🔎 gitGraber — инструмент для поиска утекших секретов в GitHub

gitGraber — open source-утилита для автоматического поиска утекших секретов в публичных GitHub-репозиториях. Инструмент анализирует коммиты, код и изменения в репозиториях и пытается обнаружить API-ключи, токены, пароли и другие чувствительные данные, случайно опубликованные разработчиками.

Такие утечки встречаются достаточно часто и могут привести к компрометации инфраструктуры, облачных сервисов и CI/CD-систем.

🌐 Основные возможности gitGraber
⏺️ Поиск секретов в GitHub — анализирует коммиты и код на наличие токенов, ключей и паролей.
⏺️ Поддержка множества сервисов — AWS, Google API, Slack, Stripe, Telegram, GitHub tokens и других.
⏺️ Фильтрация по ключевым словам — можно искать утечки, связанные с конкретной компанией или проектом.
⏺️ Автоматический мониторинг GitHub — инструмент способен отслеживать новые коммиты и изменения.
⏺️ Лёгкая интеграция — работает через GitHub API и может использоваться в OSINT-исследованиях.

⬇️ Установка

git clone https://github.com/hisxo/gitGraber.git
cd gitGraber
pip3 install -r requirements.txt

После установки инструмент можно запускать напрямую через Python.

⛓️‍💥 Базовый сценарий использования
Поиск утекших ключей по ключевому слову:

python3 gitGraber.py -k companyname

Инструмент будет искать коммиты и репозитории, где встречается указанное ключевое слово.

#osint #github #security #bugbounty #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

💻 Meg by tomnomnom — инструмент для массовых HTTP-запросов

meg — лёгкая CLI-утилита для массовой отправки HTTP-запросов к большому количеству целей. Инструмент разработан исследователем безопасности Tom Hudson (известным как tomnomnom) и широко используется в bug bounty, OSINT и web-разведке. Утилита позволяет быстро отправлять один и тот же HTTP-запрос на сотни или тысячи доменов, что особенно полезно при поиске уязвимостей, скрытых эндпоинтов и конфигурационных ошибок.

Основные возможности meg
▶️Массовые HTTP-запросы — отправка одного запроса сразу на большое количество хостов.
▶️ Работа с кастомными запросами — можно использовать подготовленный raw HTTP-запрос.
▶️Высокая скорость — оптимизирован для обработки больших списков целей.
▶️Разделение результатов — ответы сохраняются отдельно для каждой цели.
▶️Интеграция с другими инструментами — удобно комбинируется с инструментами из экосистемы tomnomnom.

⬇️ Установка
meg написан на Go, поэтому установить его можно через go install.

go install github.com/tomnomnom/meg@latest

После установки бинарник появится в $GOPATH/bin.

❓ Базовый сценарий использования
meg использует два основных входных файла:
⏺️список целей (targets)
⏺️HTTP-запрос (request)

👉 Пример списка целей

example.com
api.example.com
test.example.com

👉 Пример HTTP-запроса

GET /admin HTTP/1.1
Host: example.com
User-Agent: meg
Connection: close

👉 Запуск сканирования

meg request.txt targets.txt

Инструмент отправит указанный HTTP-запрос ко всем целям из списка.

👉 Пример с pipe
meg часто используется в цепочках recon-инструментов:

cat domains.txt | meg request.txt

#bugbounty #recon #websecurity #pentest #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Titus — быстрый сканер секретов в коде и Git

Titus — инструмент для поиска утёкших секретов: API-ключей, токенов, паролей и других учетных данных в исходном коде, файлах и Git-истории.

Сканер использует 487 правил детекции и поддерживает проверку найденных ключей через API сервисов, чтобы определить активны ли они

Основные возможности
📉 Поиск секретов в коде, файлах и Git-истории
📉 Высокая скорость благодаря Hyperscan / Vectorscan
📉 487 правил для обнаружения ключей популярных сервисов
📉 Проверка валидности найденных секретов
📉 Извлечение секретов из бинарных файлов (PDF, Office, архивы)
📉 Сканирование GitHub и GitLab репозиториев
🖱 Интеграция с Burp Suite и Chrome

⬇️Установка

git clone https://github.com/praetorian-inc/titus
cd titus
make build

⛓️‍💥Примеры использования
▶️Сканирование файла:

titus scan file.txt

▶️Сканирование директории:

titus scan ./project

▶️Сканирование Git-репозитория:

titus scan --git path/to/repo

▶️Проверка найденных секретов:

titus scan ./code --validate

Titus — быстрый и удобный инструмент для поиска утёкших API-ключей и токенов, который хорошо подходит для pentest, bug bounty и DevSecOps-процессов.

#pentest #bugbounty #devsecops #secretscanner

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

BruteForceAI - метод перебора с помощью нейросети🧠

BruteForceAI — это инструмент для тестирования на проникновение, который преобразует традиционные атаки методом перебора, интегрируя LLM для интеллектуального анализа форм. Инструмент автоматически идентифицирует селекторы форм входа в систему с помощью ИИ, а затем выполняет сложные многопоточные атаки с использованием моделей поведения, сходных с человеческими.

📐Основные особенности
📉Многопоточное выполнение с синхронизированными задержками
📉Режимы атаки «Брутфорс» и «Распыление паролей»
📉Имитация человеческого чувства времени с учетом дрожания и случайности
📉User-Agent для лучшего обхода защиты
📉Комплексное ведение журналов с использованием базы данных SQLite.

⬇️Установка:
0️⃣Клонирование репозитория:

git clone https://github.com/MorDavid/BruteForceAI

cd BruteForceAI/

1️⃣Установка зависимостей:

pip install -r requirements.txt

2️⃣Установка LLM модели:

curl -fsSL https://ollama.ai/install.sh | sh

ollama pull llama3.2:3b

Это всё бесплатно, не требует регистрации или API ключей

3️⃣Создаём список urls адресов:

vim urls.txt

➡️https://authenticationtest.com/simpleFormAuth/

⛓️‍💥Запуск:
➡️Анализ форм авторизации:

python BruteForceAI.py analyze --urls urls.txt --llm-provider ollama

➡️Исполнение атаки:

python BruteForceAI.py attack --urls urls.txt --username users.txt --passwords passwords.txt --threads 10

#pentest #bugbounty #bruteforce #AI

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

🧿 Sirius — мощный сканер уязвимостей и управления поверхностью атаки

Sirius — это современный open source-инструмент для автоматизированного сканирования уязвимостей, анализа инфраструктуры и управления атакуемой поверхностью (ASM). Он сочетает в себе функции сканера, менеджера активов и платформы для непрерывного мониторинга безопасности.

❗️ Основные возможности
➡️ Asset discovery — автоматическое обнаружение доменов, поддоменов и сервисов
➡️ Vulnerability scanning — поиск уязвимостей с использованием шаблонов и правил
➡️ Continuous monitoring — постоянное отслеживание изменений attack surface
➡️ Интеграция с Nuclei — использование шаблонов для глубокого сканирования
➡️ Управление активами — централизованный контроль найденных ресурсов
➡️ Масштабируемость — подходит для больших инфраструктур и команд

❓ Как работает Sirius
📉 Sirius объединяет несколько этапов анализа в единую систему:
📉 сбор активов (domains, IP, services)
📉 сканирование сервисов и портов
📉 применение шаблонов уязвимостей
🖱 агрегация и корреляция результатов

Инструмент может использоваться вместе с:
⏺️Nuclei
⏺️Subfinder
⏺️Amass
Это позволяет строить полноценный пайплайн для разведки и поиска уязвимостей.

⬇️ Установка и запуск

git clone https://github.com/SiriusScan/Sirius.git
cd Sirius
docker compose -f docker-compose.installer.yaml run --rm sirius-installer
docker compose up -d

После запуска интерфейс и API будут доступны по адресу http://localhost:3000 для управления сканированием.

#security #pentest #bugbounty #asm #vulnerability #recon #tool

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером