ИИ & cybersecurity
Все про нейронные сети, Искусственный интеллект.
Обзор, новости, полезные подборки.
Все самое свежее и актуальное, без инфошума.
Подпишись!
Реклама. Erid: 2Vtzqx7jaHu
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
AI & cybersecurity
Нейронные сети.
Искусственный интеллект.
Обзор софта.
Новости.
Искусственный интеллект.
Обзор софта.
Новости.
Атаки на трасты между доменами
#статья #AD #pentest
Рано или поздно в ходе пентеста встает задача компрометации всего леса — при условии, что есть какие-либо права в одном из доменов. В такие моменты возникает куча вопросов о трастах, их свойствах и самих атаках. Попробуем во всем этом разобраться.
Ссылка на статью
LH | News | OSINT | AI
#статья #AD #pentest
Рано или поздно в ходе пентеста встает задача компрометации всего леса — при условии, что есть какие-либо права в одном из доменов. В такие моменты возникает куча вопросов о трастах, их свойствах и самих атаках. Попробуем во всем этом разобраться.
Ссылка на статью
LH | News | OSINT | AI
Дорогие девушки!
Поздравляем вас с 8 Марта! 💐
Пусть ваша решительность будет надёжной, как фаервол, а вдохновение — безграничным, как открытые данные. Спасибо за ваш профессионализм, который делает мир кибербезопасности ещё сильнее.
С праздником!
Искренне ваши, LH Media.
Поздравляем вас с 8 Марта! 💐
Пусть ваша решительность будет надёжной, как фаервол, а вдохновение — безграничным, как открытые данные. Спасибо за ваш профессионализм, который делает мир кибербезопасности ещё сильнее.
С праздником!
Искренне ваши, LH Media.
Please open Telegram to view this post
VIEW IN TELEGRAM
Захват учетной записи через отравление сброса пароля
#статья #bugbounty #web #ATO #перевод
Как охотники за ошибками, мы видим, как приложения снова и снова совершают одни и те же ошибки. Одна из них — позволить пользователям контролировать то, что они не должны. Сброс пароля являются перспективной мишенью. Если приложение позволяет данным, вводимым пользователем, влиять на электронное письмо для сброса пароля (например изменять URL-адреса перенаправления или внедрять параметры), им можно злоупотреблять для перехвата учетных данных. Злоумышленники могут настроить входные данные так, чтобы отправить пользователей на вредоносный сайт вместо законной страницы сброса, украсть токен и завладеть учетными данными. Это не теория — это происходит постоянно, особенно в плохо защищенных приложениях.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #web #ATO #перевод
Как охотники за ошибками, мы видим, как приложения снова и снова совершают одни и те же ошибки. Одна из них — позволить пользователям контролировать то, что они не должны. Сброс пароля являются перспективной мишенью. Если приложение позволяет данным, вводимым пользователем, влиять на электронное письмо для сброса пароля (например изменять URL-адреса перенаправления или внедрять параметры), им можно злоупотреблять для перехвата учетных данных. Злоумышленники могут настроить входные данные так, чтобы отправить пользователей на вредоносный сайт вместо законной страницы сброса, украсть токен и завладеть учетными данными. Это не теория — это происходит постоянно, особенно в плохо защищенных приложениях.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
1. Предыдущий топ статей
2. OSINT и Dark Web: как находить информацию в теневом интернете
3. Терминал с открытым исходным кодом
4. Расширенный видеопоиск Google, для нахождения нужных видеороликов на конкретных платформах
5. Первая подборка ресурсов с нагрузками под разные типы уязвимостей
6. Захват аккаунта без единого щелчка мыши
7. Вторая подборка ресурсов с нагрузками под разные типы уязвимостей
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
CPTS – как стать хакером с нуля
#статья #pentest #образование #полезное
Недавно я сдал экзамен на международную сертификацию HTB Certified Penetration Testing Specialist (CPTS) и перед этим прошёл связанный с сертификацией курс Penetration Tester на платформе Hack The Box Academy. Хочу поделиться своими впечатлениями о курсе и экзамене, дать несколько советов, связанных с подготовкой к экзамену, и немного (совсем немного) рассказать о своём опыте становления пентестером.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #pentest #образование #полезное
Недавно я сдал экзамен на международную сертификацию HTB Certified Penetration Testing Specialist (CPTS) и перед этим прошёл связанный с сертификацией курс Penetration Tester на платформе Hack The Box Academy. Хочу поделиться своими впечатлениями о курсе и экзамене, дать несколько советов, связанных с подготовкой к экзамену, и немного (совсем немного) рассказать о своём опыте становления пентестером.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Gocheck
DefenderCheck
#evasion #av #RedTeam #payload #malware
Альтернатива DefenderCheck, которая тоже позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу.
👩💻 Ссылка на инструмент
LH | News | OSINT | AI
DefenderCheck
#evasion #av #RedTeam #payload #malware
Альтернатива DefenderCheck, которая тоже позволяет узнать, какие именно сигнатуры в вашей нагрузке не нравятся антивирусу.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Один выгоревший сеньор или два джуна с горящими глазами?
#статья #полезное
Резюме статьи:
• Ошибки в бекенде дороже, чем во фронтенде или мобильной разработке.
• Джуниоры создают шум и хаос: ошибки в коде, утечки памяти, race condition и data race, несоблюдение конвенций, стиля, push force в мастер, нарушение правил безопасности, плохие абстракции, много вопросов и т.п.
• Инструменты и процесс помогут решить часть из вышеперечисленного, но не всё и не всегда.
• В случае с джуном нужно решать гору проблем, с выгоревшим сеньором — одну: потерю мотивации.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #полезное
Резюме статьи:
• Ошибки в бекенде дороже, чем во фронтенде или мобильной разработке.
• Джуниоры создают шум и хаос: ошибки в коде, утечки памяти, race condition и data race, несоблюдение конвенций, стиля, push force в мастер, нарушение правил безопасности, плохие абстракции, много вопросов и т.п.
• Инструменты и процесс помогут решить часть из вышеперечисленного, но не всё и не всегда.
• В случае с джуном нужно решать гору проблем, с выгоревшим сеньором — одну: потерю мотивации.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Kraken
#bruteforce #pentest
Инструмент, предназначенный для централизации и оптимизации различных задач по перебору учетных данных. Способен работать с большим количеством протоколов и сервисов.
1. Сетевые инструменты:
- FTP Brute Force
- Kubernetes Brute Force
- LDAP Brute Force
- VOIP Brute Force
- SSH Brute Force
- Telnet Brute Force
- WiFi Brute Force
- WPA3 Brute Force
2. Инструменты веб-приложений:
- CPanel Brute Force
- Drupal Brute Force
- Joomla Brute Force
- Magento Brute Force
- Office365 Brute Force
- Prestashop Brute Force
- OpenCart Brute Force
- WooCommerce Brute Force
- WordPress Brute Force
👩💻 Ссылка на Github
LH | News | OSINT | AI
#bruteforce #pentest
Инструмент, предназначенный для централизации и оптимизации различных задач по перебору учетных данных. Способен работать с большим количеством протоколов и сервисов.
1. Сетевые инструменты:
- FTP Brute Force
- Kubernetes Brute Force
- LDAP Brute Force
- VOIP Brute Force
- SSH Brute Force
- Telnet Brute Force
- WiFi Brute Force
- WPA3 Brute Force
2. Инструменты веб-приложений:
- CPanel Brute Force
- Drupal Brute Force
- Joomla Brute Force
- Magento Brute Force
- Office365 Brute Force
- Prestashop Brute Force
- OpenCart Brute Force
- WooCommerce Brute Force
- WordPress Brute Force
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Поиск доступных конфиденциальных API ключей в JS-файлах
#перевод #web #bugbounty #статья
Сегодня мы узнаем, как найти открытые API токены в JS файлах. Они представляют риск, поскольку могут предоставить возможность несанкционированного доступа к базе данных компании или платным услугам. Это также распространенная уязвимость в системе безопасности, возникающая из-за неопытности и невнимательности команды разработчиков.
🔗 Ссылка на статью
LH | News | OSINT | AI
#перевод #web #bugbounty #статья
Сегодня мы узнаем, как найти открытые API токены в JS файлах. Они представляют риск, поскольку могут предоставить возможность несанкционированного доступа к базе данных компании или платным услугам. Это также распространенная уязвимость в системе безопасности, возникающая из-за неопытности и невнимательности команды разработчиков.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Вебмониторэкс — российский ИБ-вендор с более чем десятилетней историей, приглашает вас на весеннюю сессию бесплатных вебинаров! Вас ждет много экспертного контента и актуальная информацией о текущем состоянии и развитии рынка, а также современные подходы к защите веб-приложений и API.
➡️ Основные темы вебинаров:
• Защита веб-приложений (WAF)
• Защита интеграций между сервисами (API Security)
• Тренды развития рынка защиты веба
• Безопасная разработка
Для кого:
✅ CISO
✅ ИБ-специалисты
✅ ИТ-специалисты
✅ DevOps
🔥 Приготовьтесь к морю полезной информации, лучшим практикам и встрече с ведущими экспертами отрасли.
Вы можете зарегистрироваться как на всю сессию сразу, так и на любой отдельный вебинар.
➡️ Ссылка на регистрацию ⬅️
До встречи!
Реклама. Erid: 2VtzqwtjZu1
ООО "ВЕБМОНИТОРЭКС" ИНН 7735194651
• Защита веб-приложений (WAF)
• Защита интеграций между сервисами (API Security)
• Тренды развития рынка защиты веба
• Безопасная разработка
Для кого:
Вы можете зарегистрироваться как на всю сессию сразу, так и на любой отдельный вебинар.
До встречи!
Реклама. Erid: 2VtzqwtjZu1
ООО "ВЕБМОНИТОРЭКС" ИНН 7735194651
Please open Telegram to view this post
VIEW IN TELEGRAM
Как мы взломали цепочку поставок и получили 50 тысяч долларов
#статья #bugbounty #web #docker #npm
Статья про то, как мы при помощи атаки на цепочку поставок, позволявшей обеспечить RCE у разработчиков в конвейерах и на продакшен-серверах, заработали 50500 долларов. С большой долей вероятности никакой внутренний логгинг или мониторинг не отследит проникновения на уровне npm, потому что он происходит вне инфраструктуры цели, именно это и стало ключевым моментом в оценке уязвимости. Давайте разберемся более подробно.
🔗 Ссылка на статью
LH | News | OSINT | AI
#статья #bugbounty #web #docker #npm
Статья про то, как мы при помощи атаки на цепочку поставок, позволявшей обеспечить RCE у разработчиков в конвейерах и на продакшен-серверах, заработали 50500 долларов. С большой долей вероятности никакой внутренний логгинг или мониторинг не отследит проникновения на уровне npm, потому что он происходит вне инфраструктуры цели, именно это и стало ключевым моментом в оценке уязвимости. Давайте разберемся более подробно.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Curator запустила CDN🔥
Отличная новость: компания Curator запустила в полномасштабную эксплуатацию Curator.CDN — собственную сеть доставки контента с интегрированной DDoS-защитой.
Для чего? Curator.CDN одновременно ускоряет загрузку сайтов и обеспечивает защиту от DDoS-атак.
Для кого? В первую очередь это онлайн-магазины, стриминговые сервисы, развлечения, СМИ и онлайн-образование. Но в современных условиях использование защищенного CDN будет полезно практически для любого бизнеса.
🛡️ Чем Curator.CDN отличается от других решений? Архитектура Curator.CDN изначально спроектирована с учетом безопасности. Неотключаемая защита от DDoS работает как на отрезке от интернет-пользователей до CDN-кэша, так и от CDN до ресурсов заказчика. Это позволяет предотвратить сложные атаки, которые рассчитаны на эксплуатацию уязвимостей в самих сетях доставки контента.
🌍 Глобальная сеть центров обработки данных Curator позволяет расширять региональное покрытие и наращивать сетевую емкость без дополнительных инвестиций, а также многократно повысить качество обслуживания клиентов. Серверы доставки контента есть в 15 городах-миллионниках России, и не только в них.
💸 Еще одна важная особенность Curator.CDN — это прозрачное ценообразование. Все доступные опции уже включены в указанную стоимость, без ограничений и скрытых платежей.
Curator.CDN легко подключается и управляется через единый личный кабинет платформы Curator. Клиентам доступны расширенная аналитика и надежная техническая поддержка 24/7.
👉 Подробнее о Curator.CDN
Отличная новость: компания Curator запустила в полномасштабную эксплуатацию Curator.CDN — собственную сеть доставки контента с интегрированной DDoS-защитой.
Для чего? Curator.CDN одновременно ускоряет загрузку сайтов и обеспечивает защиту от DDoS-атак.
Для кого? В первую очередь это онлайн-магазины, стриминговые сервисы, развлечения, СМИ и онлайн-образование. Но в современных условиях использование защищенного CDN будет полезно практически для любого бизнеса.
🛡️ Чем Curator.CDN отличается от других решений? Архитектура Curator.CDN изначально спроектирована с учетом безопасности. Неотключаемая защита от DDoS работает как на отрезке от интернет-пользователей до CDN-кэша, так и от CDN до ресурсов заказчика. Это позволяет предотвратить сложные атаки, которые рассчитаны на эксплуатацию уязвимостей в самих сетях доставки контента.
🌍 Глобальная сеть центров обработки данных Curator позволяет расширять региональное покрытие и наращивать сетевую емкость без дополнительных инвестиций, а также многократно повысить качество обслуживания клиентов. Серверы доставки контента есть в 15 городах-миллионниках России, и не только в них.
💸 Еще одна важная особенность Curator.CDN — это прозрачное ценообразование. Все доступные опции уже включены в указанную стоимость, без ограничений и скрытых платежей.
Curator.CDN легко подключается и управляется через единый личный кабинет платформы Curator. Клиентам доступны расширенная аналитика и надежная техническая поддержка 24/7.
👉 Подробнее о Curator.CDN
От iDRAC, до администратора домена
#AD #pentest #статья #перевод
На днях я участвовал в интересном тестировании на проникновение и реализовал интересный способ повышения привилегий до администратора домена. Поэтому я решил повторить сценарий на своем собственном стенде, чтобы поделиться этим интересным способом с коллегами-пентестерами, которые смогут повторить этот путь.
🔗 Ссылка на статью
LH | News | OSINT | AI
#AD #pentest #статья #перевод
На днях я участвовал в интересном тестировании на проникновение и реализовал интересный способ повышения привилегий до администратора домена. Поэтому я решил повторить сценарий на своем собственном стенде, чтобы поделиться этим интересным способом с коллегами-пентестерами, которые смогут повторить этот путь.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
NAMINT
#OSINT
Инструмент, который с помощью ФИО или никнейма находит фотографии, статьи, публикации, PDF, DOC, XLSX файлы, e-mail, социальные сети, даже места на картах Google. Инструмент формирует наиболее вероятные комбинации ФИО, возможные варианты никнеймов и электронных адресов на основе введенных данных.
👩💻 Ссылка на инструмент
LH | News | OSINT | AI
#OSINT
Инструмент, который с помощью ФИО или никнейма находит фотографии, статьи, публикации, PDF, DOC, XLSX файлы, e-mail, социальные сети, даже места на картах Google. Инструмент формирует наиболее вероятные комбинации ФИО, возможные варианты никнеймов и электронных адресов на основе введенных данных.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM
Мошенники любят QR-коды: разбираем кейсы, изучаем устройство подделок и делаем выводы
#phishing #qr #статья #pentest
К 2025 году мошенники превратили QR-коды в инструмент массового обмана. Один неверный клик — и ваши деньги исчезают со счета, смартфон заражается вредоносным ПО, а персональные данные оказываются в руках злоумышленников. Давайте разберемся, как QR-коды из удобного инструмента превратились в актуальную угрозу, как устроено такое мошенничество с технической точки зрения и что говорит статистика. А в конце немного потренируемся отличать поддельные коды от оригинальных.
🔗 Ссылка на статью
LH | News | OSINT | AI
#phishing #qr #статья #pentest
К 2025 году мошенники превратили QR-коды в инструмент массового обмана. Один неверный клик — и ваши деньги исчезают со счета, смартфон заражается вредоносным ПО, а персональные данные оказываются в руках злоумышленников. Давайте разберемся, как QR-коды из удобного инструмента превратились в актуальную угрозу, как устроено такое мошенничество с технической точки зрения и что говорит статистика. А в конце немного потренируемся отличать поддельные коды от оригинальных.
LH | News | OSINT | AI
Please open Telegram to view this post
VIEW IN TELEGRAM