захват учетной записи Microsoft через XSS в процессе аутентификации
#статья #перевод #bugbounty #XSS
В этой статье я подробно опишу, как обнаружил и использовал уязвимость полного захвата учетной записи с помощью Cross-Site Scripting (XSS) в процессе входа. Эта уязвимость, скрытая в механизме аутентификации Microsoft, помогла получить полный контроль над учетной записью пользователя.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #перевод #bugbounty #XSS
В этой статье я подробно опишу, как обнаружил и использовал уязвимость полного захвата учетной записи с помощью Cross-Site Scripting (XSS) в процессе входа. Эта уязвимость, скрытая в механизме аутентификации Microsoft, помогла получить полный контроль над учетной записью пользователя.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍6❤4
Fast Google Dorks Scan
#pentest #osint #bugbounty #dork
OSINT проект, основная идея которого — собрать все возможные комбинации поисковых запросов Google dorks и находить информацию о конкретном сайте: типичные панели администратора, распространённые типы файлов и пути. Полностью автоматизирован.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#pentest #osint #bugbounty #dork
OSINT проект, основная идея которого — собрать все возможные комбинации поисковых запросов Google dorks и находить информацию о конкретном сайте: типичные панели администратора, распространённые типы файлов и пути. Полностью автоматизирован.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤5🔥5
Озон и телефонные мошенники
#статья #мошенники #полезное
Большинство при таких звонках сразу кладут трубку, а многие вообще не отвечают на звонки с незнакомых телефонных номеров, а то и просто блокируют их. Но бывают ситуации, когда человек ждёт подобного звонка, и поэтому становится особенно уязвимым. Например, если вы заказали какой-то товар и ждёте его доставку, то наверняка будете отвечать на все звонки, а если звонок окажется явно «по теме», то бдительность ещё сильнее притупляется.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #мошенники #полезное
Большинство при таких звонках сразу кладут трубку, а многие вообще не отвечают на звонки с незнакомых телефонных номеров, а то и просто блокируют их. Но бывают ситуации, когда человек ждёт подобного звонка, и поэтому становится особенно уязвимым. Например, если вы заказали какой-то товар и ждёте его доставку, то наверняка будете отвечать на все звонки, а если звонок окажется явно «по теме», то бдительность ещё сильнее притупляется.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🤝5❤4
150+ хакерских поисковых систем и инструментов
#статья #pentest #OSINT
Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.
Пост состоит из 8 объемных разделов:
• метапоисковики и поисковые комбайны;
• инструменты для работы с дорками;
• поиск по электронной почте и логинам;
• поиск по номерам телефонов;
• поиск в сети TOR;
• поиск по интернету вещей, IP, доменам и поддоменам;
• поиск данных об уязвимостях и индикаторов компрометации;
• поиск по исходному коду.
В этом списке собраны инструменты, которые члены нашей команды используют в работе. И все же, эта подборка пригодится не только пентестерам, но и разработчикам, журналистам, HR, маркетологам и всем, кто много ищет в интернете. Знания — это сила. Используйте их во благо.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #pentest #OSINT
Все таргетированные хакерские атаки начинаются с разведки. Социальные инженеры, красные команды и отдельные пентестеры также собирают информацию о своих целях перед тем, как перейти к активным действиям. Им помогают десятки инструментов и хаков. Под катом ссылки на некоторые из них.
Пост состоит из 8 объемных разделов:
• метапоисковики и поисковые комбайны;
• инструменты для работы с дорками;
• поиск по электронной почте и логинам;
• поиск по номерам телефонов;
• поиск в сети TOR;
• поиск по интернету вещей, IP, доменам и поддоменам;
• поиск данных об уязвимостях и индикаторов компрометации;
• поиск по исходному коду.
В этом списке собраны инструменты, которые члены нашей команды используют в работе. И все же, эта подборка пригодится не только пентестерам, но и разработчикам, журналистам, HR, маркетологам и всем, кто много ищет в интернете. Знания — это сила. Используйте их во благо.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍11🔥5⚡2🆒1
Spy-extension
#spy #полезное #malware
Расширение Chrome, которое будет воровать буквально всё, что только сможет
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#spy #полезное #malware
Расширение Chrome, которое будет воровать буквально всё, что только сможет
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15🔥9👍4🤓2
Откуда растут переработки и прочая корпоративная шиза. Часть 1. Историческая
#статья #полезное
Существует множество исследований и экспериментов, которые прямо гласят: переработки могут быть полезны только краткое время, не более пары месяцев или даже недель. Интернет завален публикациями про их вред, но воз и ныне там. И многие современные менеджеры так и норовят загрузить сотрудников по полной, а в идеале - и на выходных, чтобы работали по 60, 80 или даже 100 часов.
Историй будет много, хватит минимум на 3 части. Для удобства восприятия, они будут разделены по отдельным смысловым блокам.
В этот раз мы с вами рассмотрим, какие события прошлого и настоящего поддерживают в многих современных руководителях веру в переработки и прочую корпоративную глупость.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное
Существует множество исследований и экспериментов, которые прямо гласят: переработки могут быть полезны только краткое время, не более пары месяцев или даже недель. Интернет завален публикациями про их вред, но воз и ныне там. И многие современные менеджеры так и норовят загрузить сотрудников по полной, а в идеале - и на выходных, чтобы работали по 60, 80 или даже 100 часов.
Историй будет много, хватит минимум на 3 части. Для удобства восприятия, они будут разделены по отдельным смысловым блокам.
В этот раз мы с вами рассмотрим, какие события прошлого и настоящего поддерживают в многих современных руководителях веру в переработки и прочую корпоративную глупость.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍4🔥4🤓2🤔1
DeepdarkCTI
#OSINT #DarkWeb #полезное
Официальный сайт проекта — https://www.deepdarkcti.com Цель проекта — собрать Deep и Dark Web источники, которые могут быть полезны в рамках киберразведки угроз.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT #DarkWeb #полезное
Официальный сайт проекта — https://www.deepdarkcti.com Цель проекта — собрать Deep и Dark Web источники, которые могут быть полезны в рамках киберразведки угроз.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤6🔥5
От инженеров до барыг, или откуда растут переработки и прочая корпоративная шиза. Часть 2
#статья #полезное
Почему в современном менеджменте столько глупости? Почему руководители верят в переработки, садистское отношение к сотрудникам и не умеют думать на 2 шага вперёд?
В прошлый раз мы разобрали, как различные исторические явления, религия и рабовладение обеспечили массовое распространение корпоративной шизы. В этот раз рассмотрим, как на неё повлиял исход "инженеров" и их замена на "барыг".
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное
Почему в современном менеджменте столько глупости? Почему руководители верят в переработки, садистское отношение к сотрудникам и не умеют думать на 2 шага вперёд?
В прошлый раз мы разобрали, как различные исторические явления, религия и рабовладение обеспечили массовое распространение корпоративной шизы. В этот раз рассмотрим, как на неё повлиял исход "инженеров" и их замена на "барыг".
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥5❤3
1. Предыдущий топ статей
2. За полчаса установил DeepSeek 1.5B, пока вы искали GPT подешевле
3. Инструмент для автоматизации аудита беспроводных сетей с шифрованием WEP и WPA
4. Анализатор конфигурации RouterOS для поиска неправильных настроек безопасности и уязвимостей
5. OSINT проект, основная идея которого — собрать все возможные комбинации поисковых запросов Google dorks и находить информацию о конкретном сайте
6. Инструмент для взлома паролей PDF с помощью перебора по словарю
7. 150+ хакерских поисковых систем и инструментов
8. Расширение Chrome, которое будет воровать буквально всё, что только сможет
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍3🔥2
Все знают, где ты находишься — можешь убедиться сам
#статья #spy #полезное
Я создал небольшое руководство, которое позволяет любому записывать трафик мобильных приложений и находить в нём неожиданные вещи.
На анализ каждого приложения при помощи этого алгоритма требуется примерно 10 минут, но если вы найдёте что-то любопытное, то можете заняться более глубоким многочасовым изучением…
🔗 Ссылка на статью
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#статья #spy #полезное
Я создал небольшое руководство, которое позволяет любому записывать трафик мобильных приложений и находить в нём неожиданные вещи.
На анализ каждого приложения при помощи этого алгоритма требуется примерно 10 минут, но если вы найдёте что-то любопытное, то можете заняться более глубоким многочасовым изучением…
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥8❤5
Что происходит с собеседованиями QA в 2025 году? Взгляд с обеих сторон баррикад
#статья #полезное #собеседование
На Хабре уже выходили посты о том, как тяжело найти работу QA в 2024–2025 годах, но мало кто взвешивает сразу две позиции — и кандидата, и нанимателя. Я побывал по обе стороны и решил поделиться наблюдениями.
Пару слов обо мне: за последние полгода я провел больше сотни собеседований, а ранее сам активно проходил их как соискатель. Совсем недавно я полностью перестроил процесс найма тестировщиков в нашей компании (если будет интересно, пишите в комментах, расскажу об этом отдельно) и теперь хочу поговорить о том, что изменилось на рынке QA, почему собеседования стали такими сложными, как к ним адаптируются компании и что с этим делать соискателям и нанимателям, чтобы не свихнуться.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное #собеседование
На Хабре уже выходили посты о том, как тяжело найти работу QA в 2024–2025 годах, но мало кто взвешивает сразу две позиции — и кандидата, и нанимателя. Я побывал по обе стороны и решил поделиться наблюдениями.
Пару слов обо мне: за последние полгода я провел больше сотни собеседований, а ранее сам активно проходил их как соискатель. Совсем недавно я полностью перестроил процесс найма тестировщиков в нашей компании (если будет интересно, пишите в комментах, расскажу об этом отдельно) и теперь хочу поговорить о том, что изменилось на рынке QA, почему собеседования стали такими сложными, как к ним адаптируются компании и что с этим делать соискателям и нанимателям, чтобы не свихнуться.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍7🔥4🤔1
Как я взломал миллионы умных весов через уязвимости в API и железе
#статья #перевод #взлом
Сегодня расскажу, как мне удалось перехватить управление миллионами смарт-весов, подключенных к интернету. Причина — уязвимость в механизме привязки весов к пользователю, превратившая эти устройства в идеальные мишени для атак.
Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #перевод #взлом
Сегодня расскажу, как мне удалось перехватить управление миллионами смарт-весов, подключенных к интернету. Причина — уязвимость в механизме привязки весов к пользователю, превратившая эти устройства в идеальные мишени для атак.
Эта находка наглядно показывает, что аппаратная и веб-безопасность — две одинаково важные составляющие защиты умных устройств. Отыскав уязвимости в каждой из них, злоумышленник может достичь по-настоящему пугающих результатов.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤5🔥3
Поддержите пожалуйста наш канал бустом 🥷
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Life-Hack - Хакер
Проголосуйте за канал, чтобы он получил больше возможностей.
🫡7👍4👌3🤔2
OSINT stuff tool collection
#полезное #OSINT
Коллекция из нескольких сотен онлайн-инструментов для OSINT (Open Source Intelligence). Данный репозиторий содержит различные инструменты, сайты и сервисы, которые можно использовать для сбора информации из общедоступных источников.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#полезное #OSINT
Коллекция из нескольких сотен онлайн-инструментов для OSINT (Open Source Intelligence). Данный репозиторий содержит различные инструменты, сайты и сервисы, которые можно использовать для сбора информации из общедоступных источников.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15❤4🔥4
Взлом моей машины, и, вероятно, вашей — уязвимости в приложении Volkswagen
#статья #перевод #bugbounty
Прикупив подержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen. При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.
После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.
Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.
Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #перевод #bugbounty
Прикупив подержанный автомобиль Volkswagen, исследователь Вишал Бхаскар столкнулся с серьезными проблемами, когда решил залогиниться в приложении My Volkswagen. При авторизации по VIN коды OTP каждый раз уходили на телефон бывшего владельца.
После череды безуспешных попыток связаться с ним Вишал попробовал ввести пару случайных комбинаций (четыре цифры), затем еще 10-15, ожидая блокировки со стороны приложения, но этого не происходило.
Тогда в ход пошел старый добрый Burp Suite, позволивший отыскать ряд интересных вызовов API и связанных с ними серьезных проблем, а перебрать OTP удалось с помощью самописных скриптов на Python буквально за несколько секунд.
Как выяснилось по итогу, приложение не имело защиты от перебора, хранило внутренние учетные данные в виде открытого текста и раскрывало данные любого владельца автомобиля, просто через идентификатор транспортного средства (VIN).
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤5🔥4
FindUnusualSessions
#pentest #redteam #ad
Скрипт показывает сессии на всех хостах, которые получит из LDAP. Пригодится для поиска машины, на которой работает определенный пользователь.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#pentest #redteam #ad
Скрипт показывает сессии на всех хостах, которые получит из LDAP. Пригодится для поиска машины, на которой работает определенный пользователь.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16🔥7❤2
Postman логирует все ваши секреты и переменные окружения
#статья #перевод #bugbounty
Изначально я расследовал сообщение о том, что Postman не соответствует стандартам HIPAA. Я выяснил, что Postman не просто полностью непригоден для тестирования медицинских приложений — этот инструмент фактически полностью игнорирует конфиденциальность своих пользователей и, скорее всего, сохранил каждый секретный ключ, который вы когда-либо ему передавали.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #перевод #bugbounty
Изначально я расследовал сообщение о том, что Postman не соответствует стандартам HIPAA. Я выяснил, что Postman не просто полностью непригоден для тестирования медицинских приложений — этот инструмент фактически полностью игнорирует конфиденциальность своих пользователей и, скорее всего, сохранил каждый секретный ключ, который вы когда-либо ему передавали.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👾5👍4🤓2❤1