Forwarded from white2hack 📚
𝐃𝐢𝐬𝐜𝐨𝐯𝐞𝐫 12 𝐀𝐈 𝐭𝐨𝐨𝐥𝐬 𝐭𝐨 𝐚𝐮𝐭𝐨𝐦𝐚𝐭𝐞 𝐲𝐨𝐮𝐫 𝐏𝐞𝐧𝐭𝐞𝐬𝐭 𝐚𝐧𝐝 𝐂𝐲𝐛𝐞𝐫𝐬𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐚𝐮𝐝𝐢𝐭𝐬! 🧠⚔️
1. 🧠 PentestGPT
LLM-based tool that simulates a step-by-step penetration testing process, emulating a realistic attack workflow.
2. 🤖 Auto-Pentest-GPT-AI
An AI-powered framework using GPT-4 to perform automated pentests with logical, chain-of-thought exploration.
3. 🔍 BurpGPT
A Burp Suite extension that integrates GPT to analyze requests/responses and suggest payloads or detect vulnerabilities.
4. 🌐 ReconAIzer
An AI-driven reconnaissance assistant using GPT-4 to interpret recon tool results and recommend next steps.
5. 🔐 PassGAN
A generative adversarial network trained to generate real-world passwords based on leaked data — a smart brute-force ally.
6. 🧩 Nuclei AI Extension
Official extension for Nuclei that uses AI to suggest and create new detection templates from HTTP responses.
7. 💣 HackGPT
A GPT-powered hacking CLI to assist with payload crafting, bypass techniques, and offensive noscripting.
8. 🛡 AutorizePro
Authorization fuzzing tool with GPT integration to generate smarter test cases and detect access control issues.
9. ☁️ CloudGPT
Uses GPT to identify misconfigurations and vulnerabilities in cloud environments like AWS, GCP, and Azure.
10. 📦 K8sGPT
Diagnoses misconfigurations and vulnerabilities in Kubernetes clusters, explained in natural language via LLMs.
11. 📉 Garak
NVIDIA’s tool for red-teaming and probing LLMs, designed to test model safety, robustness, and leakage.
12. 🧭 Auto Recon LLM
Automates the reconnaissance phase using LLMs to interpret recon output and make tactical decisions.
#AI
1. 🧠 PentestGPT
LLM-based tool that simulates a step-by-step penetration testing process, emulating a realistic attack workflow.
2. 🤖 Auto-Pentest-GPT-AI
An AI-powered framework using GPT-4 to perform automated pentests with logical, chain-of-thought exploration.
3. 🔍 BurpGPT
A Burp Suite extension that integrates GPT to analyze requests/responses and suggest payloads or detect vulnerabilities.
4. 🌐 ReconAIzer
An AI-driven reconnaissance assistant using GPT-4 to interpret recon tool results and recommend next steps.
5. 🔐 PassGAN
A generative adversarial network trained to generate real-world passwords based on leaked data — a smart brute-force ally.
6. 🧩 Nuclei AI Extension
Official extension for Nuclei that uses AI to suggest and create new detection templates from HTTP responses.
7. 💣 HackGPT
A GPT-powered hacking CLI to assist with payload crafting, bypass techniques, and offensive noscripting.
8. 🛡 AutorizePro
Authorization fuzzing tool with GPT integration to generate smarter test cases and detect access control issues.
9. ☁️ CloudGPT
Uses GPT to identify misconfigurations and vulnerabilities in cloud environments like AWS, GCP, and Azure.
10. 📦 K8sGPT
Diagnoses misconfigurations and vulnerabilities in Kubernetes clusters, explained in natural language via LLMs.
11. 📉 Garak
NVIDIA’s tool for red-teaming and probing LLMs, designed to test model safety, robustness, and leakage.
12. 🧭 Auto Recon LLM
Automates the reconnaissance phase using LLMs to interpret recon output and make tactical decisions.
#AI
Forwarded from Android Guards
Я частенько говорю о том, что Samsung слишком много себе позволяют когда лезут в разные части Android и переписывают их на свой лад. Но беда в том, что лезут они не только в Android, но и в более глубинные слои. Что из этого выходит? Уязвимости конечно.
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
Ребята из Quarkslab сделали отличный доклад по эксплуатации уязвимостей в цепочке загрузки Samsung Galaxy A225F. Точка старта - феерическая. Кастомный JPEG парсер, который ребята из Samsung вкрячили в Little Kernel. Конечно же этот парсер содержал уязвимость (или бэкдор? 🌚), которая позволяла выполнять произвольный код. Чем и воспользовались исследователи.
Очень интересный, технический доклад. Рекомендую!
YouTube
Attacking Samsung Galaxy A* Boot Chain, and Beyond
During our previous research on Android File-Based encryption, we studied the boot chain of some Samsung devices based on Mediatek system on chips. Our objective was to exploit a known boot ROM vulnerability to bypass the secure boot and ultimately retrieve…
Forwarded from AlexRedSec
Очередной релиз содержит множество изменений и дополнений, среди которых и описание новых групп злоумышленников, их кампаний, используемого ПО и, конечно же, новые техники и меры защиты.
Советую ознакомиться с удобочитаемым описанием изменений, где можно вплоть до запятой рассмотреть новшества
Для себя отметил следующие интересные изменения:
#mitre #attack #technique #ttp #apt
Please open Telegram to view this post
VIEW IN TELEGRAM
😱1
Forwarded from Inf0 | ИБ, OSINT
Wireshark_Display_Filters.pdf
38 KB
📄 Шпаргалка по фильтрам отображения в Wireshark
Одной из полезных функций Wireshark является Фильтр отображения (Display Filter)
При применении данного фильтра из всего захваченного трафика Wireshark отображает только те кадры, которые соответствуют указанному пользователем выражению, другие данные — скрываются программой (они не удаляются из захваченного фрагмента сетевого трафика и будут вновь доступны после отмены фильтра)
#Wireshark #CheatSheet #Guide✈️ inf0
Одной из полезных функций Wireshark является Фильтр отображения (Display Filter)
При применении данного фильтра из всего захваченного трафика Wireshark отображает только те кадры, которые соответствуют указанному пользователем выражению, другие данные — скрываются программой (они не удаляются из захваченного фрагмента сетевого трафика и будут вновь доступны после отмены фильтра)
#Wireshark #CheatSheet #Guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from FrontSecOps (Михаил Парфенов)
Frontend SSDLC и уязвимости браузеров
29 апреля 2025 вышла версия (136.0.7103.59) Google Chrome с исправлением CVE-2025-4096 -⚠️ high-уязвимости в Chrome 📱 и Chromium-based браузерах. Уязвимость класса Heap buffer overflow в движке HTML. Эксплуатация уязвимости (создание на веб-странице специального сформированного фрагмента) может привести к выполнению произвольного кода на устройстве пользователя. За обнаружение уязвимости исследователю было выплачено 5000$ 💰
Это уже не первая опасная уязвимость в Chromium в этом году.
Заражение устройств пользователей⌨️ через эксплуатацию уязвимостей браузеров - один из способов монетизации злоумышленниками внедрения вредоносного js-кода в frontend-приложения. Вредоносный код может попасть в js-приложение со сторонними библиотеками (npm-зависимости ✈️ ) или через внешние js-сервисы 📱 (системы аналитики, счетчики, тег-менеджеры и т.п.).
Внедрение вредоносного js-кода в популярное приложение/сайт дает возможность заразить значительное количество устройств пользователей, а также проникать в корпоративные сети. Через frontend-приложения возможно заразить устройства даже во внутренних сетях без интернета⚠️
Например, вы устанавливаете новую версию внутрисетевого приложения (ERP, CRM, SIEM, WAF, VM или любое другое ПО с браузерным UI, даже SAST, DAST, SCA, веб сейчас повсюду), а вендор ПО не проверяет frontend-часть на вредоносное поведение (ограничивается только проверкой версий зависимостей по базам известных уязвимостей).
Далее вредоносный js-код, при открытии пользователем страницы🖥 :
1. эксплуатирует уязвимость браузера🌐
2. имитирует скачивание файла (pdf, docx, ...) с эксплойтом для офисного ПО💣
3. показывает фишинговые уведомления🤒 ⌨️
В итоге: заражение устройства пользователя в корпоративной сети без интернета и дальнейшее развитие атаки🤒
Анализируйте поведение ваших frontend-приложений🔍 (целью являются ваши пользователи!) и требуйте этого от поставщиков используемого ПО. Даже внутрисетевого⚠️
@FrontSecOps
29 апреля 2025 вышла версия (136.0.7103.59) Google Chrome с исправлением CVE-2025-4096 -
Это уже не первая опасная уязвимость в Chromium в этом году.
Заражение устройств пользователей
Внедрение вредоносного js-кода в популярное приложение/сайт дает возможность заразить значительное количество устройств пользователей, а также проникать в корпоративные сети. Через frontend-приложения возможно заразить устройства даже во внутренних сетях без интернета
Например, вы устанавливаете новую версию внутрисетевого приложения (ERP, CRM, SIEM, WAF, VM или любое другое ПО с браузерным UI, даже SAST, DAST, SCA, веб сейчас повсюду), а вендор ПО не проверяет frontend-часть на вредоносное поведение (ограничивается только проверкой версий зависимостей по базам известных уязвимостей).
Далее вредоносный js-код, при открытии пользователем страницы
1. эксплуатирует уязвимость браузера
2. имитирует скачивание файла (pdf, docx, ...) с эксплойтом для офисного ПО
3. показывает фишинговые уведомления
В итоге: заражение устройства пользователя в корпоративной сети без интернета и дальнейшее развитие атаки
Анализируйте поведение ваших frontend-приложений
@FrontSecOps
Please open Telegram to view this post
VIEW IN TELEGRAM
Перезагрузка таблицы Менделеева? Открыта новая система атомов для измерения времени с точностью до немыслимого / Наука и космос / iXBT Live
https://www.ixbt.com/live/science/perezagruzka-tablicy-mendeleeva-otkryta-novaya-sistema-atomov-dlya-izmereniya-vremeni-s-tochnostyu-do-nemyslimogo.html
https://www.ixbt.com/live/science/perezagruzka-tablicy-mendeleeva-otkryta-novaya-sistema-atomov-dlya-izmereniya-vremeni-s-tochnostyu-do-nemyslimogo.html
iXBT Live
Перезагрузка таблицы Менделеева? Открыта новая система атомов для измерения времени с точностью до немыслимого / Наука и космос…
Великое творение Дмитрия Ивановича Менделеева — Периодическая таблица химических элементов — уже более 150 лет служит фундаментальной картой для химиков всего мира.
Forwarded from Наука
Нейросети сами выстраивают отношения, схожие с человеческими.
Исследование показало, что ИИ-агенты, созданные на базе крупных языковых моделей (LLM), таких как ChatGPT, при групповом взаимодействии без внешнего вмешательства начинают усваивать языковые паттерны и социальные нормы, аналогичные тем, что возникают в человеческом общении. Искусственный интеллект научился договариваться и сотрудничать, словно люди.
Профессор науки о сложных системах Андреа Баронкелли подчеркнул значимость открытия: оно создает предпосылки для формирования новых горизонтов исследований в сфере этики и безопасности ИИ. Эти исследования позволят лучше понять последствия присутствия автономных систем в нашей жизни и подготовиться к будущему, которое будет сформировано таким типом технологий.
💻 @naukatv_ru
Исследование показало, что ИИ-агенты, созданные на базе крупных языковых моделей (LLM), таких как ChatGPT, при групповом взаимодействии без внешнего вмешательства начинают усваивать языковые паттерны и социальные нормы, аналогичные тем, что возникают в человеческом общении. Искусственный интеллект научился договариваться и сотрудничать, словно люди.
Профессор науки о сложных системах Андреа Баронкелли подчеркнул значимость открытия: оно создает предпосылки для формирования новых горизонтов исследований в сфере этики и безопасности ИИ. Эти исследования позволят лучше понять последствия присутствия автономных систем в нашей жизни и подготовиться к будущему, которое будет сформировано таким типом технологий.
💻 @naukatv_ru
Forwarded from Банкста
Т-Банк запустил первого в России ассистента по информационной безопасности с ИИ. Safeliner в пять раз быстрее человека находит и исправляет уязвимости внутри компании, а также не допускает их появления. Это снижает нагрузку на разработчиков, благодаря оптимизации кода в экосистеме Т. Использование AI-ассистента сэкономит Т-Технологиям более 1 млрд рублей ежегодно. Сейчас несколько партнеров тестируют продукт, а в будущем доступ к нему откроют для всех компаний на рынке. @banksta
Forwarded from Echelon Eyes
Исследователь с помощью OpenAI o3 обнаружил уязвимость типа use-after-free (CVE-2025-37899) в модуле ksmbd ядра Linux. Модель анализировала код частями, выявив ошибку в обработке SMB logoff, где возможен доступ к освобожденной памяти.
Модель ИИ o3 не только нашла уязвимость, но и точно определила условия её возникновения. Это первый случай самостоятельного обнаружения ИИ сложной уязвимости в ядре ОС.
Разработчики Linux уже выпустили исправление. Это открытие демонстрирует растущую роль ИИ в кибербезопасности, особенно при анализе больших объёмов кода.
#ИИ #уязвимость
Источник: https://eyes.etecs.ru/r/436ddf
Модель ИИ o3 не только нашла уязвимость, но и точно определила условия её возникновения. Это первый случай самостоятельного обнаружения ИИ сложной уязвимости в ядре ОС.
Разработчики Linux уже выпустили исправление. Это открытие демонстрирует растущую роль ИИ в кибербезопасности, особенно при анализе больших объёмов кода.
#ИИ #уязвимость
Источник: https://eyes.etecs.ru/r/436ddf
Sean Heelan's Blog
How I used o3 to find CVE-2025-37899, a remote zeroday vulnerability in the Linux kernel’s SMB implementation
In this post I’ll show you how I found a zeroday vulnerability in the Linux kernel using OpenAI’s o3 model. I found the vulnerability with nothing more complicated than the o3 API ̵…
Катехизис Хайльмайера: Опросник для оценки исследовательской идеи
Что вы пытаетесь сделать?
*Опишите цель проекта простыми словами, без профессионального жаргона.*
Цель должна быть понятна неспециалисту. Чётко сформулируйте, какую проблему решает проект и какой результат вы хотите получить.
## 2. Как эта задача решается сегодня и в чём ограничения текущих решений?
*Опишите существующие подходы и их недостатки.*
Обоснуйте, почему текущие методы недостаточны или неэффективны. Это важно, чтобы показать необходимость вашего подхода.
## 3. Что нового вы предлагаете и почему считаете, что это сработает?
*Укажите, в чём заключается новизна и чем обоснована ожидаемая успешность.*
Это может быть новый метод, технология или принцип. Обоснуйте, почему ваша идея лучше или радикально отличается от существующих решений.
## 4. Кому это нужно?
*Кто выиграет от успешной реализации проекта и какое влияние это окажет?*
Покажите значимость проекта. Это может быть научное сообщество, отрасль, государство или общество в целом.
## 5. Каковы риски и потенциальные выгоды?
*Опишите возможные неудачи, слабые места, а также ожидаемую пользу в случае успеха.*
Будьте честны: новаторские проекты почти всегда сопряжены с рисками. Важно также показать масштаб возможного успеха.
## 6. Во сколько это обойдётся?
*Примерная смета расходов.*
Укажите ресурсы: бюджет, оборудование, персонал и прочее. Подумайте, какие этапы требуют наибольших затрат.
## 7. Сколько времени это займёт?
*Оцените продолжительность проекта по фазам.*
Разбейте проект на логические этапы и оцените сроки каждого. Важно показать реалистичность плана.
## 8. Как вы поймёте, что достигли успеха?
*Какие метрики или проверки подтвердят успешность проекта?*
Что вы пытаетесь сделать?
*Опишите цель проекта простыми словами, без профессионального жаргона.*
Цель должна быть понятна неспециалисту. Чётко сформулируйте, какую проблему решает проект и какой результат вы хотите получить.
## 2. Как эта задача решается сегодня и в чём ограничения текущих решений?
*Опишите существующие подходы и их недостатки.*
Обоснуйте, почему текущие методы недостаточны или неэффективны. Это важно, чтобы показать необходимость вашего подхода.
## 3. Что нового вы предлагаете и почему считаете, что это сработает?
*Укажите, в чём заключается новизна и чем обоснована ожидаемая успешность.*
Это может быть новый метод, технология или принцип. Обоснуйте, почему ваша идея лучше или радикально отличается от существующих решений.
## 4. Кому это нужно?
*Кто выиграет от успешной реализации проекта и какое влияние это окажет?*
Покажите значимость проекта. Это может быть научное сообщество, отрасль, государство или общество в целом.
## 5. Каковы риски и потенциальные выгоды?
*Опишите возможные неудачи, слабые места, а также ожидаемую пользу в случае успеха.*
Будьте честны: новаторские проекты почти всегда сопряжены с рисками. Важно также показать масштаб возможного успеха.
## 6. Во сколько это обойдётся?
*Примерная смета расходов.*
Укажите ресурсы: бюджет, оборудование, персонал и прочее. Подумайте, какие этапы требуют наибольших затрат.
## 7. Сколько времени это займёт?
*Оцените продолжительность проекта по фазам.*
Разбейте проект на логические этапы и оцените сроки каждого. Важно показать реалистичность плана.
## 8. Как вы поймёте, что достигли успеха?
*Какие метрики или проверки подтвердят успешность проекта?*