Каналы про IT делятся на 2 типа:
1. Выучи Python, JavaScript и C++ за 0,0001 секунды просто читая наш канал…
2. Хочешь читать переписки бывшей? Хакер из канала "Взлом Жопы" рассказывает как скачать Tor…
Но среди копипастных статей и мусора есть реально годный проект айтишника, работавшего 9 лет в ИБ — Пакет Безопасности.
Внутри узнаете когда наступит эра без паролей, почему 2022 стал годом утечек персональных данных и как не оказаться жертвой новой схемы интернет-скама.
Подпишитесь, злоумышленники не дремлют: @package_security
1. Выучи Python, JavaScript и C++ за 0,0001 секунды просто читая наш канал…
2. Хочешь читать переписки бывшей? Хакер из канала "Взлом Жопы" рассказывает как скачать Tor…
Но среди копипастных статей и мусора есть реально годный проект айтишника, работавшего 9 лет в ИБ — Пакет Безопасности.
Внутри узнаете когда наступит эра без паролей, почему 2022 стал годом утечек персональных данных и как не оказаться жертвой новой схемы интернет-скама.
Подпишитесь, злоумышленники не дремлют: @package_security
👍9😁4🤡4
📚 Коллекция активов публичных Bug Bounty программ
Репозиторий включают в себя поддомены, URL-адреса, веб-серверы, облачные ресурсы и многие другие данные о публичных Bug Bounty программах.
Удобно использовать для автоматизированного сканирования или когда нужно быстро вкатиться в новую программу.
⏺ Ссылка на GitHub
#Web #Recon
Репозиторий включают в себя поддомены, URL-адреса, веб-серверы, облачные ресурсы и многие другие данные о публичных Bug Bounty программах.
Удобно использовать для автоматизированного сканирования или когда нужно быстро вкатиться в новую программу.
#Web #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤3
📚 Подборка полезных ресурсов по ИБ
Отобранный список ресурсов и статей, которые помогут багхантерам и специалистам по безопасности найти материалы, полезные во время их путешествия по поиску уязвимостей.
⏺ Ссылка на ресурс
#Web
Отобранный список ресурсов и статей, которые помогут багхантерам и специалистам по безопасности найти материалы, полезные во время их путешествия по поиску уязвимостей.
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
📚 Сборник методов получения RCE в различных приложениях
Целью этого проекта является предоставление базы знаний обо всех методах достижения удаленного выполнения кода (RCE) в различных приложениях.
Все эти методы также поставляются с тестовой средой (обычно образом Docker), чтобы вы могли попрактиковаться в их применении.
⏺ Ссылка на GitHub
#Web #RCE
Целью этого проекта является предоставление базы знаний обо всех методах достижения удаленного выполнения кода (RCE) в различных приложениях.
Все эти методы также поставляются с тестовой средой (обычно образом Docker), чтобы вы могли попрактиковаться в их применении.
#Web #RCE
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
🔎 Инструмент для сканирования пользовательских данных с помощью нейронных сетей
Octopii - это сканер пользовательской информации на базе искусственного интеллекта, который использует Tesseract’s Optical Character Recognition (OCR) и модель сверточной нейронной сети MobileNet (CNN).
Позволяет обнаружить различные формы правительственных удостоверений личности, паспортов, дебетовых карт, водительских прав, фотографий, подписей и т. д.
Подробное описание и примеры работы с инструментов вы можете посмотреть в блоге авторов.
⏺ Ссылка на инструмент
#Redteam
Octopii - это сканер пользовательской информации на базе искусственного интеллекта, который использует Tesseract’s Optical Character Recognition (OCR) и модель сверточной нейронной сети MobileNet (CNN).
Позволяет обнаружить различные формы правительственных удостоверений личности, паспортов, дебетовых карт, водительских прав, фотографий, подписей и т. д.
Подробное описание и примеры работы с инструментов вы можете посмотреть в блоге авторов.
#Redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤2
📱 Шпаргалка по взлому мобильных приложений
Репозиторий с обобщенным набором информации об инструментах и командах, необходимых для оценки безопасности мобильных приложений Android и iOS.
⏺ Ссылка на GitHub
#iOS #Android
Репозиторий с обобщенным набором информации об инструментах и командах, необходимых для оценки безопасности мобильных приложений Android и iOS.
#iOS #Android
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍1
⚙️ Инструмент для сбора поддоменов из списка IP-адресов
Ещё один инструмент, который может позволить вам найти новые поддомены во время фазы разведки.
hakip2host получает на входе список IP-адресов, а затем выполняет ряд проверок, чтобы найти связанные имена хостов, а именно поиск по PTR, CN и SAN из SSL сертификатов.
⏺ Ссылка на GitHub
#Web #Recon
Ещё один инструмент, который может позволить вам найти новые поддомены во время фазы разведки.
hakip2host получает на входе список IP-адресов, а затем выполняет ряд проверок, чтобы найти связанные имена хостов, а именно поиск по PTR, CN и SAN из SSL сертификатов.
#Web #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
🧬 Руткит для Windows 10/11
Cronos - это руткит Windows 10/11 x64 Ring 0. Умеет скрывать процессы, защищать и повышать их с помощью манипуляций с токенами.
⏺ Ссылка на GitHub
#Redteam #Malware
Cronos - это руткит Windows 10/11 x64 Ring 0. Умеет скрывать процессы, защищать и повышать их с помощью манипуляций с токенами.
#Redteam #Malware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤5
Предлагаем ознакомиться с самыми интересными проектами Telegram в сфере информационной безопасности:
➡️ Dark Mycroft — темная сторона корпоративной разведки. Все, что вы хотели узнать про Даркнет, но боялись спросить.
➡️ OSINT | Форензика — Русскоязычное сообщество по обсуждению OSINT и Форензики. На канале ежедневно публикуются методики, инструменты и новости сферы.
➡️ Max Open Source — Полезные статьи и бесплатные курсы по этическому хакингу, пентесту, программированию и информационным технологиям.
➡️ White2Hack — Этичный хакинг и защита своих данных. Статьи, курсы, тулзы, обзоры.
➡️ infosec — уникальная литература для хакеров и ИБ специалистов любого уровня и направления.
➡️ Dark Mycroft — темная сторона корпоративной разведки. Все, что вы хотели узнать про Даркнет, но боялись спросить.
➡️ OSINT | Форензика — Русскоязычное сообщество по обсуждению OSINT и Форензики. На канале ежедневно публикуются методики, инструменты и новости сферы.
➡️ Max Open Source — Полезные статьи и бесплатные курсы по этическому хакингу, пентесту, программированию и информационным технологиям.
➡️ White2Hack — Этичный хакинг и защита своих данных. Статьи, курсы, тулзы, обзоры.
➡️ infosec — уникальная литература для хакеров и ИБ специалистов любого уровня и направления.
👍12❤5👏2
⚙️ Инструмент для аудита безопасности GraphQL
GraphQL Cop - это небольшая утилита на Python для запуска общих тестов безопасности в API GraphQL. Имеет порядка 10 тестов для DoS, CSRF и утечек информации.
При обнаружении уязвимостей позволяет воспроизвести результаты, предоставляя команды для cURL.
⏺ Ссылка на GitHub
#Web #API
GraphQL Cop - это небольшая утилита на Python для запуска общих тестов безопасности в API GraphQL. Имеет порядка 10 тестов для DoS, CSRF и утечек информации.
При обнаружении уязвимостей позволяет воспроизвести результаты, предоставляя команды для cURL.
#Web #API
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11👾2
🦠 PEzor - инструмент с открытым исходным кодом для обхода антивирусных решений
Реализацию и принцип работы данного инструмента можно почитать в блоге автора.
⏺ Ссылка на GitHub
#Redteam #Malware
Реализацию и принцип работы данного инструмента можно почитать в блоге автора.
#Redteam #Malware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15👾2
🦠 HTTP ботнет на C++ с открытым исходным кодом
Uboat - PoC HTTP-ботнета, предназначенный для репликации реального боевого коммерческого ботнета.
Основная цель создания этого проекта состоит в том, чтобы помочь исследователям в области безопасности улучшить понимание устройства и работы коммерческих HTTP ботнетов.
⏺ Ссылка на GitHub
#Malware
Uboat - PoC HTTP-ботнета, предназначенный для репликации реального боевого коммерческого ботнета.
Основная цель создания этого проекта состоит в том, чтобы помочь исследователям в области безопасности улучшить понимание устройства и работы коммерческих HTTP ботнетов.
#Malware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13
⛓ icmpdoor - ICMP reverse shell, написанный на Python3
icmpdoor может туннелировать скрытый ICMP канал для управления скомпрометированной машиной. Более подробно про работу с инструментом можно ознакомиться в блоге автора.
Фильтрация ICMP трафика настраивается редко, что позволяет злоумышленникам обходить брандмауэры. В прошлом использование ICMP в качестве бэкдора совершалось по крайней мере одной APT (Advanced Persistent Threat) группой.
⏺ Ссылка на Github
#Redteam #Malware
icmpdoor может туннелировать скрытый ICMP канал для управления скомпрометированной машиной. Более подробно про работу с инструментом можно ознакомиться в блоге автора.
Фильтрация ICMP трафика настраивается редко, что позволяет злоумышленникам обходить брандмауэры. В прошлом использование ICMP в качестве бэкдора совершалось по крайней мере одной APT (Advanced Persistent Threat) группой.
#Redteam #Malware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13💩1
Pyrdp создан для проведения MITM атак на RDP и позволяет просматривать RDP-соединения в режиме реального времени или постфактум. Написан на Python3 и имеет открытый исходный код.
Более подробное описание работы можно прочитать в блоге авторов проекта.
#RDP #Python #MITM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14❤1💩1
С помощью инструмента php-jpeg-injector можно производить атаки на веб-приложения, которые запускают изображение .jpeg через графическую библиотеку PHP GD.
Инструмент создаёт новый .jpeg файл с полезной нагрузкой PHP. Зараженный .jpeg файл запускается через gd-библиотеку PHP. PHP интерпретирует полезную нагрузку, введенную в jpeg, и выполняет ее.
#Web #PHP
Please open Telegram to view this post
VIEW IN TELEGRAM
👍24🤔9🔥4
Для поиска SSRF на сайте можно воспользоваться инструментом под названием SSRFire. Просто укажите доменное имя сайта, адрес своего сервера (или Burp Collaborator) и ждите результатов.
Также есть опции для поиска XSS и Open Redirect. Для работы инструмента требуются установленные Python 3.7+ и GO.
#Web #XSS #SSRF
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14👎2
Представленный ниже репозиторий содержит подборку видео по тестированию веб-приложений на различные уязвимости. Для удобства, содержимое разбито на категории, в зависимости от типа атак и уязвимостей.
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16💩2🥰1
reconFTW - это инструмент, предназначенный для выполнения автоматизированного сбора информации о целевом домене, путем запуска наилучшего набора инструментов для выполнения сканирования и выявления уязвимостей.
Он объединяет в себе множество популярных инструментов, которые мы уже рассматривали на канале. Подробнее о работе данного инструменты вы можете узнать на GitHub, но будьте уверены, инструмент заслуживает вашего внимания. Ниже представлена схема его работы.
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14😁2
📑 Автоматизированный поиск конфиденциальных данных
Новый инструмент под названием back-me-up позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных выражений. Шаблоны в основном нацелены на данные с Wayback Machine.
⏺ Ссылка на GitHub
#Web
Новый инструмент под названием back-me-up позволяет проверить утечку конфиденциальных данных с помощью некоторых шаблонов/регулярных выражений. Шаблоны в основном нацелены на данные с Wayback Machine.
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4
Forwarded from Токсичная цифра
Уже на флажке РИФ-2023 заскочил на стенд к Авито. Там давали вкусное шампанское и сэндвичи, но любим мы их не за это.
На самом деле анонсировал их сессию про технологии и людей в ряду интересных сегодня. Потому что парням из Авито, в данном случае Андрею Рыбинцеву, всегда есть рассказать о технических решениях, а еще были Егор Бигун из билайновского клауда, Александр Дворянский из Ситроникса, Алексей Глотов из Tele 2 и Владимир Синельников из Aero.
И понятно, что в конечном счете все свелось к вопросам безопасности пользователей и того, как ее достигать. И вообще - реально ли, чтобы щит превзошел меч. Спойлер – нет.
Тезисов несколько.
1️⃣Безопасность – это скучно и сложно, поэтому геймификация и интуитивность – наше все. Владимир Синельников напомнил, как многократно повысило секьюрность внедрение Touch ID на смартфонах. Даже те люди, которые ранее не ставили на смартфоны пароль, потому что это лишние действия, установили Touch ID и начали его использовать, потому что это удобно и это WOW.
2️⃣Людей надо учить. Большинство, особенно старшего поколения, не всегда понимает уровень возможностей по защите с одной стороны, и уровень и близость угроз – с другой.
Полная безопасность недостижима, но ее всегда можно опустить до уровня приемлемого. Так, по словам Рыбинцева, на Авито число случаев фрода снизилось более чем в 60 раз за последние три года. В первую очередь за счет повышения стоимости атаки для злоумышленников.
3️⃣При этом, как отметил Алексей Глотов, мошенничество не является статичным. Поэтому даже системы искусственного интеллекта необходимо постоянно дообучать, чтобы они оставались актуальными и способными защищать пользователей. И здесь необходим постоянный фидбек от них.
4️⃣Самая эффективная безопасность – незаметная. Если же люди видят инструменты безопасности – они сопротивляются или ищут возможность срезать углы, отметил г-н Дворянский. Опять же г-н Рыбинцев привел пример мессенджера Авито, где в рамках банальной отправки сообщений и фото друг другу (был еще клевый тезис про то, что Авито – это дейтинг) используется машинный анализ переписки, отлов ссылок со спамом и на фишинг и многое другое. И все это абсолютно незаметно для пользователей. В результате большинство обычных людей реагируют на безопасность, только когда ее кто-то преодолевает.
Ну что тут скажешь, Андрей. Только так это обычно и работает.
На самом деле анонсировал их сессию про технологии и людей в ряду интересных сегодня. Потому что парням из Авито, в данном случае Андрею Рыбинцеву, всегда есть рассказать о технических решениях, а еще были Егор Бигун из билайновского клауда, Александр Дворянский из Ситроникса, Алексей Глотов из Tele 2 и Владимир Синельников из Aero.
И понятно, что в конечном счете все свелось к вопросам безопасности пользователей и того, как ее достигать. И вообще - реально ли, чтобы щит превзошел меч. Спойлер – нет.
Тезисов несколько.
1️⃣Безопасность – это скучно и сложно, поэтому геймификация и интуитивность – наше все. Владимир Синельников напомнил, как многократно повысило секьюрность внедрение Touch ID на смартфонах. Даже те люди, которые ранее не ставили на смартфоны пароль, потому что это лишние действия, установили Touch ID и начали его использовать, потому что это удобно и это WOW.
2️⃣Людей надо учить. Большинство, особенно старшего поколения, не всегда понимает уровень возможностей по защите с одной стороны, и уровень и близость угроз – с другой.
Полная безопасность недостижима, но ее всегда можно опустить до уровня приемлемого. Так, по словам Рыбинцева, на Авито число случаев фрода снизилось более чем в 60 раз за последние три года. В первую очередь за счет повышения стоимости атаки для злоумышленников.
3️⃣При этом, как отметил Алексей Глотов, мошенничество не является статичным. Поэтому даже системы искусственного интеллекта необходимо постоянно дообучать, чтобы они оставались актуальными и способными защищать пользователей. И здесь необходим постоянный фидбек от них.
4️⃣Самая эффективная безопасность – незаметная. Если же люди видят инструменты безопасности – они сопротивляются или ищут возможность срезать углы, отметил г-н Дворянский. Опять же г-н Рыбинцев привел пример мессенджера Авито, где в рамках банальной отправки сообщений и фото друг другу (был еще клевый тезис про то, что Авито – это дейтинг) используется машинный анализ переписки, отлов ссылок со спамом и на фишинг и многое другое. И все это абсолютно незаметно для пользователей. В результате большинство обычных людей реагируют на безопасность, только когда ее кто-то преодолевает.
Ну что тут скажешь, Андрей. Только так это обычно и работает.
👍7❤1