Inf0 | ИБ, OSINT

😈 Расширение Burp Suite для тестирования безопасности InQL — это инструмент для Burp Suite, предназначенный для тестирования безопасности GraphQL

GraphQL — язык запросов к данным и одновременно среда для выполнения этих запросов, был создан как альтернатива традиционным REST API

— Он предоставляет инструменты для обнаружения уязвимостей, настройку сканирования и интеграцию с Burp, позволяя исследовать запросы и мутации GraphQL ⛓ https://github.com/doyensec/inql ⛓ Атаки на GraphQL ⛓ Введение в GraphQL #Tools #BurpSuite ✈️ inf0

⛔️ В npm нашли фейковый API WhatsApp, который ворует сообщения, контакты и токены В репозитории npm обнаружили вредоносный пакет, маскирующийся под легитимную библиотеку для работы с WhatsApp Web API ⚠️ Малварь похищала переписку пользователей, выгружала контакты и давала атакующим доступ к аккаунтам жертв Пакет lotusbail — форк популярного проекта WhiskeySockets Baileys — существовал в репозитории минимум полгода и набрал свыше 56 000 загрузок

«Пакет оборачивает легитимный WebSocket-клиент, который взаимодействует с WhatsApp. В результате каждое сообщение, проходящее через приложение, сначала попадает во враппер малвари. Когда пользователь проходит аутентификацию, враппер перехватывает учетные данные. Когда приходят сообщения — он их считывает. Когда пользователь отправляет сообщения — он их записывает», — объясняют исследователи

⛓ https://xakep.ru/2025/12/24/lotusbail/ #News #API #Npm #Malware #WhatsApp ✈️ inf0

👴 Автоматизированная атака Pixie Dust: получение ПИНов и паролей Wi-Fi без ввода команд Pixie Dust — это атака на механизм WPS, позволяющая получить PIN-код и обойти защиту Wi-Fi без пароля

Уязвимость была обнаружена в 2014 году и связана с протоколом Wi-Fi Protected Setup (WPS)

— Злоумышленник, находящийся в зоне действия целевой сети Wi-Fi, перехватывает начальное WPS-рукопожатие и извлекает PIN-код, после чего может подключиться к сети без знания пароля ⛓ https://hackware.ru/?p=3562 #PixieDust #WiFi #WPS #Attack ✈️ inf0

💻 Анализ групповых политик в Active Directory GPOHunter — инструмент для анализа групповых политик (GPO) в Active Directory с целью выявления конфигурационных ошибок и уязвимостей

GPO (Group Policy Object) — объект групповой политики в среде Active Directory (AD) Это набор правил и настроек, которые применяются к пользователям или компьютерам Вместо ручной настройки каждого устройства администратор задаёт необходимые параметры один раз, а они автоматически применяются к нужным компьютерам и пользователям

— Он автоматизирует проверки безопасности и предоставляет детализированные отчёты, что помогает администраторам защищать свои системы ⛓ https://github.com/PShlyundin/GPOHunter ⛓ Групповые политики (GPO) Active Directory: разбираемся почему это важно и как ими управлять в GPOAdmin #ActiveDirectory #GPO #Tools #Administration ✈️ inf0

🤖 Руководство по улучшению кода от OWASP OWASP Code Review Guide – это руководство от OWASP, которое предоставляет практические рекомендации и лучшие практики для проведения эффективных проверок кода — Оно помогает выявлять и устранять уязвимости безопасности на ранних этапах процесса разработки ⛓ https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project #OWASP #Guide #Code ✈️ inf0

🥷 SoundCloud взломан и сообщает о краже пользовательских данных Стриминговый сервис SoundCloud сообщил о взломе, в результате которого злоумышленники получили доступ к базе данных пользователей ⚠️ Утечка затронула около 28 млн аккаунтов — примерно 20% от общей аудитории платформы В официальном заявлении представители SoundCloud подтвердили утечку:

«Насколько мы понимаем, группа злоумышленников получила доступ к некоторым закрытым данным, которые мы храним. Мы завершили расследование и выяснили, какие данные были затронуты. Конфиденциальная информация, включая финансовые данные и пароли, не была скомпрометирована. Утечка коснулась только email-адресов и информации, которая и так доступна в публичных профилях SoundCloud», — заявили в компании

⛓ https://xakep.ru/2025/12/17/soundcloud-hacked/ #News #SoundCloud #Leak ✈️ inf0

📱 Топ 6 каналов по AI и Программированию! Подборка для прокачки в сфере ИИ, Python, InfoSec, нейросетей и свежих IT-новостей — всё в одном месте. Советую вам подписаться: 📱 AI-ресурсы — t.me/ai_prompt Полезные нейросети, сервисы и фишки для работы. 👩‍💻 Python — t.me/python_prompt Гайды, задачи и шпаргалки по Python. 🤖 Нейросети — t.me/neuro_prompt Промпты, разборы и практическое применение AI. 🤔 InfoSec & Хакинг — t.me/infosec_prompt Обучение по ИБ, уязвимости и мышление хакера. 📱 IT Новости — t.me/it_news Главные события из мира технологий без воды. 📱 IT Мемы — t.me/it_memes Чтобы было не только полезно, но и смешно.

⛔ Black, gray, white: разбираемся в методологиях пентеста

Пентесты помогают выявить и устранить слабые места в защите компании до того, как ими воспользуются злоумышленники Но чтобы такая проверка действительно принесла пользу, важно понимать, зачем вы ее проводите, по какой методологии, и что будете делать с результатами

В этой статье мы разберемся: 🔵чем отличаются методологии «черного», «серого» и «белого ящика»; 🔵какую из них выбрать под конкретные риски; 🔵как подготовиться к тестированию, чтобы не тратить деньги впустую; 🔵и почему даже «зеленый» отчет сам по себе — не повод выдыхать. ⛓ https://habr.com/ru/companies/bastion/articles/939432/ #Info #Pentest ✈️ inf0

Индийский хакер Чиккен Тика Масала взломал GPT 5.0 и снял все внутренние ограничения Индус настроил GPT под любые задачи, начиная от взлома аккаунтов до изготовления оружия. В своём блоге «Only GPT» он публикует все найденные баги и фичи, пока разрабы их не прикрыли: — Как пользоваться Veo 3 и другими видео-генераторами бесплатно — Как генерить фото 18+ в Midjourney — Отключение ограничений в Gemini, GPT и Perplexity Секретные рецепты и промты индуса собраны здесь — @onlygpt 🤫

⚪️ Как я обнаружил скрытый микрофон в китайском NanoKVM NanoKVM — это аппаратный KVM-переключатель, разработанный китайской компанией Sipeed Это устройство, выпущенное в прошлом году, позволяет удалённо управлять компьютером или сервером при помощи виртуальной клавиатуры, мыши и монитора

Благодаря своему компактному размеру и низкой стоимости устройство быстро привлекло внимание Интернета, особенно когда компания пообещала выпустить его код в опенсорс

— Однако это устройство обладает серьёзными проблемами безопасности, которые мы рассмотрим в данной статье ⛓ https://habr.com/ru/companies/ruvds/articles/975894/ #Surveillance ✈️ inf0