💉 Взламываем сайты: шпаргалка по SQL инъекциям

Существует 5 основных типов SQL инъекций:
⏺Классическая (In-Band или Union-based). Самая опасная и редко встречающаяся сегодня атака. Позволяет сразу получать любые данные из базы.
⏺Error-based. Позволяет получать информацию о базе, таблицах и данных на основе выводимого текста ошибки СУБД.
⏺Boolean-based. Вместо получения всех данных, атакующий может поштучно их перебирать, ориентируясь на простой ответ типа true/false.
⏺Time-based. Похожа на предыдущую атаку принципом перебора, манипулируя временем отклика базы.
⏺Out-of-Band. Очень редкие и специфические типы атак, основанные на индивидуальных особенностях баз данных.

🗄 Читать шпаргалку – линк.

// Не хакинг, а ИБ

🦁 Brave открывает исходный код инструмента Cookiecrumbler

Cookiecrumbler – инструмент компании Brave, который автоматически обнаруживает и блокирует уведомления о согласии на использование файлов cookie на веб-сайтах

Принцип работы инструмента выглядит следующим образом:
⏺Cookiecrumbler просматривает популярные сайты, используя региональные прокси;
⏺загружает страницы с помощью Puppeteer для поиска уведомлений об использовании cookie;
⏺передает их LLM для классификации и предложений по исправлению;
⏺публикует результаты проверки в Issues на GitHub, чтобы сообщество приняло решение и внесло улучшения.

🗄 Источник – линк.

// Не хакинг, а ИБ

🚠 Позрачный перехват трафика

sslstrip – это инструмент, который:
⏺незаметно перехватывает HTTP трафик в сети
⏺следит за HTTPS ссылками и редиректами
⏺и затем сопоставляет эти ссылки их HTTP двойникам или омографически сходным HTTPS ссылкам

— Он также поддерживает режимы для подачи иконки сайта (favicon), которая выглядит как иконка замка, выборочное ведение журнала и отклонение сессий

🗄 Страница на Kali Tools – линк.

// Не хакинг, а ИБ

👩‍💻 Cамые важные события в мире инфосека за апрель

В этом месяце:
⏺«Белый спи­сок» Рос­комнад­зора содер­жит 75 тысяч IP-адре­сов
⏺Павел Жов­нер рас­ска­зал о работе над Flipper One
⏺В бюд­жетных Android-смар­тфо­нах сно­ва наш­ли пре­дус­танов­ленную мал­варь
⏺Иссле­дова­тели взло­мали Nissan Leaf
⏺«Гал­люцина­ции» ИИ могут исполь­зовать­ся для атак на раз­работ­чиков, и дру­гие инте­рес­ные события про­шед­шего апре­ля

— Подробнее о всех событиях читайте в статье

🗄 Источник – линк.

// Не хакинг, а ИБ

🔎 Google Dorking или используем Гугл на максимум | Шпаргалка

Google Dorks или Google Hacking – техника, используемая для обнаружения скрытой информации и уязвимостях, которые можно обнаружить на общедоступных серверах

— Это метод, в котором обычные запросы на поиск веб-сайтов используются в полную меру для определения информации, скрытой на поверхности

🗄 Читать статью – линк.

// Не хакинг, а ИБ

❗️ Отслеживаем перемещение iOS устройств

iSniff-GPS – инструмент пассивного сниффинга (прослушивания) для захвата и визуализации данных о местонахождении WiFi, раскрытых устройствами iOS

— Он пассивно сниффит SSID зонды, широковещательные пакеты ARP и MDNS (Bonjour) близлежащих iPhone, iPad и других беспроводных устройств

Главная цель – собрать данные, которые можно использовать для идентификации каждого устройства и определения географического расположения

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🤨 Чтобы получить root-доступ, достаточно быть админом или просто зайти через SSL-VPN

— SonicWall устранила сразу три критические уязвимости в устройствах безопасного удалённого доступа SMA 100, позволяющие злоумышленникам выполнить произвольный код от имени root:

⏺ CVE-2025-32819 с оценкой 8.8 балла по шкале CVSS: позволяет пользователю с правами SSL-VPN обойти проверку пути и удалить произвольный файл, что может привести к сбросу устройства к заводским настройкам;
⏺ CVE-2025-32820 с оценкой 8.3: позволяет при помощи path traversal сделать любую директорию на устройстве доступной для записи;
⏺ CVE-2025-32821 с оценкой 6.7: даёт возможность администратору SSL-VPN внедрить аргументы командной строки и загрузить файл на устройство.

🗄 Источник – линк.

// Не хакинг, а ИБ