uk
Feedback
Fsecurity | HH

Fsecurity | HH

Відкрити в Telegram

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

Показати більше
2 011
Підписники
Немає даних24 години
Немає даних7 днів
-1030 день
Архів дописів
Repost from Pentest HaT
🚩 Стеганография в изображениях Основные инструменты 😹 zsteg - комбайн по работе с PNG и BMP gem install zsteg zsteg -a pic.
🚩 Стеганография в изображениях Основные инструменты 😹 zsteg - комбайн по работе с PNG и BMP
gem install zsteg
zsteg -a pic.png
😹 png-parser - анализ PNG изображений
pip install --user git+https://github.com/Hedroed/png-parser
png-parser pic.png
🔠 steghide - извлекает данные из JPG
sudo apt install steghide
steghide extract -sf pic.jpg
😹 stegseek - самый быстрый брутер steghide файлов
sudo apt install ./stegseek_0.6-1.deb
stegseek pic.jpg rockyou.txt
😹 stegoveritas - очередной комбайн, разбирает по слоям, применяет кучу фильтров, результат сохраняет в отдельную директорию
pip3 install stegoveritas
stegoveritas pic.png
😹 stegsolve - Java приложение, работа со слоями, LSB, стереограмы
java -jar StegSolve.jar
🔠 exiftool - лучший инструмент по работе с метаданными
exiftool pic.png
🔠 exiftoolGUI - графический интерфейс для exiftool ( 📦 ) 🔠 tweakpng - редактор метаданных в PNG ( 📦 ) 🔠 pngcheck - анализатор PNG изображений
sudo apt install pngcheck
pngcheck -v pic.png
😹 stegpy - LSB
pip3 install stegpy
stegpy pic.png
🔠 OpenStego - очередная стегано утилита ( 📦 ) 🔠 Magic Eye Solver - решение стереограм 🔠 Aperi Solve - веб сервис все в одном 🔠 Piet Solver - веб сервис решение Piet #steganography #tools #soft ✈️ // Pentest HaT 🎩

⌨️Туннельное мышление: зачем pivoting пентестеру Пивотинг — это набор техник, которые позволяют атакующему получить доступ к
⌨️Туннельное мышление: зачем pivoting пентестеру Пивотинг — это набор техник, которые позволяют атакующему получить доступ к внутренним ресурсам, минуя сетевые средства защиты. ➡️ В новой статье на сайте Сергей Зыбнев, автор Telegram-канала «Похек», рассказал об инструментах пивотинга и примерах их применения на проектах по пентесту.

Repost from SHADOW:Group
+2
💻 Раскрытые уязвимости с багбаунти, ч.9 1️⃣ Захват аккаунта через Self-XSS Пример того, как с помощью дополнительного функционала можно от бесполезной Self XSS выжать захват аккаунта в один клик. Подробнее смотрите в отчете. 2️⃣ SQL инъекция в POST запросе Идентификация и эксплуатация Union-based SQL-инъекции в POST запросе на основе ответов сервера. Подробнее про эксплуатацию подобных уязвимостей тут. 3️⃣ OTP Bypass Обходим подтверждение OTP через манипуляцию с ответом сервера. Про такие баги я вам рассказывал тут. #web #xss #ato #cache #sqli

«Песочница конфиденциальности» будет постепенно заменять сторонние cookie-файлы и ограничивать скрытое отслеживание с помощью новых безопасных стандартов, чтобы рекламодатели могли продолжать строить цифровой бизнес, сохраняя при этом конфиденциальность пользователей.» #security #web https://telegra.ph/Privacy-Sandbox-kak-rabotaet-tehnologiya-kotoraya-prizvana-izmenit-internet-02-14

👩‍💻 Наглядно, как работает Веб и что происходит при переходе по URL 💬P. S Будет полезным, для сохранения 🛡 #gif Белый хакер

sticker.webp0.25 KB

🖥 Репозиторий: Ghidra — инструмент для reverse engineering Ghidra — это мощный инструмент для обратной разработки. Он предос
🖥 Репозиторий: Ghidra — инструмент для reverse engineering Ghidra — это мощный инструмент для обратной разработки. Он предоставляет возможности анализа и декомпиляции программного обеспечения. — Ghidra позволяет анализировать исполняемые файлы, дизассемблировать код, проводить статический анализ и многое другое. Этот инструмент обладает графическим интерфейсом, который упрощает процесс анализа кода. ⏺ Ссылка на GitHub #ReverseEngineering

sticker.webp0.26 KB

Используете git, github, gitlab и т.д.?🧐
Anonymous voting

🔥Gitleaks — это инструмент с открытым исходным кодом, предназначенный для предотвращения размещения конфиденциальных данных
🔥Gitleaks — это инструмент с открытым исходным кодом, предназначенный для предотвращения размещения конфиденциальных данных в репозиториях Git. Он работает путем сканирования Git‑репозиториев на наличие потенциальных секретов, таких как пароли, API‑ключи и другая конфиденциальная информация, которая не должна быть публично раскрыта. 🖍 Ссылка на GitHub #tool // nsis

Repost from Похек
0 == "0" — TRUE ❤️ Prototype Pollution — это атака, с помощью которой изменяют прототип базовых объектов (Object.prototype, F
0 == "0" — TRUE ❤️ Prototype Pollution — это атака, с помощью которой изменяют прототип базовых объектов (Object.prototype, Function.prototype, Array.prototype) для модификации хода выполнения программы. Например, если код обращается к свойству window.foo и выполняет его содержимое с помощью eval, то в некоторых ситуациях можно добиться выполнения произвольного кода, переписав в прототипе объекта свойство foo (Object.prototype.foo = 'alert(1)'). Чаще всего на клиенте prototype pollution используется для реализации XSS с помощью изменения GET-параметров. ➡️ Тут можете более подробно почитать про Prototype Pollution ❤️ Но как же я могу вас оставить без автоматизации)) pphack Прокаченный сканер на Prototype Pollution. Установка:
go install github.com/edoardottt/pphack/cmd/pphack@latest
FAQ:
Usage:
  pphack [flags]

Flags:
INPUT:
   -u, -url string   Input URL
   -l, -list string  File containing input URLs

CONFIGURATION:
   -c, -concurrency int     Concurrency level (default 50)
   -t, -timeout int         Connection timeout in seconds (default 10)
   -px, -proxy string       Set a proxy server (URL)
   -rl, -rate-limit int     Set a rate limit (per second)
   -ua, -user-agent string  Set a custom User Agent (random by default)

SCAN:
   -p, -payload string            Custom payload
   -js, -javascript string        Run custom Javascript on target
   -jsf, -javascript-file string  File containing custom Javascript to run on target

OUTPUT:
   -o, -output string  File to write output results
   -v, -verbose        Verbose output
   -s, -silent         Silent output. Print only results
Использование:
pphack -u https://edoardottt.github.io/pp-test/
pphack -l targets.txt
также вы можете встроить его в свой pipeline
echo https://edoardottt.github.io/pp-test/ | pphack
cat targets.txt | pphack
❤️ #You_have_been_poxeked 🌚 @poxek

Repost from Pentest HaT
🔠 Webhooks online Подборка полезных онлайн сервисов для тестирования HTTP запросов 🔗 webhook.link 🔗 webhook.site 🔗 webhoo
🔠 Webhooks online Подборка полезных онлайн сервисов для тестирования HTTP запросов 🔗 webhook.link 🔗 webhook.site 🔗 webhook-test.com 🔗 webhook.cool Пример: curl -X POST https://gorgeous-parrot-35.webhook.cool -H "Content-Type: application/json" -H "X-MyHeader: 123" -d '{"hello": "world", "is_true": true}' #webhook #http ✈️ // Pentest HaT 🎩

Используете Google Dorks?
Anonymous voting

Repost from AP Security
#pentest #redteam #osint Сборник Google Dorks🖥 Данный ресурс содержит огромное число Google Dorks, используемых для разведки
#pentest #redteam #osint Сборник Google Dorks🖥 Данный ресурс содержит огромное число Google Dorks, используемых для разведки. Сайт содержит архивы за каждый год, в который появилась та или иная дорка Google Dorks