Mutahunter (репозиторий GitHub)
Mutahunter — это инструмент тестирования мутаций на основе LLM с открытым исходным кодом, который использует модели LLM для внедрения контекстно-зависимых ошибок в кодовые базы.
https://github.com/codeintegrity-ai/mutahunter
Mutahunter — это инструмент тестирования мутаций на основе LLM с открытым исходным кодом, который использует модели LLM для внедрения контекстно-зависимых ошибок в кодовые базы.
https://github.com/codeintegrity-ai/mutahunter
GitHub
GitHub - codeintegrity-ai/mutahunter: Open Source, Language Agnostic Mutation Testing
Open Source, Language Agnostic Mutation Testing. Contribute to codeintegrity-ai/mutahunter development by creating an account on GitHub.
Анонс открытого бета-тестирования Ronin 2.1.0 (6 минут чтения)
Ronin — это бесплатный набор инструментов Ruby с открытым исходным кодом для исследований и разработок в области безопасности. Фаза открытого бета-тестирования Ronin 2.1.0 продлится до 19 июля, а официальный релиз запланирован на 22 июля.
https://ronin-rb.dev/blog/2024/06/24/announcing-the-ronin-2-1-0-open-beta.html
Ronin — это бесплатный набор инструментов Ruby с открытым исходным кодом для исследований и разработок в области безопасности. Фаза открытого бета-тестирования Ronin 2.1.0 продлится до 19 июля, а официальный релиз запланирован на 22 июля.
https://ronin-rb.dev/blog/2024/06/24/announcing-the-ronin-2-1-0-open-beta.html
GCPwn (репозиторий GitHub)
GCPwn — это универсальный набор инструментов GCP для Red Team, созданный по образцу pacu для AWS.
https://github.com/NetSPI/gcpwn
GCPwn — это универсальный набор инструментов GCP для Red Team, созданный по образцу pacu для AWS.
https://github.com/NetSPI/gcpwn
GitHub
GitHub - NetSPI/gcpwn: Enumeration/exploit/analysis/download/etc pentesting framework for GCP; modeled like Pacu for AWS; a product…
Enumeration/exploit/analysis/download/etc pentesting framework for GCP; modeled like Pacu for AWS; a product of numerous hours via @WebbinRoot - NetSPI/gcpwn
Airclap — Отправьте любой файл на любое устройство
https://medium.com/@liangludev/airclap-send-any-file-to-any-device-e49759fb91ef
https://medium.com/@liangludev/airclap-send-any-file-to-any-device-e49759fb91ef
Medium
Airclap — Send any file to any device
If you have two or more phones or computers, you definitely need Airclap.
Веб-проверка (репозиторий GitHub)
Web Check — это универсальный инструмент OSINT для анализа веб-сайтов. Этот репозиторий содержит информацию для развертывания инструмента на Netlify, Vercel, Docker или сборки из исходников. Также включена живая демонстрация.
https://github.com/lissy93/web-check
Web Check — это универсальный инструмент OSINT для анализа веб-сайтов. Этот репозиторий содержит информацию для развертывания инструмента на Netlify, Vercel, Docker или сборки из исходников. Также включена живая демонстрация.
https://github.com/lissy93/web-check
GitHub
GitHub - Lissy93/web-check: 🕵️♂️ All-in-one OSINT tool for analysing any website
🕵️♂️ All-in-one OSINT tool for analysing any website - Lissy93/web-check
Инструмент C++ для сканирования памяти процессов и генерации подозрительной телеметрии, который пытается обнаружить ряд вредоносных методов, используемых злоумышленниками
https://github.com/JanielDary/ELFieScanner
https://github.com/JanielDary/ELFieScanner
GitHub
GitHub - JanielDary/ELFieScanner: A C++ tool for process memory scanning & suspicious telemetry generation that attempts to detect…
A C++ tool for process memory scanning & suspicious telemetry generation that attempts to detect a number of malicious techniques used by threat actors & those which have been incor...
Использование машинного обучения для обнаружения атак ботов, использующих резидентные прокси-серверы https://blog.cloudflare.com/residential-proxy-bot-detection-using-machine-learning
The Cloudflare Blog
Using machine learning to detect bot attacks that leverage residential proxies
Cloudflare's Bot Management team has released a new Machine Learning model for bot detection (v8), focusing on bots and abuse from residential proxies
Провозгласите свою независимость от искусственного интеллекта: блокируйте ботов, скрейперов и сканеров ИИ одним щелчком мыши (чтение занимает 7 минут)
Cloudflare запустила возможность для всех аккаунтов (включая бесплатные аккаунты) блокировать всех ботов AI, краулеров и скреперов одним переключателем в разделе Безопасность -> Боты.
https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click
Cloudflare запустила возможность для всех аккаунтов (включая бесплатные аккаунты) блокировать всех ботов AI, краулеров и скреперов одним переключателем в разделе Безопасность -> Боты.
https://blog.cloudflare.com/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click
The Cloudflare Blog
Declare your AIndependence: block AI bots, scrapers and crawlers with a single click
To help preserve a safe Internet for content creators, we’ve just launched a brand new “easy button” to block all AI bots. It’s available for all customers, including those on our free tier.
Использование ИИ для поиска XSS.
https://medium.com/@deadoverflow/using-ai-to-hunt-for-xss-e04ba8d32ba8
https://medium.com/@deadoverflow/using-ai-to-hunt-for-xss-e04ba8d32ba8
Medium
Using AI to hunt for XSS.
Before I start, I must say that the https://hackrhub.com has been updated. In case you don’t know, that is my free platform where I teach people how to hunt for vulnerabilities and more and now you…
Обнаружение взломанных файлов cookie (чтение занимает 10 минут)
В этой статье подробно описывается, как Slack обнаруживает скомпрометированные сеансовые куки-файлы для предотвращения перехвата сеанса.
https://slack.engineering/catching-compromised-cookies
В этой статье подробно описывается, как Slack обнаруживает скомпрометированные сеансовые куки-файлы для предотвращения перехвата сеанса.
https://slack.engineering/catching-compromised-cookies
Engineering at Slack
Catching Compromised Cookies - Engineering at Slack
Slack uses cookies to track session states for users on slack.com and the Slack Desktop app. The ever-present cookie banners have made cookies mainstream, but as a quick refresher, cookies are a little piece of client-side state associated with a website…
BBOT (Bighuge BLS OSINT Tool) — это рекурсивный интернет-сканер, созданный по образцу Spiderfoot , но разработанный так, чтобы быть быстрее, надежнее и удобнее для пентестеров, охотников за ошибками и разработчиков.
https://github.com/blacklanternsecurity/bbot
https://github.com/blacklanternsecurity/bbot
GitHub
GitHub - blacklanternsecurity/bbot: The recursive internet scanner for hackers. 🧡
The recursive internet scanner for hackers. 🧡. Contribute to blacklanternsecurity/bbot development by creating an account on GitHub.
OXO (репозиторий GitHub)
OXO — это фреймворк сканирования безопасности, созданный с учетом модульности, масштабируемости и простоты. https://github.com/Ostorlab/oxo
k8s-sniff-https (репозиторий GitHub)
k8s-sniff-https — это простой проект mitmproxy, который перехватывает трафик HTTPS из приложений, работающих в кластерах Kubernetes. Он полезен для обратной разработки вызовов API или отладки/устранения неполадок приложений, которые выполняют вызовы HTTPS к удаленным бэкендам SaaS. https://github.com/ofirc/k8s-sniff-https
OXO — это фреймворк сканирования безопасности, созданный с учетом модульности, масштабируемости и простоты. https://github.com/Ostorlab/oxo
k8s-sniff-https (репозиторий GitHub)
k8s-sniff-https — это простой проект mitmproxy, который перехватывает трафик HTTPS из приложений, работающих в кластерах Kubernetes. Он полезен для обратной разработки вызовов API или отладки/устранения неполадок приложений, которые выполняют вызовы HTTPS к удаленным бэкендам SaaS. https://github.com/ofirc/k8s-sniff-https
GitHub
GitHub - Ostorlab/oxo: OXO is a security scanning orchestrator for the modern age.
OXO is a security scanning orchestrator for the modern age. - Ostorlab/oxo
Gapcast (репозиторий GitHub)
Gapcast — это программное обеспечение для внедрения и анализа пакетов IEEE 802.11.
https://github.com/ANDRVV/gapcast
Gapcast — это программное обеспечение для внедрения и анализа пакетов IEEE 802.11.
https://github.com/ANDRVV/gapcast
GitHub
GitHub - ANDRVV/gapcast: 📡 802.11 broadcast analyzer & injector
📡 802.11 broadcast analyzer & injector. Contribute to ANDRVV/gapcast development by creating an account on GitHub.
GitLab снова заставляет пользователей нервничать из-за новой уязвимости конвейера CI/CD (чтение занимает 3 минуты)
GitLab раскрыл критическую уязвимость (CVE-2024-6385), которая влияет на конвейеры CI/CD платформы DevOps. Уязвимость, оцененная по уровню серьезности в 9,6 из 10, позволяет злоумышленникам запускать конвейеры от имени любого пользователя, потенциально получая доступ к конфиденциальным данным и внедряя вредоносный код. GitLab настоятельно рекомендует пользователям немедленно обновиться до последней исправленной версии.
https://www.darkreading.com/application-security/-gitlab-sends-users-scrambling-again-with-new-ci-cd-pipeline-takeover-vuln
GitLab раскрыл критическую уязвимость (CVE-2024-6385), которая влияет на конвейеры CI/CD платформы DevOps. Уязвимость, оцененная по уровню серьезности в 9,6 из 10, позволяет злоумышленникам запускать конвейеры от имени любого пользователя, потенциально получая доступ к конфиденциальным данным и внедряя вредоносный код. GitLab настоятельно рекомендует пользователям немедленно обновиться до последней исправленной версии.
https://www.darkreading.com/application-security/-gitlab-sends-users-scrambling-again-with-new-ci-cd-pipeline-takeover-vuln
Darkreading
GitLab Sends Users Scrambling Again With New CI/CD Pipeline Takeover Vuln
The bug is similar — but not identical — to a critical flaw GitLab patched just two weeks ago.
Whispers — это инструмент анализа информационной безопасности, разработанный для идентификации жестко закодированных секретов в структурированном тексте и статическом коде ( CWE-798 ).
https://github.com/adeptex/whispers
Зашифрованы или не зашифрованы мои ресурсы AWS по умолчанию? (чтение занимает 5 минут)
Fog Security исследовал 51 различный ресурс AWS и обнаружил, что только 76% из них были зашифрованы по умолчанию, причем 22 из них были зашифрованы с помощью ключей AWS Owned по умолчанию. Даже при шифровании по умолчанию сервисы, которые использовали ключи AWS Owned, были общими для учетных записей AWS и обычно не предлагали дополнительных средств управления доступом.
https://www.fogsecurity.io/blog/are-my-aws-resources-encrypted-or-unencrypted-by-default
https://github.com/adeptex/whispers
Зашифрованы или не зашифрованы мои ресурсы AWS по умолчанию? (чтение занимает 5 минут)
Fog Security исследовал 51 различный ресурс AWS и обнаружил, что только 76% из них были зашифрованы по умолчанию, причем 22 из них были зашифрованы с помощью ключей AWS Owned по умолчанию. Даже при шифровании по умолчанию сервисы, которые использовали ключи AWS Owned, были общими для учетных записей AWS и обычно не предлагали дополнительных средств управления доступом.
https://www.fogsecurity.io/blog/are-my-aws-resources-encrypted-or-unencrypted-by-default
GitHub
GitHub - adeptex/whispers: Identify hardcoded secrets in static structured text (version 2)
Identify hardcoded secrets in static structured text (version 2) - adeptex/whispers
Улучшение авторизации: использование возможностей частичной оценки
В сегодняшнем ландшафте безопасности контроль за тем, кто имеет доступ к информации, важен как никогда. По мере того, как системы становятся все более сложными, традиционные методы, такие как управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) и управление доступом на основе политик (PBAC), имеют свои ограничения, особенно в динамических средах. В этой статье рассматриваются эти методы и представлено гибкое и эффективное решение для управления авторизацией. https://medium.com/cyberark-engineering/enhancing-authorization-harnessing-the-power-of-partial-evaluation-e8f1bd263fac
В сегодняшнем ландшафте безопасности контроль за тем, кто имеет доступ к информации, важен как никогда. По мере того, как системы становятся все более сложными, традиционные методы, такие как управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) и управление доступом на основе политик (PBAC), имеют свои ограничения, особенно в динамических средах. В этой статье рассматриваются эти методы и представлено гибкое и эффективное решение для управления авторизацией. https://medium.com/cyberark-engineering/enhancing-authorization-harnessing-the-power-of-partial-evaluation-e8f1bd263fac
Medium
Enhancing Authorization: Harnessing the Power of Partial Evaluation
Information about traditional authorization and a partial evaluation: flexible and efficient authorization management solution.
Предотвращение атак Clickjacking в JavaScript
https://dev.to/rigalpatel001/preventing-clickjacking-attacks-in-javascript-39pj
https://dev.to/rigalpatel001/preventing-clickjacking-attacks-in-javascript-39pj
DEV Community
Preventing Clickjacking Attacks in JavaScript
Learn how to protect your web applications from clickjacking attacks using JavaScript with easy-to-follow examples.
В этой статье хочу вас погрузить в мир Xello Deception: расскажу, что это, с чем его едят, нюансы при настраивании и с радостью поделюсь своим опытом по внедрению и работе с данной системой.
https://habr.com/ru/companies/innostage/articles/831414/
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
«Поймай меня, если сможешь», или как мы расставляем ловушки для хакеров
Всем привет! Меня зовут Юлия Айдарова, я старший аналитик информационной безопасности группы внутреннего мониторинга Innostage. В этой статье хочу вас погрузить в мир Xello Deception: расскажу, что...