uz
Feedback
Fsecurity | HH

Fsecurity | HH

Kanalga Telegram’da o‘tish

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

Ko'proq ko'rsatish
2 009
Obunachilar
+124 soatlar
+17 kunlar
-730 kunlar
Postlar arxiv
⚡️Новая уязвимость GitHub грозила угоном более 4000 проектов Исследователь из Checkmarx обнаружил новый способ обхода защиты
⚡️Новая уязвимость GitHub грозила угоном более 4000 проектов Исследователь из Checkmarx обнаружил новый способ обхода защиты GitHub от злоупотреблений. Найденная им уязвимость позволяет захватить контроль над чужим репозиторием и уже пропатчена. Согласно блог-записи авторов находки, при выполнении на хостинге операций по созданию репозитория и смене имени пользователя иногда возникает состояние гонки. Подобную ошибку можно использовать для проведения repojacking-атаки. Во избежание подобных абьюзов на GitHub создали механизм удаления популярных, но устаревших пространств имен (связок имя пользователя / имя репозитория). Эта контрмера пускается в ход, когда на момент переименования аккаунта число клонов opensource-проекта перевалило за сотню. Новая уязвимость позволяет обойти эту защиту. Разработанный экспертами PoC-эксплойт выполняется следующим образом: 1. Владелец пространства имен victim_user/repo запускает процедуру смены имени пользователя. 2. Связка victim_user/repo сбрасывается как устаревшая. 3. Злоумышленник с юзернеймом attacker_user практически одновременно создает репозиторий с именем repo и меняет attacker_user на victim_user. На последнем этапе используются API-запрос на создание репозитория и перехват запроса на смену имени пользователя. По данным Checkmarx, выявленная уязвимость ставит под удар более 4000 пакетов кода на Go, PHP и Swift, а также GitHub Actions. Сотни затронутых проектов собрали как минимум по 1000 звезд. Сообщение о новой проблеме было выслано оператору GitHub 1 марта. К началу текущего месяца возможность обхода защиты была закрыта. #news // nsis

Этот инструмент проверит утечку конфиденциальных данных с помощью некоторых полезных шаблонов/регулярных выражений https://github.com/Dheerajmadhukar/back-me-up/

Платформа автоматизированной эмуляции противника https://github.com/mitre/caldera

Хотел бы рассказать про наш discord сервер! Где можно пообщаться и задать вопросы! Заходите и общайтесь ! 👾📖 Также вот мой GitHub. В нем вы можете найти SocialKraken и другие проекты! 🦑

Repost from infosec
😈 Атаки на Active Directory: от 0 до 0,9. • Цель статьи — рассмотреть Active Directory с точки зрения злоумышленника. Чтобы понять, как атаковать Active Directory (и любую другую технологию), я думаю, важно знать не только инструменты, но и то, как они работают, какие протоколы/механизмы они используют и почему эти механизмы/протоколы существуют. • Оригинал: https://zer1t0.gitlab.io/posts/attacking_ad/ • Перевод на RU: https://defcon.ru/penetration-testing/18872/ #Пентест #AD #ИБ

🔎 back-me-up Инструмент, который позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных
🔎 back-me-up Инструмент, который позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных выражений. Шаблоны в основном нацелены на данные с Wayback Machine. Опробовать инструмент — линк. // Не хакинг, а ИБ

Bashtop - Линуксовый менеджер ресурсов, который показывает статистику по загруженности процессора, оперативной памяти, жестко
+2
Bashtop - Линуксовый менеджер ресурсов, который показывает статистику по загруженности процессора, оперативной памяти, жесткого диска и сети Ссылка на GitHub #рекомендация Life-Hack [Жизнь-Взлом]/Хакинг

🦅 White-Phoenix Инструмент для восстановления содержимого файлов, зашифрованных с помощью прерывистого шифрования. Опробовать инструмент — линк. // Не хакинг, а ИБ

Repost from AP Security
⚡️ CloudSploit. Пробиваем облачные платформы Проект, содержит в себе сценарии для обнаружения ошибочных конфигураций, типичны
⚡️ CloudSploit. Пробиваем облачные платформы Проект, содержит в себе сценарии для обнаружения ошибочных конфигураций, типичных ошибок и угроз безопасности👻 Заточен для пробива таких облачных платформ как: 1. Amazon Web Services 2. Microsoft Azure 3. Google Cloud Platform 4. Oracle Cloud Infrastructure 5. GitHub 📣Ссылка на ресурс: https://github.com/aquasecurity/cloudsploit #web #pentest #redteam #tools

🛠 XXE-инъекции: обнаружение и предотвращение XXE – это инъекция внешних сущностей XML. С помощью такой уязвимости киберпрест
🛠 XXE-инъекции: обнаружение и предотвращение XXE – это инъекция внешних сущностей XML. С помощью такой уязвимости киберпреступники могут попасть в обработку XML-данных приложением. При успешной атаке, злоумышленники смогут увидеть файлы в системе сервера приложений и совершать действия с серверными системами. В этой статье мы узнаем, как обнаружить и предотвратить XXE-инъекции, а также об атаке с помощью LPE и XXE: Читать статью — линк. // Не хакинг, а ИБ

Gosec - Проверяет исходный код на наличие проблем безопасности путем сканирования Go AST. 🖍 Ссылка на GitHub #tool // nsis
Gosec - Проверяет исходный код на наличие проблем безопасности путем сканирования Go AST. 🖍 Ссылка на GitHub #tool // nsis

Спасибо всем кто подписывает! 👾 Нас уже 350 🎉👾 Хотел бы рассказать про наш discord сервер! Где можно пообщаться и задать вопросы! Заходите и общайтесь ! 👾📖 Также вот мой GitHub. В нем вы можете найти SocialKraken и другие проекты! 🦑

🔎 JSFScan.sh Скрипт, созданный для всей вашей автоматизации javascript recon в bugbounty. Просто передайте ему список поддом
🔎 JSFScan.sh Скрипт, созданный для всей вашей автоматизации javascript recon в bugbounty. Просто передайте ему список поддоменов и варианты в соответствии с вашими предпочтениями. Изучить инструмент — линк. // Не хакинг, а ИБ

🛠 TinyCheck Инструмент для проверки ваших устройств на наличие сталкерского ПО и приложений для мониторинга. Разработан эксп
🛠 TinyCheck Инструмент для проверки ваших устройств на наличие сталкерского ПО и приложений для мониторинга. Разработан экспертами Лаборатории Касперского. Изучить инструмент — линк. // Не хакинг, а ИБ