Gebutcher

2022-08-28 14:14:00 ​​Уязвимое приложение для поиска секретов

Поиск утекших ключей, токенов и других секретов может помочь вам найти простые, но серьезные уязвимости во время BugBounty и пентестинга.

Проект OWASP WrongSecrets предлагает вам уязвимое приложение, в котором есть несколько упражнений, которые помогут вам понять, где и как разработчики могут оставлять секреты.

https://wrongsecrets.herokuapp.com/

#web #leak #ctf #infosec Открыть/Комментировать

2022-08-28 12:40:06 Пентест DDoS-бота Telegram

Наткнулся на какой-то скамерский ботнет “VERA” и решил немного потыкать.

https://medium.com/@reworr/d608e8be0725

#pentesting #infosec #bot Открыть/Комментировать

2022-08-28 11:57:01 ​​OSINT инструменты от Би-би-си

Информационная панель общедоступных OSINT инструментов от BBC News – представляет собой список инструментов широкого спектра и источников обучающей литературы для журналистов.

Инструменты из информационной панели помогут вам в расширенном поиске информации, отслеживании самолётов и морских судов, архивировании данных, хронолокации событий, исследовании юридических лиц, анализе электронных писем, работе с геопространственными данными, анализе изображений, исследовании утечек данных, поиске людей и т. д.

https://start.me/p/m6OJgv/the-bbc-africa-eye-forensics-dashboard

Пост спонсирован @LeakedInfoBot лучшим #OSINT ботом Telegram.

#service #infosec #OSINT Открыть/Комментировать

2022-08-27 11:21:19 ​​Assetnote Wordlists

При проведении тестирования безопасности крайне важно иметь высококачественные словари для перебора \ брута. На этом сайте вы найдете актуальные и эффективные списки слов для самых популярных технологий в Интернете.

Словари обновляются 28 числа каждого месяца с использованием Commonspeak2 и GitHub Actions. Помимо автоматически сгенерированных, на сайте есть словари сгенерированные с помощью Google BigQuery.

https://wordlists.assetnote.io/

#service #infosec #wordlists Открыть/Комментировать

2022-08-27 10:42:08 ​​Responder

Инструмент для выполнения атаки человек-посередине в отношении методов аутентификации в Windows.

Эта программа включает в себя травитель LLMNR, NBT-NS и MDNS благодаря которому перенаправляется трафик с запросами и хешами аутентификации. Также в программу встроены жульнические серверы аутентификации HTTP/SMB/MSSQL/FTP/LDAP, которые поддерживают такие методы аутентификации как NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP и базовую HTTP аутентификацию, для которых Responder выполняет роль ретранслятора.

Responder это LLMNR, NBT-NS и MDNS poisoner (травитель). Он будет отвечать на определённые запросы NBT-NS (NetBIOS Name Service (Сервис Имён)) основываясь на их суффиксе имён. По умолчанию инструмент будет отвечать только на запросы File Server Service (службы файлового сервера) работу которого обеспечивает протокол SMB.

Идея здесь в том, чтобы наши ответы носили целевой характер, а мы были менее заметны в сети. Это также помогает гарантировать, что мы не нарушим нормальное поведение NBT-NS.

https://github.com/lgandx/Responder

#soft #infosec #pentesting Открыть/Комментировать

2022-08-27 10:15:30 GSM Ducky. Делаем BadUSB с управлением по сотовой связи

#rubberducky #ducky #devices #usb Открыть/Комментировать

2022-08-27 10:15:28 Злая утка с дистанционным управлением. Собираем и программируем BadUSB с Wi-Fi

#rubberducky #ducky #devices #usb Открыть/Комментировать

2022-08-27 10:15:23 ​​DSTIKE WiFi Deauther

Если не вдаваться в детали, данные часы-браслет представляют из себя плату ESP8266, батарею на 500 мА/ч и oled-дисплей.

С помощью них можно осуществлять мониториг и атаку на сети WiFi. Можно так же программировать под свои цели, подключить web-интерфейс и прочее. Как обещает продавец, до 7 часов работы.

Все с открытыми исходниками:
https://github.com/SpacehuhnTech/esp8266_deauther

https://ali.ski/1wf4B

#hacking #infosec #watch #dstike Открыть/Комментировать

2022-08-27 09:49:12 ​​Флешка Rubber Ducky стала ещё опаснее

Rubber Ducky — известное хакерское устройство, давно знакомое специалистам по информационной безопасности (и любителям сериала Mr. Robot). Первая версия вышла более десяти лет назад. С виду обычная флешка при подключении выдаёт себя за USB-клавиатуру и запускает произвольный скрипт. Это позволяет проводить необычные атаки, которые сложно обнаружить с помощью антивируса.

https://habr.com/ru/hub/infosecurity/

Как сделать USB Rubber Ducky на Digispark за пять баксов.

#news #habr #devices #usb Открыть/Комментировать

2022-08-26 14:14:00 SSRF стоимостью 4 913 долларов в Dropbox

SSRF в функции импорта документа и обход защиты с помощью перенаправления.

https://medium.com/@gebutcher/4a82f5bde17a

#web #ssrf #pentesting #infosec Открыть/Комментировать