🛠 Фишка инструмента: Lulzbuster

Lulzbuster — это максимально быстрый инструмент для перебора директорий и файлов, написанный на C. Без лишнего софта, в один бинарь — и уже летит.

Какие возможности:

— Поиск скрытых директорий и файлов, на которые нет ссылок

— Фильтрация по статус-кодам, длине, редиректам

— Поддержка прокси, многопоточности и wordlist’ов с расширениями

— Умный режим (-S) для устранения мусора и фолсов

— Поддержка логирования и output в stdout или файл

Пример:

lulzbuster -u https://target.com -w common.txt -x php,zip,bak -t 40 -S

Подходит для багбаунти, внутреннего аудита и CTF 👍

🔗 GitHub проекта

🐸 Библиотека хакера

#буст

🦀 ТОП-5 инструментов для статического анализа

Эти инструменты помогут вам поддерживать высокое качество кода, повысить безопасность и минимизировать количество багов на ранних стадиях разработки.

➡️ SonarQube

Платформа для анализа качества кода, которая находит баги, уязвимости и нарушенные стандарты безопасности, улучшая защищенность приложения.

➡️ Semgrep

Инструмент для поиска уязвимостей с помощью паттернов в коде. Поддерживает более 30 языков и помогает быстро обнаруживать небезопасные практики.

➡️ Checkstyle

Линтер для Java, который анализирует стиль и безопасность кода, помогает выявлять уязвимости, например, неправильные уровни доступа или устаревшие библиотеки.

➡️ Cppcheck

Инструмент для C/C++, который обнаруживает ошибки и уязвимости, не выявляемые компиляторами, и помогает повышать безопасность кода на низком уровне.

➡️ PMD

Инструмент для поиска багов и уязвимостей, таких как неправильная обработка исключений или небезопасный доступ, с поддержкой различных языков программирования.

🐸 Библиотека хакера

#свежак

😀 Неправильная настройка сессий на сервере

Вы тестируете веб-приложение, использующее cookies для хранения сессионных данных. При проверке настроек cookies вы обнаруживаете, что следующие параметры сессии настроены неправильно:

➖ Secure — cookie не имеет этого флага, что позволяет передавать его по небезопасному HTTP-соединению.

➖ HttpOnly — флаг не установлен, что позволяет доступ к cookie через JavaScript, делая его уязвимым для XSS-атак.

➖ SameSite — не задано значение для этого параметра, что может привести к утечке сессионных данных при кросс-сайтовых запросах.

➖ Expires/Max-Age — cookie имеют слишком длинный срок действия, что может позволить сессии оставаться активными после истечения времени сессии.

❓ Что является основной угрозой в этой конфигурации?

🐸Библиотека хакера

#междусобойчик

🤑 Топ-вакансий для хакеров за неделю

Главный инженер-эксперт по ИБ — офис (Москва)

Системный инженер (пентест) — удаленно (Екатеринбург)

Старший инженер SOC — от 195 000 ₽, удаленно (Москва)

Pentest/Appsec Specialist — от 3 000 до 4 500 $, удаленно (Тбилиси)

Специалист по ИБ (SOC) — от 250 000 ₽, удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак