HaHacking

Description
>> HaHacking Hacking Club;

± Family-friendly канал с доступной информацией — Личный сборник о мире безопасности;
Обработанные знания из разных уголков ИБ 🗂

[security] [pentest] [offense] [defense] [web] [infrastructure]

:~$ @qwqoro
Advertising
We recommend to visit

Официальный новостной канал криптобиржи OKX | www.okx.com на русском языке.

💬 Комьюнити: t.me/okx_russian

👨‍💻 Поддержка: [email protected]

АДМИН: @DaniiOKX
Маркетинг: @CoffeeTrends

Last updated 2 weeks, 2 days ago

Here in simple language about TON and crypto

Founder: @metasalience
contact : @deftalk_bot

Last updated 3 months, 2 weeks ago

Канал о TON и все что с ним связано:
1. Аналитика
2. Инсайды
3. Авторское мнение

Ведро для спама: @ton_telegrambot

Бот с курсами криптовалют: @TonometerBot

Чат: @chaTON_ru

Админ: @filimono

Last updated 2 weeks, 4 days ago

1 year ago
1 year ago
***?*** [#мероприятия](?q=%23%D0%BC%D0%B5%D1%80%D0%BE%D0%BF%D1%80%D0%B8%D1%8F%D1%82%D0%B8%D1%8F) [#заметки](?q=%23%D0%B7%D0%B0%D0%BC%D0%B5%D1%82%D0%BA%D0%B8) [#web](?q=%23web) [#mobile](?q=%23mobile) [#infrastructure](?q=%23infrastructure) …

? #мероприятия #заметки #web #mobile #infrastructure #malware #reverse #offense #defense

*⚡️ *MOSCOW HACKING WEEK; Ретроспектива (ч.1)

Мне посчастливилось принять участие сразу в двух мероприятиях Moscow Hacking Week; Умудрилась, среди прочих энтузиастов сферы ИБ:

#️⃣ Насладиться докладами на первых рядах Talks
#️⃣ Пережить 2 неделифинал priv8-ивента Hacks

? Если не присутствовали очно, обязательно просмотрите записи докладов!?:

?   ‟Standoff Talks #4

▪️ Продвинутые Client-Side атаки ?
▪️ Pivoting ?
▪️ Purple Teaming и обход СЗИ
▪️ Прошивки и CVE
▪️ WASM и защита облака
▪️ Малвари и криптография
▪️ Безопаснки VS юристы
▪️ BugBounty: Мобилки
▪️ BugBounty: Систематизация с помощью аномалий
▪️ Кибербитва: Алгоритм мониторинга инцидентов
▪️ Кибербитва: Инфраструктура команды Cult

@HaHacking  ?

1 year ago
***?*** [#инструменты](?q=%23%D0%B8%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BC%D0%B5%D0%BD%D1%82%D1%8B) [#заметки](?q=%23%D0%B7%D0%B0%D0%BC%D0%B5%D1%82%D0%BA%D0%B8) [#web](?q=%23web) [#enumeration](?q=%23enumeration)

? #инструменты #заметки #web #enumeration

[ Репозитории, которые усовершенствуют процесс доркинга ]

0️⃣ Автоматизация доркинга – скрипт с преднастроенными запросами:

? IvanGlinkin/Fast-Google-Dorks-Scan [?: ?]

⬆️ Административные, логин и тестовые страницы, файлы гита, документы, презентации, конфигурационные файлы, ...

1️⃣ Списки запросов для разных ситуаций:

? Proviesec/google-dorks

⬆️ Логи, бекапы, багбаунти, конфигурационные файлы, базы данных, документы, бакеты, файлы гита, графана, страницы логина, мониторинга, статистики, ...

2️⃣ Для поиска запроса в нескольких поисковых системах сразу:

? Zarcolio/sitedorks [?: ? ? ? ? ...]

3️⃣ Два скрипта: сбор свежих дорков с Exploit DBавтоматизация доркинга с использованием произвольных запросов / списков запросов:

? opsdisk/pagodo [?: ?]

@HaHacking  ?

1 year ago
***?*** [#заметки](?q=%23%D0%B7%D0%B0%D0%BC%D0%B5%D1%82%D0%BA%D0%B8) [#enumeration](?q=%23enumeration) [#web](?q=%23web) [#infrastructure](?q=%23infrastructure)

? #заметки #enumeration #web #infrastructure

Иногда в ходе аудитов приходится перебирать имена пользователей для сбора списка тех, что существуют в исследуемой системе;

➡️Неоспоримо чаще используются имена пользователей, основанные на реальных данных сотрудников: Фамилии, Имени и Отчестве ~~(при наличии)~~

[ Потому рекомендую следующие словари: ]

? sorokinpf/russian_names (?? / RU)

? attackdebris/kerberos_enum_userlists (?? / EN)

Оба репозитория содержат списки распространённых имён, для удобства представленные в нескольких форматах ⬆️

А иногда, в попытке забраться в секции, которые просят пройти аутентификацию, перебираются и пароли; ⬇️

❗️ В таких случаях стоит полагаться как на обобщённые словари популярных паролей, так и на словари, содержание которых основано на региональной статистике; Примеры таких словарей для России:

? sharsi1/russkiwlst

?   WeakPass: 1, 2, 3, 4, 5, 6

➡️Успехов! ?

@HaHacking  ?

1 year ago
1 year, 1 month ago
1 year, 1 month ago
***?*** [#наработки](?q=%23%D0%BD%D0%B0%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B8) [#web](?q=%23web) [#offense](?q=%23offense)

? #наработки #web #offense

➡️Моя статья, победившая в конкурсе от Standoff365, увидела свет на Habr! ?

1️⃣ Основы работы почты
2️⃣ Потенциальные уязвимости
3️⃣ Демонстрация эксплуатации

? Habr: E-mail Injection

DeteAct Blog: E-mail Injection

?   HaHacking_Mail-Injection.pdf ⬇️

) Откуда?

Не так давно столкнулась с ситуацией, когда форма на сайте отправляла ответы пользователей в виде писем на выделенную для этого почту.

На первый взгляд – обычная ситуация, а на второй – вывалившийся лог SMTP сервера навёл на мысли об изучении спектра потенциальных уязвимостей, которые могут вытекать из специфики почтовой функциональности;

➡️ Результаты – оформила в виде статьи ⚡️

) Что?

[ Подготовила небольшие примеры уязвимых приложений + каждое наглядно проэксплуатировала ]

? qwqoro/Mail-Injection [ ? / ? / ? ]

CRLF (SMTP / IMAP) Injection
Arbitrary Command Flag Injection
Improper Input Validation

// Время чтения: ~20 минут
*➡️*Enjoy! ?

@HaHacking  ?

1 year, 1 month ago
1 year, 1 month ago
***?*** [#наработки](?q=%23%D0%BD%D0%B0%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B8) [#ai](?q=%23ai) [#web](?q=%23web) [#infrastructure](?q=%23infrastructure) [#offense](?q=%23offense)

?  #наработки #ai #web #infrastructure #offense

Вспоминая мои самые первые попытки выступать – доклады на конференции OFFZONE на мероприятии от сообщества Open Data Science, когда я постаралась простым языком рассказать про:

Виды атак на модели машинного обучения:
▪️Evasion attacks
▪️Model inversion attacks
▪️Model extraction attacks

Способы защиты от каждого вида атак
*Инструменты для автоматизации атак и анализа защищённости моделей МО

?   qwqoro/ML-Talk

?   ‟Атаки на ИИ, но проще”  (®️ / OFFZONE)

?   ИИ глазами хакера”  (?* / Open Data Science)

?  #заметки

[ Захотелось упомянуть здесь репозитории, которые могут заинтересовать тех, кому тоже близки как тема ИБ, так и ИИ ]

⭐️ Компиляция материала о применении ИИ в сфере нападательной безопасности:

?   jiep/offensive-ai-compilation
?   Offensive AI Compilation

⭐️ Список ресурсов об обучении с подкреплением для решения задач кибербезопасности:

?   Limmen/awesome-rl-for-cybersecurity

⭐️ Исходный код уникальных проектов, таких как, например:
▪️DeepExploitавтоматический пентест с использованием Metasploit;
▪️Recommenderавтоматический подбор полезной нагрузки для эксплуатации Reflected XSS;

?   13o-bbr-bbq/machine_learning_security

@HaHacking  ?

1 year, 1 month ago

thanks to @qwqoro

Привет ?.

Искал я на ру пространстве доклады по атакам на ии. Мне оч сильно приглянулись доклады Лизы. Советую ознакомится с выступлениями

https://youtu.be/jaFgRhPaWqI?si=rdsXvr7K9WMgN3re

https://youtu.be/bbspgr8klHs

В докладах мы можем найти для себя информацию о моделировании угроз, методиках и тулзах для атак на ии..

YouTube

Елизавета Тишина. Атаки на ИИ, но проще

Пусть результаты работы ИИ часто поражают, но машины небезупречны. Цена ошибок становится выше, когда дело доходит до безопасности, — у хакеров появляются дополнительные векторы атак. Данное выступление охватит несколько фундаментальных атак методом Black…

We recommend to visit

Официальный новостной канал криптобиржи OKX | www.okx.com на русском языке.

💬 Комьюнити: t.me/okx_russian

👨‍💻 Поддержка: [email protected]

АДМИН: @DaniiOKX
Маркетинг: @CoffeeTrends

Last updated 2 weeks, 2 days ago

Here in simple language about TON and crypto

Founder: @metasalience
contact : @deftalk_bot

Last updated 3 months, 2 weeks ago

Канал о TON и все что с ним связано:
1. Аналитика
2. Инсайды
3. Авторское мнение

Ведро для спама: @ton_telegrambot

Бот с курсами криптовалют: @TonometerBot

Чат: @chaTON_ru

Админ: @filimono

Last updated 2 weeks, 4 days ago