📄 Шпаргалка по SSRF атакам

Server Side Request Forgery (подделка запросов на стороне сервера) – это тип уязвимости в веб-приложениях, при которой злоумышленник может отправлять запросы с сервера на другие внутренние или внешние ресурсы, обходя ограничения безопасности

При подделке запросов сайта злоумышленники отправляют вредоносные пакеты на любой веб-сервер, выходящий в Интернет

Этот веб-сервер отправляет пакеты на внутренний сервер, работающий во внутренней сети, от имени злоумышленника

Эта уязвимость в основном обнаруживается в приложении, которое имеет возможность передавать URL-адрес для получения данных с соответствующих серверов

🔥

– чтобы вышли инструменты для автоматизации SSRF

✋ Secure Books

🧰 Инструменты для автоматизации SSRF

Сегодня познакомлю вас с инструментами для автоматизации SSRF

⏺ AutoSSRF: это инструмент для обнаружения уязвимостей SSRF (Server Side Request Forgery), который использует умный фаззинг на основе контекста и генерацию динамических пейлоадов на основе контекста

⏺ SSRFmap: это сканер SSRF на Python3. Он помогает автоматизировать процесс обнаружения и эксплуатации SSRF. Умеет самостоятельно отсылать запросы и анализировать результат. А также имеет модули для различных сценариев атаки и поддерживает некоторые техники обхода фильтрации.

⏺ SSRFire: еще один замечательный SSRF-сканер. Он даже способен обнаруживать контент с помощью других сторонних инструментов для проверки каждого URL на наличие SSRF

✋ Secure Books

📝 Большая коллекция шелл-кодов для изучения и использования

Шелл-код – это небольшая часть кода, используемая в качестве полезной нагрузки при эксплуатации уязвимости в ПО

В этой небольшой статье автор познакомит вас с сайтом Shell-Storm, который предоставляет внушительную базу шелл-кодов, на все случаи жизни

👀 Источник

✋ Secure Books

🤨 Аппаратный хакинг: взлом реальных вещей

Книга по аппаратному взлому поможет вам проникнуть внутрь устройств, чтобы показать, как работают различные виды атак, а затем проведет вас через каждый взлом на реальном оборудовании

Написанное с остроумием и снабженное практическими лабораторными экспериментами, это руководство ставит вас в роль злоумышленника, заинтересованного в нарушении безопасности для достижения благих целей

В приложении приведен список всего оборудования, которое понадобится вам для домашней лаборатории, независимо от того, планируете ли вы модифицировать печатную плату или собирать и анализировать графики потребляемой мощности

Авторы: Вуденберг Джаспер ван, О’Флинн Колин
Год выхода: 2023

✋ Secure Books

📄 Шпаргалка по эксплуатации Active Directory

Эта шпаргалка содержит общие методы перечисления и атаки для Windows Active Directory

👀 Источник

✋ Secure Books

🎃 Швейцарский репозиторий по безопасности

Репозиторий содержит список полезных функций и способов обхода безопасности веб-приложений и Pentest/CTF

А также репозиторий имеет 61.7k звезд и 14.7k вилок

👀 Источник

✋ Secure Books

❗️ SSRF-атака на примере прохождения HTB Health

В этой статье продолжим тему SSRF и на примере прохождения средней по сложности уязвимой машины Hack The Box Health, рассмотрим атаку SSRF

Автор покажет, как находить и экс­плу­ати­ровать уяз­вимость SSRF и использовать SQL-инъ­екцию в GoGits

👀 Дополнительный материал:
⏺ Инструменты для автоматизации SSRF
⏺ Шпаргалка по SSRF атакам
⏺ 5 часто используемых SSRF нагрузок

👀 Источник

✋ Secure Books

😁 Освоение системы безопасности Linux и повышение ее надежности

В этом новом выпуске вы узнаете:
⏺как настроить лабораторную практику
⏺создать учетные записи пользователей с соответствующими уровнями привилегий
⏺защитить конфиденциальные данные с помощью настроек разрешений и шифрования
⏺настроить брандмауэр с новейшими технологиями брандмауэра

Вы также узнаете:
⏺как использовать sudo для настройки административных учетных записей с привилегиями, необходимыми только для выполнения определенной работы
⏺познакомитесь с новыми функциями sudo, которые были добавлены за последние пару лет.

Автор: Donald A. Tevault
Год выхода: 2023

✋ Secure Books

👺 Шпаргалка по написанию bash-скриптов

✋ Secure Books

✋ Сборник материалов по Reverse Engineering

Содержание статьи:
⏺Тематики — Реверс — Поиск уязвимостей (fuzzing) — Эксплуатация уязвимостей — Анализ вредоносного кода
⏺Инструменты — IDA Pro — Radare2 — WinDBG (Ollydbg / Immunity Debugger / x64dbg) — GDB — DBI — SMT — Python для автоматизации — BAF (Binary Analysis Frameworks)
⏺Архитектуры — x86-x86_64 — ARM
⏺ОС — Windows — Linux — Mac OS(OSX) / iOS — Android
⏺Форматы файлов — PE — ELF — Mach-O
⏺Программирование — C/C++ — Assembler
⏺Практика — War games

👀 Источник

✋ Secure Books

🎩 Пентест. Секреты этичного взлома

В сборнике избранных статей из журнала «Хакер» представлены материалы о тестировании на проникновение, используемых пентестерами дистрибутивах Linux и другом инструментарии

⏺Дана информация об организации и принципах работы команд Red Team
⏺Раскрыты способы получения доступа к беспроводным сетям и данным на ПК с помощью протокола Network Time Protocol
⏺Представлены сведения о способах постэксплуатации Windows, закрепления в системе, методах удаленного исполнения кода
⏺Описаны приемы разведки на основе открытых источников информации (OSINT)

Автор: Коллектив журнала «Хакер»
Год выхода: 2022

✋ Secure Books

🐬 Сборник скриптов для создания и изменения файлов Flipper Zero

В этой статье автор собрал различные полезные скрипты и прочие инструменты для создания, изменения файлов данных Flipper Zero

Flipper Zero – портативное многофункциональное тамагочи-подобное устройство, разработанное для взаимодействия с системами контроля доступа использующими для связи радиоканал, которое может быть использовано для взлома

👀 Источник

✋ Secure Books