tgoop.com »
United States »
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram Web
Сегодня обсудим новую угрозу безопасности в браузерах — двойной кликджекинг. Этот метод позволяет обходить привычные защиты и перехватывать действия пользователей, используя хитрые манипуляции с событиями мыши.
Что в карточках:
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🤔2😁1
В современных облачных средах API — популярная цель для SSRF‑атак. Злоумышленник может попасть в metadata‑endpoint (AWS/GCP/Azure), получить временные токены и выполнить удалённый код.
Промпт:
Simulate a detailed attack chain exploiting a web API via SSRF to access the cloud metadata service (AWS/GCP/Azure), steal credentials, escalate privileges, and execute remote code. Include:
– Detailed API misconfiguration (e.g., no IP filtering, open redirect)
– SSRF payload examples for AWS IMDSv1/IMDSv2 bypass
– Token theft and how to abuse IAM roles
– Demonstration of RCE (e.g., launching a malicious container)
– Full mitigation plan: input validation, network segmentation, metadata protection
Чем полезен:
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👾2🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥3🥱2😁1
theHarvester — это OSINT-инструмент для быстрого сбора информации о целях из открытых источников (поисковики, базы сертификатов, соцсети, публичные API).
Зачем нужен:
Как использовать:
1. Установка:
sudo apt install theharvester
# или вручную:
git clone https://github.com/laramies/theHarvester.git
cd theHarvester && pip install -r requirements.txt
2. Базовый запуск:
theHarvester -d example.com -b all -f report.html
-d — домен
-b — источник (all, google, shodan, github, и др.)
-f — HTML-отчёт
3. Получение email’ов из Hunter:
theHarvester -d example.com -b hunter
Как использовать по максимуму:
— Настройте api-keys.yaml, чтобы получить доступ к полным результатам из Hunter, Shodan, GitHub и др
— Храните результаты в формате JSON → легко обрабатывать или визуализировать
— Объединяйте с subfinder/amass для более полного охвата доменов
— Используйте в CI/CD пайплайне — он легко автоматизируется в bash/python
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥1😁1
От этого выбора зависит удобство работы, безопасность и скорость обновлений. Какая «система на ножках» ближе именно вам?
Варианты:
— Абсолютный «арсенал» из ~600 инструментов сразу после установки
— Rolling-релиз: самые свежие пакеты и эксплойты
— Плотная интеграция с курсами OSCP и сертификатами
— Hardened-ядро и AnonSurf для анонимности «из коробки»
— LTS-ветка для стабильности + лёгкая настройка через metapackages
— Подходит для слабых машин (1 GB RAM) и ARM-устройств
На что обратить внимание:
Если постик зашёл, то поддержите бустом канала
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🤔2😁1
theHarvester — классика OSINT. Многие запускают его по шаблону через Google или Bing, но мало кто знает, что инструмент поддерживает десяток альтернативных поисковиков, которые дают уникальные результаты и обходят ограничения.
Что можно использовать:
DuckDuckGo
— не блокирует запросы, в отличие от Google, и выдаёт редкие email’ы.Yahoo, Baidu, Dogpile
— дают другие поддомены и связки, которых нет в стандартных источниках.crt.sh
— вытаскивает поддомены из SSL-сертификатов (нужен только домен).Hunter.io, Censys
— через API открывают данные по утечкам, серверам и SSL.Почему важно:
— Google режет и банит при интенсивной разведке — эти движки работают тише и свободнее.
— Можно найти данные, которых вообще нет в популярных источниках.
— Увеличивает охват разведки и даёт преимущество на старте атаки.
✏️ Пример команд:
theHarvester -d example.com -b duckduckgo
theHarvester -d example.com -b yahoo,crtsh,baidu
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1🤩1
Тема защиты данных выходит за рамки просто технических мер — на интервью часто спрашивают, как организация предотвращает утечки и контролирует перемещение чувствительной информации.
В карточках:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2👏1
Please open Telegram to view this post
VIEW IN TELEGRAM
💯7😁1👾1
В подборке — термины, которые часто встречаются в практике пентестеров, багхантеров и разработчиков, работающих на грани с безопасностью.
Попробуйте разгадать и напишите, какие слова показались сложными
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🤔2🔥1
Если вы в пентесте, багбаунти или просто качаете скиллы по IB — вот то, что должно быть под рукой:
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2😁1