Please open Telegram to view this post
VIEW IN TELEGRAM
Как я нашел свой первый баг: SQL-инъекция в NASA
#статья #SQLi #bugbounty #перевод #pentest
Я начал заниматься баг-баунти три недели назад. Мой изначальный подход, основанный на прочитанной информации, заключался в том, чтобы искать уязвимости в VDP (программах раскрытия уязвимостей), чтобы получить приглашение в частные программы и избежать жесткой конкуренции, как в публичных программах.
Однако мне хотелось получить что-то взамен за свое время, ведь его у меня не так много. После того как я увидел, как несколько багхантеров делятся своими благодарственными письмами от NASA в X, я поставил себе новую цель...
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #SQLi #bugbounty #перевод #pentest
Я начал заниматься баг-баунти три недели назад. Мой изначальный подход, основанный на прочитанной информации, заключался в том, чтобы искать уязвимости в VDP (программах раскрытия уязвимостей), чтобы получить приглашение в частные программы и избежать жесткой конкуренции, как в публичных программах.
Однако мне хотелось получить что-то взамен за свое время, ведь его у меня не так много. После того как я увидел, как несколько багхантеров делятся своими благодарственными письмами от NASA в X, я поставил себе новую цель...
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Погружение в AD: разбираем продвинутые атаки на Microsoft Active Directory и способы их детекта.
#статья #AD #pentest #dfir
За последние четыре года ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье мы рассмотрим популярные способы атак на AD и приведем рекомендации, которые помогут от них защититься.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #AD #pentest #dfir
За последние четыре года ни один Black Hat или DEF CON не обошелся без докладов на тему атак на Microsoft Active Directory. Участники рассказывают о новых векторах и своих изобретениях, но не забывают и о советах, как можно их обнаружить и предотвратить. В этой статье мы рассмотрим популярные способы атак на AD и приведем рекомендации, которые помогут от них защититься.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
DeepFace
#Face #полезное
Фреймворк на Python для распознавания лиц и анализа атрибутов, таких как возраст, пол, эмоции или раса, достигающий точности свыше 97%. Он использует современные модели, такие как VGG-Face и FaceNet. Возможна работа в реальном времени через вебкамеру.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#Face #полезное
Фреймворк на Python для распознавания лиц и анализа атрибутов, таких как возраст, пол, эмоции или раса, достигающий точности свыше 97%. Он использует современные модели, такие как VGG-Face и FaceNet. Возможна работа в реальном времени через вебкамеру.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
В начале был принтер. Как получить привилегии администратора домена, начав с принтера
#AD #pentest #статья
В этом посте я расскажу о том, как получение доступа к панели администрирования принтера может привести к компрометации всего домена Active Directory с помощью эксплуатации уязвимости PrintNightmare и использования неограниченного делегирования. А коллеги из Jet CSIRT дополнили пост рекомендациями по мониторингу на каждом этапе на случай, если вы хотите мониторить такие атаки в вашем SIEM.
🔗 Ссылка на статью
LH | News | OSINT | AI
#AD #pentest #статья
В этом посте я расскажу о том, как получение доступа к панели администрирования принтера может привести к компрометации всего домена Active Directory с помощью эксплуатации уязвимости PrintNightmare и использования неограниченного делегирования. А коллеги из Jet CSIRT дополнили пост рекомендациями по мониторингу на каждом этапе на случай, если вы хотите мониторить такие атаки в вашем SIEM.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
NAS за шапку сухарей
#статья #полезное
Сегодня предлагаю рассмотреть вариант сборки домашнего NAS дендральным методом. Всё описанное в статье является результатомдеятельности моего воспаленного мозга поиска оптимальной конфигурации для своего домашнего файлохранилища и не является призывами к прямому действию. Представляет из себя изыскание того самого продукта, который может максимально покрыть мои потребности за сравнительно небольшую плату. Не поднимает вопрос о подлинности и законности использования указанного решения на территории предприятия, для всего остального – есть GPL v2.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное
Сегодня предлагаю рассмотреть вариант сборки домашнего NAS дендральным методом. Всё описанное в статье является результатом
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Osintgram — OSINT в Instagram
#OSINT #Instagram
OSINT инструмент для сбора и анализа информации из публичных профилей Instagram (подписчики, лайки, посты и прочее).
*Instagram запрещенная соц. сеть.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT #Instagram
OSINT инструмент для сбора и анализа информации из публичных профилей Instagram (подписчики, лайки, посты и прочее).
*Instagram запрещенная соц. сеть.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
$$$$ за полный захват аккаунта (ATO), обход 2FA, утечку конфиденциальных данных через критические ошибки в CORS
#статья #ATO #CORS #bugbounty #перевод
В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #ATO #CORS #bugbounty #перевод
В этом разборе я покажу вам, как ошибка в конфигурации CORS привела к полному захвату аккаунта (ATO) и обходу двухфакторной аутентификации. Без лишних слов, перейдем к истории.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
1. Предыдущий топ статей
2. Конвертируйте электронные книги в аудиокниги, используя динамические ИИ-модели и клонирование голоса
3. Сборник советов и подсказок по пентесту AD и прочего внутряка
4. Сервис поиска людей по различным идентификаторам. От username до отпечатка системы.
5. Погружение в AD: разбираем продвинутые атаки на Microsoft Active Directory и способы их детекта
6. Фреймворк на Python для распознавания лиц и анализа атрибутов, таких как возраст, пол, эмоции или раса, достигающий точности свыше 97%
7. Как получить привилегии администратора домена, начав с принтера
8. Инструмент для аудита конфигурации SSH-серверов и клиентов
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
DockerSpy
#docker #bugbounty #pentest
DockerSpy ищет образы на Docker Hub и извлекает чувствительную информацию, такую как аутентификационные данные, приватные ключи и многое другое.
🔗 Ссылка на инструмент
LH | News | OSINT | AI
#docker #bugbounty #pentest
DockerSpy ищет образы на Docker Hub и извлекает чувствительную информацию, такую как аутентификационные данные, приватные ключи и многое другое.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Kubernetes как PaaS: максимум возможностей без разработки. Часть 1
#Kubernetes #k8s #статья
Kubernetes — это не просто оркестратор контейнеров, а целая экосистема инструментов, которые позволяют построить PaaS без написания кода. Helm, ArgoCD, Crossplane, Knative и другие решения делают управление приложениями и инфраструктурой настолько простым, что разработка собственной платформы превращается в задачу конфигурации, а не программирования. В серии статей разберем, как создать PaaS, используя мощь Kubernetes и его экосистему.
🔗 Ссылка на статью
LH | News | OSINT | AI
#Kubernetes #k8s #статья
Kubernetes — это не просто оркестратор контейнеров, а целая экосистема инструментов, которые позволяют построить PaaS без написания кода. Helm, ArgoCD, Crossplane, Knative и другие решения делают управление приложениями и инфраструктурой настолько простым, что разработка собственной платформы превращается в задачу конфигурации, а не программирования. В серии статей разберем, как создать PaaS, используя мощь Kubernetes и его экосистему.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Markitdown
#полезное #документация #аналитика
MarkItDown — это утилита для преобразования различных файлов в Markdown (например, для индексирования, анализа текста и т.д.). Она поддерживает файлы формата:
• PDF
• PowerPoint
• Word
• Excel
• Изображения (EXIF-метаданные и оптическое распознавание символов)
• Аудио (EXIF-метаданные и транскрипцию речи)
• HTML
• Текстовые форматы (CSV, JSON, XML)
• ZIP-файлы (обход содержимого)
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#полезное #документация #аналитика
MarkItDown — это утилита для преобразования различных файлов в Markdown (например, для индексирования, анализа текста и т.д.). Она поддерживает файлы формата:
• PowerPoint
• Word
• Excel
• Изображения (EXIF-метаданные и оптическое распознавание символов)
• Аудио (EXIF-метаданные и транскрипцию речи)
• HTML
• Текстовые форматы (CSV, JSON, XML)
• ZIP-файлы (обход содержимого)
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Как легко настроить аутентификацию для нескольких доменов в Kubernetes: Deckhouse Kubernetes Platform
#Kubernetes #k8s #статья
Как-то мы насобирали запросы от пользователей Deckhouse Kubernetes Platform (DKP), связанные с проблемой динамического развёртывания стендов разработки. Каждый стенд требовал деплоя в кластер отдельного аутентификатора, что приводило к созданию множества объектов в кластере. Например, было более 100 стендов, каждый со своим доменом, соответственно, это создавало сотни объектов аутентификации.
В итоге это вызывало несколько проблем: использование значительных ресурсов (CPU и RAM), усложнение управления настройками безопасности и доступом для нескольких стендов одновременно. Стало понятно, что подход под названием «один домен — один аутентификатор» неудобен. Поэтому мы решили создать многодоменный аутентификатор.
🔗 Ссылка на статью
LH | News | OSINT | AI
#Kubernetes #k8s #статья
Как-то мы насобирали запросы от пользователей Deckhouse Kubernetes Platform (DKP), связанные с проблемой динамического развёртывания стендов разработки. Каждый стенд требовал деплоя в кластер отдельного аутентификатора, что приводило к созданию множества объектов в кластере. Например, было более 100 стендов, каждый со своим доменом, соответственно, это создавало сотни объектов аутентификации.
В итоге это вызывало несколько проблем: использование значительных ресурсов (CPU и RAM), усложнение управления настройками безопасности и доступом для нескольких стендов одновременно. Стало понятно, что подход под названием «один домен — один аутентификатор» неудобен. Поэтому мы решили создать многодоменный аутентификатор.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
MassDNS
#pentest #bugbounty
MassDNS — это простой высокопроизводительный DNS резолвер, предназначенный для тех, кто хочет разрешить огромное количество доменных имен. Без специальной настройки MassDNS способен обрабатывать более 350000 имён в секунду с использованием общедоступных резолверов.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#pentest #bugbounty
MassDNS — это простой высокопроизводительный DNS резолвер, предназначенный для тех, кто хочет разрешить огромное количество доменных имен. Без специальной настройки MassDNS способен обрабатывать более 350000 имён в секунду с использованием общедоступных резолверов.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Они взломали пылесос, принтер и даже зубную щетку: пять реальных кейсов
#статья #полезное #iot
Ваш дом полон шпионов, и это не сценарий бондианы. Когда мы покупаем умный робот-пылесос или принтер с Wi-Fi, мы думаем о комфорте. Но что если ночью, пока вы спите, эти IoT-устройства начинают работать против вас? Стиральная машина майнит криптовалюту, принтер тайно перегружает сеть, а пылесос картографирует квартиру и передает планы незнакомцам. Звучит как сюжет дешевого сериала, но это реальные кейсы, с которыми столкнулись пользователи по всему миру.
Как хакеры превращают обычную технику в цифровых шпионов? И почему даже ваш умный чайник может стать звеном в цепи глобальной кибератаки? Добро пожаловать в эру бытового хакинга, где каждая розетка — потенциальная ловушка.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное #iot
Ваш дом полон шпионов, и это не сценарий бондианы. Когда мы покупаем умный робот-пылесос или принтер с Wi-Fi, мы думаем о комфорте. Но что если ночью, пока вы спите, эти IoT-устройства начинают работать против вас? Стиральная машина майнит криптовалюту, принтер тайно перегружает сеть, а пылесос картографирует квартиру и передает планы незнакомцам. Звучит как сюжет дешевого сериала, но это реальные кейсы, с которыми столкнулись пользователи по всему миру.
Как хакеры превращают обычную технику в цифровых шпионов? И почему даже ваш умный чайник может стать звеном в цепи глобальной кибератаки? Добро пожаловать в эру бытового хакинга, где каждая розетка — потенциальная ловушка.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
ClustrMaps
#OSINT
Сервис для поиска информации о гражданах США по имени (адреса, номера телефонов, связанные лица, возраст и т.д.). Сервис бесплатный, но содержит много рекламы. Также имеются некоторые устаревшие данные.
🔗 Ссылка на сервис
LH | News | OSINT | AI
#OSINT
Сервис для поиска информации о гражданах США по имени (адреса, номера телефонов, связанные лица, возраст и т.д.). Сервис бесплатный, но содержит много рекламы. Также имеются некоторые устаревшие данные.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Что будет, если не использовать TCP или UDP?
#статья #полезное #network
Коммутаторы, маршрутизаторы, брандмауэры — все это устройства, на которых держится интернет. Они перекидывают, фильтруют, дублируют и вырезают трафик такими способами, о которых большинство даже не догадывается. Без них вы бы не смогли прочитать этот текст.
Но сеть — это всего лишь один из уровней. Операционная система тоже играет по своим правилам: классификация, очереди, правила фаервола, NAT — все это влияет на то, что проходит, а что отбрасывается без следа. Каждый слой работает по-своему, и вместе они формируют ответ на вопрос: «А этот пакет вообще можно пропустить?»
Однажды мне стало интересно: а что будет, если отправить пакет с несуществующим транспортным протоколом? Не TCP, не UDP, не ICMP — вообще что-то выдуманное. Пропустит ли его ОС? Дойдет ли он хотя бы до сетевого интерфейса? Не зарежет ли его какой-нибудь промежуточный маршрутизатор? А вдруг он еще и быстрее обычного дойдет, потому что никто не знает, что с ним делать?
Ответа у меня не было. Так что я решил проверить.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное #network
Коммутаторы, маршрутизаторы, брандмауэры — все это устройства, на которых держится интернет. Они перекидывают, фильтруют, дублируют и вырезают трафик такими способами, о которых большинство даже не догадывается. Без них вы бы не смогли прочитать этот текст.
Но сеть — это всего лишь один из уровней. Операционная система тоже играет по своим правилам: классификация, очереди, правила фаервола, NAT — все это влияет на то, что проходит, а что отбрасывается без следа. Каждый слой работает по-своему, и вместе они формируют ответ на вопрос: «А этот пакет вообще можно пропустить?»
Однажды мне стало интересно: а что будет, если отправить пакет с несуществующим транспортным протоколом? Не TCP, не UDP, не ICMP — вообще что-то выдуманное. Пропустит ли его ОС? Дойдет ли он хотя бы до сетевого интерфейса? Не зарежет ли его какой-нибудь промежуточный маршрутизатор? А вдруг он еще и быстрее обычного дойдет, потому что никто не знает, что с ним делать?
Ответа у меня не было. Так что я решил проверить.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
reNgine
#OSINT #Recon #pentest #bugbounty
Дашборд для автоматизации разведки, предназначенный для сбора информации во время тестирования на проникновение веб-приложений. Ищет поддоменены, сканит порты, делает скриншоты, перебирает директории и готов к расширению функциональности.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT #Recon #pentest #bugbounty
Дашборд для автоматизации разведки, предназначенный для сбора информации во время тестирования на проникновение веб-приложений. Ищет поддоменены, сканит порты, делает скриншоты, перебирает директории и готов к расширению функциональности.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM