🗂️ Внедрение через загрузку файлов

Вы тестируете веб-приложение, где пользователи могут загружать аватары. Серверный код представлен на картинке (упрощенно).

И замечаете, что файлы доступны по прямым ссылкам, например:

https://example.com/uploads/exploit.php

Какую атаку вы попробуете первой ❓

🐸 Библиотека хакера

#междусобойчик

🤑 Топ-вакансий для хакеров за неделю

Lead Network Administrator — от 260 000 до 280 000 ₽, гибрид (Москва)

Аналитик информационной безопасности SOC L1, L2 -- гибрид (Москва)

Преподаватель курса по информационной безопасности — от 130 000 ₽, офис (Новосибирск)

Инженер по внедрению и технической поддержке MFA Server — от 130 000 до 180 000 ₽, офис/гибрид (Москва)

Главный специалист-эксперт по ИБ — 130 000 ₽, офис (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

⭐️ Инструмент недели: умный сканер XSS-уязвимостей

Dalfox — быстрый и точный инструмент для поиска XSS во входных точках веб-приложений. Работает на Go, подходит как для ручного аудита, так и для автоматизации.

Зачем использовать:

— Находит reflected, stored и blind XSS с учётом контекста инъекции.

— Анализирует ответы сервера, отражения и поведение фильтров.

— Поддерживает ввод URL через stdin, файлы, или Burp Suite-запросы.

— Обрабатывает параметры в теле запроса, заголовках, cookie и JSON.

— Умеет работать в параллельном режиме — подходит для массового сканирования.

Как использовать:

⚪️ Установка:

go install github.com/hahwul/dalfox/v2@latest

⚪️ Пример сканирования:

dalfox url "https://example.com/search?q=test"

⚪️ Список URL из файла:

dalfox file urls.txt

⚪️ Blind XSS через сервер-приёмник:

dalfox url "https://example.com" --blind https://xss.yourdomain.com

⚪️ Анализ всех параметров сайта:

dalfox url "https://example.com" --discover

⚠️ Dalfox не заменяет ручной аудит — особенно в сложных одностраничных приложениях. Но он отлично справляется с типовыми кейсами и даёт результат уже на этапе сбора поверхностных уязвимостей.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#буст

🧠 Как собрать OSINT‑досье на цель через LinkedIn + GitHub

Этот промпт создаёт цепочку OSINT-анализа конкретной цели: компания, команда, технологии. Используется в фазе reconnaissance перед фишингом или социальной инженерией.

Промпт для LLM:

Create an OSINT plan for gathering intelligence on a target company using public sources. Include:
– LinkedIn scraping (tech stack, employee names, positions)
– GitHub repos linked to the company domain or devs
– Pastebin/Leaks/HaveIBeenPwned entries
– Social profiles and tech conferences attended
– Common phishing vectors based on job roles and tools

Что дает:

➡️ Полноценная OSINT‑матрица, адаптированная под компанию

➡️ Персонализированные фишинг‑предлоги на основе публичных данных

➡️ Идеи для кастомных payload’ов и доставки (e.g. recruiter pretext)

🐸 Библиотека хакера

#буст

🐸 Библиотека хакера

#развлекалово

⭐️ Как использовать утечки JavaScript для поиска внутренних API и токенов

Уязвимости в веб- или мобильных приложениях могут раскрывать токены, API-ключи и другие данные. Часто их можно найти, анализируя JS-код, который может быть доступен случайно или намеренно.

1. Что искать в JavaScript:

👉 Токены доступа: часто в коде или запросах, например Bearer.

👉 API-ключи: могут быть hardcoded для вызова внешних API.

👉 Зашифрованные данные — иногда данные могут быть закодированы в коде.

2. Как находить утечки:

👉 Анализ исходного кода — откройте View Source или используйте инструменты разработчика (F12).

👉 Изучение запросов в браузере — отслеживайте запросы с параметрами вроде access_token.

👉 Анализ JavaScript-файлов — скачайте JS-ресурсы с помощью wget или curl, используйте инструменты типа JSDetox.

3. Использование утечек для атак

👉 Атаки с API-ключами — атакующий может использовать утёкший токен в запросах:

curl -H "Authorization: Bearer 1234567890abcdef" https://api.target.com/data

👉 Расширение через инъекции — доступные токены могут быть использованы для атак типа SQLi или XSS.

4. Как защититься:

👉 Не хардкодить ключи в коде: всегда используйте серверную сторону для генерации токенов.

👉 Шифрование: если необходимо хранить чувствительные данные в коде, обязательно их шифруйте.

👉 CORS: настройте правильную политику CORS (Cross-Origin Resource Sharing), чтобы ограничить доступ к API только с доверенных доменов.

👉 Ограничение прав API-ключей: минимизируйте права, присваиваемые API-ключам.

💡 Лайфхаки:

— Используйте grep для поиска ключевых слов, таких как access_token, api_key, token в скачанных JavaScript-файлах:

grep -r "access_token" 

— Иногда полезно искать утечку токенов в ответах на GET-запросы, которые не имеют корректных заголовков безопасности.

— Если вам не удается найти утечку с помощью поиска в коде, используйте Wireshark или tcpdump для перехвата трафика и поиска в нем токенов.

🐸 Библиотека хакера

#буст

🛠 Фишка инструмента Domain Digger

Domain Digger — это онлайн-инструмент, заточенный под быструю разведку доменов. Его фишка — реальное время и чистые данные, без кэшированных прослоек и обрезанных ответов.

Для чего можно использовать:

➡️ Получение актуальных DNS-записей: A, AAAA, MX, NS, CNAME, TXT — без задержек и искажений.

➡️ Поддержка произвольных DNS-серверов (например, 8.8.8.8, 1.1.1.1 или внутренние) — удобно для выявления split-DNS конфигураций или скрытых зон.

➡️ Отображение субдоменов, WHOIS, IP-адресов, PTR, геолокации и даже истории SSL-сертификатов.

➡️ Удобный интерфейс с возможностью быстро скопировать или экспортировать результаты — без регистрации и лишнего шума.

Как выглядит результат:

• example.com
├─ A: 93.184.216.34
├─ MX: mx1.mail.example.com
├─ Subdomains: www, api, mail
├─ TLS History: 2022–2025
└─ WHOIS: Cloudflare / USA / Updated 2 weeks ago

⚠️ Domain Digger не кэширует и не домысливает. Вы получаете живую инфраструктуру, как она есть сейчас, с возможностью глубже копать по каждой детали.

🔗 Ссылка на инструмент

🐸 Библиотека хакера

#буст