Призраки в коммитах: как я заработал $64 000 на удаленных файлах в Git
#статья #bugbounty #pentest #OSINT #полезное
Я построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.
В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #pentest #OSINT #полезное
Я построил систему, которая клонирует и сканирует тысячи публичных GitHub-репозиториев — и находит в них утекшие секреты.
В каждом репозитории я восстанавливал удаленные файлы, находил недостижимые объекты, распаковывал .pack-файлы и находил API-ключи, активные токены и учетки. А когда сообщил компаниям об утечках, заработал более $64 000 на баг-баунти.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
PDF Search
#OSINT #полезное
Система поиска документов, которая позволяет просматривать более 18 миллионов документов в формате PDF. Поможет найти статьи, гайды, курсы, научные материалы и многое другое.
🔗 Ссылка на сервис
LH | News | OSINT | AI
#OSINT #полезное
Система поиска документов, которая позволяет просматривать более 18 миллионов документов в формате PDF. Поможет найти статьи, гайды, курсы, научные материалы и многое другое.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Данные на продажу: что происходит с информацией после утечек
#статья #leak #полезное
В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #leak #полезное
В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Sublist3r
#OSINT #Recon #Pentest #BugBounty
Инструмент на python, который создан для перечисления поддоменов веб-сайтов, с помощью разведки из открытых источников.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT #Recon #Pentest #BugBounty
Инструмент на python, который создан для перечисления поддоменов веб-сайтов, с помощью разведки из открытых источников.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Escплуатация. Повышение привилегий с использованием AD CS
#pentest #AD #полезное #статья
Свою статью мы бы хотели посвятить атакам, которые часто проводятся в рамках внутренних пентестов. Основная цель внутренних пентестов — получение контроля над инфраструктурой заказчика. Поскольку большая часть компаний использует Active Directory для построения сетей, то цель обычно достигается путем получения учетной записи администратора домена (или другой учетной записи с аналогичными привилегиями). С такими правами потенциальный нарушитель может сделать практически все что угодно: добраться до любой важной информации, зашифровать данные, вывести критически значимые системы из строя и т. п. Таким образом, получения подобной учетной записи в большинстве случаев достаточно для окончания работ и подтверждения успешности взлома внутренней сети. Есть множество способов добиться этой цели, один из них, и достаточно популярный, — проведение атак на службу сертификации Active Directory (AD CS).
🔗 Ссылка на статью
LH | News | OSINT | AI
#pentest #AD #полезное #статья
Свою статью мы бы хотели посвятить атакам, которые часто проводятся в рамках внутренних пентестов. Основная цель внутренних пентестов — получение контроля над инфраструктурой заказчика. Поскольку большая часть компаний использует Active Directory для построения сетей, то цель обычно достигается путем получения учетной записи администратора домена (или другой учетной записи с аналогичными привилегиями). С такими правами потенциальный нарушитель может сделать практически все что угодно: добраться до любой важной информации, зашифровать данные, вывести критически значимые системы из строя и т. п. Таким образом, получения подобной учетной записи в большинстве случаев достаточно для окончания работ и подтверждения успешности взлома внутренней сети. Есть множество способов добиться этой цели, один из них, и достаточно популярный, — проведение атак на службу сертификации Active Directory (AD CS).
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
1. Предыдущий топ статей
2. Как за один вечер создать репутацию вашего стартапа в поисковой выдаче: 20 бесплатных площадок для быстрого буста
3. Расширение для браузеров, позволяющее сохранять веб-страницы в различных форматах с возможностью настройки параметров для удобного доступа и редактирования
4. Хет-трик пентестера: обзор и опыт получения трех ИБ-сертификатов
5. Character AI: что это, как пользоваться и создать своего виртуального персонажа
6. Остановите Windows Defender программно с помощью кражи токена из процессов TrustedInstaller и winlogon
7. Как качественно «пробить» человека в сети Интернет?
8. Переодически обновляемый список бесплатных публичных прокси, собранных на просторах интернета для обеспечения удобного доступа и обхода ограничений
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
CI/CD под прицелом: реальные сценарии атак и методы противодействия
#статья #pentest #CICD #devops
сегодня поговорим с вами об атаках на CI/CD — разберём их, начиная от misconfig и заканчивая supply chain, расскажем, как от них защищаться. Ведь если применять технологии без понимания, а особенно использовать CI/CD, не задумываясь о безопасности, можно получить ситуацию, когда всё горит, но непонятно где.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #pentest #CICD #devops
сегодня поговорим с вами об атаках на CI/CD — разберём их, начиная от misconfig и заканчивая supply chain, расскажем, как от них защищаться. Ведь если применять технологии без понимания, а особенно использовать CI/CD, не задумываясь о безопасности, можно получить ситуацию, когда всё горит, но непонятно где.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AI-шная
Как оживить фото: Топ нейросетей для оживления фото и изображений
#ai #оживлениефото #статья
Мир искусственного интеллекта стремительно меняет представление о работе с изображениями. То, что раньше казалось фантастикой — например, оживить старый снимок, превратив его в реалистичную анимацию, — теперь доступно каждому. С помощью нейросети можно оживить фото за несколько секунд: достаточно загрузить изображение и выбрать параметры, чтобы получить динамичную версию, где картинка оживает.
В этом материале рассмотрим, как оживить фото с помощью нейросети, чем отличаются популярные онлайн-сервисы и какой инструмент подойдет именно вам — в зависимости от целей и качества исходного изображения.
Читать статью
AI-шная
#ai #оживлениефото #статья
Мир искусственного интеллекта стремительно меняет представление о работе с изображениями. То, что раньше казалось фантастикой — например, оживить старый снимок, превратив его в реалистичную анимацию, — теперь доступно каждому. С помощью нейросети можно оживить фото за несколько секунд: достаточно загрузить изображение и выбрать параметры, чтобы получить динамичную версию, где картинка оживает.
В этом материале рассмотрим, как оживить фото с помощью нейросети, чем отличаются популярные онлайн-сервисы и какой инструмент подойдет именно вам — в зависимости от целей и качества исходного изображения.
Читать статью
AI-шная
This media is not supported in your browser
VIEW IN TELEGRAM
ReCamMaster
#AI #полезное
Инновационный инструмент, позволяющий пользователям переснимать видео с различными траекториями камеры. 10 типов движения камеры, включая панорамирование, наклоны и увеличение, что даёт возможность создавать новые версии видео с изменённой траекторией.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#AI #полезное
Инновационный инструмент, позволяющий пользователям переснимать видео с различными траекториями камеры. 10 типов движения камеры, включая панорамирование, наклоны и увеличение, что даёт возможность создавать новые версии видео с изменённой траекторией.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023
#статья #полезное
Думаю, многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru. Эта история наделала много шума, но, как мне кажется, главный вывод из неё так и не был усвоен широкой аудиторией. А зря. Потому что эта атака вскрыла системную уязвимость в процессе выдачи TLS сертификатов, которая напрямую касается миллионов сайтов, особенно тех, кто доверяет свою безопасность Cloudflare.
Я поднял эту тему на форуме Cloudflare 23 дня назад, но, как и в случае с другими подобными запросами, ответа не получил. Поэтому я здесь, чтобы разложить всё по полочкам вам.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное
Думаю, многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru. Эта история наделала много шума, но, как мне кажется, главный вывод из неё так и не был усвоен широкой аудиторией. А зря. Потому что эта атака вскрыла системную уязвимость в процессе выдачи TLS сертификатов, которая напрямую касается миллионов сайтов, особенно тех, кто доверяет свою безопасность Cloudflare.
Я поднял эту тему на форуме Cloudflare 23 дня назад, но, как и в случае с другими подобными запросами, ответа не получил. Поэтому я здесь, чтобы разложить всё по полочкам вам.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Claude vs ChatGPT + Codex: Кто лучше решит комплексную задачу? Тестируем 6 моделей
#AI #статья #code #полезное
Со времени как вышел Claude 4 прошло пару недель. Весь этот срок я постоянно сравниваю эти модели в разных задачах. И говорят, что Claude 4 отлично справляется с кодом, что мы сейчас и проверим.
Сравню их в работе с комплексной задачей, где нужно и код написать, и текст, да и интерфейс еще сверху. Все это я хочу сделать не через правильно выстроенный промпт, а дать моделям максимальную свободу достичь результата так, как они захотят.
🔗 Ссылка на статью
LH | News | OSINT | AI
#AI #статья #code #полезное
Со времени как вышел Claude 4 прошло пару недель. Весь этот срок я постоянно сравниваю эти модели в разных задачах. И говорят, что Claude 4 отлично справляется с кодом, что мы сейчас и проверим.
Сравню их в работе с комплексной задачей, где нужно и код написать, и текст, да и интерфейс еще сверху. Все это я хочу сделать не через правильно выстроенный промпт, а дать моделям максимальную свободу достичь результата так, как они захотят.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
API-s-for-OSINT
#OSINT
Каталог API для разведки по открытым источникам. Для всех, кто хочет автоматизировать сбор данных — этот репозиторий станет для тебя настоящей сокровищницей.
• Поиск устройств и IP: Shodan, Censys, Netlas
• Проверка email и доменов: WhoisXML, Kickbox
• Телефонные API: Numverify, Twilio
• Геолокация: Google Geocoding, Zipcodebase
• Даркнет и утечки: Onion Lookup, Darksearch
• Социальные сети, блокчейн, хэши, Wi-Fi и многое другое
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#OSINT
Каталог API для разведки по открытым источникам. Для всех, кто хочет автоматизировать сбор данных — этот репозиторий станет для тебя настоящей сокровищницей.
• Поиск устройств и IP: Shodan, Censys, Netlas
• Проверка email и доменов: WhoisXML, Kickbox
• Телефонные API: Numverify, Twilio
• Геолокация: Google Geocoding, Zipcodebase
• Даркнет и утечки: Onion Lookup, Darksearch
• Социальные сети, блокчейн, хэши, Wi-Fi и многое другое
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Форки Firefox. Поднимаем собственный сервер синхронизации
#статья #анонимность #полезное
Firefox — последний независимый браузер на собственном движке, который противостоит монополии Chrome. Однако некоторые пользователи недовольны политикой организации Mozilla: она собирает телеметрию, угрожает внедрять ИИ, искать новые источники дохода и использовать персональные данные пользователей.
Так что для безопасности есть смысл переключиться на безопасный форк Firefox. Правда, в этом случае мы лишаемся некоторых удобных централизованных сервисов, таких как синхронизация браузера между разными устройствами.
Но эту проблему можно исправить. В частности, сервер синхронизации Firefox можно установить на собственном хостинге.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #анонимность #полезное
Firefox — последний независимый браузер на собственном движке, который противостоит монополии Chrome. Однако некоторые пользователи недовольны политикой организации Mozilla: она собирает телеметрию, угрожает внедрять ИИ, искать новые источники дохода и использовать персональные данные пользователей.
Так что для безопасности есть смысл переключиться на безопасный форк Firefox. Правда, в этом случае мы лишаемся некоторых удобных централизованных сервисов, таких как синхронизация браузера между разными устройствами.
Но эту проблему можно исправить. В частности, сервер синхронизации Firefox можно установить на собственном хостинге.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
OpenAlternative
#полезное #аналоговнет
Веб-сайт, который помогает находить бесплатные и открытые аналоги известных платных программ и онлайн-сервисов. На данный момент здесь собрано более 325 таких альтернатив, и их число почти ежедневно пополняется.
Вы можете найти замены для таких популярных инструментов, как NordVPN (для VPN), Mixpanel (для аналитики), Canva (для дизайна), Tesla Autopilot (для автомобильного ПО) и многих других.
Важно, что все ссылки ведут непосредственно на официальные сайты этих open source проектов, что гарантирует безопасность и исключает загрузку с неофициальных источников.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#полезное #аналоговнет
Веб-сайт, который помогает находить бесплатные и открытые аналоги известных платных программ и онлайн-сервисов. На данный момент здесь собрано более 325 таких альтернатив, и их число почти ежедневно пополняется.
Вы можете найти замены для таких популярных инструментов, как NordVPN (для VPN), Mixpanel (для аналитики), Canva (для дизайна), Tesla Autopilot (для автомобильного ПО) и многих других.
Важно, что все ссылки ведут непосредственно на официальные сайты этих open source проектов, что гарантирует безопасность и исключает загрузку с неофициальных источников.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Как все успеть и не сгореть: мой опыт микротайм-менеджмента на работе и дома
#статья #полезное
Случалось ли у вас, что элементарные вещи становятся невыполнимыми? Когда нужно купить условные шнурки, но все время не до них. Ведь горит дедлайн, холодильник пуст, а кошка не глажена. И вот каждый день опускаешь глаза на кеды и неосознанно бесишься, что они портят весь образ своими старыми шнурками. А когда в отложенную жизнь попадает отдых, забота о здоровье, семейные и личные ценности, это влечет за собой долгоиграющие последствия, из которых сложно выбраться. В этой статье я расскажу, как некоторые подходы к планированию улучшили важные сферы моей жизни: работу, дом, здоровье, отдых, хобби и дружбу.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное
Случалось ли у вас, что элементарные вещи становятся невыполнимыми? Когда нужно купить условные шнурки, но все время не до них. Ведь горит дедлайн, холодильник пуст, а кошка не глажена. И вот каждый день опускаешь глаза на кеды и неосознанно бесишься, что они портят весь образ своими старыми шнурками. А когда в отложенную жизнь попадает отдых, забота о здоровье, семейные и личные ценности, это влечет за собой долгоиграющие последствия, из которых сложно выбраться. В этой статье я расскажу, как некоторые подходы к планированию улучшили важные сферы моей жизни: работу, дом, здоровье, отдых, хобби и дружбу.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Pydoll
#pentest #полезное #code
Библиотека для автоматизации браузера Chromium на Python, не требующая вебдрайверов, что делает её использование более надежным и эффективным. Ключевые функции Pydoll: отслеживание сетевых запросов и ответов, взаимодействие с элементами страницы и симуляция человеческого поведения.
🔗 Ссылка на GitHub
LH | News | OSINT | AI
#pentest #полезное #code
Библиотека для автоматизации браузера Chromium на Python, не требующая вебдрайверов, что делает её использование более надежным и эффективным. Ключевые функции Pydoll: отслеживание сетевых запросов и ответов, взаимодействие с элементами страницы и симуляция человеческого поведения.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Localhost-атака: как Meta* и Яндекс следят за пользователями Android через localhost
#статья #анонимность #spy
Мы раскрыли новый метод отслеживания, используемый компаниями Meta* и Яндекс, который потенциально затрагивает миллиарды пользователей Android. Мы обнаружили, что нативные приложения Android — включая Facebook, Instagram и несколько приложений Яндекса, таких как Карты и Браузер — незаметно слушают определенные локальные порты в целях отслеживания.
Эти нативные приложения Android получают метаданные браузеров, куки и команды от скриптов Meta* Pixel и Яндекс.Метрики, встроенных на тысячи веб-сайтов. Эти скрипты загружаются в мобильных браузерах пользователей и незаметно связываются с нативными приложениями, работающими на том же устройстве, через локальные сокеты (localhost). Так как нативные приложения программно получают доступ к идентификаторам устройства, таким как рекламный идентификатор Android (AAID), или обрабатывают идентификацию пользователя, как в случае приложений Meta, этот метод позволяет этим организациям связывать сессии мобильного браузера и веб-куки с личностью пользователя, тем самым деанонимизируя посетителей сайтов, на которых размещены их скрипты.
Этот способ передачи идентификаторов из браузера в приложение обходит типичные средства защиты приватности, такие как очистка куки, режим инкогнито и контроль разрешений Android. Более того, он открывает возможность для потенциально вредоносных приложений подслушивать веб-активность пользователей.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #анонимность #spy
Мы раскрыли новый метод отслеживания, используемый компаниями Meta* и Яндекс, который потенциально затрагивает миллиарды пользователей Android. Мы обнаружили, что нативные приложения Android — включая Facebook, Instagram и несколько приложений Яндекса, таких как Карты и Браузер — незаметно слушают определенные локальные порты в целях отслеживания.
Эти нативные приложения Android получают метаданные браузеров, куки и команды от скриптов Meta* Pixel и Яндекс.Метрики, встроенных на тысячи веб-сайтов. Эти скрипты загружаются в мобильных браузерах пользователей и незаметно связываются с нативными приложениями, работающими на том же устройстве, через локальные сокеты (localhost). Так как нативные приложения программно получают доступ к идентификаторам устройства, таким как рекламный идентификатор Android (AAID), или обрабатывают идентификацию пользователя, как в случае приложений Meta, этот метод позволяет этим организациям связывать сессии мобильного браузера и веб-куки с личностью пользователя, тем самым деанонимизируя посетителей сайтов, на которых размещены их скрипты.
Этот способ передачи идентификаторов из браузера в приложение обходит типичные средства защиты приватности, такие как очистка куки, режим инкогнито и контроль разрешений Android. Более того, он открывает возможность для потенциально вредоносных приложений подслушивать веб-активность пользователей.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM