Госдума отклонила законопроект о легализации «белых хакеров» – Минцифры в ответ уже готовит новые предложения: требования к поиску уязвимостей и ответственность за их нарушение.
Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в софте за вознаграждение.
Однако в Госдуме посчитали, что законопроект не учитывает особенности информационного обеспечения работы госорганов – она регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры.
Речь идет о хакерах, которых компании самостоятельно привлекают к тестированию своих информсистем на уязвимости. Вопрос легализации их деятельности в России публично обсуждается с лета 2022 года, когда Минцифры занялось проработкой возможности ввести в правовое поле понятие bug bounty — поиск уязвимостей в софте за вознаграждение.
Однако в Госдуме посчитали, что законопроект не учитывает особенности информационного обеспечения работы госорганов – она регулируется законодательством о гостайне, об информации, а также о безопасности критической информационной инфраструктуры.
💡 Фича-флаги для багхантера
Обращайте внимание на всё, что в HTML содержит
Иногда достаточно:
▪️ поменять
▪️ или добавить строку в массив через
⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Обращайте внимание на всё, что в HTML содержит
featureFlag или просто flag. Часто разработчики проводят A/B-тесты, и фичи «выключены» у вас на глазах.Иногда достаточно:
false на true,match-and-replace в Burp.⚙️ Больше включённых фич → больше функциональности → шире зона охвата → больше уязвимостей. Проверяйте скрытые возможности — они любят ломаться первыми.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Просто напоминаем: если ты хочешь работать с большим файлом в Burp Intruder
Load ... в Simple list. Simple list предназначен для простых словарей и загружает весь файл в GUI. Большой файл повесит Burp, что может привести к потере данных проекта. Вместо этого используй
Runtime file!P. S. Скорее всего, увеличение оперативки не поможет
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Burp Suite можно расширять, но глубокая кастомизация требует глубокого погружения и больших затрат. Решение — инструмент Piper, который интегрирует внешние инструменты и их пайплайны в Burp Suite.
Расширение может передавать HTTP-запросы и ответы из Burp во внешний софт, а затем передавать результат их выполнения обратно в Burp.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
-d: максимальная глубина сканирования-kf: включает сканирование известных файлов-jc: включает разбор и сканирование эндпоинтов в JS-файлах-fx: извлекает элементы форм, поля ввода, текстовые области и выпадающие списки-ef: фильтрует вывод по указанным расширениям-o: имя выходного файлаkatana -u subdomains_alive.txt -d 5 -kf -jc -fx -ef woff, css, png, noscript, jpg, woff2, jpeg, gif, noscript -o allurls.txt
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Впервые автономный ИИ-багхантер возглавил мировой рейтинг, а ты продолжаешь тыкать кавычки. Это не прошлое и не будущее — это настоящее!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13
В разведке все методы хороши, особенно когда речь идет о больших скоупах. Reverse DNS и анализ SSL-сертификатов — тот самый необходимый минимум.
$ echo 173.0.84.0/24 | dnsx -silent -resp-only -ptr
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10
В MySQL и ее форках можно использовать versioned comments, что позволяет в некоторых кейсах с точностью узнать версию СУБД.
Допустим, у тебя потенциальная SQLi в параметре
id, но атака возможна только в слепом режиме, и ты не знаешь тип/версию СУБД.👉 Попробуй заменить значение параметра на:
/*!50000 <id_value>*/
id, значит, скорее всего, приложение использует MySQL, форки или совместимые СУБД с версией ≥ 5.0.0.Дальше можно играться с числами (
/*!51000 ...*/, /*!51010 ...*/ и т. д.) и нащупать точную версию без вызова функции version().Такой кейс позволяет обнаружить MySQL и заодно часто обходить WAF — фильтры могут просто игнорировать эти конструкции.
/*!<число> ...*/ выполнится только если версия БД ≥ этого числа. Это даёт возможность прятать пэйлоад прямо внутри комментариев.Кстати,
sqlmap уже умеет использовать этот кейс через tamper. А если число не указано (например, просто /*! ... */), то содержимое выполняется всегда.Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
REcollapse генерирует пэйлоад для байпаса валидаций/WAF и обнаружения нормализации в веб-приложениях. Новая версия добавляет:
📌 Mode 6 для тестирования на устойчивость к изменениям регистра (case folding/upper/lower)
📌 Mode 7 для тестирования на устойчивость к усечению байтов (byte truncations)
Как использовать:
$ recollapse -e 1 -m 1,2,4 -r 10-11 https://legit.example.com
%0ahttps://legit.example.com
%0bhttps://legit.example.com
https%0a://legit.example.com
https%0b://legit.example.com
...
$ echo "a@b.com" | recollapse
%00a@b.com
%01a@b.com
...
$ echo "<noscript/onload=alert(1)>" | recollapse | ffuf -w - -u "https://example.com/?param=FUZZ" -mc 200,403,500
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Forwarded from SecuriXy.kz
🧠 HexStrike AI - автопентест фреймворк.
Раньше Penterra была доступна только корпорациям и ограничена. Теперь есть HexStrike - бесплатный опенсорс-фреймворк на LLM, который делает больше и лучше. Понятно, что это лишь начало, но уже фиксируются случаи его применения для эксплуатации багов Citrix и продажи взломанных NetScaler этим инструментом.
⚙️ Возможности:
+ MCP-сервер с клиентами - можно работать командой
+ Автоматизация 150+ инструментов: OSINT, веб-скан, инфраструктура, привилегии
+ ИИ-агенты сами выбирают утилиты, параметры и стратегию
+ Поддержка цепочек: поиск → эксплоит → шелл → постэксплуатация
+ Визуальные дашборды и прогресс
+ Логи и воспроизводимость шагов - удобно для отчётов и ресерча
🎯 Для кого: пентестеры, purple-team, багхантеры и исследователи
🔮 В v7.0 планируется: десктоп-клиент, one-command install, Docker, ~250 тулов, Selenium-анализ веба с антидетектом, runtime JS-чек, многозадачность, API для CI/CD
📎 GitHub: https://github.com/0x4m4/hexstrike-ai
Раньше Penterra была доступна только корпорациям и ограничена. Теперь есть HexStrike - бесплатный опенсорс-фреймворк на LLM, который делает больше и лучше. Понятно, что это лишь начало, но уже фиксируются случаи его применения для эксплуатации багов Citrix и продажи взломанных NetScaler этим инструментом.
⚙️ Возможности:
+ MCP-сервер с клиентами - можно работать командой
+ Автоматизация 150+ инструментов: OSINT, веб-скан, инфраструктура, привилегии
+ ИИ-агенты сами выбирают утилиты, параметры и стратегию
+ Поддержка цепочек: поиск → эксплоит → шелл → постэксплуатация
+ Визуальные дашборды и прогресс
+ Логи и воспроизводимость шагов - удобно для отчётов и ресерча
🎯 Для кого: пентестеры, purple-team, багхантеры и исследователи
🔮 В v7.0 планируется: десктоп-клиент, one-command install, Docker, ~250 тулов, Selenium-анализ веба с антидетектом, runtime JS-чек, многозадачность, API для CI/CD
📎 GitHub: https://github.com/0x4m4/hexstrike-ai
👍1
Подделка HTTP-заголовка может выстрелить в самой разной форме — от SSRF и DoS до open redirect, XSS и других багов, связанных с контролем доступа.
X-Forwarded-For, X-Forwarded-Host, X-Forwarded-ProtoX-Real-IP, ForwardedX-Forwarded-Server, X-Real-IP, Max-ForwardsX-Envoy-External-Address, X-Envoy-Internal, X-Envoy-Original-Dst-HostАвтоматизируем одной командой:
ffuf -w headers.txt:HEADER -w payloads.txt:PAYLOAD \
-H "HEADER: PAYLOAD" \
-u https://target.com/admin \
-mc 200,301,302
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍7
This media is not supported in your browser
VIEW IN TELEGRAM
Кейсов использования этой фичи много, поэтому в «нужный момент» просто нажми F12.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
This media is not supported in your browser
VIEW IN TELEGRAM
Большинство WAF имеют ограничения на объем данных, обрабатываемых в теле запроса. Для HTTP-запросов с телом (POST, PUT, PATCH и т.д.) обычно можно обойти WAF, просто добавив в начало запроса мусорные данные.
🥷 Как это работает:
В прошлом году команда Assetnote представила nowafpls — простое расширение Burp (Caido тоже поддерживает) для обхода WAF путем вставки мусорных данных в репитере.
От тебя требуется добавить в Burp
nowafpls.py, выбрав тип расширения Python. Дальше — дело техники — выбрать объем вставляемых данных или добавить произвольное количество с помощью опции Custom.Please open Telegram to view this post
VIEW IN TELEGRAM
👍8