Life-Hack [Жизнь-Взлом]/Хакинг

1. Cloakify —  это большая и легко расширяемая программа, которая использует скрипты Cloakify Toolset. Особенность ее в том, что перед маскировкой нагрузки она кодируется в Base64.

2. Steghide— консольная утилита, написанная на C++. Скрывает информацию в стандартных файлах форматов JPEG, BMP, WAV и AU. В арсенале программы полно шифров — даже Blowfish, которого я у других не замечал.

3. Spectrology — позволяет превращать изображения в аудиодорожки с «заряженными» спектрограммами, из которых потом можно достать картинки.

4. ImageSpyer G2 —  прячет секретные файлы только в картинки и даже разрешает ставить пароль, чтобы зашифровать данные перед внедрением. Программа поддерживает около 30 алгоритмов шифрования внедряемой информации и 25 хеш‑функций для подписи, чтобы убедиться, что встроенный в картинку файл не побился при передаче. Старая программа без официального сайта. Написана Александром Мясниковым.

5. RedJPEG — еще один стегозавр авторства Александра Мясникова. На этот раз — с собственным алгоритмом внедрения изображения в картинки, сжатием LZMA и оформлением для ностальгирующих по СССР.

6. OpenStego — софт реализован на Java, имеет поддержку шифрования AES и крайне популярен среди желающих познакомиться со стеганографией. Поддерживает плагины, чтобы ты сам смог реализовать какой‑нибудь стеганографический алгоритм. Есть версии и для Windows, и для Linux.

7. SilentEye — кросс‑платформенный софт с простым интерфейсом. Обладает множеством плагинов и приятным GUI. Использует современные алгоритмы стеганографии и маскировки.

8. ImageJS— позволяет создать картинки, которые одновременно представляют собой настоящие JS-скрипты. Это нужно, чтобы упростить проведение более опасных XSS-атак, в которых иногда требуется подгрузить скрипт именно с атакованного домена.

Мы в телеграме!

1. HackerOne — ведущая платформа, известная своими разнообразными программами вознаграждения. Благодаря глобальному сообществу экспертов по безопасности и многочисленным партнерским организациям HackerOne предлагает широкие возможности для заработка.

2. Bugcrowd — это надежная платформа, которая объединяет квалифицированных специалистов по безопасности с компаниями, стремящимися укрепить свои цифровые активы. Обладая удобным интерфейсом и широким спектром программ, Bugcrowd является отличным выбором как для начинающих, так и для опытных охотников за ошибками.

3. Synack — он выделяется своим уникальным подходом к кибербезопасности. Предлагает сплоченное сообщество этичных хакеров и платформу, которая делает упор на сотрудничество.

4. Detectify — фокусируется на автоматизированной оценке безопасности. Это идеальная платформа для людей, желающих повысить свои навыки, внося свой вклад в сообщество кибербезопасности.

5. Cobalt — привносит уникальное сочетание человеческих навыков и технологий в пространство bug bounty. Их платформа сочетает в себе опыт глобального сообщества хакеров с платформой, оптимизирующей процесс и обеспечивающей впечатляющие результаты.

Мы в телеграме!

В данном посте речь пойдет об устройствах на Android и вариантах тревожной кнопки, root права не нужны.

1. Data Wipe Screen Locker — специально разработанное приложение для уничтожения данных в телефоне при экстренной ситуации. Уничтожает все данные при вводе специального графического пароля или PIN-кода. Может ставить пароль на приложения. Полностью бесплатен.

2. Wasted — приложение для блокировки устройства и удаления данных в случае возникновения опасности. Вы можете использовать тревожную кнопку, быстрые настройки или отправить сообщение с кодом аутентификации. При получении сигнала, используя админский API, приложение заблокирует устройство и удалит данные при необходимости.

3. App Lock — защищает установленные приложения паролем или блокировкой, а также предотвращает отключение экрана и переход в ландшафтный режим во время работы приложений из списка, определяемого пользователем.

4. Duress — приложение, задающее пароль под принуждением на экране блокировки. Суть заключается в том, что вы можете при вводе пароля на телефоне незаметно отправить сообщение заранее установленному контакту.

Мы в телеграме!

2. DeEgger Embedder — маленькая утилита, в которой реализован уже больший набор функций, но его использование требует установки .NET Framework 3.5. Помимо BMP, программа поддерживает в качестве контейнеров PNG, JPG, видеофайлы AVI и музыкальные MP3.

3. DeepSound — последняя версия этой программы вышла в ноябре 2015 года. В отличие от остальных, она прячет данные внутри звуковых файлов. В качестве контейнеров DeepSound может использовать WAV (только несжатый, PCM), а также MP3, CDA, WMA, APE и FLAC. DeepSound умеет внедрять файлы любого типа и автоматически рассчитывает доступное для них место в зависимости от размера контейнера и настроек качества аудио.

4. Hallucinate — эта компактная (всего 34 Кбайт) утилита написана на Java и не требует установки. В качестве контейнера она поддерживает форматы BMP и PNG, что делает ее гораздо удобнее Anubis.

5. JHide — еще одна компактная утилита, которая, в отличие от Hallucinate, помимо BMP и PNG, поддерживает TIFF, а также позволяет использовать защиту паролем.

6. OpenPuff— последняя версия (4.00) поддерживает не только сокрытие одних файлов внутри других, но и работу со стегометками произвольного формата. Ей даже можно выделить несколько процессорных ядер, если предстоит большой объем работы. В отличие от других утилит, поддерживающих парольную защиту скрываемого сообщения, OpenPuff умеет использовать для шифрования криптографически стойкий генератор псевдослучайных чисел.

7. OpenStego — последняя версия OpenStego (0.61) вышла в 2014 году. Программа работает в Windows и Linux. Она поддерживает BMP, PNG, JPG, GIF и WBMP. Заполненный контейнер всегда сохраняется в формате PNG.

Мы в телеграме!

1. Nmap — утилита для сканирования сетей, является одним из самых популярных инструментов у безопасников и системных администраторов. В первую очередь используется для сканирования портов, но, кроме этого, имеет огромную массу полезных функций, что, по сути, делает Nmap супер-комбайном для исследования сетей.

2. Zmap (не путать с ZenMap) — также сканер с открытым исходным кодом, создавался как более быстрая альтернатива Nmap.

В отличие от Nmap — Zmap при отправке SYN-пакетов не ждет пока вернется ответ, а продолжает сканирование, параллельно ожидая ответы от всех хостов, таким образом фактически он не поддерживает состояние соединения.

3. Masscan — удивительно, но тоже сканер с открытым исходным кодом, который создавался с одной целью — сканировать Интернет ещё быстрее (меньше, чем за 6 минут со скоростью ~10 млн пакетов/с). По сути работает почти также как и Zmap, только ещё быстрее.

4. Nessus — сканер для автоматизации проверки и обнаружения известных уязвимостей в системе. Исходный код закрыт, существует бесплатная версия Nessus Home, которая позволяет сканировать до 16 IP-адресов с такой же скоростью и подробным анализом, что и в платной версии.

5. Net-Creds — инструмент на языке Python для сбора паролей и хешей, а также иной информации, например, посещенных URL, загруженных файлов и иной информации из трафика, как в реальном времени при проведении MiTM-атаки, так и из предварительно сохраненных PCAP-файлов.

Мы в телеграме!

Одна из разновидностей UDP Flood, которая направлена на DNS сервис.

В время атаки DNS Flood  направляется огромное количество DNS запросов с очень широким диапазона IP-адресов.

Сервер-источник атаки не в состоянии определить, какой из пакетов пришел от реального клиента, а какой нет, и отвечает на все запросы.

В результате чего, DNS Flood занимает все сетевые ресурсы и полосу пропускания DNS-сервера, вызывая его отказ.

DDoS-атаки: пакеты данных организованы таким образом, чтобы они выглядели идентичными настоящим DNS запросам. Эту атаку невозможно обнаружить с помощью подробного анализа, поскольку каждый запрос выглядит обычным. С использованием широкого спектра атакующих IP-адресов злоумышленник без проблем может обойти большинство алгоритмов, предназначенных для обнаружения необычного трафика.

Информация предоставлена в ознакомительных целях!
Мы в телеграме!

XSS — «межсайтовый скриптинг» уязвимость, которую можно обнаружить на множестве веб-приложений. Ее суть проста, злоумышленнику удается внедрить на страницу JavaScript-код, который не был предусмотрен изначально.

В этом посте расскажу вам о некоторых тулсах по XSS, которые необходимо знать в 2023 году. Они предназначены для выявления и устранения уязвимостей XSS, в конечном итоге защищая веб-приложения от потенциальных атак.

1. XSStrike — это инструмент, который специализируется на обнаружении и использовании уязвимостей XSS в веб-приложениях. Он предлагает полный набор методов сканирования XSS и полезных нагрузок, что делает его ценным ресурсом для специалистов.

2. Dalfox — это инструмент, который специализируется на сканировании веб-приложений на предмет уязвимостей XSS (межсайтового скриптинга). Это предоставляет специалистам по безопасности и этичным хакерам быстрый и эффективный способ выявления и использования потенциально слабых мест XSS.

3. BruteXSS — это мощный инструмент перебора XSS (межсайтового скриптинга). BruteXSS является кроссплатформенным инструментом, который может запускаться в различных операционных системах.

Такая гибкость делает его доступным для более широкого круга специалистов.

Мы в телеграме!