Forwarded from DIMOOON 🇺🇦🦅🇺🇸
1. Subfinder лучше использовать с флагом -all, но сперва необходимо зарегистрироваться на всех сервисах, что поддерживает subfinder и взять оттуда апи ключи, количество доменов увеличивается в +20-30%.
2. Сперва резолвим при помощи DNSX, затем отдаем на скан портов в Naabu, а лишь потом отправляем в HTTPX для поиска живых HTTP сервисов.
3. Naabu лучше гонять с ключом -ec, позволит скипнуть все таргеты, что за CDN, и будет сканировать только 80,443 порт, в таком случае можно без проблем ставить -p - и сканировать все 65535 портов, а не лишь ТОП 10-20 портов.
4. Katana поддерживает с последнего релиза интеграцию с waybackarchive,commoncrawl,alienvault, и исключает необходимость использовать gau, waybackurls, чтобы не тянуть в баш скрипт кучу утилит, все можно делать одной. Через флаг -passive.
5. Поиск секретов. Не только вытягивать инфу с архивов, но и собирать сразу живые, для этого существует связка getJS + nuclei, и при скане желательно исключать из сканирования темплейты у которых критичность стоит в unknown, генерируют тонну фолз-позитива, увеличивают время скана и в целом грузит систему.
2. Сперва резолвим при помощи DNSX, затем отдаем на скан портов в Naabu, а лишь потом отправляем в HTTPX для поиска живых HTTP сервисов.
3. Naabu лучше гонять с ключом -ec, позволит скипнуть все таргеты, что за CDN, и будет сканировать только 80,443 порт, в таком случае можно без проблем ставить -p - и сканировать все 65535 портов, а не лишь ТОП 10-20 портов.
4. Katana поддерживает с последнего релиза интеграцию с waybackarchive,commoncrawl,alienvault, и исключает необходимость использовать gau, waybackurls, чтобы не тянуть в баш скрипт кучу утилит, все можно делать одной. Через флаг -passive.
5. Поиск секретов. Не только вытягивать инфу с архивов, но и собирать сразу живые, для этого существует связка getJS + nuclei, и при скане желательно исключать из сканирования темплейты у которых критичность стоит в unknown, генерируют тонну фолз-позитива, увеличивают время скана и в целом грузит систему.
docker run -v $(pwd):/src secsi/getjs --input /src/alive_http_services --complete --output /src/js_links
docker run -v $(pwd):/src projectdiscovery/nuclei:latest -l /src/js_links -tags token,tokens -es unknown -o /src/secret-results
👍9
Без Дімона, цього спічу би не було. Чи був би, але через пару років. Зацініть його контент!
https://news.1rj.ru/str/bughuntertips
https://news.1rj.ru/str/bughuntertips
Telegram
#bugbountytips
#bugbountytips
👍11
В мене для вас заплановано дещо особливе. На наступну суботу, в нас на каналі буде підкаст, з моїм хорошим товаришем. Будемо спілкуватись про кібербезпеку, життя, багбаунті, програмування... Має бути прикольно!
Сам він - full time bug bounty hunter, топ-3 по Україні за 2023!
https://hackerone.com/olex_vel?type=user
Набагато більш плідний багхантер ніж я. Розкаже вам, як він опинився в кібербезпеці, чому вирішив кинути роботу пентестером в банку на користь багбаунті, і як краще шукати баги - руками чи автоматично
Ставте лайк на цей пост, якщо плануєте бути на івенті, подивимось скільки нас, і чи вліземо в діскорд)
Наступна субота! Десь в районі обіду! Приходьте)
Сам він - full time bug bounty hunter, топ-3 по Україні за 2023!
https://hackerone.com/olex_vel?type=user
Набагато більш плідний багхантер ніж я. Розкаже вам, як він опинився в кібербезпеці, чому вирішив кинути роботу пентестером в банку на користь багбаунті, і як краще шукати баги - руками чи автоматично
Ставте лайк на цей пост, якщо плануєте бути на івенті, подивимось скільки нас, і чи вліземо в діскорд)
Наступна субота! Десь в районі обіду! Приходьте)
HackerOne
HackerOne profile - olex_vel
👍59❤3
Forwarded from road to OSCP
Mobile Pentest Like a Pro
Great article that discusses the following topics in detail:
-IOS Jailbreak Methods
-Andr-oid Root Methods
-Important Folders & Files
-Static Analytics
-Hooking
-SSL Pin
-Root Detection
-Insecure Logging
-Insecure Storage
-Content Provider
-Static Scanner
https://redteamrecipe.com/mobile-pentest-like-a-pro
Great article that discusses the following topics in detail:
-IOS Jailbreak Methods
-Andr-oid Root Methods
-Important Folders & Files
-Static Analytics
-Hooking
-SSL Pin
-Root Detection
-Insecure Logging
-Insecure Storage
-Content Provider
-Static Scanner
https://redteamrecipe.com/mobile-pentest-like-a-pro
❤3👏2
Forwarded from Security Digest UA
Як за допомогою різних додатків та сервісів, включаючи вбудовані в автомобілі, страхові компанії в США стежать за водіями та їхньою поведінкою на дорозі.
🔺 Агрегатори даних купують дані в інших додатків, комбінують та одержують результат, який потім може впливати на вартість страховки. Відбувається це, найчастіше, без відома користувачів, очевидно.
@secdigestua
🔺 Агрегатори даних купують дані в інших додатків, комбінують та одержують результат, який потім може впливати на вартість страховки. Відбувається це, найчастіше, без відома користувачів, очевидно.
@secdigestua
NY Times
Is Your Driving Being Secretly Scored? (Gift Article)
The insurance industry, hungry for insights into how people drive, has turned to automakers and smartphone apps like Life360.
Forwarded from vx-underground
Happy Birthday to herm1t.
herm1t was the creator and administrator for vxHeaven. vxHeaven was our inspiration — we try to act a successor for.
We hope you have a wonderful day.
herm1t was the creator and administrator for vxHeaven. vxHeaven was our inspiration — we try to act a successor for.
We hope you have a wonderful day.
🎉9🤝3🫡2
Forwarded from Волосатый бублик
#outlook #rce
Critical Microsoft Outlook Vulnerability Executes as Email is Opened
https://blog.morphisec.com/cve-2024-30103-microsoft-outlook-vulnerability
Critical Microsoft Outlook Vulnerability Executes as Email is Opened
https://blog.morphisec.com/cve-2024-30103-microsoft-outlook-vulnerability
Йоу йоу йоу!
Завтра в нас буде стрім з Алексом. Будемо обговорювати багбаунті, вкат в кібербезпеку, розбір цікавих вразливостей та поради новачкам!
Де?
Прям тут, в телеграмі, скоріш за все в чаті каналу "Бінарний XOR". Посилання надам ближче до стріму
Коли?
Субота 15.06, 14:00 за київським часом. Розраховуємо провести в етері не більше години
Навіщо і для кого?
Новачки дізнаються про вкат в кібербезпеку, досвідчені задроти дізнаються про багбаунті. І все це від одного з топових багхантерів України!
Чекаємо всіх, має бути прикольно)
Завтра в нас буде стрім з Алексом. Будемо обговорювати багбаунті, вкат в кібербезпеку, розбір цікавих вразливостей та поради новачкам!
Де?
Прям тут, в телеграмі, скоріш за все в чаті каналу "Бінарний XOR". Посилання надам ближче до стріму
Коли?
Субота 15.06, 14:00 за київським часом. Розраховуємо провести в етері не більше години
Навіщо і для кого?
Новачки дізнаються про вкат в кібербезпеку, досвідчені задроти дізнаються про багбаунті. І все це від одного з топових багхантерів України!
Чекаємо всіх, має бути прикольно)
👍23✍3❤1🥰1👻1
Через півгодинки починаємо!
Доєднуйтесь до нашого затишного чатіку, де буде стрім
https://news.1rj.ru/str/binaryxor_chat
Доєднуйтесь до нашого затишного чатіку, де буде стрім
https://news.1rj.ru/str/binaryxor_chat
🥰5👍3
Всім дякую хто прийшов, було прикольно!
За годинку не впорались, та і за три не впорались, але набалакали добряче. Вирішили що зробимо з тим самим гостем ще один подкаст, через тиждень-два. Розкриємо глибше цю таємничу презентацію, приділимо час детальному розбору якихось кейсів
Слідкуйте за анонсами, і до нових зустрічей!
За годинку не впорались, та і за три не впорались, але набалакали добряче. Вирішили що зробимо з тим самим гостем ще один подкаст, через тиждень-два. Розкриємо глибше цю таємничу презентацію, приділимо час детальному розбору якихось кейсів
Слідкуйте за анонсами, і до нових зустрічей!
❤30
Forwarded from #bugbountytips
Some people like using a command-line spider for gathering endpoints. Katana is one of these security focused spiders:
https://github.com/projectdiscovery/katana
When using katana:
1) use "-headless" as modern CDN WAFs block many command-line spiders.
2) use "-js-crawl" to enable javanoscript parsing
3) use "-jsluice" to enable syntax-tree (better) javanoscript parsing
4) use "-display-out-scope" to know when the spider find links to other domains that might be related to your target
#bugbountytips
https://github.com/projectdiscovery/katana
When using katana:
1) use "-headless" as modern CDN WAFs block many command-line spiders.
2) use "-js-crawl" to enable javanoscript parsing
3) use "-jsluice" to enable syntax-tree (better) javanoscript parsing
4) use "-display-out-scope" to know when the spider find links to other domains that might be related to your target
#bugbountytips
👍10
Всім привіт! В цю суботу, 22 червня, о 13:00 по Києву в нас буде друга частина стріму з Алексом! Минулого разу ми вже познайомились, а цього разу буде більш "сфокусований" контент
Топовий багхантер і цікавий співрозмовник покаже вам презентацію яку приготував, і розберемо якісь прикольні реальні кейси з багбаунті, про які нам вже можна говорити
Постараємось не засиджуватись в етері на три години як минулого разу)
Ще раз, субота! 22 червня! 13:00 по Києву! Прям тут, нікуди йти не треба)
До зустрічі!
Топовий багхантер і цікавий співрозмовник покаже вам презентацію яку приготував, і розберемо якісь прикольні реальні кейси з багбаунті, про які нам вже можна говорити
Постараємось не засиджуватись в етері на три години як минулого разу)
Ще раз, субота! 22 червня! 13:00 по Києву! Прям тут, нікуди йти не треба)
До зустрічі!
🔥33👍3🎃1
Скоро буде нова міні-стаття. Вже готовий міні-рісьорч) Це не зовсім сек'юріті, більше покекати (хоча про сек'юріті там трошки теж буде)
❤4
"Твій друг не бухає, і дивний на вид? Будь обережним, він - мімікрид!"
Чи може штучка-інтелект стати інфлюенсером в інтернеті, і не сильно палитись? Я думаю, що вже може. Я створив декілька каналів, які натурально веде скрипт без моєї участі. Шо там буде по аудиторії ми побачимо десь через місяць, а поки що можете почитати як це робиться, і можливо захочете підняти свого ai-інфлюенсера в себе вдома.
https://telegra.ph/M%D1%96j-pershij-tv%D1%96tter-bot-06-21
Чи може штучка-інтелект стати інфлюенсером в інтернеті, і не сильно палитись? Я думаю, що вже може. Я створив декілька каналів, які натурально веде скрипт без моєї участі. Шо там буде по аудиторії ми побачимо десь через місяць, а поки що можете почитати як це робиться, і можливо захочете підняти свого ai-інфлюенсера в себе вдома.
https://telegra.ph/M%D1%96j-pershij-tv%D1%96tter-bot-06-21
Telegraph
AI-інфлюенсер своїми руками
Історія бере початок з того, що в твіттері зловили кгфсбшного бота, який сперечався з людьми на підтримку Трампа. Але бот був не простий, а AI-POWERED, як і положено будь-якому продукту в наш час. І виникло резонне питання - а наскільки взагалі важко зробити…
🔥7🤯4
Forwarded from Lazy Hacking 👾
📢 How to Become Script Kiddie in 5 Easy Steps! 🐒💻
1. Google Everything: Who needs skills when you have Google? Copy-paste > coding.
2. Download Sketchy Tools: If it’s free and from a shady forum, it's for you.
3. Brag to Friends: Tell everyone you’re a hacker. Even your grandma.
4. Forget Ethics: Morality is for the weak. Be chaotic neutral.
5. Get Caught: The ultimate rite of passage. Enjoy your new orange jumpsuit.
Join me on this bananas journey to become the ultimate noscript kiddie! 🍌🦧
---
🐒💻 Ever dreamed of becoming a noscript kiddie? It's like being a hacker without the brainpower! Just Google, download, brag, forget ethics, and get caught! Perfect plan for anyone wanting to wear orange jumpsuit as a fashion statement. 🍌🦧
1. Google Everything: Who needs skills when you have Google? Copy-paste > coding.
2. Download Sketchy Tools: If it’s free and from a shady forum, it's for you.
3. Brag to Friends: Tell everyone you’re a hacker. Even your grandma.
4. Forget Ethics: Morality is for the weak. Be chaotic neutral.
5. Get Caught: The ultimate rite of passage. Enjoy your new orange jumpsuit.
Join me on this bananas journey to become the ultimate noscript kiddie! 🍌🦧
---
🐒💻 Ever dreamed of becoming a noscript kiddie? It's like being a hacker without the brainpower! Just Google, download, brag, forget ethics, and get caught! Perfect plan for anyone wanting to wear orange jumpsuit as a fashion statement. 🍌🦧
😈4👍2🔥2