اکنون در دسترس! پژوهش تلگرام ۲۰۲۵ — مهمترین بینشهای سال 
Fsecurity | HH
رفتن به کانال در Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
نمایش بیشتر2 014
مشترکین
اطلاعاتی وجود ندارد24 ساعت
-57 روز
-930 روز
آرشیو پست ها
2 012
Repost from Caster
Релиз моего нового инструмента: Nihilist
Это инструмент аудита безопасности Cisco IOS, который позволяет оценить защищенность маршрутизаторов и коммутаторов Cisco. Nihilist работает путем подключения по SSH и анализа конфигурации с использованием регулярных выражений. Он проводит оценку защищенности IOS, канального и сетевого уровня инфраструктуры.
В отличие от известного CCAT, Nihilist проводит более глубокий аудит конфигурации Cisco, анализируя не только факт включения механизмов защиты, но и их корректность и соответствие сетевой среде.
При создании этого инструмента меня вдохновили экранизация 1958 года "Отцы и Дети" И. Тургенева и книга Ф. Ницше "По ту сторону добра и зла"
Cover Man: Magama Bazarov (Sony ILCE-7M3, f/2.8, ISO 16000, 1/50s, 35mm)
Link: https://github.com/casterbyte/Nihilist
2 012
Repost from AppSec Journey
Не такой и новый, но такой родной.
На самом деле, до сих пор один из самых хороших опенсорсных тулзов для поиска секретов. Помнится, что он даже отчеты умеет толковые отдавать...
2 012
Repost from Заметки Слонсера
Про рейтинги платформ
Немного небольшой поток мыслей о площадках с рейтингами багбаунти платформ.
Почти синхронно вышли 2 площадки
- https://hackadvisor.io/programs
- https://eh.su/rating
Основная идея довольно простая - сделать более прозрачным опыт других людей на конкретной программе, чтобы можно было упростить процесс выбора.
Из 2 платформ лично более привлекательной мне кажется hackadvisor.io, по следующим причинам:
1. eh.su пока немного багованная в плане интерфейса ( Да и сам интерфейс не особо приятный лично для меня )
2. eh.su содержит только отечественные платформы ( Не понятно зачем мне условно заходить на 2 сайта, если могу смотреть все на одном )
А теперь про глобальные проблемы:
Первая и самая большая проблема - предвзятость негативного опыта. Формируя коротко - это эффект заключающийся в том, что люди чаще склонны уделять больше внимания именно негативу. Подумайте сами, с какой вероятностью в случае обычного триажа ( то есть все было и не плохо и не хорошо, а просто нормально ), вы зайдете на какой-то отдельный сайт написать отзыв? Думаю на самом деле вероятность крайне низка. В случае с простой оценкой вида лайк/дизлайк это работает ещё нормально, но в случае с развернутыми текстовыми отзывами, может получиться перекос который не отражает реальное положение дел.
Вторая проблема - это отсутствие хоть какой либо верификации хакера (То есть нельзя проверить реально ли ты сдавал что-то этой компании и как давно )
Третья проблема (которую думаю не признают многие). В спорах хакеров и триажеров очень часто не правы хакеры. Я сам не являюсь триажером (к счастью), поэтому не могу знать насколько глубака кроличья нора. Был только по одну сторону баррикад и имею опыт неадекватного триажа своих багов (вспомните хотя бы случай с майкрософт)
Однако за последние пол года мне писали довольно много людей с просьбой помочь с XSS, и иногда с тем чтобы помочь объяснить что-то трижерам. И очень часто я понимал, что на самом деле неправ хакер, а не команда триажа.
Ситуации делятся на 2 типа:
- Хакер обладает плохой технической базой, и например пытается сдать XSS на санбоксированном домене (При этом проигрывает на этапе коммуникации и не понимает, что хочет довести ему вендор)
- Люди не читают правила программ, очень часто видел что люди сдают в домены вне скоупа, или импакты вне скоупа. И тут нужно напомнить, что вендор сам вправе распоряжаться своими деньгами как хочет и строить свою матрицу рисков, хоть с RCE за 100$.
Кажется это может породить проблему, что вокруг некоторых программ может создаться негативный фон, просто потому что люди не умеют читать правила / сдают непонятно что, а потом обижаются.
Четвертая проблема, которая пока не очень релевантна. Нет функционала просмотра отзывов за период. Типичная ситуация, когда сменилась триаж команда и стало крайне лучше/хуже. В текущих реалиях обоих сайтов - будет немного неудобно трекать это через рейтинг.
Как решить первую проблему я не знаю. Но для уменьшения проблем 2 и 3 кажется платформам стоит задуматься о верификации хакеров. Сделать это довольно просто, на момент проверки заставляешь пользователя в личном аккаунте в описании на платорме указать что-то вида
hackadvisor_verification: code. (Такая реализована на hackadvisory, на eh.su пока нет) И потом можно поставить лимит, ограничивающий людей с низкой репутацией на платформе от написания отзывов.
Подводя итоги, мотивы - здравые, реализация пока не очень. Время покажет взлетит ли вообще идея или проекты будут заброшены уже через год, пока на платформах слишком мало отзывов, поэтому они слабо выполняют свои функции
2 012
Repost from Kali Linux
+4
☠️ SubSeven Legacy: Легендарный троян и ностальгия без угроз
SubSeven Legacy — это современная реинкарнация печально известного трояна SubSeven Backdoor, созданного в конце 90-х.
Проект полностью написан на Delphi и адаптирован под актуальные версии Delphi IDE, сохраняя дух оригинала, но без вредоносного кода.
🔍 В чём суть?
▪ Безопасная ностальгия: Все функции, связанные с удалённым доступом, сохранены, но лишены зловредной составляющей.
▪ Многофункциональность: Включает инструменты вроде файлового менеджера и удалённого терминала — для демонстрации возможностей RAT-софта прошлого.
▪ Для энтузиастов и исследователей: Идеален для изучения истории кибербезопасности или экспериментов с legacy-кодом.
⚠️ Важно!
Проект не предназначен для использования — это архивный релиз, переосмысленный в образовательных целях.
🔗 Исходный код
P.S. Для тех, кто помнит эпоху IRC и Win95, это — цифровая машина времени. 🕰️💻
2 012
Repost from Поросёнок Пётр
Иногда можно долго читать пост о том как будет полезно поставить очередной аддон в браузер или в BurpSuite.
В этот раз я бы даже читать не стал, а сразу бы поставил. Нет сомнений что оно может случайно найти что-то крутое и полезное. В моем случае с браузерным аддоном такое случалось не раз и не два 💁♂️
PS: не забывайте поглядывать за съеденной памятью тачки в процессе работы 🥲
