Fsecurity | HH
Відкрити в Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Показати більше2 011
Підписники
Немає даних24 години
Немає даних7 днів
-1030 день
Архів дописів
2 011
Repost from Белый хакер
🔝Skipfish — это инструмент для поиска уязвимостей веб-приложений.
После выполнения рекурсивного сканирования и поиска на основе словаря, создает интерактивную карту целевого сайта. Полученная карта затем аннотируется выводом ряда активных проверок безопасности. Окончательный отчет, созданный инструментом, служит основой для оценки безопасности веб-приложения.
👤
Преимущества SkipFish :
🟢Высокая производительность при скромном использовании процессора и памяти. 🟢Хорошо продуманная проверка безопасности сайта. 🟢Автоматическое построение списка слов на основе анализа контента сайта. 🟢Связанные проверки безопасности предназначены для обработки сложных сценариев (слепая инъекция SQL или XML и т.д). 🟢Постобработка отчетов значительно снижает шум, вызванный любыми оставшимися ложными срабатываниями или уловками сервера, путем выявления повторяющихся шаблонов.P.S SkipFish по умолчанию установлен в полной версии Kali Linux. Если в вашей версии его нет, тогда установите его через apt:
sudo apt install skipfish#инструмент Белый хакер
2 011
Repost from Life-Hack - Хакер
Полезные ресурсы и базы данных для поиска уязвимостей:
- MITRE CVE — база данных, поисковик и классификатор уязвимостей;
- opencve.io — поисковик CVE с функционалом оповещений о новых угрозах;
- Vulnerability Database — ресурс для поиска информации об актуальных угрозах;
- sploitus — поисковик по эксплойтам и необходимым инструментам;
- CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени;
- GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности;
- Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения;
- Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг;
- osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации;
- security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом;
- Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
#рекомендация
#рекомендации
2 011
Отладчик пользовательского режима с открытым исходным кодом для Windows. Оптимизирован для обратного проектирования и анализа вредоносных программ.
🔗Ссылка:
https://github.com/x64dbg/x64dbg
2 011
Repost from infosec
💸 Фейковые приложения «Тинькофф Банка».
• Будьте внимательны, в App Store есть несколько фейковых приложений "Тинькофф" банка. Не устанавливайте и не вводите свои данные. Официальное приложение удалено и недоступно в App Store.
2 011
Путешествие на HackThebox
Недавно я повысил свой ранг до Hacker на платформе HackTheBox.
Могу сказать, что это было очень необычно, но в хорошем смысле, и в некоторой степени сложно.
Я увидел свои пробелы в знаниях и закрепил их на практике, а также исправил свои ошибки.
Вывод: "Целься в Луну. Даже если промахнешься, все равно окажешься среди звезд".
Команда на HackThebox
Если вы хотите присоединиться к команде HackTheBox, созданной мной после достижения ранга Hacker, вы можете присоединиться к нам по этой ссылке 👇🏻
*Клик*
P.s. бесплатно, без смс и с регистрацией на платформе, принимаем все заявки.
Также, не забывайте о нашем Discord-сервере 👉🏻 *Клик*
У меня есть просьба к вам! Если вам нравится контент, который я предлагаю в нашем телеграм-канале, я буду очень признателен, если вы сможете поддержать канал бустами.
👉🏻 *БУСТ*
Заранее, спасибо за вашу помощь! Вместе мы можем создать прекрасное сообщество, где каждый найдет что-то интересное и полезное.
2 011
Вы знали, что есть целый сборник разной информации по ИБ на моем Github 🦑
Хочу также посоветовать:
1 - Проверить себя на утечки! 💧
2 - Наш discord сервер! Где можно пообщаться 👾
3 - Новый ТГ канал [Ximera-Chan] который ведёт Ai
2 011
Многоцелевой инструментарий OSINT с удобным веб-интерфейсом.
https://github.com/seekr-osint/seekr
2 011
Repost from Похек
SQLMap Cheat Sheet
#sqli #cheatsheet
Очередная, но максимальная полная методчика по использованию sqlmap, включая tamper'sы. Советую всем сохранить на всякий случай)
🌚 @poxek
2 011
Repost from Cult Of Wire
Для проверки Docker-образов на уязвимости есть хороший инструмент - Trivy. Сам использую и другим советую. Но сейчас не про него. Trivy хоть и хороший инструмент, но покрывает только поиск уязвимостей.
Trivy неплохо дополняет другой инструмент - Dockle.
Dockle это security linter, который проверяет Dockerfile на уязвимости (Dockle Checkpoints for Docker и Dockle Checkpoints for Linux), помимо этого проверяет и на соответствие Dockerfile Best practices и рекомендациям CIS Docker Benchmarks.
В использовании Dockle довольно прост, так как это одиночный бинарник. Так же есть пакеты для установки под популярные системы.
Можно запустить и в Docker без установки:
VERSION=$(
curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
grep '"tag_name":' | \
sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
goodwithtech/dockle:v${VERSION} goodwithtech/dockle-test:v2
Или так:
export DOCKLE_LATEST=$(
curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
grep '"tag_name":' | \
sed -E 's/.*"v([^"]+)".*/\1/' \
)
docker run --rm goodwithtech/dockle:v${DOCKLE_LATEST} goodwithtech/dockle-test:v2
Кроме того есть возможность вывод отчёта в json файл c помощью -f json -o report_name.json:
dockle -f json -o dockle_report.json goodwithtech/dockle-test:v2
В контейнере можно сделать так:
VERSION=$(
curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
grep '"tag_name":' | \
sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
goodwithtech/dockle:v${VERSION} -f json goodwithtech/dockle-test:v2 > dockle_report.json
Dockle легко интегриуется в CI/CD и с DefectDojo.
Из незначительных минусов могу отметить то, что Dockle не умеет сканировать Dockerfile, но для этого есть hadolint, хоть он и менее информативен.
Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
