1. Предыдущий топ статей
2. За полчаса установил DeepSeek 1.5B, пока вы искали GPT подешевле
3. Инструмент для автоматизации аудита беспроводных сетей с шифрованием WEP и WPA
4. Анализатор конфигурации RouterOS для поиска неправильных настроек безопасности и уязвимостей
5. OSINT проект, основная идея которого — собрать все возможные комбинации поисковых запросов Google dorks и находить информацию о конкретном сайте
6. Инструмент для взлома паролей PDF с помощью перебора по словарю
7. 150+ хакерских поисковых систем и инструментов
8. Расширение Chrome, которое будет воровать буквально всё, что только сможет
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Все знают, где ты находишься — можешь убедиться сам
#статья #spy #полезное
Я создал небольшое руководство, которое позволяет любому записывать трафик мобильных приложений и находить в нём неожиданные вещи.
На анализ каждого приложения при помощи этого алгоритма требуется примерно 10 минут, но если вы найдёте что-то любопытное, то можете заняться более глубоким многочасовым изучением…
🔗 Ссылка на статью
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#статья #spy #полезное
Я создал небольшое руководство, которое позволяет любому записывать трафик мобильных приложений и находить в нём неожиданные вещи.
На анализ каждого приложения при помощи этого алгоритма требуется примерно 10 минут, но если вы найдёте что-то любопытное, то можете заняться более глубоким многочасовым изучением…
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Что происходит с собеседованиями QA в 2025 году? Взгляд с обеих сторон баррикад
#статья #полезное #собеседование
На Хабре уже выходили посты о том, как тяжело найти работу QA в 2024–2025 годах, но мало кто взвешивает сразу две позиции — и кандидата, и нанимателя. Я побывал по обе стороны и решил поделиться наблюдениями.
Пару слов обо мне: за последние полгода я провел больше сотни собеседований, а ранее сам активно проходил их как соискатель. Совсем недавно я полностью перестроил процесс найма тестировщиков в нашей компании (если будет интересно, пишите в комментах, расскажу об этом отдельно) и теперь хочу поговорить о том, что изменилось на рынке QA, почему собеседования стали такими сложными, как к ним адаптируются компании и что с этим делать соискателям и нанимателям, чтобы не свихнуться.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное #собеседование
На Хабре уже выходили посты о том, как тяжело найти работу QA в 2024–2025 годах, но мало кто взвешивает сразу две позиции — и кандидата, и нанимателя. Я побывал по обе стороны и решил поделиться наблюдениями.
Пару слов обо мне: за последние полгода я провел больше сотни собеседований, а ранее сам активно проходил их как соискатель. Совсем недавно я полностью перестроил процесс найма тестировщиков в нашей компании (если будет интересно, пишите в комментах, расскажу об этом отдельно) и теперь хочу поговорить о том, что изменилось на рынке QA, почему собеседования стали такими сложными, как к ним адаптируются компании и что с этим делать соискателям и нанимателям, чтобы не свихнуться.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Как я взломал миллионы умных весов через уязвимости в API и железе
#статья #перевод #взлом
Сегодня расскажу, как мне удалось перехватить управление миллионами смарт-весов, подключенных к интернету. Причина — уязвимость в механизме привязки весов к пользователю, превратившая эти устройства в идеальные мишени для атак.
Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #перевод #взлом
Сегодня расскажу, как мне удалось перехватить управление миллионами смарт-весов, подключенных к интернету. Причина — уязвимость в механизме привязки весов к пользователю, превратившая эти устройства в идеальные мишени для атак.
Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
OSINT stuff tool collection
#полезное #OSINT
Коллекция из нескольких сотен онлайн-инструментов для OSINT (Open Source Intelligence). Данный репозиторий содержит различные инструменты, сайты и сервисы, которые можно использовать для сбора информации из общедоступных источников.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#полезное #OSINT
Коллекция из нескольких сотен онлайн-инструментов для OSINT (Open Source Intelligence). Данный репозиторий содержит различные инструменты, сайты и сервисы, которые можно использовать для сбора информации из общедоступных источников.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Взлом моей машины, и, вероятно, вашей — уязвимости в приложении Volkswagen
#статья #перевод #bugbounty
Прикупив подержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen. При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.
После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.
Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.
Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #перевод #bugbounty
Прикупив подержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen. При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.
После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.
Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.
Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
FindUnusualSessions
#pentest #redteam #ad
Скрипт показывает сессии на всех хостах, которые получит из LDAP. Пригодится для поиска машины, на которой работает определенный пользователь.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#pentest #redteam #ad
Скрипт показывает сессии на всех хостах, которые получит из LDAP. Пригодится для поиска машины, на которой работает определенный пользователь.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Postman логирует все ваши секреты и переменные окружения
#статья #перевод #bugbounty
Изначально я расследовал сообщение о том, что Postman не соответствует стандартам HIPAA. Я выяснил, что Postman не просто полностью непригоден для тестирования медицинских приложений — этот инструмент фактически полностью игнорирует конфиденциальность своих пользователей и, скорее всего, сохранил каждый секретный ключ, который вы когда-либо ему передавали.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #перевод #bugbounty
Изначально я расследовал сообщение о том, что Postman не соответствует стандартам HIPAA. Я выяснил, что Postman не просто полностью непригоден для тестирования медицинских приложений — этот инструмент фактически полностью игнорирует конфиденциальность своих пользователей и, скорее всего, сохранил каждый секретный ключ, который вы когда-либо ему передавали.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
SlideSpeak
#AI #полезное
Генератор качественных презентаций по любой теме с ИИ. ИИ берёт материал из документов и делает полноценный проект, из файлов можно вытаскивать нужную инфу через запросы во встроенном чат-боте.
🔗 Ссылка на сервис
LH | News | OSINT | AI
#AI #полезное
Генератор качественных презентаций по любой теме с ИИ. ИИ берёт материал из документов и делает полноценный проект, из файлов можно вытаскивать нужную инфу через запросы во встроенном чат-боте.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
«Пароль неверный». Парольные менеджеры глазами хакера
#статья #pentest
На проектах по пентестам нам часто удается получить доступ к корпоративному компьютеру «жертвы», а затем и добыть из него плохо защищенные пароли. К чему это приводит, все понимают. А как происходит такая компрометация — сегодня попробуем раскрыть.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #pentest
На проектах по пентестам нам часто удается получить доступ к корпоративному компьютеру «жертвы», а затем и добыть из него плохо защищенные пароли. К чему это приводит, все понимают. А как происходит такая компрометация — сегодня попробуем раскрыть.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Eventlog Compendium
#blueteam #admin #soc #полезное
Централизованный справочник по журналам событий Windows. Пригодится для изучения журналов событий Windows. Будь то расследование инцидентов, настройка политик аудита или разработка решений по безопасности — тут вы найдете подробную информацию по каждому событию.
🔗 Ссылка на сайт
LH | News | OSINT | AI
#blueteam #admin #soc #полезное
Централизованный справочник по журналам событий Windows. Пригодится для изучения журналов событий Windows. Будь то расследование инцидентов, настройка политик аудита или разработка решений по безопасности — тут вы найдете подробную информацию по каждому событию.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Как найти и потерять бэкдор в ESP32
#статья #полезное
В марте маленькая платка внезапно оказалась в центре глобального технологического скандала. Заголовки пестрили страшилками про «бэкдор» в «миллиардах устройств», и по новостям казалось, что хакеры вот-вот захватят все умные лампочки, термостаты и прочий IoT.
А потом... всё как-то поутихло. Что же на самом деле нашли испанские исследователи в популярном микроконтроллере? Почему новость о «бэкдоре» разлетелась со скоростью лесного пожара? И главное — насколько реальна была угроза?
Давайте разберёмся в этой запутанной истории, где переплелись технические исследования, PR-ходы, погоня за кликами и, конечно же, всеми любимые низкоуровневые протоколы
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное
В марте маленькая платка внезапно оказалась в центре глобального технологического скандала. Заголовки пестрили страшилками про «бэкдор» в «миллиардах устройств», и по новостям казалось, что хакеры вот-вот захватят все умные лампочки, термостаты и прочий IoT.
А потом... всё как-то поутихло. Что же на самом деле нашли испанские исследователи в популярном микроконтроллере? Почему новость о «бэкдоре» разлетелась со скоростью лесного пожара? И главное — насколько реальна была угроза?
Давайте разберёмся в этой запутанной истории, где переплелись технические исследования, PR-ходы, погоня за кликами и, конечно же, всеми любимые низкоуровневые протоколы
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Zarla
#AI #полезное
Конструктор веб-сайтов с искусственным интеллектом упрощает процесс создания профессионального веб-сайта без необходимости знания HTML и навыков проектирования сайтов. ИИ обрабатывает каждую часть сборки от проектирования макета и добавления изображений до написания текста и оптимизации для SEO, так что вы можете запустить свой сайт за считанные секунды.
🔗 Ссылка на сайт
LH | News | OSINT | AI
#AI #полезное
Конструктор веб-сайтов с искусственным интеллектом упрощает процесс создания профессионального веб-сайта без необходимости знания HTML и навыков проектирования сайтов. ИИ обрабатывает каждую часть сборки от проектирования макета и добавления изображений до написания текста и оптимизации для SEO, так что вы можете запустить свой сайт за считанные секунды.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
70+ бесплатных приманок для ловли хакеров.
#blueteam #admin #статья
Сегодня поделюсь подборкой open source ханипотов, которые можно использовать для защиты своих серверов и локальных сетей от кибератак, но для начала давайте разберемся, что такое ханипот и зачем он нужен.
🔗 Ссылка на статью
LH | News | OSINT | AI
#blueteam #admin #статья
Сегодня поделюсь подборкой open source ханипотов, которые можно использовать для защиты своих серверов и локальных сетей от кибератак, но для начала давайте разберемся, что такое ханипот и зачем он нужен.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
1. Предыдущий топ статей
2. Проект для сбора Deep и Dark Web источников, которые могут быть полезны в рамках киберразведки угроз
3. Руководство, позволяющее любому записывать трафик мобильных приложений и находить в нём неожиданные вещи
4. Поиск в Google/Bing/Ecosia/DuckDuckGo/Yandex/Yahoo с помощью специальных поисковых запросов (дорков)
5. Коллекция из нескольких сотен онлайн-инструментов для OSINT
6. Скрипт показывающий сессии на всех хостах, которые получит из LDAP
7. Генератор качественных презентаций по любой теме с ИИ
8. Централизованный справочник по журналам событий Windows
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
LOLBAS
#RedTeam #evasion #полезное
Living Off The Land Binaries and Scripts — это проект, который собирает и систематизирует бинарные файлы, сценарии и библиотеки для Windows, которые могут быть использованы в иных целях, часто злоумышленниками или красными командами. Проект помогает осознать возможные способы использования законных инструментов Windows злоумышленниками, для того, чтобы дальше оставаться незамеченными.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#RedTeam #evasion #полезное
Living Off The Land Binaries and Scripts — это проект, который собирает и систематизирует бинарные файлы, сценарии и библиотеки для Windows, которые могут быть использованы в иных целях, часто злоумышленниками или красными командами. Проект помогает осознать возможные способы использования законных инструментов Windows злоумышленниками, для того, чтобы дальше оставаться незамеченными.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
SelfCoerce для локального повышения привилегий на Windows 10
#статья #AD #pentest
Сегодня представлю метод локального повышения привилегий на Windows 10.
Сам подход не новый и уже после его тестирования я обнаружил статью, в которой описывается нечто похожее, но с использованием C2 и стороннего хоста. В моем случае есть только один хост.
TL; DR:
• Принудительно включаем службу WebClient.
• На хосте запускаем NTLMRelayx, в качестве цели указываем контроллер домена и применяем технику Shadow Credentials.
• Выполняем принудительную аутентификацию компьютера на самого себя.
• С помощью полученного сертификата запрашиваем TGT-билет Kerberos для компьютера.
• Используем технику S4U2Self, чтобы получить сервисный билет Kerberos.
• Используем SCMUACBypass для получения привилегий SYSTEM.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #AD #pentest
Сегодня представлю метод локального повышения привилегий на Windows 10.
Сам подход не новый и уже после его тестирования я обнаружил статью, в которой описывается нечто похожее, но с использованием C2 и стороннего хоста. В моем случае есть только один хост.
TL; DR:
• Принудительно включаем службу WebClient.
• На хосте запускаем NTLMRelayx, в качестве цели указываем контроллер домена и применяем технику Shadow Credentials.
• Выполняем принудительную аутентификацию компьютера на самого себя.
• С помощью полученного сертификата запрашиваем TGT-билет Kerberos для компьютера.
• Используем технику S4U2Self, чтобы получить сервисный билет Kerberos.
• Используем SCMUACBypass для получения привилегий SYSTEM.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
MalwareSourceCode
#Malware #полезное
Коллекция исходного кода вредоносных программ для различных платформ на разных языках программирования.
Данный репозиторий создан для исследовательских целей, анализа угроз и изучения методов, используемых в разработке вредоносных программ.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#Malware #полезное
Коллекция исходного кода вредоносных программ для различных платформ на разных языках программирования.
Данный репозиторий создан для исследовательских целей, анализа угроз и изучения методов, используемых в разработке вредоносных программ.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM