Life-Hack - Хакер

25 December 2024 14:17

haccking/YbvqtIuAAXh">Небезопасная загрузка файлов: полное руководство по поиску продвинутых уязвимостей при загрузке файлов

#web #bugbounty #статья #перевод

В наши дни большинство разработчиков осведомлены о небезопасных реализациях загрузки файлов, однако на практике всё ещё может случиться так, что будет внесена потенциальная уязвимость.

В этой статье мы рассмотрим как простые, так и продвинутые уязвимости загрузки файлов. Кроме того, мы уделим внимание особым случаям, которые могут быть использованы в специфических условиях.

haccking/YbvqtIuAAXh">Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

25 December 2024 09:11

Подборка сборников ресурсов по изучению BugBounty

#подборка #bugbounty #обучение #полезное

PwnAwan/Bug-Bounty-RoadMap

ashutoshshah1/Ethical-hacking-Roadmap

1ndianl33t/Bug-Bounty-Roadmaps

Thunderwolfistesting/A-Comprehensive-Bug-Bounty-Roadmap-

nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters

bobby-lin/study-bug-bounty

imanikchopra/cybersecurity-roadmap-bug-bounty

krishanthan4/Ethical-Hacking-Roadmap

bittentech/Bug-Bounty-Beginner-Roadmap

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

24 December 2024 10:15

DonPAPI

#Credentials #pentest #RedTeam

DPAPI (Data Protection API) - крипто интерфейс в Windows, который обеспечивает программам шифрование их сохраненных данных (пароли, cookie, токены и т.д.). Данный инструмент позволяет забрать необходимые данные удаленно в открытом виде.

Поддерживаемые данные:

• Chromium browser Credentials, Cookies and Chrome Refresh Token
• Windows Certificates
• Credential Manager
• Firefox browser Credentials and Cookies
• Mobaxterm Credentials
• MRemoteNg Credentials
• RDC Manager Credentials
• Files on Desktop and and Recent folder
• SCCM Credentials
• Vaults Credentials
• VNC Credentials
• Wifi Credentials

Life-Hack - Хакер

23 December 2024 18:16

Purple Team Exercise Framework (PTEF)

#PurpleTeam #полезное

Этот документ описывает, как создать и развить программу Purple Team, начиная с упражнений, вплоть до создания специализированной Purple Team. Упражнения Purple Team являются эффективным методом для проверки, измерения и повышения устойчивости вашей организации к реальной кибератаке. Purple Teaming сосредоточен на развитии сотрудничества в рамках всей вашей организации.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

23 December 2024 13:47

haccking/gmmVdkzDvvw">Охота Секретной службы за Джокером с вознаграждением в 10 миллионов долларов: Тимур Камилевич Шахмаметов

#статья #перевод #OSINT #SOCMINT

26 сентября 2024 года Офис прокурора США по Восточному округу Виргинии публично объявил о раскрытии обвинительного акта против Шахмаметова, гражданина России, который был обвинен в серьезных преступлениях, связанных с созданием и управлением «Joker’s Stash». Этот печально известный сайт связанный незаконной продаже данных украденных платежных карт. Согласно данным Секретной службы США, Joker’s Stash работал в огромных масштабах, ежегодно предоставляя информацию приблизительно о 40 миллионах украденных платежных картах. За время своей деятельности эта платформа стала одной из крупнейших в истории для торговли данными платежных карт. Аналитики оценивают, что прибыль, полученная от этой преступной операции, могла составить от $280 миллионов до более чем $1 миллиарда.

haccking/gmmVdkzDvvw">Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

22 December 2024 15:17

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Бесплатная платформа с открытым исходным кодом, используемая для предотвращения, обнаружения и реагирования на угрозы
3. С помощью инструмента можно производить атаки на веб-приложения
4. Полезные боты для OSINT и не только
5. Инструмент для создания поддельных веб-страниц, запрашивающих разрешение на доступ к геолокации пользователя
6. Бесплатный инструмент для идентификации авто по фото
7. Cоцинженерия на практике. Как подготовить и провести социотехнический пентест
8. Готовый к использованию ИИ-проект, который позволяет задавать вопросы о ваших документах, даже без подключения к Интернету

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

22 December 2024 09:11

🐐 Kubernetes Goat

#Kubernetes #pentest #admin

Популярный проект для изучения безопасности Kubernetes (более 20 сценариев). Большинство сценариев простые, что хорошо подойдет для общего понимания.

Ссылка на сайт проекта

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

21 December 2024 12:14

Необычный дуалбут: ноутбук с «двойным дном»

#статья #полезное

Как сделать, чтобы два жестких диска не видели друг друга? Чтобы вирус, попав на одну систему, никоим образом не мог заразить другую. Можно использовать полнодисковое шифрование, отключить диск в диспетчере устройств и даже поставить переключатель на питание. Но что если взглянуть на задачу совершенно с другого угла и сделать всё средствами самого HDD? Да-да, сегодня мы снова погружаемся в пучины модификации прошивок и реверс-инжиниринга!

Основная идея довольно простая — взять диск, скажем, на 320 гигов, переделать его в 160, а затем перед самым стартом некоторой командой “переключать” половинки. Тогда никто, в том числе и сам ПК, не будет подозревать, что на этом диске есть другая операционная система! Звучит легко, но попробуем на деле!

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

20 December 2024 13:51

Реверс-инжиниринг новой функции iOS Inactivity Reboot

#статья #RE #ios #apple

В iOS 18 появилась новая функция безопасности: перезагрузка бездействия (inactivity reboot). От чего она защищает и как работает? В этом посте мы рассмотрим все подробности вплоть до расширения ядра и Secure Enclave Processor.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

20 December 2024 09:11

Linguix

#AI #полезное

Бесплатная проверка грамматики на основе искусственного интеллекта, которая мгновенно улучшает ваш контент. Поможет создать безошибочный текст с помощью мощных функций, таких как проверка орфографии, проверка знаков препинания и перефразирование на основе искусственного интеллекта. Linguix предоставляет оценку качества контента и доступен в виде расширения для браузера.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

19 December 2024 09:11

Vehicle AI

#OSINT #photo #транспорт

Бесплатный инструмент для идентификации авто по фото. Определяет марку, модель, год выпуска и прочее, даже если на фото видно лишь часть автомобиля или качество изображения оставляет желать лучшего.

Ссылка на сервис

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

18 December 2024 09:11

Seeker

#OSINT #GPS

Инструмент для создания поддельных веб-страниц, запрашивающих разрешение на доступ к геолокации пользователя. При согласии на запрос, злоумышленник получает точные координаты устройства, такие как долгота и широта, а также дополнительную информацию, включая уникальный ID устройства, модель, операционную систему, IP-адрес и другие характеристики.

В отличие от обычных методов геолокации, которые используют только IP-адрес и дают приблизительное местоположение, Seeker использует GPS-данные, что позволяет получить более точную информацию, особенно на смартфонах.

Ссылка на инструмент.

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

17 December 2024 16:18

Эти боты помогут сделать пробив гораздо дешевле:

Физические лица, телефоны, почты:

Usеrbоx

Fun-stat-bot

Unamer

Бот который нельзя называть

OVERLOAD

TeleSINT

Quick OSINT

Zernerda

Leak OSINT

TgScanRobot

Крипта:

Onion Market — анонимный Р2Р-обменник для людей!

VPN

Life-Hack - Хакер

17 December 2024 09:11

PyRIT

#AI #ML #LLM

Инструмент Python Risk Identification Tool (PyRIT) для генеративного ИИ — это открытая автоматизированная платформа, которая помогает специалистам по безопасности и инженерам машинного обучения проактивно выявлять риски в их системах на основе генеративного ИИ.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

16 December 2024 13:15

Как мы обучали LLM для поиска уязвимостей в смарт-контрактах Solidity

#статья #solidity #LLM

Идея использовать LLM для анализа смарт-контрактов Solidity показалась крайне заманчивой. Загрузить код, запустить модель — и она сама находит уязвимости, генерирует отчет, а иногда даже предлагает исправления. Звучит отлично! Но, как показал мой опыт, между «звучит» и «работает» лежит огромная пропасть.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

25 December 2024 13:15

🎙 Финальный выпуск подкаста ОБИБЭ в этом году! 🎉

Говорят, всем, кто посмотрит или послушает этот эпизод, будет везти в 2025 году. Проверим?

❌ Без боя курантов и шампанского.
✅ С экспертной дискуссией о главных событиях 2024 года и трендах, которые будут определять кибербезопасность в ближайшие 365 дней.

В гостях у Владимира Дащенко, эксперта Kaspersky ICS CERT и ведущего подкаста – звёздный состав:
Алексей Новиков – Управляющий директор Positive Technologies;
Владимир Дрюков – Директор центра противодействия кибератакам Solar JSOC группы компаний «Солар»;
Александра Шадюк – Заместитель генерального директора Кибердома.

Обсуждаем:
Главные события в кибербезе в 2024 году
Закон о белых хакерах – примут?
Событие, которые не стереть из памяти!
Чего не хочется в новом году
Что бы вы попросили у Деда Мороза?

👉 ОБИБЭ снова с вами! Врываемся в Новый год с новыми силами! Переходите, смотрите и подписывайтесь, чтобы не пропустить новые выпуски 🚀

Смотреть подкаст на других видеохостингах

Реклама: АО "Лаборатория Касперского", ИНН 7713140469, erid: 2W5zFHX6KbW

Life-Hack - Хакер

24 December 2024 14:26

Продолжаем, погружаться в #Pentest с нашим новым бесплатным теоретическим курсом «Тестирование на проникновение"!

#статья@haccking #обучениеPentest@haccking

haccking/mJ0PsKmba50">Golden ticket

LH | Новости | OSINT | Курсы

Life-Hack - Хакер

24 December 2024 09:14

Как инфобез устроен внутри VK?

VK Security — новый канал от команды инфобез VK. Они делятся кейсами, рассказывают, как защищают огромные системы, и публикуют редкие вакансии.

Плюс можно узнать про их программу VK Bug Bounty и иногда зацепить анонсы мероприятий.

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

23 December 2024 17:16

😱 Ежегодно происходит более полутора миллиона киберпреступлений только по России. Microsoft, Яндекс, Мэйл одни из самых громких случаев в 2023 году. Компаниям необходимой защитники - это пентестеры, они взламывают сервера ищут в них уязвимости и делают это легально. За это им отлично платят, в среднем 140.000 руб, а порой и в несколько раз больше.

Если вы дочитали до этого места, значит вам интересна эта тема. Уже через несколько дней в Отусе стартует полностью обновленный курс “Пентест. Инструменты и методы проникновения в действии.”

Пройдя курс, вы получите:

1️⃣ Востребованность. Рынок веб-пентеста растет на 12% в год, что увеличит вашу ценность как специалиста.
2️⃣ Уникальные навыки. Научитесь думать как хакер и защищать свои продукты, а значит позволит решать более сложные задачи или сменить работу.
✅ Вы будете на практике отрабатывать навыки взлома и кибер-атак, используя виртуальные машины, освоите эскалацию привилегий в Windows и Linux, разберетесь в серверных уязвимостях и многом другом, даже в социальной инженерии в модуле Пентест человека.

Ну и самое вкусное для терпеливых (а без этого в пентесте никуда!) - скидка 20% по промокоду PENTEST12 (то есть ваша выгода 20850 руб!). 😃Чтобы получить скидку, надо пройти тест и доказать свои базовые навыки для обучения этой интересной профессии: https://vk.cc/cGmfwK

Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
ERID 2VtzqwWDbsx

Life-Hack - Хакер

23 December 2024 09:11

Diamorphine

#Linux #rootkit #malware #RedTeam

LKM rootkit для ядер Linux версий 2.6.x/3.x/4.x/5.x/6.x (x86/x86_64 и ARM64).

Ссылка на инструмент

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

22 December 2024 12:14

Плагин GReAT для IDA Pro от Kaspersky Lab

#RE #malware #IDA

В открытый доступ выложили плагин GReAT для декомпилятора IDA Pro — незаменимый набор инструментов для анализа вредоносного ПО, шеллкодов и т.д.

Ссылка на статью
Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

21 December 2024 15:53

Инструменты Red Team стали кошмаром правительств 10 стран

#RedTeam #APT29 #RDP

Хакерская группа APT29 (Midnight Blizzard) проводит атаки типа "человек посередине" (MiTM) через RDP с помощью инструмента PyRDP. Цели — кража данных, учетных записей и установка вредоносного ПО. Кампания направлена на правительственные, военные, ИТ- и телекоммуникационные организации в ряде стран, включая США, Францию, Германию и Украину.

У злоумышленников настроена масштабная инфраструктура из 193 прокси-серверов, перенаправляющих трафик на 34 контролируемых сервера. Для маскировки используются VPN, TOR и прокси.

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

21 December 2024 09:11

PrivateGPT

#AI #LLMs #полезное

Готовый к использованию ИИ-проект, который позволяет задавать вопросы о ваших документах с помощью мощи больших языковых моделей (LLMs), даже без подключения к Интернету.

Проект обеспечивает 100% конфиденциальность: никакие данные не покидают вашу среду выполнения.

Ссылка на GitHub

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

20 December 2024 12:44

🚀Открытый вебинар: "Обзор инструментов IAM, PAM и управления доступом".

❓На открытом уроке рассмотрим:

- Популярные инструменты IAM и PAM на рынке, их основные особенности и функциональные возможности;

- Методы интеграции инструментов IAM и PAM с другими системами информационной безопасности и инфраструктурой организации;

- Лучшие практики по управлению доступом и обеспечению безопасности информации в организации.

📚После занятий вы будете знать:

-Как выбирать наиболее подходящее решение для вашей организации;

- Создание единой и централизованной системы управления доступом;

- Создание стратегии, которая поможет предотвратить угрозы и минимизировать риски для вашей информации.

🔥Регистрируйтесь на урок 23 декабря, в 20:00 мск и получите скидку на большое обучение «Специалист по кибербезопасности облачных сред»: https://otus.pw/VtcL/?erid=LjN8KbYze

Реклама. ООО "ОТУС ОНЛАЙН-ОБРАЗОВАНИЕ". ИНН 9705100963.

Life-Hack - Хакер

19 December 2024 13:15

Cоцинженерия на практике. Как подготовить и провести социотехнический пентест

#SE #phishing #pentest #статья

Атаки с использованием социальной инженерии нынче стали чем-то обыденным и традиционным — как распространение вирусов или SQL-инъекции. Злоумышленники используют их для хищения средств, атак класса Advanced Persistent Threat (APT) и высокоэффективного проникновения в корпоративную сеть, даже когда другие способы преодоления периметра не дают результатов. Пентестеры и этичные хакеры выполняют социотехнические проверки как в виде самостоятельных работ, так и в рамках комплексного тестирования на проникновение.

Прежде всего, для успешного проведения большой и сложной атаки ее надо разделить на несколько этапов и последовательно решать маленькие задачи, чтобы успешно прийти к финишу. Этапы у нас будут следующие: разведка, подготовка, рассылка и разбор результатов.

Ссылка на статью.

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

18 December 2024 13:15

haccking/K1f5mUkHGr9">IDOR в cookie-сессии, приводящий к массовому захвату аккаунтов

#IDOR #web #bugbounty #перевод #статья

Если вы знакомы с концепцией IDOR (Insecure Direct Object Reference), то знаете, что эта уязвимость может быть где угодно: в URL, теле запроса, запросах GET или POST, а также в cookie.

Я участвовал в одной приватной программе. Сначала, я начал изучать логику работы приложения. Обычно это дает возможность (но не всегда), обнаружить много уязвимостей. Именно это и произошло у меня…

haccking/K1f5mUkHGr9">Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

18 December 2024 08:10

Анализ ландшафта угроз кибербезопасности за 2024 год 🛡

«Инфосистемы Джет» опубликовала аналитический отчет о киберугрозах, выявленных в 2024 году. Всего было зафиксировано более 10 тысяч инцидентов 💥 В отчете освещаются наиболее популярные векторы атак, а также рассматриваются ключевые тенденции и эволюция угроз в различных секторах экономики.

➡️ Основные выводы и ключевые цифры — в карточках, а полную версию исследования можно найти здесь.

Life-Hack - Хакер

17 December 2024 12:47

Системный подход к успешной сдаче OSCP 2024

#OSCP #pentest #статья

Широко известная в узких кругах организация «Offensive Security» является флагманом в области кибербезопасности, предлагая специалистам уникальные образовательные программы и сертификационные курсы, направленные на детальное погружение в сферу тестирования на проникновение.

Самой популярной и широко известной является сертификация Offensive Security Certified Professional (OSCP). В сентябре текущего года я успешно сдал экзамен и хочу поделиться опытом подготовки, а также рассмотреть совершенные ошибки.

Ссылка на статью

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

16 December 2024 17:05

Охота Секретной службы за Джокером с вознаграждением в 10 миллионов долларов: Тимур Камилевич Шахмаметов

#osint #socmint #осинт

Секретная служба США, совместно с Государственным департаментом США, предлагает серьезное вознаграждение до 10 миллионов долларов за информацию, которая приведет к аресту и/или осуждению Тимура Камилевича Шахмаметова.

26 сентября 2024 года Офис прокурора США по Восточному округу Виргинии публично объявил о раскрытии обвинительного акта против Шахмаметова, гражданина России, который был обвинен в серьезных преступлениях, связанных с созданием и управлением «Joker’s Stash». Этот печально известный сайт связанный незаконной продаже данных украденных платежных карт. Согласно данным Секретной службы США, Joker’s Stash работал в огромных масштабах, ежегодно предоставляя информацию приблизительно о 40 миллионах украденных платежных картах. За время своей деятельности эта платформа стала одной из крупнейших в истории для торговли данными платежных карт. Аналитики оценивают, что прибыль, полученная от этой преступной операции, могла составить от $280 миллионов до более чем $1 миллиарда.

Ссылка на материал

LH | Новости | Курсы | OSINT

Life-Hack - Хакер

16 December 2024 09:11

php-jpeg-injector - взлом с помощью картинки.

#Web #PHP #bugbounty

Полезная нагрузка PHP в изображении. С помощью инструмента можно производить атаки на веб-приложения. Инструмент создаёт .jpeg файл с полезной нагрузкой PHP. Зараженный .jpeg файл запускается через gd-библиотеку PHP. PHP интерпретирует полезную нагрузку, введенную в jpeg, и выполняет ее.

Ссылка на GitHub

LH | Новости | Курсы | OSINT