😈 Руководство по осуществлению Cross-Site Scripting (XSS)

В этой статье пойдет речь о межсайтовом скриптинге (XSS). Читатель узнает, как злоумышленник способен выполнять вредоносные JavaScript-коды для входных параметров и генерировать всплывающие окна, чтобы «испортить» веб-приложение или захватить сеанс активного пользователя.

➖ https://telegra.ph/Rukovodstvo-po-osushchestvleniyu-Cross-Site-Scripting-XSS-02-15

#guide #xss #web | 💀 Этичный хакер

😈 Инструкция по эксплуатации Cross-Site Scripting (XSS)

В этой статье пойдет речь о том, как уязвимая к XSS веб-страница может влиять на веб-приложения и способна нарушить конфиденциальность посетителя, поделившись со злоумышленником его учетными данными для входа или аутентифицированными файлами cookie без ведома пользователя.

➖ https://telegra.ph/Instrukciya-po-ehkspluatacii-Cross-Site-Scripting-XSS-02-15

#guide #xss #web | 💀 Этичный хакер

😈 От раскрытия информации до интересного повышения привилегий

Статья о том, как с помощью понимания логики программы и манипуляции запросами можно получить конфиденциальную информацию о пользователях сайта и выдать самому себе права администратора.

➖ https://telegra.ph/Ot-raskrytiya-informacii-do-interesnogo-povysheniya-privilegij-02-15

#guide #leak #web | 💀 Этичный хакер

😈 Как мне удалось обойти панель входа администратора в BBC Corporation

Как бы ни была защищена система, всегда может присутствовать человеческий фактор, который сведёт все на нет. Таким образом, даже в наше время встречаются администраторы, которые забывают или ленятся как следует защитить админ-панель и оставляют дефолтные пароли.

➖ https://telegra.ph/Kak-mne-udalos-obojti-panel-vhoda-administratora-v-BBC-Corporation-02-20

#guide #brutforce #web | 💀 Этичный хакер

😈 SVG SSRF и обход нововведений

Эксплуатация SSRF в функции экспорта, а также обход исправлений владельцев ресурса. Внутри ряд полезных ресурсов по теме.

➖ https://telegra.ph/SVG-SSRF-i-obhod-novovvedenij-02-20

#guide #ssrf | 💀 Этичный хакер

😈 Эксплуатация SQL-инъекции в токене авторизации

В данной статье вы увидите пример уязвимости из за забытой валидации закодированных значений и последующую эксплуатацию SQL инъекцию в токене авторизации.

➖ https://telegra.ph/sql-injection-02-22

#Injection | 💀 Этичный хакер

Hogwarts Legacy взломали. На это у хакерши EMPRESS ушло 16 дней.

Мы проверили — на русских трекерах игра уже лежит.

💀 Этичный хакер

😈 Active Directory для изучения

Это первая статья цикла, который будет описывать методы исследования структур системы Windows и Active Directory. В статье попробуем изучить мини инфраструктуру AD и попытаемся понять как обнаруживаются логические уязвимости.

В сети достаточно много статей о том, что была найдена логическая уязвимость, которая позволяет выполнять повышение привилегий. Как происходит поиск и работа с такими уязвимостями?

➖ https://telegra.ph/Active-Directory-dlya-izucheniya-Pentest-02-24

#ActiveDirectory | 💀 Этичный хакер

😈 RPC и способы его мониторинга

Сегодня мы рассмотрим тему мониторинга RPC (Remote Procedure Call, удаленный вызов процедур), а также разберем возможные варианты логирования Microsoft Remote Procedure Call (MS‑RPC), связанного с актуальными и популярными на сегодняшний день атаками.

➖ https://telegra.ph/RPC-i-sposoby-ego-monitoringa-02-26

#RPC | 💀 Этичный хакер

👾 Слежка за людьми с помощью мобильного телефона

В этой статье рассмотрим способы слежения за людьми с помощью встроенных функций оператора.

➖ https://telegra.ph/Slezhka-za-lyudmi-s-pomoshchyu-mobilnogo-telefona-12-01

#guide | 😁 Этичный хакер

😈 XSS через кодировку Base64 в JSON

Периодически разработчики забывают проводить проверку и санитизацию параметров внутри закодированных строк, что может приводить к ряду уязвимостей. Об одном из таких примеров читайте в данной статье.

➖ https://telegra.ph/XSS-cherez-kodirovku-Base64-v-JSON-02-27

#XSS #JSON

🗣 Книга: Python глазами хакера

Рассмотрены современные интерпретаторы языка Python. Описано устройство reverse shell, файлового вируса, трояна, локера и шифровальщика. Представлены примеры инструментов для автоматизированного сбора информации о компьютере, динамического анализа вредоносного кода, в том числе с использованием API VirusTotal.

Скачать: здесь

#books | 💀 Этичный хакер

😈 SQL-инъекция через остановку перенаправления на страницу входа

Обзор отчета, в котором сервер компании Razer пострадал от обхода авторизации в странице администратора и SQL-инъекции. Это позволило получить доступ к игровым ключам из раздач, почтовым перепискам, данным пользователей и т.д.

➖ https://telegra.ph/SQL-inekciya-cherez-ostanovku-perenapravleniya-na-stranicu-vhoda-03-01

#SQL #Web

😈 Расшифровка сессий OpenSSH для забавы и профита

Интересный ресерч вместе с ссылкой на полученный рабочий скрипт для автоматизации процесса.

➖ https://telegra.ph/Rasshifrovka-sessij-OpenSSH-dlya-zabavy-i-profita-03-01

#SSH

😈 Команды PowerShell для пентестеров

Cтатья содержит список PowerShell команд, собранных из разных уголков Интернета, которые могут быть полезны во время тестов на проникновение или операций Red Team.

➖ https://telegra.ph/Komandy-PowerShell-dlya-pentesterov-03-01

#Windows