Please open Telegram to view this post
VIEW IN TELEGRAM
Откопал для вас невероятный кладезь знаний — The Book of Secret Knowledge
Там собрано буквально всё: от лайфхаков по терминалу до продвинутых штук по мониторингу, тестированию и защите данных. Плюс, куча ссылок на годные ресурсы, статьи и проекты
Содержимое подходит для всех, но особенно зайдёт системным админам, DevOps, пентестерам и специалистам по безопасности
Заходите, изучайте и сохраняйте в закладки: https://github.com/trimstray/the-book-of-secret-knowledge
👉 @cybersecinform
Там собрано буквально всё: от лайфхаков по терминалу до продвинутых штук по мониторингу, тестированию и защите данных. Плюс, куча ссылок на годные ресурсы, статьи и проекты
Содержимое подходит для всех, но особенно зайдёт системным админам, DevOps, пентестерам и специалистам по безопасности
Заходите, изучайте и сохраняйте в закладки: https://github.com/trimstray/the-book-of-secret-knowledge
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Объяснение DNS за 3 минуты.
Когда вы вводите адрес вроде
Для этого браузер обращается к DNS-резолверу, обычно предоставленному вашим интернет-провайдером (но можно использовать и сторонние, например, Cloudflare). Резолвер начинает искать IP-адрес, проходя через иерархию DNS — сначала спрашивает корневой сервер, потом сервер зоны .org, затем уже сам
🔑 Получив нужный IP, браузер подключается к нему и загружает страницу
👉 @cybersecinform
Когда вы вводите адрес вроде
wikipedia.org в браузере, он не понимает его напрямую — ему нужен IP-адрес сайта.Для этого браузер обращается к DNS-резолверу, обычно предоставленному вашим интернет-провайдером (но можно использовать и сторонние, например, Cloudflare). Резолвер начинает искать IP-адрес, проходя через иерархию DNS — сначала спрашивает корневой сервер, потом сервер зоны .org, затем уже сам
wikipedia.org.Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Что такое HTTP Downgrading, зачем его использовать и как это работает?
HTTP/2 является стандартом для большинства веб-приложений в наши дни, однако не редкость, когда серверы на бэкенде все еще используют HTTP/1.1, что может приводить к несоответствиям при разборе запросов между фронтендом и бэкендом.
И вот здесь и появляется HTTP downgrading! Но что это такое?
HTTP downgrading — это процесс принуждения запроса обрабатываться через HTTP/1.1 вместо HTTP/2.
Это позволяет манипулировать тем, как серверы на фронтенде и бэкенде интерпретируют запросы, а также использовать уязвимости, уникальные для разбора HTTP/1.1, такие как атаки Content-Length Transfer-Encoding (CL.TE).
Как понизить HTTP/2 до HTTP/1.1 с помощью Burp Suite🤔
1️⃣ Откройте Burp Suite и перейдите в Proxy → HTTP History
2️⃣ Найдите запрос, который в данный момент использует HTTP/2.
3️⃣ Отправьте запрос в Repeater
4️⃣ В вкладке Repeater откройте панель "Inspector" → Request Attributes → Protocol
5️⃣ Измените версию HTTP на HTTP/1.1
6️⃣ Нажмите "Send" в Repeater.
Если все прошло успешно, вы получите валидный ответ, подтверждающий, что сервер принимает HTTP/1.1.
Вот и все! Вы только что понизили протокол HTTP и подтвердили, что сервер на фронтенде принимает HTTP/1.1!
👉 @cybersecinform
HTTP/2 является стандартом для большинства веб-приложений в наши дни, однако не редкость, когда серверы на бэкенде все еще используют HTTP/1.1, что может приводить к несоответствиям при разборе запросов между фронтендом и бэкендом.
И вот здесь и появляется HTTP downgrading! Но что это такое?
HTTP downgrading — это процесс принуждения запроса обрабатываться через HTTP/1.1 вместо HTTP/2.
Это позволяет манипулировать тем, как серверы на фронтенде и бэкенде интерпретируют запросы, а также использовать уязвимости, уникальные для разбора HTTP/1.1, такие как атаки Content-Length Transfer-Encoding (CL.TE).
Как понизить HTTP/2 до HTTP/1.1 с помощью Burp Suite
Если все прошло успешно, вы получите валидный ответ, подтверждающий, что сервер принимает HTTP/1.1.
Вот и все! Вы только что понизили протокол HTTP и подтвердили, что сервер на фронтенде принимает HTTP/1.1!
Please open Telegram to view this post
VIEW IN TELEGRAM
20+ open source утилит для шифрования файлов на (почти) любой случай жизни
📖 Читать: ссылка
👉 @cybersecinform | #cтатья
Please open Telegram to view this post
VIEW IN TELEGRAM
Пентестеры, автоматизируйте свою работу!
Findsploit — мощный инструмент для быстрого поиска эксплойтов в популярных базах, таких как:
☑ Exploit-DB
☑ Metasploit
☑ Packetstorm
☑ Github Repositories и других источниках.
Он предоставляет возможность быстро находить уязвимости в целевой системе и использовать их для проведения тестов на проникновение или аудита безопасности.
👉 @cybersecinform
Findsploit — мощный инструмент для быстрого поиска эксплойтов в популярных базах, таких как:
Он предоставляет возможность быстро находить уязвимости в целевой системе и использовать их для проведения тестов на проникновение или аудита безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Топ-5 инструментов ИИ, которые стоит использовать для DevOps:
1. Plot.sh – ваш открытый AI-ассистент в оболочке для DevOps.
2. Platops.ai – AI-напарник для управления облачной инфраструктурой.
3. CLAI – искусственный интеллект для командной строки.
4. HumanLayer.dev – человек в цепочке принятия решений для AI-агентов.
5. Release.com – общение с вашей инфраструктурой на естественном языке.
6. Portkey.ai – AI-шлюз к 100+ моделям.
7. Kubectl MCP Server – управление Kubernetes с помощью MCP.
👉 @cybersecinform
1. Plot.sh – ваш открытый AI-ассистент в оболочке для DevOps.
2. Platops.ai – AI-напарник для управления облачной инфраструктурой.
3. CLAI – искусственный интеллект для командной строки.
4. HumanLayer.dev – человек в цепочке принятия решений для AI-агентов.
5. Release.com – общение с вашей инфраструктурой на естественном языке.
6. Portkey.ai – AI-шлюз к 100+ моделям.
7. Kubectl MCP Server – управление Kubernetes с помощью MCP.
Please open Telegram to view this post
VIEW IN TELEGRAM
Мощный ускоритель загрузок и видеозагрузчик — XDM
Он повышает скорость скачивания до 500%, поддерживает скачивание видео с популярных сайтов и может восстанавливать прерванные загрузки. XDM интегрируется с основными браузерами и имеет встроенный конвертер видео для просмотра на различных устройствах.
Поддерживает HTTP, HTTPS, FTP и видеостриминг протоколы.
👉 @cybersecinform
Он повышает скорость скачивания до 500%, поддерживает скачивание видео с популярных сайтов и может восстанавливать прерванные загрузки. XDM интегрируется с основными браузерами и имеет встроенный конвертер видео для просмотра на различных устройствах.
Поддерживает HTTP, HTTPS, FTP и видеостриминг протоколы.
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Нужно закодировать данные в формате URL? 🥷
Просто выделите ваш payload и нажмите
Либо кликните правой кнопкой мыши по запросу и включите "
👉 @cybersecinform
Просто выделите ваш payload и нажмите
Command + U (MacOS) или Ctrl + U (Windows).Либо кликните правой кнопкой мыши по запросу и включите "
Кодировать в URL-формате по мере ввода", чтобы кодирование происходило автоматически!Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Новый способ обхода требования учетной записи Microsoft при установке Windows 11
На экране OOBE (первоначальной настройки системы) нажмите Shift + F10, чтобы открыть командную строку.
В командной строке введите следующую команду и нажмите Enter:👇
👉 @cybersecinform
На экране OOBE (первоначальной настройки системы) нажмите Shift + F10, чтобы открыть командную строку.
В командной строке введите следующую команду и нажмите Enter:
start ms-cxh:localonly
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
DataSurgeon — это мощный инструмент для кибербезопасности, используемый в реагировании на инциденты, пентестинге, DLP (предотвращении утечек данных) и CTF-соревнованиях.
☑ Извлекает конфиденциальные данные (e-mail, хэши, номера карт, IP, URL и т. д.)
☑ Работает кроссплатформенно (Windows, Linux, MacOS)
☑ Поддерживает анализ файлов и директорий
☑ Гибко расширяется за счёт плагинов
☑ Генерирует отчёты в CSV
Это инструмент, который нужен безопасникам, DevOps и пентестерам для быстрого анализа данных.
👉 @cybersecinform
Это инструмент, который нужен безопасникам, DevOps и пентестерам для быстрого анализа данных.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Тестирование Blind OS Command Injection с перенаправлением вывода
1️⃣ Проверь параметры (например, email) на возможность внедрения кода, используя
2️⃣ Найдите URL, который загружает файл (например,
3️⃣ Внедрите команду
4️⃣ Загрузите файл output.txt, отправив запрос
Поздравляю, вы только что обнаружили уязвимость Blind OS Command Injection с перенаправлением вывода😱
Чтобы узнать больше, рекомендую пройти эту лабу
👉 @cybersecinform
' & sleep 5 #'. Если ответ загружается 5 секунд, возможно, у вас есть уязвимость/image?filename=xyz).whoami в уязвимый параметр и перенаправьте вывод в папку /images, используя:' & whoami > /var/www/images/output.txt #'
/image?filename=output.txt, и найдите вывод whoami в ответе.Поздравляю, вы только что обнаружили уязвимость Blind OS Command Injection с перенаправлением вывода
Чтобы узнать больше, рекомендую пройти эту лабу
Please open Telegram to view this post
VIEW IN TELEGRAM
Наткнулся на нагляднейшую схему — вот прям визуально показывает, как передаётся инфа по сети. От тебя → к другому устройству.
🍩 Кликаешь в браузере — пошли данные (уровень 7)
🍩 Данные оборачиваются в заголовки (headers) на каждом уровне. Это называется инкапсуляция.
🍩 Внизу уже летят по сети нули и единицы (уровень 1)
🍩 На стороне получателя — всё разворачивается обратно (деинкапсуляция)
🍩 И вуаля — страница на экране
Это прям база
👉 @cybersecinform
Это прям база
Please open Telegram to view this post
VIEW IN TELEGRAM
Фишинговый комбайн на стероидах 💪
Nexphisher — это phishing tool на Termux/Ubuntu, написанный на bash. По сути, утилита, которая помогает создавать фейковые страницы, чтобы красть логины/пароли от соцсетей. Instagram, Facebook, Snapchat, GitHub, TikTok — список большой.
1. Ты запускаешь скрипт в Termux или Linux.
2. Выбираешь нужную цель (например, "Instagram").
3. Скрипт поднимает фейковую страницу с помощью ngrok или serveo.
4. Получаешь ссылку, которую нужно как-то подкинуть жертве.
5. Если кто-то введёт логин/пароль — скрипт сохранит эти данные тебе.
↔️ Такой софт используют для фишинга — это незаконно, если делаешь это без согласия.
👉 @cybersecinform
Nexphisher — это phishing tool на Termux/Ubuntu, написанный на bash. По сути, утилита, которая помогает создавать фейковые страницы, чтобы красть логины/пароли от соцсетей. Instagram, Facebook, Snapchat, GitHub, TikTok — список большой.
1. Ты запускаешь скрипт в Termux или Linux.
2. Выбираешь нужную цель (например, "Instagram").
3. Скрипт поднимает фейковую страницу с помощью ngrok или serveo.
4. Получаешь ссылку, которую нужно как-то подкинуть жертве.
5. Если кто-то введёт логин/пароль — скрипт сохранит эти данные тебе.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM