Как я нашел критическую IDOR уязвимость в корпоративном портале бронирования Индийских железных дорог
#статья #bugbounty #IDOR #перевод
Пошаговый разбор того, как простая уязвимость IDOR раскрыла конфиденциальные личные данные, позволила несанкционированное отправление отзывов и сделала возможной отмену билетов на рейсы, что затронуло пассажиров по всей Индии.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #IDOR #перевод
Пошаговый разбор того, как простая уязвимость IDOR раскрыла конфиденциальные личные данные, позволила несанкционированное отправление отзывов и сделала возможной отмену билетов на рейсы, что затронуло пассажиров по всей Индии.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6❤5
1. Предыдущий топ статей
2. Бесплатный инструмент на основе ИИ для полнотекстового перевода PDF-документов
3. Безопасность с Astra Linux: ресурсы для специалиста ИБ
4. Онлайн-инструмент с искусственным интеллектом, который помогает создавать поисковые запросы (Google Dorks) для поиска уязвимостей и информации в открытом доступе
5. 10 Bash-трюков для скрытого хакинга
6. В этом отчете я делюсь историей о том, как простая страница входа привела к получению полного административного доступа
7. Инструмент предназначен для создания зашифрованного канала управления и контроля (C&C) через протокол DNS
8. Как найти данные о человеке по его ФИО
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг #кибербезопасность
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥4🤝3
Netlas-cookbook
#OSINT #pentest #bugbounty
Netlas — сервис для специалистов в области информационной безопасности, который помогает в исследовании веб-сайтов и другой публично доступной информации в интернете. С его помощью можно проанализировать и найти различные устройства и службы, включая базы данных, сетевое оборудование, веб-камеры, IoT-устройства.
А в данном репозитории подробно расписано, как использовать данный сервис и как выжать из него максимум информации.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT #pentest #bugbounty
Netlas — сервис для специалистов в области информационной безопасности, который помогает в исследовании веб-сайтов и другой публично доступной информации в интернете. С его помощью можно проанализировать и найти различные устройства и службы, включая базы данных, сетевое оборудование, веб-камеры, IoT-устройства.
А в данном репозитории подробно расписано, как использовать данный сервис и как выжать из него максимум информации.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10❤4🔥4
Никаких игр, только хакинг — как я заработал $3000 на TikTok Bug Bounty
#статья #bugbounty #перевод
Это была очередная обыкновенная ночь. Мой друг попросил меня зайти поиграть в Valorant — типичный вечерний ритуал. Но по какой-то причине я отказался. Вместо этого я запустил Burp Suite и начал искать баги (мое лучшее решение когда-либо, потому что в ту ночь я нашел три бага в TikTok, которые в итоге принесли мне $3,000).
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #перевод
Это была очередная обыкновенная ночь. Мой друг попросил меня зайти поиграть в Valorant — типичный вечерний ритуал. Но по какой-то причине я отказался. Вместо этого я запустил Burp Suite и начал искать баги (мое лучшее решение когда-либо, потому что в ту ночь я нашел три бага в TikTok, которые в итоге принесли мне $3,000).
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🤓11❤10🔥1
Pagecached
#OSINT #bugbounty #pentest
Простой и бесплатный онлайн-сервис для поиска старых версий веб-страниц в кэше поисковых систем и веб-архивах (Google, Bing, WayBackMachine (Archive.org), Webcitation, Archive.is и Gigablast). Просто введите любой URL в поле поиска, и PageCached вернет вам результаты проверки.
🔗 Ссылка на сервис
LH | News | OSINT | AI
#OSINT #bugbounty #pentest
Простой и бесплатный онлайн-сервис для поиска старых версий веб-страниц в кэше поисковых систем и веб-архивах (Google, Bing, WayBackMachine (Archive.org), Webcitation, Archive.is и Gigablast). Просто введите любой URL в поле поиска, и PageCached вернет вам результаты проверки.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤6🔥6
Дампы LSASS для всех, даром, и пусть никто не уйдет обиженный
#статья #pentest #ad
В этой статье я хотел бы поговорить об одном из самых эффективных методов добычи учетных данных на «внутряке» — извлечении секретов из памяти процесса lsass.exe (MITRE ATT&CK T1003.001) — и, в частности, об особенностях реализации этого метода в ру-сегменте тестирования на проникновение.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #pentest #ad
В этой статье я хотел бы поговорить об одном из самых эффективных методов добычи учетных данных на «внутряке» — извлечении секретов из памяти процесса lsass.exe (MITRE ATT&CK T1003.001) — и, в частности, об особенностях реализации этого метода в ру-сегменте тестирования на проникновение.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤7🔥5
ffufai
#bugbounty #AI
Инструмент, являющийся оболочкой на основе ИИ для популярного фаззера ffuf для более эффективного обнаружения уязвимостей. Автоматически предлагает расширения файлов для фаззинга на основе целевого URL-адреса и его заголовков, используя модели OpenAI GPT или Anthropic Claude. Полностью совместим с ffuf и работает с такими же параметрами.
Возможности:
• "Умный" фаззинг веб-приложений с помощью ИИ;
• Генерация подсказок для дальнейшего тестирования;
• Идентификация проблем безопасности, которые могут быть упущены традиционными инструментами.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#bugbounty #AI
Инструмент, являющийся оболочкой на основе ИИ для популярного фаззера ffuf для более эффективного обнаружения уязвимостей. Автоматически предлагает расширения файлов для фаззинга на основе целевого URL-адреса и его заголовков, используя модели OpenAI GPT или Anthropic Claude. Полностью совместим с ffuf и работает с такими же параметрами.
Возможности:
• "Умный" фаззинг веб-приложений с помощью ИИ;
• Генерация подсказок для дальнейшего тестирования;
• Идентификация проблем безопасности, которые могут быть упущены традиционными инструментами.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤6✍3🔥3
Как узнать номер в Телеграм, если он скрыт: поиск данных о человеке по Telegram ID
#статья #OSINT
В этом материале мы рассмотрим рабочие способы идентификации пользователя Telegram по его ID, когда номер телефона скрыт в настройках приватности. Вы узнаете, почему в некоторых случаях номер не отображается, а также познакомитесь с альтернативными методами установления личности владельца аккаунта.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #OSINT
В этом материале мы рассмотрим рабочие способы идентификации пользователя Telegram по его ID, когда номер телефона скрыт в настройках приватности. Вы узнаете, почему в некоторых случаях номер не отображается, а также познакомитесь с альтернативными методами установления личности владельца аккаунта.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🤝13👍11❤5🔥3🤔2👀1
Доморощенный OSINT для соискателя. Краткая инструкция
#статья #OSINT #карьера
Потенциального работодателя можно и нужно проверять, особенно если в описании вакансии он манит «участием в амбициозных проектах», профессиональным развитием, премиями и прочими золотыми горами. Как минимум для того, чтобы потом не стало сюрпризом то, что вовремя не выплачивается даже фиксированная зарплата, не то что бонусы. Для проверок есть открытые данные и поиск по ним. Соломки везде подстелить не удастся, потому что многое зависит от ситуации, но получить какое-то представление о компании будет можно.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #OSINT #карьера
Потенциального работодателя можно и нужно проверять, особенно если в описании вакансии он манит «участием в амбициозных проектах», профессиональным развитием, премиями и прочими золотыми горами. Как минимум для того, чтобы потом не стало сюрпризом то, что вовремя не выплачивается даже фиксированная зарплата, не то что бонусы. Для проверок есть открытые данные и поиск по ним. Соломки везде подстелить не удастся, потому что многое зависит от ситуации, но получить какое-то представление о компании будет можно.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤6🔥5
Reconnoitre
#OSINT #bugbounty #pentest
Инструмент для автоматизации разведки, сбора информации и перечисления служб. Генерирует рекомендации по дальнейшим действиям. Был создан для автоматизации рутинных действий при прохождении лабораторных работ OSCP.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT #bugbounty #pentest
Инструмент для автоматизации разведки, сбора информации и перечисления служб. Генерирует рекомендации по дальнейшим действиям. Был создан для автоматизации рутинных действий при прохождении лабораторных работ OSCP.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤3👍3
Уязвимости в Electron-приложениях: RCE через небезопасную конфигурацию
#статья #bugbounty #rce
Electron — популярный фреймворк для создания кроссплатформенных десктопных приложений с использованием веб-технологий. Однако неправильная конфигурация безопасности может привести к серьезным уязвимостям. В данной статье мы рассмотрим эксплуатацию приложений с отключенными параметрами contextIsolation: false и sandbox: false, что позволило нам выполнить произвольный код на целевой системе.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #rce
Electron — популярный фреймворк для создания кроссплатформенных десктопных приложений с использованием веб-технологий. Однако неправильная конфигурация безопасности может привести к серьезным уязвимостям. В данной статье мы рассмотрим эксплуатацию приложений с отключенными параметрами contextIsolation: false и sandbox: false, что позволило нам выполнить произвольный код на целевой системе.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍4🔥2
Среди них — запрет на распространение информации, связанной с практикой ИБ!
Поправка к Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации» предполагает наложить запрет на распространение «информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин, либо позволяющей получить доступ к программам для электронных вычислительных машин, предназначенным для несанкционированного уничтожения, блокирования, модификации, копирования информации и (или) программ для электронных вычислительных машин»
Журнал «Xakep» уже призвал своих читателей поддержать их точку зрения и прокомментировать законопроект.
— Предлагаем тоже не оставаться в стороне и прокомментировать законопроект: https://regulation.gov.ru/projects/159652
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡31👀10🤔5👌4❤2👾2🔥1🤝1
PANO
#OSINT
Универсальный инструмент для OSINT‑расследований. Визуализация данных в виде графа, временные шкалы событий с фильтрацией и навигацией, географическая карта — с координатами и связями. Плюсом является AI-помощник, который может подсветить важные связи и дать направление для дальнейшего анализа.
Работает локально, из коробки. Подойдёт как для OSINT-исследователей, так и для журналистики или аналитики.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT
Универсальный инструмент для OSINT‑расследований. Визуализация данных в виде графа, временные шкалы событий с фильтрацией и навигацией, географическая карта — с координатами и связями. Плюсом является AI-помощник, который может подсветить важные связи и дать направление для дальнейшего анализа.
Работает локально, из коробки. Подойдёт как для OSINT-исследователей, так и для журналистики или аналитики.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤6🔥6
IT Волчата: как кандидаты с фейковым опытом взламывают найм и что с этим делать?
#статья #резюме
IT‑рынок последних лет наводнили «волчата» — кандидаты, которые не просто приукрашивают, а «накручивают» свой опыт, выдавая себя за более опытных специалистов. Учат их этому менторы в Telegram‑сообществах, где делятся готовыми шаблонами резюме и скриптами для собеседований. Почему явление стало массовым, как оно бьет по бизнесу, профессиональному сообществу и как защищаться — разбираем в статье.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #резюме
IT‑рынок последних лет наводнили «волчата» — кандидаты, которые не просто приукрашивают, а «накручивают» свой опыт, выдавая себя за более опытных специалистов. Учат их этому менторы в Telegram‑сообществах, где делятся готовыми шаблонами резюме и скриптами для собеседований. Почему явление стало массовым, как оно бьет по бизнесу, профессиональному сообществу и как защищаться — разбираем в статье.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👏6❤4🤓2👍1😈1👾1
Forwarded from OSINT
RedTiger-Tools — универсальный набор инструментов для кибербезопасности и пентестинга
#OSINT #pentest #безопасность
RedTiger-Tools — это бесплатный набор инструментов с множеством функций для работы в области кибербезопасности, пентестинга, OSINT, сетевого сканирования и этичного хакерства. Поддерживает как Windows, так и Linux, и является открытым исходным кодом для полной проверки.
В набор входят инструменты для сканирования, анализа, работы с Discord, Roblox и другие утилиты. Регулярные обновления, отсутствие вредоносного ПО и возможность использования в образовательных целях делают его удобным инструментом для изучения и тестирования.
🔗 Исходный код: GitHub
LH | News | OSINT | AI
#OSINT #pentest #безопасность
RedTiger-Tools — это бесплатный набор инструментов с множеством функций для работы в области кибербезопасности, пентестинга, OSINT, сетевого сканирования и этичного хакерства. Поддерживает как Windows, так и Linux, и является открытым исходным кодом для полной проверки.
В набор входят инструменты для сканирования, анализа, работы с Discord, Roblox и другие утилиты. Регулярные обновления, отсутствие вредоносного ПО и возможность использования в образовательных целях делают его удобным инструментом для изучения и тестирования.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤4🔥2🤓2
Топ-5 бесплатных AI-сервисов для генерации 3D-моделей
#статья #AI
Ещё недавно создание 3D-моделей было задачей исключительно для специалистов. Нужно было знать сложные программы, уметь работать с формой, светом и текстурами. Сегодня всё иначе. Искусственный интеллект уверенно берёт на себя рутинные этапы и даёт возможность любому почувствовать себя 3D-дизайнером.
Чтобы проверить, как всё это работает на практике, мы собрали пять сервисов для генерации 3D-моделей и решили немного повеселиться.
Сегодня мы будем создавать модели персонажей из известных мультфильмов нашего детства!
Да, у многих сервисов нашего топа есть платные подписки. Но сегодня разбираем только то, что работает бесплатно и не просит привязать карту «просто на всякий случай».
Ссылка на статью
LH | News | OSINT | AI
#статья #AI
Ещё недавно создание 3D-моделей было задачей исключительно для специалистов. Нужно было знать сложные программы, уметь работать с формой, светом и текстурами. Сегодня всё иначе. Искусственный интеллект уверенно берёт на себя рутинные этапы и даёт возможность любому почувствовать себя 3D-дизайнером.
Чтобы проверить, как всё это работает на практике, мы собрали пять сервисов для генерации 3D-моделей и решили немного повеселиться.
Сегодня мы будем создавать модели персонажей из известных мультфильмов нашего детства!
Да, у многих сервисов нашего топа есть платные подписки. Но сегодня разбираем только то, что работает бесплатно и не просит привязать карту «просто на всякий случай».
Ссылка на статью
LH | News | OSINT | AI
❤10👍7🔥5
1. Предыдущий топ статей
2. Мощный инструмент, предназначенный для анализа безопасности Docker-контейнеров
3. Сервис для специалистов в области информационной безопасности, который помогает в исследовании веб-сайтов и другой публично доступной информации в интернете
4. Простой и бесплатный онлайн-сервис для поиска старых версий веб-страниц в кэше поисковых систем и веб-архивах
5. Дампы LSASS для всех, даром, и пусть никто не уйдет обиженный
6. Инструмент, являющийся оболочкой на основе ИИ для популярного фаззера ffuf для более эффективного обнаружения уязвимостей
7. Как узнать номер в Телеграм, если он скрыт: поиск данных о человеке по Telegram ID
8. Универсальный инструмент для OSINT‑расследований
9. Бесплатный набор инструментов с множеством функций для работы в области кибербезопасности, пентестинга, OSINT, сетевого сканирования и этичного хакерства
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг #кибербезопасность
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥4👍3
Kerbrute
#pentest #AD #Redteam
Высокопроизводительный инструмент для проверки аутентификации и выявления действительных учетных записей Active Directory через предварительную проверку подлинности Kerberos. Эта утилита, написанная на Go, предназначена для проведения анализа и атак на Kerberos, включая поиск пользователей, перебор паролей и аудит конфигурации доменных сетей.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#pentest #AD #Redteam
Высокопроизводительный инструмент для проверки аутентификации и выявления действительных учетных записей Active Directory через предварительную проверку подлинности Kerberos. Эта утилита, написанная на Go, предназначена для проведения анализа и атак на Kerberos, включая поиск пользователей, перебор паролей и аудит конфигурации доменных сетей.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤9👍4🆒1👾1
Разрушительный драйвер: как злоумышленники отключают антивирусы с помощью легитимного драйвера
#статья #av #полезное
Недавно в ходе оказания услуг по реагированию на инцидент в Бразилии мы натолкнулись на новое интересное ПО для отключения процессов антивируса (AV Killer), которое используется в реальных атаках как минимум с октября 2024 года. Для этой цели атакующие используют драйвер ThrottleStop.sys, доставляемый вместе с вредоносным ПО в рамках техники BYOVD (Bring Your Own Vulnerable Driver), чтобы отключать процессы антивирусов и ослаблять защиту системы. Использование уязвимых драйверов — хорошо известная техника, которая часто применяется атакующими.
В этой статье мы подробно рассматриваем инцидент и анализируем поведение AV Killer, а также описываем тактики, техники и процедуры, применяемые злоумышленниками.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #av #полезное
Недавно в ходе оказания услуг по реагированию на инцидент в Бразилии мы натолкнулись на новое интересное ПО для отключения процессов антивируса (AV Killer), которое используется в реальных атаках как минимум с октября 2024 года. Для этой цели атакующие используют драйвер ThrottleStop.sys, доставляемый вместе с вредоносным ПО в рамках техники BYOVD (Bring Your Own Vulnerable Driver), чтобы отключать процессы антивирусов и ослаблять защиту системы. Использование уязвимых драйверов — хорошо известная техника, которая часто применяется атакующими.
В этой статье мы подробно рассматриваем инцидент и анализируем поведение AV Killer, а также описываем тактики, техники и процедуры, применяемые злоумышленниками.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤16👍6🔥6🤓1
Puppeteer
#bugbounty #pentest #полезное #code
Библиотека Node.js для автоматизации, тестирования и скрапинга веб-страниц, работающая поверх протокола Chrome DevTools. Данный инструмент поддерживается командой Google Chrome и предоставляет разработчикам возможность выполнять различные задачи браузера, такие как создание скриншотов, скрапинг веб-сайтов.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#bugbounty #pentest #полезное #code
Библиотека Node.js для автоматизации, тестирования и скрапинга веб-страниц, работающая поверх протокола Chrome DevTools. Данный инструмент поддерживается командой Google Chrome и предоставляет разработчикам возможность выполнять различные задачи браузера, такие как создание скриншотов, скрапинг веб-сайтов.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍5🔥3