#Wordlists
• A collection of wordlists for many different usages. They are sorted by their content. Feel free to request to add new wordlists.
• https://github.com/kkrypt0nn/wordlists
• A collection of wordlists for many different usages. They are sorted by their content. Feel free to request to add new wordlists.
• https://github.com/kkrypt0nn/wordlists
GitHub
GitHub - kkrypt0nn/wordlists: 📜 A collection of wordlists for many different usages
📜 A collection of wordlists for many different usages - kkrypt0nn/wordlists
Awesome #SOC.
• A collection of sources of documentation, and field best practices, to build and run a SOC (including CSIRT).
• https://github.com/cyb3rxp/awesome-soc
• A collection of sources of documentation, and field best practices, to build and run a SOC (including CSIRT).
• https://github.com/cyb3rxp/awesome-soc
GitHub
GitHub - cyb3rxp/awesome-soc: A collection of sources of documentation, as well as field best practices, to build/run a SOC
A collection of sources of documentation, as well as field best practices, to build/run a SOC - cyb3rxp/awesome-soc
Forwarded from Поросёнок Пётр
Вышло снова неплохое интервью с Nagli в качестве приглашенного гостя. Чел максимально быстро сколотил свой 1м$ на bug bounty. По сути за два года на HackerOne он сделал это. Некоторые мои читатели восхищаются такими людьми до безумия, думая о невероятных скилах, пытаясь прорешать все лабы бурпа и пройти все сертификации offensive security. Просто чтоб быть успешным багхантером, но забывая важные моментики о таких людях как nagli. Так что это за моментики такие?!
Не секрет что чел мутил баги на автоматизации. В особенности на мисконфигах aws dns. У него точно есть вариации обхода даже текущих ограничений aws. Что позволяет бесконечно собирать subdomain takeover. Причем у него там нет талантливой автоматизации и кучи сложностей, или диких рисёрчей. Он просто берет все опенсорсные штуки (amass, axiom, nuclei), склеивает их в правильную цепочку и сканить 24/7. А результаты хранит в txt файлах разложенных по папочкам! Никаких mongodb, mysql и прочих приколов.
На вопросы о хаккинге конкретных таргетов с конкретными приложениями он уклончиво отметил что не занимается подобным. Ну, а внимательный слушатель заметит что чувак прибегает к помощи разрабов с upwork, конвертит и связывает какой-то код через chatgpt и делает много коллабораций просто из-за того что у него много приватных программ и он умеет сканить клауд. И всякие рисёрчеры несут ему готовые 0day/1day под монетизацию через бб.
Собственно передаю привет “правильным ребятам”, которые на бб читают “скоуп”. Вот этот чел максимально никогда не читает и просто сканит в wild scope, в попытках выцепить крит. Правильно это или нет - сказать сложно. Но лям на счету у него, а не у вас 😉
И я ни коим образом не хочу принизить его заслуги и результаты. Я свой лям к сожалению еще пока не наскрёб. Но хочу лишний раз напомнить амбициозным хакерам, что пока вы читаете описание скоупа - кто-то сабмитить багу вне скоупа, которую при должном импакте скорее всего оплатят. Пока вы решаете лабы чтоб стать крутым багхантером - обычный парниша забирает свой очередной ревард за публичный трелло борд или скулю(которую вы конечно считаете что уже никак не найти ведь технологии шагнули в будущее).
Такие дела.
Не секрет что чел мутил баги на автоматизации. В особенности на мисконфигах aws dns. У него точно есть вариации обхода даже текущих ограничений aws. Что позволяет бесконечно собирать subdomain takeover. Причем у него там нет талантливой автоматизации и кучи сложностей, или диких рисёрчей. Он просто берет все опенсорсные штуки (amass, axiom, nuclei), склеивает их в правильную цепочку и сканить 24/7. А результаты хранит в txt файлах разложенных по папочкам! Никаких mongodb, mysql и прочих приколов.
На вопросы о хаккинге конкретных таргетов с конкретными приложениями он уклончиво отметил что не занимается подобным. Ну, а внимательный слушатель заметит что чувак прибегает к помощи разрабов с upwork, конвертит и связывает какой-то код через chatgpt и делает много коллабораций просто из-за того что у него много приватных программ и он умеет сканить клауд. И всякие рисёрчеры несут ему готовые 0day/1day под монетизацию через бб.
Собственно передаю привет “правильным ребятам”, которые на бб читают “скоуп”. Вот этот чел максимально никогда не читает и просто сканит в wild scope, в попытках выцепить крит. Правильно это или нет - сказать сложно. Но лям на счету у него, а не у вас 😉
И я ни коим образом не хочу принизить его заслуги и результаты. Я свой лям к сожалению еще пока не наскрёб. Но хочу лишний раз напомнить амбициозным хакерам, что пока вы читаете описание скоупа - кто-то сабмитить багу вне скоупа, которую при должном импакте скорее всего оплатят. Пока вы решаете лабы чтоб стать крутым багхантером - обычный парниша забирает свой очередной ревард за публичный трелло борд или скулю(которую вы конечно считаете что уже никак не найти ведь технологии шагнули в будущее).
Такие дела.
YouTube
Gal Nagli: The Israeli Million-Dollar Hacker (Ep. 15)
In this episode of Critical Thinking - Bug Bounty Podcast we talk with the latest Million-Dollar bug bounty hunter: @naglinagli . He talks about his climb from $1,000 in bounties to $1,000,000, recon tips and tricks, and some bug reports that made the news…
• https://securelist.ru/google-play-threats-on-the-dark-web/107277/
#Отчет #Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
securelist.ru
Рынок угроз для Google Play: обзор предложений в даркнете
«Лаборатория Касперского» изучила предложения в даркнете, связанные со зловредами для Android и их распространением через Google Play: взломанные аккаунты разработчиков, вредоносные загрузчики и т. д.
uriDeep.
• Unicode encoding attacks with machine learning. Tool based on machine learning to create amazing fake domains using confusables. Some domains can deceive IDN policies (Chrome & Firefox).
• https://github.com/mindcrypt/uriDeep
• Unicode encoding attacks with machine learning. Tool based on machine learning to create amazing fake domains using confusables. Some domains can deceive IDN policies (Chrome & Firefox).
• https://github.com/mindcrypt/uriDeep
GitHub
GitHub - mindcrypt/uriDeep: Unicode encoding attacks with machine learning
Unicode encoding attacks with machine learning. Contribute to mindcrypt/uriDeep development by creating an account on GitHub.
Techniques In Email Forensic Analysis.
https://digitalinvestigator.blogspot.com/2022/11/techniques-in-email-forensic-analysis.html
https://digitalinvestigator.blogspot.com/2022/11/techniques-in-email-forensic-analysis.html
Digital Investigator
Techniques In Email Forensic Analysis
This post attempts to illustrate email architecture
from a forensics perspective. It further describes techniques employed in email forensic analysis
from a forensics perspective. It further describes techniques employed in email forensic analysis
🔖 PowerShell Obfuscation Bible.
• A collection of techniques, examples and a little bit of theory for manually obfuscating PowerShell scripts to achieve AV evasion, compiled for educational purposes. The contents of this repository are the result of personal research, including reading materials online and conducting trial-and-error attempts in labs and pentests. You should not take anything for granted.
🧷 https://github.com/t3l3machus/PowerShell-Obfuscation-Bible
#PowerShell
• A collection of techniques, examples and a little bit of theory for manually obfuscating PowerShell scripts to achieve AV evasion, compiled for educational purposes. The contents of this repository are the result of personal research, including reading materials online and conducting trial-and-error attempts in labs and pentests. You should not take anything for granted.
🧷 https://github.com/t3l3machus/PowerShell-Obfuscation-Bible
#PowerShell
GitHub
GitHub - t3l3machus/PowerShell-Obfuscation-Bible: A collection of techniques, examples and a little bit of theory for manually…
A collection of techniques, examples and a little bit of theory for manually obfuscating PowerShell scripts to achieve AV evasion, compiled for educational purposes. The contents of this repository...
🔖 Cheatsheet - 15 Methods to Bypass 2FA Mechanism.
• https://rashahacks.com/bypass-2fa-mechanism/
#Cheatsheet
• https://rashahacks.com/bypass-2fa-mechanism/
#Cheatsheet
rashahacks
Cheatsheet - 15 Methods to Bypass 2FA Mechanism
In 2-Factor Authentication, when a user enters his password with the intention to log in the web application sends a temporary code to the user’s verified email address and when the user enters the code only then he will be able to interact with his account.…
• #Security Research.
• This project hosts security advisories and their accompanying proof-of-concepts related to research conducted at Google which impact non-Google owned code.
• https://github.com/google/security-research
• This project hosts security advisories and their accompanying proof-of-concepts related to research conducted at Google which impact non-Google owned code.
• https://github.com/google/security-research
GitHub
GitHub - google/security-research: This project hosts security advisories and their accompanying proof-of-concepts related to research…
This project hosts security advisories and their accompanying proof-of-concepts related to research conducted at Google which impact non-Google owned code. - google/security-research
Необычные методы заражения. Часть 2.
Методы заражения, используемые червем RapperBot на базе Mirai, стилером Rhadamantys и загрузчиком CUEMiner: умный подбор паролей, вредоносная реклама и распространение через BitTorrent и OneDrive.
#Отчет
Методы заражения, используемые червем RapperBot на базе Mirai, стилером Rhadamantys и загрузчиком CUEMiner: умный подбор паролей, вредоносная реклама и распространение через BitTorrent и OneDrive.
#Отчет
securelist.ru
Отчет «Лаборатории Касперского» о киберугрозах: необычные методы заражения
Методы заражения, используемые червем RapperBot на базе Mirai, стилером Rhadamantys и загрузчиком CUEMiner: умный подбор паролей, вредоносная реклама и распространение через BitTorrent и OneDrive.
A curated list of bugbounty writeups (Bug type wise)
https://github.com/devanshbatham/Awesome-Bugbounty-Writeups#cross-site-scripting-xss
https://github.com/devanshbatham/Awesome-Bugbounty-Writeups#cross-site-scripting-xss
GitHub
GitHub - devanshbatham/Awesome-Bugbounty-Writeups: A curated list of bugbounty writeups (Bug type wise) , inspired from https:…
A curated list of bugbounty writeups (Bug type wise) , inspired from https://github.com/ngalongc/bug-bounty-reference - devanshbatham/Awesome-Bugbounty-Writeups
offsec.tools• A vast collection of security tools for bug bounty, pentest and red teaming
• https://offsec.tools
#infosec
offsec.tools
offsec.tools - A vast collection of security tools
A vast collection of security tools for bug bounty, pentest and red teaming
NetAtlas C2 Server Search.
• C2 Search Netlas is a Java utility designed to detect Command and Control (C2) servers using the Netlas API. It provides a straightforward and user-friendly CLI interface for searching C2 servers, leveraging the Netlas API to gather data and process it locally.
• https://github.com/michael2to3/c2-search-netlas
#infosec
• C2 Search Netlas is a Java utility designed to detect Command and Control (C2) servers using the Netlas API. It provides a straightforward and user-friendly CLI interface for searching C2 servers, leveraging the Netlas API to gather data and process it locally.
• https://github.com/michael2to3/c2-search-netlas
#infosec
GitHub
GitHub - michael2to3/c2-search-netlas: Search for c2 servers based on netlas
Search for c2 servers based on netlas. Contribute to michael2to3/c2-search-netlas development by creating an account on GitHub.