Life-Hack - Жизнь-Взлом
59.3K subscribers
1.13K photos
76 videos
18 files
7.64K links
Сообщество по информационной безопасности.
Статьи, гайды, обучения, рекомендации, обзоры, новости, подборки полезного софта!
#хакер #хакинг #Linux #OSINT
Наши каналы - @LifeHackmedia

По любым вопросам сюда - @Adm1nGmz

Услуги взлома НЕ ОКАЗЫВАЕМ!
Download Telegram
​​🕷️ Katana — Web Crawler

#web

Краулер нового поколения со стандартным и headless режимом, настраиваемым конфигом, скоупом, фильтрацией и многим другим.

Возможности:
• Fast And fully configurable web crawling
• Standard and Headless mode
• Active and Passive mode
• JavaScript parsing / crawling
• Customizable automatic form filling
• Scope control - Preconfigured field / Regex
• Customizable output - Preconfigured fields
• INPUT - STDIN, URL and LIST
• OUTPUT - STDOUT, FILE and JSON

katana -u https://test.com -headless -jc -aff -kf -c 50 -fs dn

Ссылка на GitHub

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Forwarded from SHADOW:Group
👍 Обход защиты от XSS

Статья по байпассу средств защиты от XSS для некоторых кейсов. Как итог, получаем несколько довольно универсальных пэйлодов, которые могут пригодится вам и в других случаях (мне пригодились):

Imperva & Incapsula:

<details/open/id="&quot;"ontoggle=[JS]>

Amazon Cloudfront

<details/open/id="&quot;"ontoggle=[JS]>

Akamai

<details open id="' &quot;'"ontoggle=[JS]>

Еще больше байпассов для XSS доступно в репозитории на GitHub.

#web #xss #waf #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
Keyfinder🔑 - инструмент, который позволяет находить ключи во время веб-серфинга!

#Web #bugbounty

Это расширение для Chrome, которое ищет ключи для определенного API (например, Google maps API) в DOM. Вы можете добавить ключевые слова для поиска на любом веб-сайте, который вы посещаете.

Функции:
• ищет в DOM "src" скриптов и смотрит на наличие определенных слов, таких как "keys".
• работает в фоновом режиме
• расширяется (так как вы можете добавлять слова)

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Smap - пассивный сканер портов

#web #recon

Smap - это копия Nmap, которая использует бесплатный API shodan.io для сканирования портов. Он принимает те же аргументы командной строки, что и Nmap, и производит тот же вывод.

Особенности:
• Сканирует 200 хостов в секунду
• Включает обнаружение уязвимостей
• Поддерживает все форматы вывода nmap
• Учетная запись shodan не требуется
• Полностью пассивный

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Toxssin

#XSS #pentest #web

Инструмент тестирования на проникновение с открытым исходным кодом, автоматизирующий процесс эксплуатации уязвимостей Cross-Site Scripting (XSS). Он состоит из сервера HTTPS, который работает как интерпретатор трафика, генерируемого вредоносной полезной нагрузкой JavaScript.

Ссылка на инструмент.

Видеопрезентация.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Onion Market — анонимный Р2Р-обменник для людей!
This media is not supported in your browser
VIEW IN TELEGRAM
Pake

#полезное #web

Инструмент, позволяющий пользователям превратить любую веб-страницу в настольное приложение с помощью Rust.

- Поддерживает Mac, Windows и GNU/Linux.
- Pake почти в 20 раз меньше Electron и работает быстрее фреймворков на основе JS.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Onion Market — анонимный Р2Р-обменник для людей!
XSS в URL обратного вызова OAuth с обходом CSP, приводящий к захвату аккаунта без взаимодействия

#XSS #Oauth #bugbounty #web #статья

В одном из недавних проектов я столкнулся с серией на первый взгляд незначительных уязвимостей. Однако, когда эти проблемы были объединены, они создали серьезный риск безопасности — уязвимость, позволяющую захватить учетную запись без какого-либо взаимодействия со стороны пользователя. Основной виновник — URL обратного вызова OAuth, в котором при детальном рассмотрении обнаруживается несколько проблем.

В этой статье будет подробно рассмотрен URL обратного вызова OAuth, шаг за шагом мы разберем каждую проблему и объясним цепочку событий, которая позволила проэксплуатировать эти уязвимости.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
От нуля до вознаграждения в $750 за Blind XSS

#bugbounty #web #xss #перевод #статья

Статья про применение www.blindf.com для поиска Blind XSS. И про то, что упорство и труд - всегда к успеху приведут😄

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
От LFI к RCE — Bug bounty

#перевод #статья #bugbounty #lfi #rce #web

Самый простой способ получить RCE из уязвимости LFI — через отравление логов. В статье разобран именно такой пример эксплуатации уязвимости.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Arjun

#bugbounty #pentest #web

Инструмент для обнаружения параметров HTTP с помощью огромного словаря, содержащего 25 890 названий параметров. Ему требуется менее 10 секунд, чтобы просмотреть этот огромный список, делая всего 50-60 запросов к целевому адресу.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации