Лаборатория хакера
25.7K subscribers
1.22K photos
33 videos
11 files
1.3K links
Обзоры иб-инструментов с github, книги, курсы по ИБ.

Сотрудничество: @workhouse_price

Канал на бирже: https://telega.in/c/lab_hack

Канал в реестре РКН: https://clck.ru/3Fzjwv
Download Telegram
🖥 Репозиторий: SafeLine —
шлюз веб-безопасности
для защиты веб-сайтов

SafeLine это шлюз веб-безопасности служит обратным прокси-сервером для защиты ваших веб-сайтов от атак и эксплойтов.

— Он защищает от всех веб-атак.

Включает в себя основные возможности:
1. Защита от веб-атак
2. Проактивный бот злоупотреблял защитой
3. Шифрование HTML и JS-кода
4. Ограничение скорости на основе IP
5. Список контроля доступа к Интернету

Ссылка на GitHub

#Web #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
This media is not supported in your browser
VIEW IN TELEGRAM
🖥 Репозиторий: WhatWaf — инструмент обнаружения защиты веб приложений

badKarma
— это продвинутый набор инструментов для сетевой разведки.

С его помощью можно:
— обнаружить хосты в исследуемой подсети;
— просканировать порты для поиска открытых;
— определить запущенные службы на этих портах;
— узнать версии служб и найти уязвимости для них;
— проверить на использование слабых паролей (брут-форс);
— запустить дополнительные сканирования различными инструментами в зависимости от обнаруженных сетевых служб.

У программы графический интерфейс, в котором достаточно кликать мышкой — вводить команды необязательно.

Ссылка на GitHub

#Network #Recon #Web #OpenSource
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4
🖥 Репозиторий: APIDetector — Автоматизированный сканер для поиска скрытых и публичных API-эндпоинтов

APIDetector
— это инструмент для обеспечения безопасности и проведения пентестов, предназначенный для сканирования веб-ресурсов на наличие открытых API-интерфейсов, Swagger-документации и конфигурационных файлов.

— Автоматизирует процесс обнаружения «забытых» или незащищенных точек входа (таких как /api/v1, /graphql, /swagger.json), помогая баг-хантерам и специалистам по ИБ находить потенциальные векторы атак в веб-приложениях.

Ссылка на GitHub

#API #Pentest #Web #Cybersecurity #BugBounty | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍722🔥1
🖥 Репозиторий: gourlex — быстрый и эффективный инструмент для фильтрации URL-адресов по расширениям

gourlex — это высокопроизводительная утилита на языке Go, предназначенная для извлечения и сортировки URL-адресов из больших списков на основе заданных расширений файлов.

— Инструмент идеально подходит для этапа сбора данных (reconnaissance) в Bug Bounty, позволяя мгновенно находить потенциально уязвимые файлы (например, .php, .js, .txt, .pdf, .config) в массивах данных, поддерживая работу через конвейер (stdin) для интеграции с другими инструментами сканирования.

Ссылка на GitHub

#GoLang #BugBounty #Recon #CyberSecurity #InfoSec #Web #URL | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥522❤‍🔥2🆒1
🖥 Репозиторий: WebSiftПоисковая система на базе ИИ, которая анализирует и суммирует результаты поиска из интернета

WebSift
— это инструмент с открытым исходным кодом, предназначенный для эффективного сбора информации. Вместо списка ссылок он предоставляет структурированные и краткие ответы, основанные на данных из сети.

— Использует современные LLM (через Groq, OpenAI и др.) для анализа веб-контента; предлагает чистый интерфейс без рекламы и лишнего шума; выполняет поиск в реальном времени; автоматически агрегирует данные из нескольких источников.

Ссылка на GitHub

#AI #OSINT #OpenSource #LLM #Web #Scraping | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
74🆒3
🖥 Репозиторий: Penetration List — Масштабная база знаний и ресурсов для пентестинга и Red Teaming

Penetration List — это тщательно отобранный и структурированный список инструментов, методологий и учебных материалов, охватывающий почти все аспекты наступательной безопасности.

— Проект объединяет ссылки на лучшие шпаргалки (cheat sheets), базы полезных нагрузок (payloads), методики атак на Active Directory, Cloud, Web и мобильные приложения.

Он служит «дорожной картой» для подготовки к профессиональным сертификациям (таким как OSCP или CRTP) и проведения реальных тестов на проникновение.

Ссылка на GitHub

#Pentesting #RedTeam #Hacking #Payloads #AD #Web | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
🆒541🔥1
📖 Книга: Уязвимость SQL-инъекция. Практическое руководство для хакеров — Михаил Тарасов, 2019

Книга по этичному хакингу, которая целиком посвящена такой коварной уязвимости как SQL-инъекция. Так называют метод проникновения в веб-приложение или сайт с использованием вредоносного кода, который встроен в пакет структурированных запросов.

— Автор книги подробно рассказывает, как выявлять данную уязвимость с практикой на Metasploitable 2.

Пособие подходит не совсем для новичков — необходимо предварительно изучить структуру языка программирования SQL.


Ссылка на книгу

#Book #SQL #Injection #Vulnerability #Web #Guide | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👎19❤‍🔥72
🖥 Репозиторий: Bolt — Быстрый и гибкий URL-фаззер

Bolt
— это URL-фаззер для быстрого сканирования веб-приложений и поиска скрытых путей/файлов.

— Данный инструмент вдохновлен такими инструментами, как Gobuster и ffuf, что гарантирует высокую скорость работы и эффективность в обнаружении веб-ресурсов.

Ссылка на GitHub

#Web #Fuzzing #OSINT #Pentest #Web #Recon | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍63❤‍🔥1
🖥 Репозиторий: TTWAF — Web Application Firewall (WAF) на Python для защиты веб-приложений

TTWAF — это Web Application Firewall (WAF), написанный на Python, предназначенный для защиты веб-приложений от различных типов атак.

— Данный инструмент может помочь в обнаружении и предотвращении распространенных веб-уязвимостей, таких как SQL-инъекции, межсайтовый скриптинг (XSS) и другие вредоносные запросы, повышая безопасность веб-серверов.

Ссылка на GitHub

#Python #WAF #Web #Security #Hacking | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍644💯2
📖 Книга: The Tangled Web: A Guide to Securing Modern Web Applications

К
нига Michał Zalewski, посвящённая безопасности веб-приложений.

Современные веб-приложения построены на сложной комбинации технологий, которые разрабатывались годами и были «неудачно объединены».

Каждый элемент стека веб-приложения — от HTTP-запросов до скриптов на стороне браузера — имеет важные, но неочевидные последствия для безопасности.

— Чтобы защитить пользователей, разработчикам необходимо уверенно ориентироваться в этом ландшафте. 

Ссылка на книгу

#Book #Web #Security | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👎9😡5👍3😐322
🖥 Репозиторий: BBQSQL — автоматизированный инструмент для эксплуатации SQL-инъекций методом слепого внедрения

BBQSQL — это фреймворк для слепой SQL-инъекции (blind SQL injection), позволяющий извлекать данные из баз данных с помощью техник time-based и boolean-based атак.

— Поддерживает гибкую настройку каналов извлечения данных, различные типы баз данных и использует адаптивные алгоритмы для ускорения процесса получения информации.

Ссылка на GitHub

#SQL #Injection #Web #Pentest #Database #Explloitation | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍93🔥3
📖 Книга: «Тестирование веб-API» Марка Винтерингема

В книге подробно описаны все этапы работы с API — от начального проектирования набора тестов до методов документирования, реализации и предоставления высококачественных API.

Читатель познакомится с обширным набором методов тестирования — от исследовательского до тестирования продакшен-кода, а также узнает, как сэкономить время за счёт автоматизации с использованием стандартных инструментов. 

Ссылка на книгу

#Book #Testing #Web #API | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👎54👍3🤬2🖕2🆒21
📖 Книга: A Frontend Web Developer's Guide to Testing

Автор: Eran Kinsbruner

Это практическое руководство для фронтенд‑разработчиков, которое помогает освоить современные инструменты автоматизации тестирования, выбрать оптимальный стек технологий и внедрить надёжную стратегию тестирования в проект.

— Книга сочетает теорию, разбор фреймворков и практические рекомендации, что делает её ценным ресурсом для повышения качества веб‑разработки.

Ссылка на книгу

#Book #Frontend #Web #Developer #Testing #Guide | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
3👎3🖕3😡3
🖥 Репозиторий: toxssin — Инструмент для автоматизированного поиска и тестирования XSS-уязвимостей

toxssin
— это CLI-утилита/фреймворк для проверки веб‑приложений на уязвимости типа XSS (Reflected/Stored/DOM), ориентированная на автоматизацию рутинной части разведки и верификации инъекционных векторов.

— Данный инструмент автоматизирует сканирование параметров и форм, подставляет набор контекстно‑осознанных payload'ов, помогает выявлять места, где ввод отражается в ответе (или в DOM).

Часто включает экспорт результатов в JSON/CSV, поддержку прокси для интеграции с инструментами типа Burp и базовую фильтрацию шумовых срабатываний для ускорения triage.


Ссылка на GitHub

#XSS #Web #Pentest #Automation | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
74🆒4
🖥 Репозиторий: jsfuck — Инструмент для эзотерического кодирования JavaScript-кода с использованием всего шести символов

jsfuck
— это инструмент обфускации, предназначенный для преобразования любого валидного JavaScript-кода в функциональный эквивалент, состоящий исключительно из набора символов []()!+.

— Позволяет радикально запутывать логику приложений, обходя простые фильтры статического анализа (WAF) и затрудняя реверс-инжиниринг клиентских скриптов, что делает его популярным средством для демонстрации возможностей эзотерических языков программирования и скрытия полезной нагрузки в веб-векторах атак.

Ссылка на GitHub

#JS #Pentest #Obfuscation #Web #WAF | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🆒32❤‍🔥211👎1
📖 Книга: XSS-STACK-1. Cпециальный
выпуск. 2026


Профессиональное научно-техническое издание для специалистов по безопасности веб-приложений (AppSec), пентестеров и разработчиков, желающих детально изучить глубокие механизмы работы уязвимостей класса Cross-Site Scripting (XSS).

Разбирает актуальные методы анализа и обхода политик безопасности контента (CSP), особенности фильтрации входных данных в современных веб-фреймворках, а также предлагает концептуальные подходы к проектированию надежной защиты на стороне сервера и клиента для нейтрализации векторов инъекций.

Ссылка на книгу

#Book #XSS #Attack #Vulnerability #Web #AppSec #JS | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍73🔥3🖕2👎1🤬1
🖥 Репозиторий: jsluice — инструмент анализа JavaScript-файлов для поиска уязвимостей

jsluice — это статический анализатор JavaScript-файлов для поиска потенциальных уязвимостей и ценной информации в коде, используемый при пентестинге веб-приложений и реверс-инжиниринге.

— Выполняет извлечение URL-адресов, путей к API, секретов (токенов, ключей), строковых констант и других интересных данных из JS-файлов; применяет продвинутые методы парсинга для обхода обфускации и минификации, что позволяет находить скрытые эндпоинты и уязвимости, невидимые при поверхностном анализе.

Ссылка на GitHub

#Web #JS #Pentest #Analysis #BugBounty #Reverse | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
43🆒3👍2
🖥 Репозиторий: TG WS Proxy — туннелирования трафика Telegram через протокол WebSockets

TG WS Proxy
— это сетевой прокси-инструмент для перенаправления и маскировки сетевых запросов клиентов Telegram.

— Позволяет инкапсулировать стандартный трафик мессенджера в WebSocket-соединения, что помогает обходить строгие ограничения фаерволов и систем DPI, маскируя трафик под обычную веб-активность (HTTP/HTTPS).

Ссылка на GitHub

#Telegram #Proxy #Web #Socket #Network #Privacy | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
3🆒32👍2
📖 Книга: Hands-on Penetration Testing for Web Applications: Run Web Security Testing on Modern Applications Using Nmap, Burp Suite and Wireshar

Практическое руководство по тестированию безопасности современных веб-приложений с использованием Nmap, Burp Suite и Wireshark.

Практическое пособие для начинающих пентестеров, QA-инженеров и веб-разработчиков, желающих освоить методы выявления уязвимостей в современных веб-интерфейсах.


Пошагово обучает работе с ключевыми инструментами анализа: от сетевой разведки с помощью Nmap и перехвата веб-трафика в Burp Suite до глубокого разбора сетевых пакетов в Wireshark, помогая выстроить структурированный процесс аудита безопасности веб-приложений.

Ссылка на книгу

#Book #Web #Pentest #BurpSuite #Nmap #Wireshark | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🆒3🖕21👎1😡1
🖥 Репозиторий: Awesome TLS — Расширение для Burp Suite, упрощающее работу с TLS-соединениями

Awesome TLS — это плагин для Burp Suite, предназначенный для пентестеров и Bug Bounty охотников, которым необходимо настраивать специфические TLS-параметры при тестировании защищенных веб-приложений.

— Инструмент позволяет принудительно задавать конкретные версии протокола TLS, наборы шифров (cipher suites) и параметры для каждого хоста отдельно.

Это критически важно при аудите старых или нестандартно сконфигурированных сервисов, а также при обходе сложных проверок рукопожатия TLS, которые могут приводить к ошибкам соединения в стандартных настройках Burp Suite.


Ссылка на GitHub

#TLS #Fingerprinting #WAF #BurpSuite #Pentest #Web #BugBounty #Network | Лаборатория хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍3❤‍🔥1