Vulnerability Scanners cheat sheet.pdf
163.2 KB
Все основные сканеры собраны в одной схеме и разделены по категориям: open-source, коммерческие, облачные, mobile, AI-based и пентест-инструменты.
Удобно использовать как навигацию и быстрый ориентир при выборе тулов под задачу.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3
У Substack произошёл взлом: злоумышленники получили доступ к пользовательским данным через уязвимость в платформе. Баг уже закрыли, но последствия никуда не делись.
— Утёкшие данные уже могут использоваться в таргетированном фишинге
— Письма «от авторов», «от Substack» и «срочные уведомления» — под особым подозрением
— Даже легальная платформа ≠ иммунитет от атак
С точки зрения ИБ это типичный кейс: уязвимость закрыта, но данные уже ушли — дальше работает социальная инженерия.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚1
Где, по-вашему, чаще всего путают хеширование и шифрование:
👍 — При хранении паролей
🔥 — При передаче данных (API / TLS)
👾 — В базах данных и бэкапах
🥰 — В требованиях и ТЗ
🌚 — Везде понемногу
А вы сами ловили себя или коллег на этой путанице?
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚8🥰7👾6
🧪 Лёгкий прокси для разбора веб-трафика
HTTP Toolkit — это open-source HTTP-прокси, который удобно использовать для анализа и отладки клиент-серверного взаимодействия.
Что умеет и где полезен:
Чего ждать не стоит:
❌ Автосканирования и fuzzing
❌ Полноценной замены Burp Suite или ZAP
♾ Где заходит лучше всего:
AppSec, DevSecOps, QA, быстрый ручной анализ API и клиентской логики. Отличный вариант, когда нужен прозрачный прокси, а не тяжёлый пентест-фреймворк.
🔗 Ссылка на GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
HTTP Toolkit — это open-source HTTP-прокси, который удобно использовать для анализа и отладки клиент-серверного взаимодействия.
Что умеет и где полезен:
— Перехватывает и показывает весь HTTP/HTTPS-трафик: заголовки, cookies, параметры, body
— Позволяет менять запросы и ответы на лету — удобно для проверки логики и edge-кейсов
— Повтор запросов — можно воспроизводить реальные сценарии
— Эмуляция ответов сервера и мок-эндпоинтов
— Работает с трафиком веба, мобильных приложений, CLI и desktop
— Поддерживает REST, JSON, XML, WebSocket и современный веб-стек
Чего ждать не стоит:
AppSec, DevSecOps, QA, быстрый ручной анализ API и клиентской логики. Отличный вариант, когда нужен прозрачный прокси, а не тяжёлый пентест-фреймворк.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4🔥2
Эти термины часто путают — и именно на этом ломается безопасность.
Почитать
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3❤🔥2🥰2
У dYdX обнаружены вредоносные версии официальных пакетов в npm и PyPI. Через них похищались seed-фразы и устанавливался RAT с полным удалённым доступом.
Малварь опубликована от имени легитимных аккаунтов — вероятна компрометация учётных данных разработчиков. GitHub-репозиторий не затронут.
Рекомендации: изоляция систем, перевод средств на новые кошельки, ротация всех ключей и токенов.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3👏2
Если Kali используется удалённо — без SSH не обойтись. Но по умолчанию он ведёт себя по-разному на ПК и ARM, и это часто сбивает с толку.
В статье:
• как включить SSH в Kali на десктопе и ARM;
• почему лучше использовать ssh.socket, а не постоянный сервис;
• как подключиться и найти IP;
• почему root не пускает по паролю;
• как настроить вход по ключам и забыть про пароли.
Для пентеста, лабораторий и headless-устройств.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰2