Официальный новостной канал криптобиржи OKX | www.okx.com на русском языке.
💬 Комьюнити: t.me/okx_russian
👨💻 Поддержка: [email protected]
АДМИН: @DaniiOKX
Маркетинг: @CoffeeTrends
Last updated 2 weeks, 2 days ago
Here in simple language about TON and crypto
Founder: @metasalience
contact : @deftalk_bot
Last updated 3 months, 2 weeks ago
Канал о TON и все что с ним связано:
1. Аналитика
2. Инсайды
3. Авторское мнение
Ведро для спама: @ton_telegrambot
Бот с курсами криптовалют: @TonometerBot
Чат: @chaTON_ru
Админ: @filimono
Last updated 2 weeks, 4 days ago
? #мероприятия #заметки #web #mobile #infrastructure #malware #reverse #offense #defense
*⚡️ *MOSCOW HACKING WEEK; Ретроспектива (ч.1)
Мне посчастливилось принять участие сразу в двух мероприятиях Moscow Hacking Week; Умудрилась, среди прочих энтузиастов сферы ИБ:
#️⃣ Насладиться докладами на первых рядах Talks
#️⃣ Пережить 2 недели➕финал priv8-ивента Hacks
? Если не присутствовали очно, обязательно просмотрите записи докладов!?:
▪️ Продвинутые Client-Side атаки ?
▪️ Pivoting ?
▪️ Purple Teaming и обход СЗИ
▪️ Прошивки и CVE
▪️ WASM и защита облака
▪️ Малвари и криптография
▪️ Безопаснки VS юристы
▪️ BugBounty: Мобилки
▪️ BugBounty: Систематизация с помощью аномалий
▪️ Кибербитва: Алгоритм мониторинга инцидентов
▪️ Кибербитва: Инфраструктура команды Cult
? #инструменты #заметки #web #enumeration
[ Репозитории, которые усовершенствуют процесс доркинга ]
0️⃣ Автоматизация доркинга – скрипт с преднастроенными запросами:
? IvanGlinkin/Fast-Google-Dorks-Scan [?: ?]
⬆️ Административные, логин и тестовые страницы, файлы гита, документы, презентации, конфигурационные файлы, ...
1️⃣ Списки запросов для разных ситуаций:
⬆️ Логи, бекапы, багбаунти, конфигурационные файлы, базы данных, документы, бакеты, файлы гита, графана, страницы логина, мониторинга, статистики, ...
2️⃣ Для поиска запроса в нескольких поисковых системах сразу:
? Zarcolio/sitedorks [?: ? ? ? ? ...]
3️⃣ Два скрипта: сбор свежих дорков с Exploit DB➕автоматизация доркинга с использованием произвольных запросов / списков запросов:
? opsdisk/pagodo [?: ?]
? #заметки #enumeration #web #infrastructure
Иногда в ходе аудитов приходится перебирать имена пользователей для сбора списка тех, что существуют в исследуемой системе;
➡️Неоспоримо чаще используются имена пользователей, основанные на реальных данных сотрудников: Фамилии, Имени и Отчестве ~~(при наличии)~~
[ Потому рекомендую следующие словари: ]
? sorokinpf/russian_names (?? / RU
)
? attackdebris/kerberos_enum_userlists (?? / EN
)
Оба репозитория содержат списки распространённых имён, для удобства представленные в нескольких форматах ⬆️
А иногда, в попытке забраться в секции, которые просят пройти аутентификацию, перебираются и пароли; ⬇️
❗️ В таких случаях стоит полагаться как на обобщённые словари популярных паролей, так и на словари, содержание которых основано на региональной статистике; Примеры таких словарей для России:
➡️Успехов! ?
➡️Моя статья, победившая в конкурсе от Standoff365, увидела свет на Habr! ?
1️⃣ Основы работы почты
2️⃣ Потенциальные уязвимости
3️⃣ Демонстрация эксплуатации
✨ DeteAct Blog: E-mail Injection
? HaHacking_Mail-Injection.pdf ⬇️
❓) Откуда?
Не так давно столкнулась с ситуацией, когда форма на сайте отправляла ответы пользователей в виде писем на выделенную для этого почту.
На первый взгляд – обычная ситуация, а на второй – вывалившийся лог SMTP
сервера навёл на мысли об изучении спектра потенциальных уязвимостей, которые могут вытекать из специфики почтовой функциональности;
➡️ Результаты – оформила в виде статьи ⚡️
❓) Что?
[ Подготовила небольшие примеры уязвимых приложений + каждое наглядно проэксплуатировала ]
? qwqoro/Mail-Injection [ ? / ? / ? ]
➖CRLF (SMTP
/ IMAP
) Injection
➖Arbitrary Command Flag Injection
➖Improper Input Validation
// Время чтения: ~20 минут
*➡️*Enjoy! ?
? #наработки #ai #web #infrastructure #offense
Вспоминая мои самые первые попытки выступать – доклады на конференции OFFZONE ➕ на мероприятии от сообщества Open Data Science, когда я постаралась простым языком рассказать про:
➖Виды атак на модели машинного обучения:
▪️Evasion attacks
▪️Model inversion attacks
▪️Model extraction attacks
➖Способы защиты от каждого вида атак
➖*Инструменты для автоматизации атак и анализа защищённости моделей МО
? ‟Атаки на ИИ, но проще” (®️ / OFFZONE)
? ‟ИИ глазами хакера” (?* / Open Data Science)
? #заметки
[ Захотелось упомянуть здесь репозитории, которые могут заинтересовать тех, кому тоже близки как тема ИБ, так и ИИ ]
⭐️ Компиляция материала о применении ИИ в сфере нападательной безопасности:
? jiep/offensive-ai-compilation
? Offensive AI Compilation
⭐️ Список ресурсов об обучении с подкреплением для решения задач кибербезопасности:
? Limmen/awesome-rl-for-cybersecurity
⭐️ Исходный код уникальных проектов, таких как, например:
▪️DeepExploit — автоматический пентест с использованием Metasploit;
▪️Recommender — автоматический подбор полезной нагрузки для эксплуатации Reflected XSS;
thanks to @qwqoro
Привет ?.
Искал я на ру пространстве доклады по атакам на ии. Мне оч сильно приглянулись доклады Лизы. Советую ознакомится с выступлениями
https://youtu.be/jaFgRhPaWqI?si=rdsXvr7K9WMgN3re
В докладах мы можем найти для себя информацию о моделировании угроз, методиках и тулзах для атак на ии..
YouTube
Елизавета Тишина. Атаки на ИИ, но проще
Пусть результаты работы ИИ часто поражают, но машины небезупречны. Цена ошибок становится выше, когда дело доходит до безопасности, — у хакеров появляются дополнительные векторы атак. Данное выступление охватит несколько фундаментальных атак методом Black…
Официальный новостной канал криптобиржи OKX | www.okx.com на русском языке.
💬 Комьюнити: t.me/okx_russian
👨💻 Поддержка: [email protected]
АДМИН: @DaniiOKX
Маркетинг: @CoffeeTrends
Last updated 2 weeks, 2 days ago
Here in simple language about TON and crypto
Founder: @metasalience
contact : @deftalk_bot
Last updated 3 months, 2 weeks ago
Канал о TON и все что с ним связано:
1. Аналитика
2. Инсайды
3. Авторское мнение
Ведро для спама: @ton_telegrambot
Бот с курсами криптовалют: @TonometerBot
Чат: @chaTON_ru
Админ: @filimono
Last updated 2 weeks, 4 days ago