS; pip install -r requirements.txt; python postXssServer.py; xdg-open http://localhost
🌚 @poxek

Repost from Kraken
Ну вы поняли 😏
Ну вы поняли 😏

Repost from Белый хакер
🔝Skipfish — это инструмент для поиска уязвимостей веб-приложений. После выполнения рекурсивного сканирования и поиска на осн
🔝Skipfishэто инструмент для поиска уязвимостей веб-приложений. После выполнения рекурсивного сканирования и поиска на основе словаря, создает интерактивную карту целевого сайта. Полученная карта затем аннотируется выводом ряда активных проверок безопасности. Окончательный отчет, созданный инструментом, служит основой для оценки безопасности веб-приложения. 👤Преимущества SkipFish :
🟢Высокая производительность при скромном использовании процессора и памяти. 🟢Хорошо продуманная проверка безопасности сайта. 🟢Автоматическое построение списка слов на основе анализа контента сайта. 🟢Связанные проверки безопасности предназначены для обработки сложных сценариев (слепая инъекция SQL или XML и т.д). 🟢Постобработка отчетов значительно снижает шум, вызванный любыми оставшимися ложными срабатываниями или уловками сервера, путем выявления повторяющихся шаблонов.
P.S SkipFish по умолчанию установлен в полной версии Kali Linux. Если в вашей версии его нет, тогда установите его через apt:
sudo apt install skipfish
#инструмент Белый хакер