Это инструмент Python, который используется для поиска параметров сайта в веб-архиве без взаимодействия с хостом. Для поиска параметров, ParamSpider использует различные методы и списки слов.

Тулза будер полезна при поиске XSS, SQL-инъекций, SSRF и уязвимостей Open Redirect.

Установка Paramspider

Для установки Paramspider, используйте следующие команды:

git clone https://github.com/devanshbatham/ParamSpider

cd ParamSpider

pip3 install -r requirements.txt

Если не получается установить, убедитесь, что у вас установлен Python 3 и Git.

Использование Paramspider

Для поиска XSS, выполняем команду:

python3 paramspider.py --domain http://testphp.vulnweb.com/ -o /home/media/vuln.txt

Эта команда запускает сценарий Python и сканирует цель. Полученные результаты сохраняет в текстовый файл.

Официальная страница Paramspider на GitHub:

https://github.com/devanshbatham/ParamSpider

Kxss

Ищет XSS на основе результатов найденных параметров из Waybackurls или Burp.

Установка Kxss

Для работы программы, необходимо установить Golang.

Для установки, используем команду:

go get github.com/Emoe/kxss

Использование Kxss

Вы можете запустить скрипт подсунув файл найденных параметров Paramaspider:

cat vuln.txt | kxss

Официальная страница Kxss на GitHub:

https://github.com/Emoe/kxss

Dalfox

DalFox — это мощный инструмент для поиска XSS., Также анализатор параметров и утилита, которые ускоряют процесс обнаружения XSS.

Основная концепция заключается в анализе параметров, поиске XSS и проверке их на основе синтаксического анализатора DOM.

Установка Dalfox

Можно установить Dalfox с помощью snap:

snap install dalfox

Использование Dalfox

Чтобы запустить скрипт и найти XSS-уязвимости на сайте, выполните команду:

cat vuln.txt | kxss | dalfox pipe

Как мы видим, инструмент возвращает страницы со скрытыми параметрами (Reflected parameters).

Можно подсунуть полезную нагрузку:

Официальная страница Dalfox на GitHub:

https://github.com/hahwul/dalfox

Он-лайн сервис для поиска XSS уязвимостей

Можно также использовать онлайн-сервис pentest-tools.com/website-vulnerability-scanning/xss-..., который позволяет найти XSS веб-приложения, не устанавливая при этом никаких дополнительных инструментов. Просто вводите URL и получаете результат.

Информация предоставлена исключительно в ознакомительных целях!

Мы в телеграме!

Российские газеты пишут, что Telegram якобы "подтвердил уязвимость" в приложении для компьютеров от компании Apple. Это не так.

Напротив, в нашем сообщении мы объяснили, что никакой уязвимости не было. Потому что заявленная “уязвимость” заключалась в следующем: "Если бы у злоумышленника уже был доступ к Вашему компьютеру, он мог бы управлять Вашей камерой и микрофоном через Telegram". Но если компьютер уже скомпрометирован, то доступ к микрофону через Telegram — меньшая из проблем, о которых стоит беспокоиться.

Как я отмечал ранее, в технических аспектах СМИ часто гонятся за громкими заголовками и вводят в заблуждение пользователей.

Это печально: в результате люди могут не придать значения настоящим угрозам. Например, в WhatsApp простого принятия звонка или просмотра видеозаписи было достаточно, чтобы злоумышленник получил полный доступ к Вашему телефону. Из-за этой уязвимости WhatsApp становился шпионской программой, которая позволяла хакерам взломать любой смартфон с WhatsApp.

Если заголовки СМИ о мнимых и реальных угрозах будут одинаковыми, люди перестанут воспринимать их всерьез — получится, как в басне про мальчика, который без нужды кричал “Волк“

Павел Дуров

Хакеры используют эти уязвимости для того чтобы заполучить файл wp-config.php. Это файл содержит конфиденциальные данные, в том числе данные для подключения к MySQL

В phpMyAdmin попасть несложно. Для доступа к базе данных не нужно входить в аккаунт на хостинге и в панель управления сервера, достаточно логина и пароля от базы данных MySQL, которые записаны в wp-config.php

Если на Вашем сайте установлены плагины, которые есть в этом списке, пожалуйста, как можно скорее удалите их. Деактивации плагина недостаточно, нужно полностью удалить этот плагин. Если этот плагин необходим, ищите аналоги, или попросите разработчиков или фрилансеров исправить уязвимость

Дело в том, что каждое приложение, установленное в вашей системе - это потенциально открытая дверь для хакера. Каждое приложение содержит кучу ненайденных уязвимостей, через которые хакеры способны проникнуть в вашу личную и рабочую жизнь. Любая уязвимость - это логическая ошибка, которую в своем коде допустил разработчик приложения.

Современный софт стал настолько сложным, что писать код без уязвимостей, к счастьюсожалению стало невозможно. Подумайте сами: в одном только мобильном приложении какого-то жалкого мессенджера WhatsApp/Telegram скомпилированного исходного кода на 10 мегабайт - это сотни тысяч строк читаемого кода, позволяющие синхронно работать подсистеме шифрования, сетевого обмена, пользовательского интерфейса, логирования, обновления профиля и т.д. Представляете, сколько там еще ненайденных ошибок, которые ждут своего хакера? 😁

Когда мне надо что-то взломать, одним из первых шагов для меня является сбор информации о том, какие приложения и каких версий установлены у жертвы - чтобы подобрать найденные ранее другими хакерами уязвимости, которые они почти всегда публикуют в открытом доступе. Но если никто до меня нужную уязвимость не находил, я приступаю к поиску самостоятельно - процесс это очень интересный и не всегда сложный (а иногда уязвимости сами находят хакера 😎)

Что делать? Ничего лучше, чем регулярно обновлять весь свой софт и удалять все ненужное барахло из системы, не существует. Если вы пользуетесь программой, вы потенциально уязвимы. Другой вопрос, что сможет сделать хакер в вашей системе, если проникнет через уязвимость - об этом в будущих статьях ;)

Этот недостаток представляет серьезную проблему конфиденциальности, поскольку, если пользователь делится изображением, например кредитной картой с отредактированным номером, или показывает фотографии с удаленным лицом, может быть возможно частично восстановить исходную фотографию.

Ссылка на твит

Также пишут, что это проворачивается и в Discord (и другими соц сетями), что ставит безопасность данных в крайне неудобное положение.

Онлайн сервис для проверки своих скринштов.

Перебирать номера вручную было бы глупо, а писать для этого скрипт было лень. Единственное, что мне пришло в голову на тот момент, то это попробовать ввести самый «эксклюзивный» номер — 9999999999. Я ввожу его и о чудо! В ответ мне приходит JSON-объект с десятками заказов, оформленных на данный номер телефона. Полей было достаточно: name, type (доставка курьером или до пункта выдачи) , id (идентификатор для отмены заказа через техническую поддержку) , status (новый или отменен) , orderPickupPoint (информация о пункте выдачи, включая адрес, координаты и график работы) , items (тип симкарты, цена и так далее) , orderCreatedDate (дата создания заказа) .

Но что-то все-равно не сходилось и я не мог понять, почему такой большой территориальный разброс по адресам доставки для одного номера: Москва, Чита, Санкт-Петербург, Самара, Махачкала. Я начал искать другие способы заказа SIM-карты (помимо мобильного приложения) и наткнулся на официальный сайт оператора. Но тут меня ожидал еще больший сюрприз. Оказывается, для подтверждения заказа по определенному номеру достаточно ввести каптчу без ввода кода из SMS (кнопка «Подтвердить иначе») . Что-то мне подсказывает, что люди просто боятся «палить» личный номер телефона и вместо него вводят 9999999999. Иначе я не могу объяснить десятки заказов, которые оформлены на него.

Таким образом, помимо того, что мы можем запросить информацию о заказах абсолютно по любому номеру телефона (и не обязательно, чтобы клиент был абонентом Yota) , так мы еще можем «оформить» на него заказ. Фича это или баг, решать не мне.

Я сразу же описал ситуацию технической поддержке и они мне посоветовали обратиться в ИБ-отдел по адресу isec@yotateam. com. Я составил грамотное письмо, описав все шаги воспроизведения, прикрепил скриншоты запросов, файлы ответов и отправил им на почту. После трех дней «молчания» я переслал письмо press@yotateam. com (единственная почта, которую я нашел на официальном сайте). Но вот уже пошла третья неделя, баг (если это можно так назвать) все еще воспроизводится. Причем, никакой обратной связи со стороны специалистов йоты я не получал.