😈 Важность анализа истории Burp Suite для обхода ошибки 403

Что можно попробовать, когда обычные способы обхода 403 не работают?

Возможно, некоторые из вас знают, что определенные конечные точки не будут принимать запросы без заголовка Referer. И если Referer не соответствует поддомену или, по крайней мере, базовому домену, это приведет к коду ответа 403 или 404, или перенаправлению.

Но каким образом мы можем получить доступ к закрытым данным в таком случае? Об этом и пойдёт речь в данной статье.

➖ https://telegra.ph/Vazhnost-analiza-istorii-Burp-Suite-dlya-obhoda-oshibki-403-02-09

#BurpSuite #leak | 💀 Этичный хакер

😈 Flipper Zero ответила на запрет продажи устройства в Канаде, показав, как перехватить радиосигнал с помощью куска кабеля

Flipper Zero ответила на запрет правительства Канады на продажу устройств в стране из-за роста угона автомобилей.

— В статье команда проекта подробно рассказала о том, как на самом деле угоняют автомобили, почему для этого не подходит Flipper Zero и как можно перехватить радиосигнал с помощью куска кабеля от наушников.

А также материалы по теме #FlipperZero:
- Уязвимость в приложении Tesla позволяет угнать автомобиль с помощью Flipper Zero

#News #FlipperZero | 🧑‍💻 Этичный хакер

😈 Китайская группировка Volt Typhoon посягнула на нацбезопасность США

Новое предупреждение, выпущенное CISA, АНБ, ФБР и 8 другими международными партнерами, ориентировано на предоставление инструкций по взаимодействию с критической инфраструктурой в случае потециальных кибератак.

❗️ Данное предупреждение – не первое, которое посвящено группе Volt Typhoon. В феврале власти США заявили, что Volt Typhoon находится в некоторых сетях критической инфраструктуры страны не менее 5 лет.

#News #Alert | 🧑‍💻 Этичный хакер

😈 Первый пациент с имплантом Neuralink показал, как с помощью силы мысли играет в шахматы

29-летний пациент с имплантом компании Neuralink показал, как он играет в компьютерные шахматы силой мысли. Вживлённый прибор позволяет управлять курсором и перемещать с его помощью фигуры на поле.

— Первым делом, счастливчик залип аж на 8 часов, в любимой им Civilization.

киберпанк стучится в дверь

#News | 🧑‍💻 Этичный хакер

😈 AwesomeGPT: подборка GPT для ИБ-спецов

Хотелось бы начать с того, что мы со скорбью относимся к произошедшему событию в Крокус Сити, словами не передать то горе, что испытывает каждый сопереживающий гражданин. Сбербанк устроил сбор средств для семей пострадавших, без ссылок, кто ищет — тот найдёт.

— Оттойдя от оффтопа, рассмотрим репозиторий с объемным списком GPT, которые ориентированы на ИБ.

1. Smart Contract Audit Assistant — Инструмент аудита смарт-контрактов.
2. ATT&CK Mate — База знаний ATT&CK.
3. OSISTent — Помощь в решении различных OSINT задач и исследований.
4. Bug Bounty Assistant — Руководство по безопасности веб-приложений.
5. zkGPT — GPT для тех, кто желает освоить криптографию.

🗣 Ссылка на полный репозиторий

❗️ Также прикрепляю другие материалы по теме #ChatGPT
- Сингапурский студент автоматизировал процесс взлома с помощью ChatGPT

#GPT #ChatGPT | 🧑‍💻 Этичный хакер

😈 Хакеры взломали Windows 11, Tesla и Ubuntu

В рамках мероприятия Pwn2Own в Ванкувере участники продемонстрировали 19 уязвимостей нулевого дня. За своих находки спецы получили награды на общую сумму $732 500 и автомобиль Tesla Model 3.

— После демонстрации уязвимостей на Pwn2Own производителям даётся 90 дней на создание и выпуск исправлений безопасности для всех обнаруженных недостатков, прежде чем они будут опубликованы.

#News #Conference #0day | 🧑‍💻 Этичный хакер

😈 STANDOFF: типичные ошибки Red Team

Red Team - это команда специалистов по кибербезопасности, которая имитирует действия хакеров для тестирования и оценки уязвимостей компьютерных систем. [для самых маленьких]

— В докладе собраны наиболее распространённые ошибки атакующих, которые приводят к быстрому и эффективному детекту командой синих.

#RedTeam #SOC | 🧑‍💻 Этичный хакер

😈 Суд в Лондоне отказался немедленно экстрадировать Джулиана Ассанжа в США

Высокий суд Англии и Уэльса вынес решение в пользу основателя WikiLeaks Джулиана Ассанжа. Ему дали шанс оспорить решение об экстрадиции в США в британских судах.

❗️ Если бы суд не вынес решение в пользу Ассанжа, то власти страны должны были бы экстрадировать его в США, где ему грозит до 175 лет тюрьмы.

— Ассанж основал в 2006 году сайт WikiLeaks для публикации секретных документов. В 2010 году он опубликовал данные о военных кампаниях США и их союзников в Афганистане и Ираке, после этого, его обвинили в шпионаже.

#News #WikiLeaks | 🧑‍💻 Этичный хакер

👀 VPN – ловушка для Android: как под видом ПО скрывается вредонос

28 бесплатных VPN в Google Play использовали вредоносный SDK, превращая Android-устройства в резидентные прокси, используемые для киберпреступлений и работы ботов.

— Было обнаружено, что вредоносные приложения использовали SDK от LumiApps, который содержал библиотеку Proxylib для организации прокси. Всего было выявлено 28 приложений, которые тайно превращали устройства Android в прокси-серверы, среди которых 17 маскировались под бесплатные VPN-приложения.

А вы пользуетесь бесплатными VPN-приложениями? — ставь 🔥

#News #VPN #Proxy #Android | 🧑‍💻 Этичный хакер

😈 Эксплойтинг браузера Chrome, часть 1: введение в V8 и внутреннее устройство JavaScript

В этом посте вы впервые погрузитесь в мир эксплойтинга браузеров, рассмотрим несколько тем, которые были необходимы для освоения фундаментальных знаний.

— В основном, изучим внутреннюю работу JavaScript и V8, разберёмся, что такое объекты map и shape, базовые оптимизации памяти, также затронем тему конвейера компилятора, интерпретатора байт-кода и оптимизации кода.

🗣 Ссылка на чтиво

❗️ Понравилась тема поста и хотел бы продолжения? — 👍

#V8 #Chrome #Exploit #JavaScript #BugHunting | 🧑‍💻 Этичный хакер

👀 В Китае стали внедрять ИИ для офисных сотрудников

А работает это так: в момент того, когда сотрудник покидает своё рабочее место ИИ-камеры начинают отсчёт времени. Этот отрезок либо вычитается из зарплаты, либо его нужно дополнительно отработать в сверхурочное время.

Офисные работяги в РФ, напряглись?

#News #AI #Cyberpunk | 🧑‍💻 Этичный хакер

😈 Эксплойтинг браузера Chrome, часть 2: знакомство с Ignition, Sparkplug и компиляцией JIT в TurboFan

В этом посте мы углубимся в исследование конвейера компилятора V8. Изучим предназначение Ignition, Sparkplug и TurboFan в конвейере и рассмотрели такие темы, как байт-код V8, компиляция и оптимизация кода.

— Если вы ещё не прочли предыдущий пост, то крайне рекомендуем это сделать. В противном случае вы можете запутаться, поскольку мы продолжаем изучение на основе знаний из первой части, расширяя их.

🗣 Ссылка на чтиво

❗ Тебе понравилась тема поста и хотел бы увидеть заключительную часть? — 👍

#V8 #Chrome #Exploit #JavaScript #BugHunting | 🧑‍💻 Этичный хакер

😈 Microsoft построит суперкомпьютер за 100 млрд. $

Microsoft разрабатывает суперкомпьютер стоимостью 100 миллиардов долларов, который получил условное название "Stargate". Этот проект призван обеспечить работу следующего поколения систем искусственного интеллекта от OpenAI.

Считается, что "Stargate" станет пятой и заключительной стадией совместного плана Microsoft и OpenAI по строительству нескольких суперкомпьютеров на территории Соединенных Штатов.

— По слухам, этот компьютер станет одним из самых крупных и передовых центров обработки данных в мире 📖

#News #AI #Microsoft #OpenAI | 🧑‍💻 Этичный хакер

😈 Эксплойтинг браузера Chrome, часть 3: анализ и эксплойт уязвимости CVE-2018-17463

В этой части сосредоточимся на анализе и эксплойтинге уязвимости JIT-компилятора в TurboFan CVE-2018-17463. Эта уязвимость возникла из-за ненадлежащего моделирования побочных эффектов операции JSCreateObject на этапе понижающей оптимизации.

— Прежде чем мы приступим к эксплойтингу этого бага, нужно изучить фундаментальные примитивы эксплойтинга браузеров, такие как addrOf и fakeObj, а также узнать, как можно использовать этот баг для эксплойтинга type confusion.

🗣 Ссылка на чтиво

‼️ Это заключительная часть серии статьей про эксплойтинг браузера Chrome, если понравилось — ставь 👍

#V8 #Chrome #Exploit #JavaScript #BugHunting | 🧑‍💻 Этичный хакер

😈 Podcast: подборка RedTeam-подкастов

Подготовили для вас самые стоящие подкасты, в формате взгляда со стороны атакующих, будет интересно для багхантеров и всех, кому интересны свежие уязвимости и методы эксплуатации.

— Подборка состоит по большей части из англоязычного контента, ибо спустя много лет неспешного развития русскоязычный подкастинг все еще остается нишевым сектором, которому не хватает внимания 😢

1. Day[0] — еженедельный подкаст для багхантеров, разработчиков эксплойтов и всех, кому интересны свежие уязвимости и методы их эксплуатации.
2. The Hacks — дуэт хакеров рассказывает про кибербезопасность, DevSecOps, SecOps, DevOps, автоматизацию инфраструктуры, сетевую автоматизацию и открытый исходный код.
3. Cyber Sector 7, OSINT, Hacking, & Privacy — советы по безопасности, цифровой конфиденциальности, OSINT, а также рассказы о хакерских методах, новостях и культуре.
4. The Hacker Factory — Филипп Уайли и его гости обсуждают и раскрывают «секреты» профессионального хакерства — таинственного, интригующего и часто неправильно понимаемого занятия.
5. Black Hills Information Security — каждую неделю команда пентестеров рассказывает о последних атаках, взломах, их причинах и следствиях.

❗ Также прикрепляю другие полезные материалы по теме:
- GitHub: Ресурсы по информационной безопасности
- Podcast: подборка ИБ-подкастов

#Podcast #ИБ #OSINT #DevSecOps #RedTeam | 🧑‍💻 Этичный хакер

😈 Google удалит миллиарды записей данных: режим «инкогнито» стал причиной нового иска

Google взяла на себя обязательство удалить миллиарды записей данных, собранных в режиме инкогнито браузера 🖥 Chrome. Такое решение стало частью урегулирования коллективного иска о незаконном отслеживании действий пользователей в режиме инкогнито в браузере Chrome.

— В 2020 году против Google был подан коллективный иск на $5 миллиардов за сбор данных пользователей. Google отстаивала свою позицию, утверждая, что в режиме «Инкогнито» на сайтах и так собираются данные, но это не было указано в самом описании режима 🎥

#News #Google #Spy | 🧑‍💻 Этичный хакер

😈 Секретные данные разведки США в сети: IntelBroker снова наносит удар

Группировка утверждает, что взломала Acuity, она предоставляет услуги в области DevSecOps и кибербезопасности для федеральных заказчиков в сфере национальной безопасности.

Представитель Госдепа подтвердил, что ведомство знает о заявлениях киберпреступника и в настоящее время ведется расследование инцидента.

— IntelBroker утверждает, что украденные файлы содержат секретные данные разведывательного альянса Five Eyes. По утверждениям хакера, в утечке данных присутствуют: полные имена; электронные адреса; офисные и личные номера телефонов сотрудников правительства; военных и сотрудников Пентагона

❗️ Five Eyes — это разведывательный альянс англосаксонских стран, в который входят США, Соединенное Королевство, Австралия, Канада и Новая Зеландия.

#News #Leaks | 🧑‍💻 Этичный хакер

😈 Обновите браузер: хакеры помогли Google исправить 0day в Chrome

Google устранил критическую уязвимость в браузере Chrome, которая была обнаружена в ходе соревнования Pwn2Own 2024 в Ванкувере. Уязвимость CVE-2024-3159 связана с ошибкой чтения за пределами границ памяти (Out-of-bounds) в движке JavaScript V8 и может привести к несанкционированному доступу к данным или сбоям в работе браузера.

— Исследователи из Palo Alto Networks Эдуард Бошин и Тао Ян продемонстрировали эксплуатацию уязвимости на конкурсе, успешно обойдя защиту движка V8 с помощью сложной атаки, что позволило им выполнить произвольный код в браузерах Google Chrome и Microsoft Edge.

❗ Также прикрепляю другие полезные материалы по теме #V8:
- Эксплойтинг браузера Chrome, часть 1: введение в V8 и внутреннее устройство JavaScript
- Эксплойтинг браузера Chrome, часть 2: знакомство с Ignition, Sparkplug и компиляцией JIT в TurboFan
- Эксплойтинг браузера Chrome, часть 3: анализ и эксплойт уязвимости CVE-2018-17463

#News #Chrome #CVE #0day #V8 | 🧑‍💻 Этичный хакер

😈 Пентест корпоративной сети: о пользе своевременных патчей Microsoft AD

В этом посте поделюсь с вами историей из практики, которая наглядно покажет, к каким быстрым и катастрофическим последствиям может привести задержка с установкой патчей для серверного ПО.

— В работе нередко сталкиваются с уязвимостями, связанными с важнейшим компонентом корпоративных версий Microsoft Windows Server — средой Active Directory (AD). Из этого материала вам станет ясно, насколько быстро основной механизм, обеспечивающий разграничение прав пользователей в AD, может превратиться в главную дыру в обороне 😔

🗣 Ссылка на чтиво

❗ Также прикрепляю другие полезные материалы по теме #AD:
- Kerberos: руководство для пентестеров
- Атаки на Active Directory: полное руководство

#AD #Win #CVE #mimikatz #DCSync | 🧑‍💻 Этичный хакер