Поиск доступных конфиденциальных API ключей в JS-файлах

#перевод #web #bugbounty #статья

Сегодня мы узнаем, как найти открытые API токены в JS файлах. Они представляют риск, поскольку могут предоставить возможность несанкционированного доступа к базе данных компании или платным услугам. Это также распространенная уязвимость в системе безопасности, возникающая из-за неопытности и невнимательности команды разработчиков.

🔗 Ссылка на статью

LH | News | OSINT | AI

Gaze-LLE

#llm #полезное

Модель позволяющая определить, куда направлен взгляд человека на видео. Метод поддерживает многопользовательскую инференцию, обрабатывая пакеты изображений с указанием ограничивающих рамок на головы людей.

👩‍💻 Ссылка на GitHub

LH | News | OSINT | AI

Как мы взломали цепочку поставок и получили 50 тысяч долларов

#статья #bugbounty #web #docker #npm

Статья про то, как мы при помощи атаки на цепочку поставок, позволявшей обеспечить RCE у разработчиков в конвейерах и на продакшен-серверах, заработали 50500 долларов. С большой долей вероятности никакой внутренний логгинг или мониторинг не отследит проникновения на уровне npm, потому что он происходит вне инфраструктуры цели, именно это и стало ключевым моментом в оценке уязвимости. Давайте разберемся более подробно.

🔗 Ссылка на статью

LH | News | OSINT | AI

GoSearch

#OSINT

Простой и эффективный способ проверки присутствия человека в интернете, выявления его цифрового следа и, в некоторых случаях, даже получения информации о скомпрометированных данных, связанных с его профилем.

👩‍💻 Ссылка на Github

LH | News | OSINT | AI

От iDRAC, до администратора домена

#AD #pentest #статья #перевод

На днях я участвовал в интересном тестировании на проникновение и реализовал интересный способ повышения привилегий до администратора домена. Поэтому я решил повторить сценарий на своем собственном стенде, чтобы поделиться этим интересным способом с коллегами-пентестерами, которые смогут повторить этот путь.

🔗 Ссылка на статью

LH | News | OSINT | AI

NAMINT

#OSINT

Инструмент, который с помощью ФИО или никнейма находит фотографии, статьи, публикации, PDF, DOC, XLSX файлы, e-mail, социальные сети, даже места на картах Google. Инструмент формирует наиболее вероятные комбинации ФИО, возможные варианты никнеймов и электронных адресов на основе введенных данных.

👩‍💻 Ссылка на инструмент

LH | News | OSINT | AI

Мошенники любят QR-коды: разбираем кейсы, изучаем устройство подделок и делаем выводы

#phishing #qr #статья #pentest

К 2025 году мошенники превратили QR-коды в инструмент массового обмана. Один неверный клик — и ваши деньги исчезают со счета, смартфон заражается вредоносным ПО, а персональные данные оказываются в руках злоумышленников. Давайте разберемся, как QR-коды из удобного инструмента превратились в актуальную угрозу, как устроено такое мошенничество с технической точки зрения и что говорит статистика. А в конце немного потренируемся отличать поддельные коды от оригинальных.

🔗 Ссылка на статью

LH | News | OSINT | AI

⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):

1. Предыдущий топ статей
2. Мощный сканер для сканирования вашей файловой системы
3. Софт определяющий байты в файле, на которые ругается Microsoft Defender
4. CPTS – как стать хакером с нуля
5. Альтернатива DefenderCheck, которая тоже позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу
6. Инструмент, предназначенный для централизации и оптимизации различных задач по перебору учетных данных
7. Простой и эффективный способ проверки присутствия человека в интернете
8. Инструмент, который с помощью ФИО или никнейма находит фотографии, статьи, публикации, PDF, DOC, XLSX файлы, e-mail, социальные сети, даже места на картах Google

#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг

LH | News | OSINT | AI

Обходим BitLocker и вытягиваем из памяти ключи в Windows 11

#статья #полезное #pentest

В этой статье я покажу, как можно обойти шифрование BitLocker в Windows 11 (версия 24H2) и извлечь из памяти ключи шифрования тома (full volume encryption key, FVEK) при помощи моего инструмента Memory-Dump-UEFI.

🔗 Ссылка на статью

LH | News | OSINT | AI

40+ OSINT расширений для Google Chrome и Firefox

#OSINT #полезное

В репозитории собраны 40+ полезных расширений Google Chrome и Firefox, которые помогут анализировать данные из открытых источников и пригодятся в работе.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Закрепление в Linux. Linux Persistence

#linux #persistence #pentest #статья

Получив доступ к системе, важно его не потерять. Выключение узла, завершение процесса - все это разрывает бек-коннект. И приходится начинать сначала. Даже если вы успели получить учетные данные валидного пользователя, смена пароля способна создать массу проблем. В статье я собрала в одном месте известные мне способы, начиная от простых и довольно шумных, но есть и элегантные варианты, на мой вкус. 

🔗 Ссылка на статью

LH | News | OSINT | AI

Telerecon

#OSINT

Инструмент для исследования и сбора данных Telegram. Введите целевое имя пользователя, и Telerecon найдет данные профиля, активность аккаунта, пользовательские сообщения, создаст сетевую карту возможных связей и географическую карту с метаданными EXIF.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Вас вычислили. Или еще нет? Гаджеты для тех, кто хочет исчезнуть

#статья #полезное #анонимность

В погоне за анонимностью производители гаджетов предлагают все более изощренные решения: смартфоны с «честно-пречестно» отключаемой камерой, устройства для шифрования сообщений и даже смартфоны, которые обещают защитить вас от слежки через Wi-Fi. Но действительно ли они выполняют свои обещания? Или это просто маркетинговый ход, призванный убедить целевую аудиторию в надежности устройств?

Мы собрали подборку популярных устройств, которые заявляют о полной конфиденциальности, и разобрались, как они работают на практике. Спойлер: не все так просто, особенно если речь идет о программных, а не аппаратных решениях.

🔗 Ссылка на статью

LH | News | OSINT | AI

Когда спрятать недостаточно: как устроены атаки на системы тайной передачи информации

#статья #полезное #Стеганография

Стеганография — древнее искусство сокрытия информации, которое обрело новую жизнь в цифровую эпоху. В отличие от криптографии, где мы шифруем содержимое сообщения, стеганография прячет сам факт существования секретной информации.

Представьте: вы отправляете безобидную фотографию в социальной сети, но внутри нее скрыто сообщение, которое увидит только нужный человек. Или пересылаете документ, содержащий невидимую цифровую подпись для подтверждения авторства. Все это — примеры современной стеганографии.

Сегодня этот метод используется как в легальных целях (защита авторских прав, цифровые водяные знаки), так и злоумышленниками для обхода защитных систем. Поэтому специалистам по информационной безопасности критически важно понимать принципы работы стеганографических систем и методы их анализа.

В этой статье мы разберем основы стеганографии, проанализируем возможные атаки на стегосистемы и способы защиты от них.

🔗 Ссылка на статью

LH | News | OSINT | AI

Gcat

#malware #RedTeam #pentest

Скрытая бэкдор-программа на Python, использующая Gmail в качестве командного сервера управления.

🔗 Ссылка на GitHub

LH | News | OSINT | AI

Ультимативный гайд по составлению резюме для кибербезопасников

#резюме #полезное #статья

Сколько в мире людей, столько и мнений касательно того, что, как и где стоит указывать в своем резюме. Но никто не будет спорить с объективной реальностью, в которой этот инструмент необходим для того, чтобы найти себе работу. Так вот, настало время почитать не просто очередное мнение очередного советчика, а улицезреть действительно ультимативный гайд на то, как создать идеальное резюме, которое само будет продавать вас задорого. В целом, всё нижеописанное можно применить практически к любой IT-профессии, но больше всего тут будет подробностей именно для тех, кто варится в рынке кибербезопасности.

🔗 Ссылка на статью

LH | News | OSINT | AI