Продолжаем, погружаться в #Pentest с нашим новым бесплатным теоретическим курсом «Тестирование на проникновение"!

#статья #обучениеPentest

Ограниченное делегирование на основе ресурсов - RBCD (от англ. Resource Based Constrained Delegation).

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

OSINT: не инструменты, а тип мышления

#OSINT #статья

Просто найти информацию — это ещё не ОСИНТ. ОСИНТ — способность мыслить стратегически, анализировать данные с разных сторон и находить новые подходы к поиску. Успешный ОСИНТер — это тот, кто может видеть за поверхностной информацией более глубокие взаимосвязи, а также использовать свою логику и интуицию для получения ответов там, где другие их не замечают.

Ссылка на статью.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки)

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

DeepFaceLive

#Нейронка #полезное #DeepFakes

Нейронка, доступная на GitHub, которая позволяет вам обмениваться лицом в режиме реального времени с помощью обученных моделей лиц.

Репозиторий уже включает в себя список готовых к использованию моделей публичных лиц, включая Киану Ривза и мистера Бина. Пользователи также могут обучать свои собственные модели лица и не только.

Ссылка на GitHub.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Продолжаем, погружаться в #Pentest с нашим новым бесплатным теоретическим курсом «Тестирование на проникновение"!

#статья #обучениеPentest

DCShadow.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

LH | Новости | Курсы | Мемы

EchoStrike

#RedTeam #pentest

Разверните обратные оболочки и выполните скрытую инъекцию процессов с помощью EchoStrike — инструмента на языке Go для этичного хакинга и Red Team проектов.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Подборка инструментов для поиска почтовых ящиков целевого домена/компании.

#подборка #osint #mail #RedTeam

- snov.io/email-finder

- experte.com/email-finder

- https://github.com/Josue87/EmailFinder

- github.com/GiJ03/Infoga

- infoga.io

- findemail.io

- hunter.io/domain-search

- https://anymailfinder.com/email-finder-by-domain

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

AI Image Variations

#AI #photo

На сайте ИИ поможет сгенерировать несколько изображений, которые будут близко к оригиналу.

Ссылка на сайт.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Топ раскрытых отчетов от HackerOne

#bugbounty #report #подборка #web

Огромная коллекция bug bounty отчетов с удобным разделением по типу уязвимости и не только.

• Top XSS reports
• Top XXE reports
• Top CSRF reports
• Top IDOR reports
• Top RCE reports
• Top SQLi reports
• Top SSRF reports
• Top Race Condition reports
• Top Subdomain Takeover reports
• Top Open Redirect reports
• Top Clickjacking reports
• Top DoS reports
• Top OAuth reports
• Top Account Takeover reports
• Top Business Logic reports
• Top REST API reports
• Top GraphQL reports
• Top Information Disclosure reports
• Top Web Cache reports
• Top SSTI reports
• Top Upload reports
• Top HTTP Request Smuggling reports
• Top OpenID reports
• Top Mobile reports
• Top File Reading reports
• Top Authorization Bypass reports
• Top Authentication Bypass reports
• Top MFA reports

Ссылка на репозиторий.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Bg Eraser

#AI #photo #полезное

Инструмент для удаления фона с изображений, который также способен устранять отдельные объекты. Легкими щелчками мыши можно убрать нежелательные элементы, стереть фоны и удалить водяные знаки с любых фото. Прост в использовании: просто отметьте объекты для удаления, и ИИ сделает остальное.

Ссылка на сервис.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

На четвертой неделе курса "Тестирование на проникновение" мы познакомились с незаменимым инструментом Bloodhound, рассмотрели атаки: AS-REP Roasting; Kerberoasting; DCShadow, а также возможности делегирования в Active Directory, для атакующих.

Если вы что-то пропустили и желаете прочитать, то вот список материалов четвертой недели:

• Bloodhound
• AS-REP Roasting
• Kerberoasting
• Неограниченное делегирование.
• Ограниченное делегирование.
• Ограниченное делегирование на основе ресурсов.
• DCShadow.

Не забывайте следить и делиться нашим бесплатным курсом "Тестирование на проникновение"!

#статья #обучениеPentest #AD

LH | Новости | Курсы | Мемы

Socks Over RDP / Socks Over Citrix

#pivoting #SOCKS #RedTeam #RDP #pentest

Этот инструмент добавляет возможность использования SOCKS-прокси в Terminal Services (или Remote Desktop Services) и Citrix (XenApp/XenDesktop). Он использует динамический виртуальный канал, который позволяет нам общаться через открытое соединение RDP/Citrix без необходимости открытия нового сокета, соединения или порта на межсетевом экране.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Как я узнал номер паспорта и телефон премьер-министра по фото в Instagram

#OSINT #статья

Я занимался домашними делами, ни о чём плохом не думал, пил водичку и ни в коем случае не имел никаких намерений заниматься подрывной деятельностью против Австралийского Союза. А потом я получил сообщение…

Ссылка на статью.

Полезные OSINT инструменты в телеграме (всегда рабочие ссылки)

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Simple reverse ICMP shell
3. Инструмент эксплуатации приложений на Android и iOS
4. OSINT: не инструменты, а тип мышления
5. Нейронка, которая позволяет вам обмениваться лицом в режиме реального времени
6. Инструменты для поиска почтовых ящиков целевого домена/компании
7. Огромная коллекция bug bounty отчетов с удобным разделением по типу уязвимости и не только
8. Четвертая неделя курса "Тестирование на проникновение"

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | Мемы

lssh

#ssh #admin #полезное

Менеджер соединений, который позволяет из окна одного tui приложения выбрать для работы нужный сервер. Имеет возможность параллельного выполнения команд на нескольких выбранных серверах одновременно.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Удаленное выполнение кода (RCE) через инъекцию шаблонов на стороне сервера (SSTI)

#RCE #WAF #SSTI #web #перевод #статья

​В этой статье мы увидим, как я определил уязвимость удаленного выполнения кода и обошел правила Akamai WAF.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

LH | Новости | Курсы | Мемы

Arjun

#bugbounty #pentest #web

Инструмент для обнаружения параметров HTTP с помощью огромного словаря, содержащего 25 890 названий параметров. Ему требуется менее 10 секунд, чтобы просмотреть этот огромный список, делая всего 50-60 запросов к целевому адресу.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Kubernetes pentest

#Kubernetes #pentest #статья

Статья посвящена тестированию на проникновение Kubernetes. Предварительно статья разделена на сервисы и как их можно найти, эксплуатировать и может быть закрепиться.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

binsider

#reverse

Швейцарский нож для реверсёров. Инструмент может выполнять статический и динамический анализ, исследовать связанные библиотеки и выполнять дампы в шестнадцатеричном формате — всё это в удобном интерфейсе терминала.

Ссылка на инструмент.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Исследователи из Лаборатории Касперского продолжают методично публиковать аналитику по изменения ландшафта угроз для ICS, представив отчет за второй квартал 2024 года.

Из основного:

- Согласно статданным, во втором квартале доля компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, снизилась по сравнению с предыдущим кварталом и составила 23,5%.

- В региональном аспекте аналогичное снижение наблюдалось в большинстве регионов. Однако показатель вырос только в Восточной Азии, Западной Европе, Австралии и Новой Зеландии, а также США и Канаде.

- В рейтинге отраслей с наиболее высокой долей компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно лидирует автоматизация зданий. В целом, показатель во всех исследуемых отраслях снижается уже второй квартал подряд.

- В целом за квартал защитные решения Лаборатории Касперского заблокировали в системах промышленной автоматизации вредоносное ПО из 11 349 семейств, относящихся к различным категориям.

- При этом по сравнению с предыдущим кварталом наиболее заметно (в 1,2 раза) выросла доля компьютеров АСУ, на которых были заблокированы программы-вымогатели.

- Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, почтовые клиенты и съемные носители.

Грузить конкретными цифрами и графиками нет смысла, достаточно наглядно и четко все отражено в отчете на сайте Kaspersky ICS CERT.