Life-Hack - Жизнь-Взлом
59K subscribers
1.19K photos
77 videos
18 files
7.71K links
Сообщество по информационной безопасности.
Статьи, гайды, обучения, рекомендации, обзоры, новости, подборки полезного софта!
#хакер #хакинг #Linux #OSINT
Наши каналы - @LifeHackmedia

По любым вопросам сюда - @Adm1nGmz
Download Telegram
Популярно о кибербезопасности. Что такое эксплойт нулевого дня?

Простым языком и общими фразами!

Одной из опаснейших современных вредоносных программ является эксплойт нулевого дня. Это особая форма вредоносного кода, использующая уязвимости, о которых разработчик программного обеспечения не знает. Такие «дыры» в программном коде называются уязвимостями нулевого дня.

Читать статью тут!

#обзор

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint
Ежемесячная подписка
Ваш вклад помогает развивать этот канал и делать его лучше.
Полезные ресурсы и базы данных для поиска уязвимостей:

- MITRE CVE — база данных, поисковик и классификатор уязвимостей;

- opencve.io — поисковик CVE с функционалом оповещений о новых угрозах;

- Vulnerability Database — ресурс для поиска информации об актуальных угрозах;

- sploitus — поисковик по эксплойтам и необходимым инструментам;

- CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени;

- GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности;

- Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения;

- Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг;

- osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации;

- security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом;

- Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint

#рекомендация
#рекомендации
Privacy-Infosec-Tools-Resources - полезные инструменты, которые помогут сохранить вашу конфиденциальность и приватность.

Вы можете найти ссылки на инструменты и ресурсы для обеспечения конфиденциальности и OPSEC. Многие из них я использую или использовал ранее, однако это не является каким-либо одобрением или рекомендацией.

Ссылка на GitHub

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint

#рекомендация
#рекомендации
php-static-analysis-tools — обширная коллекция инструментов для статического анализа PHP-кода.

Можно использовать для поиска багов, если удалось обеспечить доступ к исходным кодом исследуемого веб-приложения или в случае ресёрча опенсорсных проектов.

Ссылка на GitHub

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint

#рекомендация
#рекомендации
HACKTRONIAN - инструмент для пентеста, который нужен каждому хакеру.

- Сбор информации (Nmap, Setoolkit, Сканирование портов, Преобразование хоста в IP-адрес, Пользователь Wordpress, Сканер CMS, XSStrike, Google Dorks - Пассивный аудит уязвимостей, Сканирование пользователей сервера, Crips)

- Атаки на пароли (Cupp, Ncrack)

- Тестирование беспроводных сетей (reaver, pixiewps, Fluxion)

- Инструменты эксплуатации (ATSCAN, sqlmap, Shellnoob, commix, Автоматическое обход FTP, jboss-autopwn)

- Перехват и подделка трафика (Setoolkit, SSLtrip, pyPISHER, SMTP Mailer)

- Взлом веб-сайтов (Взлом Drupal, Inurlbr, Сканер Wordpress & Joomla, Сканер Gravity Form, Проверка загрузки файлов, Сканер уязвимостей Wordpress, Сканер плагинов Wordpress, Поиск файлов и каталогов, Удаленное выполнение кода в Joomla! 1.5 - 3.4.5, Удаленное выполнение кода в Vbulletin 5.X, BruteX - Автоматический перебор всех служб на целевом устройстве, Arachni - Каркас для сканирования веб-приложений на безопасность)

- Взлом частных веб-ресурсов (Получение всех веб-сайтов, Получение веб-сайтов Joomla, Получение веб-сайтов Wordpress, Поиск панелей управления, Поиск ZIP-файлов, Поиск загружаемых файлов, Получение пользователей сервера, SQli Сканер, Сканирование портов (диапазон портов), Сканирование портов (стандартные порты), Получение информации о сервере, Обход Cloudflare)

- Пост-эксплуатация (Проверка оболочки, POET, Weeman)

Ссылка на GitHub

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint

#рекомендация
#рекомендации
10 лучших инструментов для тестирования безопасности сайта на WordPress⁠⁠

WordPress - наиболее популярная платформа для создания веб-сайтов, однако ее популярность делает ее привлекательной целью для хакеров. Эффективное тестирование безопасности является ключом к защите вашего ресурса. Представляем топ-10 инструментов для аудита безопасности сайтов на WordPress.

1. Wordfence Security - мощный плагин безопасности, предлагающий функции сканирования на уязвимости, защиту от взлома и мониторинг трафика в реальном времени.

2. Sucuri Security - обеспечивает комплексное сканирование сайта на наличие вредоносного кода и уязвимостей, предлагает услуги по удалению вредоносного ПО и защиту от DDoS-атак.

3. iThemes Security - предлагает более 30 способов защиты сайта, включая двухфакторную аутентификацию и защиту от силовых атак.

4. All In One WP Security & Firewall - обладает удобным интерфейсом и предоставляет функции для повышения безопасности без замедления работы сайта.

5. BulletProof Security - защищает веб-сайты WordPress от более 100 000 известных уязвимостей, включая XSS, CSRF и SQL-инъекции.

6. WPScan - консольный инструмент, предназначенный для сканирования сайтов на WordPress в поисках уязвимостей. Его база данных содержит информацию о более чем 21 000 плагинов и тем.

7. Quttera Web Malware Scanner - проверяет сайт на ниличие обфускацит кода JS, эксплойтов, вредоносных iframe, инъекций вредоносного кода, обфускация вредоносного кода и т. д.

8. MalCare - определяет и удаляет вредоносный код без замедления работы сайта благодаря его уникальному алгоритму сканирования.

9. Astra Security Suite - предлагает полный спектр защиты сайтов на WordPress от взлома, включая брандмауэр, мониторинг безопасности и удаление вредоносного ПО.

10. Hide My WP - помогает скрыть факт использования WordPress как основы для сайта, тем самым уменьшая вероятность атак.

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint

#подборка
HackTools

Расширение браузера HackTools - это универсальный инструмент для команд Red Team веб-пентестеров. Оно облегчает проведение ваших тестов на проникновение в веб-приложения и включает в себя шпаргалки, а также все инструменты, используемые во время теста, такие как XSS-полезные нагрузки, обратные оболочки и многое другое.

С помощью этого расширения вам больше не нужно искать полезные нагрузки на различных веб-сайтах или в вашем локальном хранилище, большинство инструментов доступны в один клик. HackTools доступен либо в режиме всплывающего окна, либо в целой вкладке в разделе Devtools браузера с помощью клавиши F12.

Текущие функции:

- Генератор динамических обратных оболочек (PHP, Bash, Ruby, Python, Perl, Netcat)
- Спавнинг оболочки (спавнинг TTY Shell)
- Построитель MSF Venom
- XSS-полезные нагрузки
- Базовые SQLi-полезные нагрузки
- Полезные нагрузки для включения локальных файлов (LFI)
- Кодирование данных
- Обфускация файлов или информации
- Генератор хэшей (MD5, SHA1, SHA256, SHA512, SM3)
- Полезные команды Linux (перенаправление портов, SUID)
- RSS-лента (Exploit DB, Советы по безопасности Cisco, CXSECURITY)
- Поиск CVE-уязвимостей
- Различные методы эксфильтрации данных и загрузки с удаленного компьютера

Ссылка на GitHub

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint

#рекомендация
#рекомендации
Инструменты для усиления безопасности

Автоматизация процесса усиления защиты операционных систем (hardening) существенно повышает эффективность и надежность этого процесса. Различные инструменты и утилиты могут помочь в автоматизации задач hardening, упрощая управление безопасностью и сокращая риск человеческих ошибок.

Обзор 5-ти ключевых утилит для автоматического усиления защиты операционных систем:

1. OpenSCAP — это набор инструментов для автоматизации проверки соответствия, оценки, измерения и обеспечения безопасности согласно стандартам SCAP (Security Content Automation Protocol). OpenSCAP предоставляет возможности для сканирования систем на наличие уязвимостей и некорректных настроек безопасности, а также для применения исправлений.

2. Chef InSpec — это инструмент для автоматизированного тестирования и аудита конфигурации инфраструктуры с упором на безопасность. InSpec позволяет разработчикам и системным администраторам определять и проверять политики безопасности через код. Такая техника обеспечивает возможность непрерывного контроля соответствия системы установленным требованиям безопасности.

3. Puppet — инструмент для автоматического управления конфигурацией. Puppet использует декларативный язык для определения состояния системы, включая настройки безопасности, которые должны быть автоматически применены к целевым системам.

4. Ansible — это инструмент для автоматизации, который может использоваться для усиления защиты операционных систем путем автоматического развертывания конфигураций и настроек безопасности. С помощью Ansible можно управлять настройками безопасности на множестве систем, используя предопределенные плейбуки.

5. CIS Benchmarks — не являются утилитой в традиционном смысле, они представляют собой набор инструкций и руководств для усиления защиты различных операционных систем, разработанных Центром интернет-безопасности (Center for Internet Security, CIS).

Life-Hack - Linux/Хакинг/Хакер/ИБ/Osint

#рекомендация
#рекомендации
Forwarded from НеКасперский
Видеоняня

Владельцы умных камер видеонаблюдения непреднамеренно показали всем остальным пользователям свою личную жизнь.

Сбой в работе AWS перегрузил сервис умных камер Wyze из-за чего часть пользовательских данных оказалось повреждена. Как следствие, некоторые пользователи начали видеть миниатюры с камер других людей и даже получать уведомления о событиях на них.

Чтобы как-то улучшить ситуацию компания отключила раздел «События» — одну из основных функций своих умных камер. Кроме того, Wyze выкинуло пользователей из своих учёток, чтобы сбросить токены доступа.

Удивляться тут особенно нечему. В марте 2022 мы уже писали об уязвимостях в камерах компании, правда тогда удалённо можно было даже получить доступ к содержимому SD-карте устройства.

НеКасперский