uz
Feedback
Fsecurity | HH

Fsecurity | HH

Kanalga Telegram’da o‘tish

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

Ko'proq ko'rsatish
2 011
Obunachilar
Ma'lumot yo'q24 soatlar
Ma'lumot yo'q7 kunlar
-1030 kunlar
Postlar arxiv
Repost from Kraken
Ну вы поняли 😏
Ну вы поняли 😏

Repost from Белый хакер
🔝Skipfish — это инструмент для поиска уязвимостей веб-приложений. После выполнения рекурсивного сканирования и поиска на осн
🔝Skipfishэто инструмент для поиска уязвимостей веб-приложений. После выполнения рекурсивного сканирования и поиска на основе словаря, создает интерактивную карту целевого сайта. Полученная карта затем аннотируется выводом ряда активных проверок безопасности. Окончательный отчет, созданный инструментом, служит основой для оценки безопасности веб-приложения. 👤Преимущества SkipFish :
🟢Высокая производительность при скромном использовании процессора и памяти. 🟢Хорошо продуманная проверка безопасности сайта. 🟢Автоматическое построение списка слов на основе анализа контента сайта. 🟢Связанные проверки безопасности предназначены для обработки сложных сценариев (слепая инъекция SQL или XML и т.д). 🟢Постобработка отчетов значительно снижает шум, вызванный любыми оставшимися ложными срабатываниями или уловками сервера, путем выявления повторяющихся шаблонов.
P.S SkipFish по умолчанию установлен в полной версии Kali Linux. Если в вашей версии его нет, тогда установите его через apt:
sudo apt install skipfish
#инструмент Белый хакер

Полезные ресурсы и базы данных для поиска уязвимостей: - MITRE CVE — база данных, поисковик и классификатор уязвимостей; - op
Полезные ресурсы и базы данных для поиска уязвимостей: - MITRE CVE — база данных, поисковик и классификатор уязвимостей; - opencve.io — поисковик CVE с функционалом оповещений о новых угрозах; - Vulnerability Database — ресурс для поиска информации об актуальных угрозах; - sploitus — поисковик по эксплойтам и необходимым инструментам; - CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени; - GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности; - Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения; - Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг; - osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации; - security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом; - Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit. Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint #рекомендация #рекомендации

🔗Ссылка: https://book.hacktricks.xyz

Отладчик пользовательского режима с открытым исходным кодом для Windows. Оптимизирован для обратного проектирования и анализа вредоносных программ. 🔗Ссылка: https://github.com/x64dbg/x64dbg

Repost from infosec
💸 Фейковые приложения «Тинькофф Банка». • Будьте внимательны, в App Store есть несколько фейковых приложений "Тинькофф" банк
+1
💸 Фейковые приложения «Тинькофф Банка». • Будьте внимательны, в App Store есть несколько фейковых приложений "Тинькофф" банка. Не устанавливайте и не вводите свои данные. Официальное приложение удалено и недоступно в App Store.

sticker.webp0.37 KB

P.s. возможно, вы также не смотрели новый ролик на Ютубе 👇🏻 *СМОТРЕТЬ ВИДЕО*

Путешествие на HackThebox Недавно я повысил свой ранг до Hacker на платформе HackTheBox. Могу сказать, что это было очень необычно, но в хорошем смысле, и в некоторой степени сложно. Я увидел свои пробелы в знаниях и закрепил их на практике, а также исправил свои ошибки. Вывод: "Целься в Луну. Даже если промахнешься, все равно окажешься среди звезд". Команда на HackThebox Если вы хотите присоединиться к команде HackTheBox, созданной мной после достижения ранга Hacker, вы можете присоединиться к нам по этой ссылке 👇🏻 *Клик* P.s. бесплатно, без смс и с регистрацией на платформе, принимаем все заявки. Также, не забывайте о нашем Discord-сервере 👉🏻 *Клик* У меня есть просьба к вам! Если вам нравится контент, который я предлагаю в нашем телеграм-канале, я буду очень признателен, если вы сможете поддержать канал бустами. 👉🏻 *БУСТ* Заранее, спасибо за вашу помощь! Вместе мы можем создать прекрасное сообщество, где каждый найдет что-то интересное и полезное.

Вы знали, что есть целый сборник разной информации по ИБ на моем Github 🦑 Хочу также посоветовать: 1 - Проверить себя на утечки! 💧 2 - Наш discord сервер! Где можно пообщаться 👾 3 - Новый ТГ канал [Ximera-Chan] который ведёт Ai

Многоцелевой инструментарий OSINT с удобным веб-интерфейсом. https://github.com/seekr-osint/seekr

Repost from Похек
SQLMap Cheat Sheet #sqli #cheatsheet Очередная, но максимальная полная методчика по использованию sqlmap, включая tamper'sы.
SQLMap Cheat Sheet #sqli #cheatsheet Очередная, но максимальная полная методчика по использованию sqlmap, включая tamper'sы. Советую всем сохранить на всякий случай) 🌚 @poxek

Repost from Cult Of Wire
Для проверки Docker-образов на уязвимости есть хороший инструмент - Trivy. Сам использую и другим советую. Но сейчас не про него. Trivy хоть и хороший инструмент, но покрывает только поиск уязвимостей. Trivy неплохо дополняет другой инструмент - Dockle. Dockle это security linter, который проверяет Dockerfile на уязвимости (Dockle Checkpoints for Docker и Dockle Checkpoints for Linux), помимо этого проверяет и на соответствие Dockerfile Best practices и рекомендациям CIS Docker Benchmarks. В использовании Dockle довольно прост, так как это одиночный бинарник. Так же есть пакеты для установки под популярные системы. Можно запустить и в Docker без установки:
VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
  goodwithtech/dockle:v${VERSION} goodwithtech/dockle-test:v2
Или так:
export DOCKLE_LATEST=$(
curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
grep '"tag_name":' | \
sed -E 's/.*"v([^"]+)".*/\1/' \
)
docker run --rm goodwithtech/dockle:v${DOCKLE_LATEST} goodwithtech/dockle-test:v2
Кроме того есть возможность вывод отчёта в json файл c помощью -f json -o report_name.json:
dockle -f json -o dockle_report.json goodwithtech/dockle-test:v2
В контейнере можно сделать так:
VERSION=$(
 curl --silent "https://api.github.com/repos/goodwithtech/dockle/releases/latest" | \
 grep '"tag_name":' | \
 sed -E 's/.*"v([^"]+)".*/\1/' \
) && docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
  goodwithtech/dockle:v${VERSION} -f json goodwithtech/dockle-test:v2 > dockle_report.json
Dockle легко интегриуется в CI/CD и с DefectDojo. Из незначительных минусов могу отметить то, что Dockle не умеет сканировать Dockerfile, но для этого есть hadolint, хоть он и менее информативен.