Kατεβάσετε την εφαρμογή android του blog! DownLoad

FoulsCode: 2011-17

Translate

Πρόσφατα Σχόλια

Σύνολο αναρτήσεων

Εμφάνιση αναρτήσεων με ετικέτα Tools. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Tools. Εμφάνιση όλων των αναρτήσεων

20 ΤΡΌΠΟΙ ΓΙΑ ΝΑ ΜΙΚΡΎΝΕΤΕ ΈΝΑ URL

Written By Greek Port on Δευτέρα, 21 Αυγούστου 2017 | Αυγούστου 21, 2017





Αν χρειάζεται να συντομεύσετε ένα μακρύ URL, δείτε αυτή τη λίστα των 20 δωρεάν online υπηρεσιών URL shortening.

Τα URL shorteners είναι ένας τρόπος για να κάνετε ένα μεγάλο URL, μικρότερο. Οι υπηρεσίες συντόμευση URL είναι online εργαλεία και υπηρεσίες που σας επιτρέπουν όταν τους δώσετε ένα μακρύ URL σε μια συγκεκριμένη ιστοσελίδα, αυτό να μετατραπεί σε ένα πολύ μικρότερο.

ΠΩΣ ΔΟΥΛΕΎΕΙ;

Η υπηρεσία URL Shortener δουλεύει με βάση τη λειτουργία των διακομιστή Web (web servers) που ονομάζεται "Redirect" (ανακατεύθυνση URL). Με απλά λόγια, η νέα διεύθυνση URL (το σύντομο URL) ανακατευθύνει τους επισκέπτες στο παλαιό, μακρύ URL.
ΛΊΣΤΑ ΜΕ ΔΩΡΕΆΝ ΥΠΗΡΕΣΊΕΣ URL SHORTEN

Χρησιμοποιήστε κάποια υπηρεσία από την παρακάτω λίστα των 20 δωρεάν πιο δημοφιλών URL Shortening υπηρεσιών.

Ad.fly
Beam.To
Bit.ly
Cli.gs
doiop.com
EasyURL
Fur.ly
Goo.gl
is.gd
LNK.IN
McAfee Secure Short
Ow.ly
reducelnk
ShrinkURL
SnipURL
Su.pr
Redirx.com
Tiny.tw
TinyURL
v.gd


[via] hypersys.gr
Αυγούστου 21, 2017 | 0 σχόλια | Διαβάστε περισσότερα

WikiLeaks: HighRise το εργαλείο της CIA για υποκλοπή SMS

Written By Greek Port on Τρίτη, 25 Ιουλίου 2017 | Ιουλίου 25, 2017




HighRise: Το WikiLeaks δημοσίευσε σήμερα το εγχειρίδιο χρήσης ενός άλλου hacking tool της CIA στη σειρά διαρροών Vault 7.

Αυτό το εργαλείο ονομάζεται εσωτερικά της CIA, HighRise και είναι μια εφαρμογή Android για την παρακολούθηση και την ανακατεύθυνση μηνυμάτων SMS σε έναν απομακρυσμένο διακομιστή.




Σύμφωνα με το εγχειρίδιο που έχει διαρρεύσει (PDF), το HighRise λειτουργεί μόνο σε εκδόσεις Android 4.0 έως 4.3 (Android Ice Cream Sandwich και Jelly Bean), αλλά από τον Δεκέμβριο του 2013 και το εργαλείο πιθανότατα ενημερώθηκε για να υποστηρίζει και τις νεότερες εκδόσεις του Android OS που κυκλοφόρησαν τα τελευταία τέσσερα χρόνια.

Εργαλείο HighRise επίσης γνωστό και ως TideCheck

Το πραγματικό εργαλείο HighRise είναι συσκευασμένο μέσα σε μια εφαρμογή που ονομάζεται TideCheck (tidecheck-2.0.apk, MD5: 05ed39b0f1e578986b1169537f0a66fe).

Το εργαλείο δεν σχεδιάστηκε για επιθέσεις κοινωνικής μηχανικής. Οι πράκτορες της CIA πρέπει να εγκαταστήσουν την εφαρμογή στη συσκευή του ίδιου του θύματος και στη συνέχεια να την τρέξουν χειροκίνητα τουλάχιστον για την πρώτη φορά.

Κατά την εκκίνηση του εργαλείου την πρώτη φορά, οι πράκτορες της CIA θα πρέπει να εισάγουν ένα ειδικό κωδικό για να έχουν πρόσβαση στις ρυθμίσεις του. Αυτός ο προεπιλεγμένος κώδικας είναι η λέξη “inshallah” (αραβική λέξη που σημαίνει “το θέλημα του Θεού”).

Μόλις εισαχθεί ο κωδικός, το εργαλείο αποκαλύπτει τον πίνακα διαχείρισής του, ο οποίος αποτελείται από τρία κουμπιά. Το πρώτο θα ξεκινήσει το εργαλείο, το δεύτερο θα εμφανίσει/θα επεξεργαστεί το αρχείο διαμόρφωσης του εργαλείου και ένα τρίτο θα επιτρέψει στον χειριστή του να στείλει ένα SMS από το τηλέφωνο σε έναν απομακρυσμένο διακομιστή της CIA.


Σύμφωνα με το εγχειρίδιο HighRise, τα κύρια χαρακτηριστικά του εργαλείου είναι τα παρακάτω:
Αποστολή αντιγράφου όλων των εισερχόμενων μηνυμάτων SMS σε διακομιστή που υπάρχει στο Διαδίκτυο και ελέγχεται από την CIA.
Αποστολή μηνυμάτων SMS από το smartphone του θύματος.
Παρέχεται ένα κανάλι επικοινωνίας μεταξύ του χειριστή του HighRise και του LP.
TLS/SSL ασφαλείς επικοινωνίες διαδικτύου.

Σύμφωνα με τα δύο τελευταία χαρακτηριστικά, το HighRise δεν είναι κατ ‘ανάγκη ένα εργαλείο για εγκατάσταση μόνο σε ένα τηλέφωνο του στόχου, αλλά μια εφαρμογή που μπορεί να εγκατασταθεί στα τηλέφωνα των υπαλλήλων της CIA και να παράσχει ένα δευτερεύον, κρυπτογραφημένο κανάλι επικοινωνίας μεταξύ υπαλλήλων και προϊσταμένων.

Να υπενθυμίσουμε ότι το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου του 2017, εκθέτοντας όλο και περισσότερα εργαλεία των hackers της CIΑ.

[via: secnews.gr]
Ιουλίου 25, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Μετατροπή της webcam μας σε ανιχνευτή κίνησης

Written By Greek Port on Κυριακή, 16 Ιουλίου 2017 | Ιουλίου 16, 2017



Υπάρχουν φορές που μπορεί να χρειαστεί να λείψουμε από το σπίτι μας για κάποιο διάστημα και θα θέλαμε να είχαμε ένα μάτι για να δούμε αν όλα είναι εντάξει ή απλά να θέλουμε να ξέρουμε τι γίνεται στο δωμάτιο μας όταν είμαστε έξω.

Το μόνο που θα χρειαστούμε να έχουμε είναι μία web cam,μία σύνδεση στο Internet και φυσικά ένας υπολογιστής με το Yawcamεγκατεστημένο.Το Yawcam είναι ένα λογισμικό που διανέμεται δωρεάν και μπορεί να ανιχνεύσει κίνηση μέσω της web κάμερας μας.

Σε περίπτωση λοιπόν που το Yawcam ανιχνεύσει κίνηση τότε μπορούμε να το ρυθμίσουμε να κάνει κάποιο ή όλα από τα παρακάτω:
Αποθήκευση της κίνησης σε αρχεία εικόνας
Ανέβασμα των εικόνων σε κάποιον ftp account
Αποστολή στο email μας των εικόνων σαν συννημένα
Αναπαραγωγή ενός αρχείου ήχου

Εικόνα 1:





Εικόνα 2:







Συμβουλές:

Αν έχετε κάποιο κινητό τύπου iphone,blackberry κτλ ή οποιοδήποτε άλλη συσκευή για λήψη των email σας τότε θα ήταν πιο σωστό και για λόγους ασφαλείας να δημιουργήσετε έναν ξεχωριστό λογαριασμό για να παίρνετε τις ειδοποιήσεις από το Yawcam σε ξεχωριστό email.Για το αρχείο ήχου που θα αναπαράγεται σε περίπτωση που ανιχνευτεί κίνηση καλύτερα να προτιμήσετε κάποιο αρχείο που θα ακούγεται δυνατά και θα καταλαβαίνει ο επίδοξος εισβολέας ότι εντοπίστηκε η κίνηση του.

[via] datalibrary.wordpress.com

Download

Latest Release: Yawcam 0.6.0
Available for Windows 2000/XP/Vista/7/8/10

Recommended version

Yawcam installation package:
Yawcam 0.6.0:
 
yawcam_install.exe (4.58 MB)
MD5 checksum: 665a34348a7e3747c43105c9c34049b3

Requirements

  • Runtime Environment (JRE) 6 or later.
  • DirectX 9 or later.
  • Windows Media Player 9 or later.
  • Windows 2000/XP/Vista/7/8/10
The installation file will tell you if you are missing something!


Ιουλίου 16, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Ενσωματώστε Youtube Converter mp3 στο site σας.

Written By Greek Port on Τετάρτη, 12 Ιουλίου 2017 | Ιουλίου 12, 2017


Ίσος ένα τέτοιο πράγμα μπορεί να το έψαχνε κάποιος.
Μπορείτε να το δείτε Live Demo εδώ.
Παρακάτω είναι ο κωδικός ενσωμάτωσης στο site σας.









Developers

Do you operate your own website? Do you want to give your users the opportunity to convert YouTube videos to mp3 or mp4 files? We'll show you, how easy it is to insert our api into your website.
  • Our api offers you following services
  • • Conversion of videos to mp3 (audio) or mp4 (video) files
  • • Conversion of videos up to a length of 2 hours
  • • Conversion of videos which are blocked or not available in your or other countries (deleted videos can not be downloaded)
  • • Responsive design (the api readjustes to the right display size - whether the user is using the computer, mobile phone or tablet)
  • • The user is staying on your website and won't be forwarded to another website
  • • Dropbox integrated - the user is able to save the converted file directly into his dropbox account (only iFrame API)

iFrame API

Example [iframe]
<iframe src="https://ycapi.org/iframe/" width="600" height="170" scrolling="no" style="border:none;"></iframe> 

Example [iframe / mp3]
<iframe src="https://ycapi.org/iframe/?v=KMU0tzLwhbE&f=mp3" width="600" height="170" scrolling="no" style="border:none;"></iframe>

Example [iframe / mp4]
<iframe src="https://ycapi.org/iframe/?v=KMU0tzLwhbE&f=mp4" width="600" height="170" scrolling="no" style="border:none;"></iframe>
Download example file: iFrame API
  • Parameters (optional)
  • v [youtube video id] - must contain a valid 11 digits YouTube video id (KMU0tzLwhbE)
  • f [format] - must contain a supported format (mp3 or mp4)

Button API

Example [mp3]
<iframe src="https://ycapi.org/button/?v=KMU0tzLwhbE" width="320" height="38" scrolling="no" style="border:none;"></iframe>
  
Example [mp3 / font-color / background-color]
<iframe src="https://ycapi.org/button/?v=KMU0tzLwhbE&fc=#ffffff&bc=#000000" width="320" height="38" scrolling="no" style="border:none;"></iframe>

Example [mp3 / title]
<iframe src="https://ycapi.org/button/?v=KMU0tzLwhbE&t=1" width="320" height="76" scrolling="no" style="border:none;"></iframe>

Example [mp3 / click]
<iframe src="https://ycapi.org/button/?v=KMU0tzLwhbE&c=1" width="320" height="38" scrolling="no" style="border:none;"></iframe>

Example [mp4]
<iframe src="https://ycapi.org/button/?v=KMU0tzLwhbE&f=mp4" width="320" height="38" scrolling="no" style="border:none;"></iframe>
Download example file: Button API
  • Parameters (required)
  • v [youtube video id] - must contain a valid 11 digits YouTube video id (KMU0tzLwhbE)
  • f [format] - must contain a supported format (mp3 or mp4)
  • Parameters (optional)
  • fc [font-color] - must contain a valid hex color code (#ffffff)
  • bc [background-color] - must contain a valid hex color code (#000000)
  • t [title] - must be 1 if t is true the title of the video will be added to the button
  • c [click] - must be 1 if c is true the conversion will start with a click of the button (will show Download MP3/MP4 before clicked)

Example [mp3 / href]
<a href="https://www.youtube.com/watch?v=KMU0tzLwhbE" target="_blank" class="y2m">Developers</a>

Example [mp3 / data-href]
<a href="" data-href="https://www.youtube.com/watch?v=KMU0tzLwhbE" target="_blank" class="y2m">Developers</a>

Example [mp4 / href]
<a href="https://www.youtube.com/watch?v=KMU0tzLwhbE" target="_blank" class="y2m mp4">Developers</a>

Example [mp4 / data-href]
<a href="" data-href="https://www.youtube.com/watch?v=KMU0tzLwhbE" target="_blank" class="y2m mp4">Developers</a>

<script type="text/javascript" src="https://ycapi.org/js/link.js"></script>

Ιουλίου 12, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Θ.Ε.Π.Ε.Κ. Δελτίο Κυκλοφορίας - ΑΘΗΝΑ

Written By Greek Port on Τρίτη, 4 Ιουλίου 2017 | Ιουλίου 04, 2017





ΔΙΕΥΘΥΝΣΗ ΤΡΟΧΑΙΑΣ ΑΤΤΙΚΗΣ - Θ.Ε.Π.Ε.Κ.



Δελτίο Κυκλοφορίας - ΑΘΗΝΑ Link: http://www.astynomia.gr/traffic-athens.php
Ιουλίου 04, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Ημερήσιο Δελτίο Τιμών Ατμοσφαιρικής Ρύπανσης


Το ημερήσιο δελτίο ρύπων ενημερώνεται καθημερινά περίπου στις 2 μ.μ.

Link: http://www.ypeka.gr/Default.aspx?tabid=708
Ιουλίου 04, 2017 | 0 σχόλια | Διαβάστε περισσότερα

SMS verification bypass

Written By Greek Port on Τετάρτη, 21 Ιουνίου 2017 | Ιουνίου 21, 2017




Πολλα site ζητανε επιβεβαιωση SMS για την δημιουργια καποιου λογαριασμου

επιδη δεν ειναι ασφαλες να δινουμε τα προσωπικα μας στοιχεια

μπορουμε να χρισιμοποιησουμε αυτο το site ωστε να την προσπερασουμε δινοντας "ψευτικο νουμερο"




https://smsreceivefree.com/




απλα διαλεγουμε την τοποθεσια και το νουμερο που θελουμε και τα εισαγουμε στην επιβαιβεωση.

τωρα απλα περιμενουμε να ερθει το μηνυμα στο νουμερο που επιλεξαμε στο site.





About

We receive SMS and calls from all over the world to our phone numbers in USA, UK, and Canada. Our virtual phone numbers allow you to verify and register for various websites, absolutely free. The phone numbers are disposable and all messages are discarded after 24 hours. Provided virtual phone numbers are refreshed with new ones every month. We also support international languages and Emoji, so feel free to use the numbers for messages in English, French, Russian, German, Chinese etc. Best of all, the service will always remain minimal and free. If you require free online service in a country not currently being listed, please contact us and we will try our best to add the country.

Free

We strive to receive SMS online for free and make a promise to keep it operational without charging money for receiving SMS or calls. Send as many messages as you like to activate accounts that otherwise require personal information to verify. There are no limits on how often or how many SMS can be sent to the virtual numbers. If you have found our SMS service useful, please consider sharing it using the social buttons at the top of the page.

Private

Many companies are beginning to demand a phone number to verify or activate accounts and to use their applications, luckily with our disposable and virtual service you can avoid providing personal information. We understand that privacy is important and our service allows you to keep your contact information secret while gaining access to online SMS activated services from these various companies. We do not retain any message data longer than about a day.

Temporary

Message and calls are usually available within seconds of being received, just refresh the page to view. The virtual numbers displayed are temporary and disposable with completely new ones provisioned monthly. SMS and call messages we receive are permanently deleted after about 24 hours.
Ιουνίου 21, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Δειτε ζωντανα τις διαδικτυακες επιθεσεις παγκοσμιως




http://www.digitalattackmap.com





Digital Attack Map is a live data visualization of DDoS attacks around the globe, built through a collaboration between Google Ideas and Arbor Networks. The tool surfaces anonymous attack traffic data to let users explore historic trends and find reports of outages happening on a given day.

Why?


DDoS Attacks Matter

Distributed Denial of Service (DDoS) attacks can be used to make important online information unavailable to the world. Sites covering elections are brought down to influence their outcome, media sites are attacked to censor stories, and businesses are taken offline by competitors looking for a leg up. Protecting access to information is important for the Internet and important for free expression.



Visualizing Trends

Understanding the raw data behind DDoS Attacks is not intuitive. As a result, the impact, scale and scope of the challenge can be easily overlooked. We hope this tool allows more people to understand the challenges posed by DDoS attacks. We also hope it triggers a dialogue about how we can work together to reduce the threat of DDoS Attacks, improving the Internet for everyone.

Who?



Google Ideas is a think/do tank at Google that explores how technology can enable people to confront threats in the face of conflict, instability or repression. We connect users, experts and engineers to research and seed new technology-driven initiatives. Google Ideas worked in partnership with Google's Big Picture Team to design and develop the Digital Attack Map.


The "Big Picture" team, a part of Google research, creates interactive visualizations to captivate and delight users. They blend algorithmic, data-driven approaches with fluid design to make complex data more accessible. They portray large-scale data sets -- such as books, videos, images, news, or social behavior -- in creative ways that simultaneously educate and entertain.


DDoS attack data is provided by Arbor Networks. Established in 2000, Arbor provides network security and management solutions for some of the world’s largest and most complex networks. DDoS attack data is sourced from Arbor’s ATLAS® global threat intelligence system. To learn more, visit the ATLAS Threat Portal.
Ιουνίου 21, 2017 | 0 σχόλια | Διαβάστε περισσότερα

ΕΛΛΗΝΙΚΟΙ ΙΣΤΟΤΟΠΟΙ BITCOIN

Written By Greek Port on Κυριακή, 4 Ιουνίου 2017 | Ιουνίου 04, 2017

Ιουνίου 04, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Πώς να δημιουργήσετε μια δωρεάν ιστοσελίδα Φόρουμ Ομάδες Google στο Blogger

Written By Greek Port on Σάββατο, 27 Μαΐου 2017 | Μαΐου 27, 2017


Επισκεφτείτε την σελίδα που σας δεινό και πατήστε ΔΗΜΙΟΥΡΓΊΑ ΟΜΆΔΑΣ  

Πλεονεκτήματα της Google Groups:
Δωρεάν Hosting: Βλέπουμε σχεδόν κάθε φόρουμ που δίνει δωρεάν φιλοξενία. Το μεγαλύτερο πλεονέκτημα της χρήσης του Google ομάδας είναι ότι δεν χρειάζεται φιλοξενία. Πρέπει να δημιουργήσουμε μια ομάδα και να την ενσωματώσει στον ιστότοπό μας.
Δωρεάν Χρήση: Δεν υπάρχει καμία ανάγκη να πληρώσει τίποτα, επειδή το Google Group είναι απολύτως χωρίς κόστος.
Εξαιρετικά Ευέλικτη: Η πλατφόρμα έχει ισχυρή επιλογές που επιτρέπουν στον webmaster να το προσαρμόσετε ανάλογα με τις ανάγκες του.





Όνομα ομάδας: Εδώ θα εισάγετε το όνομα. Εξαρτάται εξ ολοκλήρου από ένα άτομο τι θέλει να το ονομάσει. Θυμηθείτε: Μπορούμε να το μετονομάσετε οποιαδήποτε στιγμή από τον πίνακα ρύθμισης.
Ομάδα διεύθυνση ηλεκτρονικού ταχυδρομείου: 

Εδώ θα επιλέξει μια διεύθυνση ηλεκτρονικού ταχυδρομείου, καθώς και το URL φόρουμ μας. Για παράδειγμα, αν γράψουμε "foulscode" στην περιοχή κειμένου που θα μας δώσει ένα δωρεάν e-mail, δηλαδή foulscode@googlegroups.com καθώς και URL, δηλαδή https://groups.google.com/forum/embed/?place=forum / foulscode.
Περιγραφή ομάδας: 

Γράψτε κάτι για σένα φόρουμ, όπως ακριβώς προσθέστε την περιγραφή στην ιστοσελίδα μας. Θα βοηθήσει τις μηχανές αναζήτησης. Επιπλέον, οι επισκέπτες θα είναι σε θέση να κατανοήσουν τον κύριο σκοπό της.
Κύρια γλώσσα του Ομίλου: 

Αυτή είναι η γλώσσα που ένα άτομο μπορεί να επιλέξει ανάλογα με τις ανάγκες του επιθυμία. Ωστόσο, επιλέγουμε συνήθως Αγγλικά (ΗΠΑ), η οποία είναι μια τυπική γλώσσα σε όλη την υδρόγειο.

Τύπος ομάδας: Τώρα αυτό είναι το πιο σημαντικό πράγμα. Υπάρχουν τρεις επιλογές, δηλαδή Λίστα e-mail, Web Φόρουμ, Q & A Forum. Επειδή, δημιουργούμε ένα ηλεκτρονικό φόρουμ. Ως εκ τούτου, θα επιλέξετε το "Φόρουμ Web". Ωστόσο, ο καθένας μπορεί να επιλέξει τις άλλες επιλογές πολύ ανάλογα με τα συμφέροντά τους.
Τώρα μια φορά όλα γίνονται. Επιλέξτε το "Δημιουργία" κουμπί παρόντες στην κορυφή της σελίδας. Τώρα θα είστε σε θέση να δείτε μια ειδοποίηση, "Συγχαρητήρια, η ομάδα σας είναι και έτοιμο προς χρήση".


Απλά συνδεθείτε στο Blogger λογαριασμό σας και πηγαίνετε στο Blogger >> Προσθέστε μια νέα σελίδα >> από editor blogger μετά επιλέξτε Edit HTML Tab και επικολλήστε τον παρακάτω κώδικα στο κιβώτιο HTML. Θυμηθείτε: Μην ξεχάσετε να αντικαταστήσει "foulscode"




<iframe frameborder="0" height="1000px" id="forum_embed" scrolling="no"
src="javascript:void(0)" width="100%">
    <br />
</iframe>
<script type="text/javascript">
    document.getElementById("forum_embed").src =
        "https://groups.google.com/forum/embed/?place=forum/foulscode" +
        "&showsearch=true&showpopout=false&parenturl=" + encodeURIComponent(window.location.href);
</script>

DEMO 



Αν σας δυσκολεύει κάτι αφήστε το σχόλιο σας.

Μην ξεχνάτε να το μοιραστείτε με τους φίλους σας.
Μαΐου 27, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Σαρωτής IoT δείχνει αν η συσκευή σας είναι ευάλωτη σε επιθέσεις DDoS

Written By Greek Port on Δευτέρα, 22 Μαΐου 2017 | Μαΐου 22, 2017





Αν θυμάστε την επίθεση DDoS 1 Tbps στη γαλλική εταιρεία φιλοξενίας OVH, ίσως να θυμάστε ότι έγινε μέσω του botnet Mirai, χάρη στις 145000 IoT συσκευές.Αλλά πώς θα νιώθετε αν κάποιος σας έλεγε ότι υπάρχουν εκατομμύρια συσκευών που συνδέονται στο Διαδίκτυο (IoT) ευάλωτες σε hacking που μπορούν να χρησιμοποιηθούν για επιθέσεις στον κυβερνοχώρο;

Ναι, σύμφωνα με το BullGuard θα μπορούσαν να υπάρχουν πάνω από 185 εκατομμύρια συνδεδεμένες συσκευές στο διαδίκτυο που είναι απροστάτευτες και ευάλωτες στις επιθέσεις χάκερ.
Οι αριθμοί αυτοί συλλέχθηκαν με βάση τα αποτελέσματα σάρωσης μέσω του BullGuard’s Internet of Things Scanner που επιτρέπει στους χρήστες να πάνε για μια μοναδική σάρωση και να δουν αν οι οικιακές τους συσκευές είναι ευάλωτες στο Shodan.

Εάν οι συσκευές βρίσκονται στο Shodan, αυτό σημαίνει ότι είναι διαθέσιμες σε δημόσια πρόσβαση.


Το Shodan είναι μια μηχανή αναζήτησης που επιτρέπει στον χρήστη να βρει συγκεκριμένους τύπους υπολογιστών συνδεδεμένους στο Internet χρησιμοποιώντας διάφορα φίλτρα.

BullGuard Internet of Things Scanner

via: secnews.gr
Μαΐου 22, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Aσφάλεια στο opencart

Written By Greek Port on Κυριακή, 21 Μαΐου 2017 | Μαΐου 21, 2017





Με το θέμα της διαδικτυακής ασφάλειας να γίνεται ένας ολοένα και μεγαλύτερης σημασίας ζήτημα κατά την δημιουργία ενός e-shop νομίζω ότι το σημερινό μας ζήτημα μπορεί και πρέπει κατά την ταπεινή μου άποψη να ενδιαφέρει κάθε κάτοχο ηλεκτρονικού καταστήματος που χρησιμοποιεί την πλατφόρμα του OpenCart. Θα εξετάσουμε το πως θα αναγκάσουμε τους χρήστες να χρησιμοποιούν πιο σύνθετα και άρα πιο ασφαλείς κωδικούς κατά την διαδικασία εγγραφής τους βελτιώνοντας έτσι την ασφάλεια στο opencart μας.

Όταν ένας πελάτης κάνει εγγραφή σε ένα OpenCart στο οποίο έχει γίνει η τυπική πρωταρχική εγκατάσταση του το μόνο που ζητά από τους πελάτες κατά την διαδικασία δημιουργίας λογαριασμού στο e-shop είναι ένας 4ψήφιος (σωστά διαβάσατε τετραψήφιος ) κωδικός και με μέγιστο τους 20 χαρακτήρες.

Παρότι το ζήτημα του αριθμού των χαρακτήρων που απαιτεί ένας σχετικά ασφαλής κωδικός είναι από μόνο του ένα τεράστιο ζήτημα στο σημερινό μας άρθρο θα εξετάσουμε μόνο το πως θα υποχρεώνουμε τον χρήστη να χρησιμοποιεί ειδικούς χαρακτήρες, μια τακτική που κάνει τους κωδικούς πολύ πιο ασφαλείς, και όχι στον αριθμό των χαρακτήρων που πρέπει να έχει ο κωδικός του χρήστη – πελάτη του ηλεκτρονικού μας καταστήματος κατά την εγγραφή του.

Θα χρειαστείτε ftp πρόσβαση στα αρχεία του OpenCart , τα οποία μπορεί να σας προμηθεύσει ο hosting provider σας η απλά ο κατασκευαστής της ιστοσελίδας σας και ένα editor όπως το dreamweaver ενώ και το απλό notepad που όλοι μας έχουμε στο pc μας αρκεί και περισσεύει μια χαρά για να κάνετε τις ακόλουθες αλλαγές στον κώδικα. Στο notepad απλά να προσέξετε όταν σώνετε ένα αρχείο να το σώσετε χρησιμοποιώντας κωδικοποίηση utf-8 και όχι ansi. Έτσι δεν θα υπάρξει πρόβλημα με τους ελληνικούς χαρακτήρες στον κώδικα που ακολουθεί.

Αρχικά εντοπίζουμε το ακόλουθο αρχείο που βρίσκεται σε αυτή την διαδρομή:

catalog/controller/account/register.php
Προς το τέλος του αρχείου , θα ανακαλύψετε τον ακόλουθο κώδικα που διαχειρίζεται το πεδίο όπου ο χρήστης εισάγει τον κωδικό του. Αυτός είναι και ο κώδικας που θα τροποποιήσουμε για να κάνουμε πιο ασφαλές τους κωδικούς των χρηστών – πελατών μας.

ΚΩΔΙΚΑΣ:
if ((utf8_strlen($this->request->post['password']) < 4) || (utf8_strlen($this->request->post['password']) > 20)) {
$this->error['password'] = $this->language->get('error_password');
}


Ακολουθεί ο κώδικας που πρέπει να τοποθετήσουμε στην θέση του προηγούμενου παραδείγματος μας. Ο ακόλουθος κώδικας μας εξασφαλίζει ότι ο κωδικός που θα εισάγει ο χρήστης θα πρέπει να περιέχει ένα νούμερο, ένα γράμμα και ένα σύμβολο (σημείο στίξης κ.α.) . Επιπρόσθετα μας εξασφαλίζει ότι ο κωδικός αυτός θα πρέπει να περιέχει τουλάχιστον 8 χαρακτήρες που φυσικά είναι πολλάκις ασφαλέστερο από ένα τετραψήφιο κωδικό . Ένα μήκος χαρακτήρων που θεωρώ σαν τον ελάχιστα επιτρεπόμενο για κάποιον που δεν αντιμετωπίζει τα ζητήματα ασφαλείας χαλαρά και ανεύθυνα.

ΚΩΔΙΚΑΣ:
if (!preg_match('^(?=.*[0-9])(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%^&+=])(?=\S+$).{8,}$', $this->request->post['password'])) {
$this->error['password'] = "Παρακαλώ βεβαιωθείτε ότι ο κωδικός σας περιλαμβάνει ένα νούμερο, ένα γράμμα σε μικρά και ένα σε κεφαλαία , ένα σύμβολο και είναι τουλάχιστον 8 χαρακτήρων";
}



Ξέρω ότι πολλοί θα αναρωτηθούν όχι μόνο γιατί να μπουν στον μπελά να κάνουν αυτή την αλλαγή αλλά κυρίως γιατί να κάνουν την ζωή του υποψήφιου και προς εγγραφή πελάτη τους πιο δύσκολη με κίνδυνο φυσικά πάντα να ελλοχεύει της απώλειας του.

Στην dreamweaver.gr έχουμε κατασκευάσει και φιλοξενούμε πάνω από 500 ηλεκτρονικά καταστήματα και επίσης έχουμε δημιουργήσει πλήθος δυναμικών ιστοσελίδων που έχουν μέλη – χρήστες και στα οποία άρα ισχύει η ίδια λογική ασφαλείας. Ξέρουμε καλά ότι ένας πελάτης ενός ηλεκτρονικού καταστήματος (ο πελάτης του πελάτη μας δηλαδή) κάποιες φορές θα ισχυριστεί παραβίαση ασφαλείας για μια σωρεία λόγων.

Όταν όμως το e-shop έχει θωρακιστεί από κενά ασφαλείας όπως την χρήση 4ψήφιων κωδικών μαζί φυσικά και με μια σειρά άλλων μέτρων τότε εμείς και άρα ο πελάτης μας μπορεί να ισχυριστεί δικαίως και τεκμηριωμένα ότι αυτός έλαβε όλα τα απαραίτητα μέτρα διαφύλαξης των δεδομένων και στοιχείων των πελατών του.

via: wdf.gr
Μαΐου 21, 2017 | 0 σχόλια | Διαβάστε περισσότερα

JustGage: Δημιουργία Και Animation Οργάνων Μέτρησης Με JS



Το JustGage.com είναι ένα εύχρηστο plugin JavaScript για τη δημιουργία και την κίνηση ωραίων και καθαρών μετρητών. Βασίζεται στην βιβλιοθήκη Raphaël για vector drawing, ώστε να είναι εντελώς ανεξάρτητο από την ανάλυση και να μπορεί να ρυθμιστεί αυτόματα.




Είναι καθαρό SVG και λειτουργεί σχεδόν σε κάθε πρόγραμμα περιήγησης όπως IE6 +, Chrome, Firefox, Safari, Opera, Android, κλπ.

via: wdf.gr
Μαΐου 21, 2017 | 0 σχόλια | Διαβάστε περισσότερα

TCP Port Scan with Nmap

Written By Greek Port on Πέμπτη, 18 Μαΐου 2017 | Μαΐου 18, 2017


About this tool

TCP Port Scan with Nmap allows you to discover which TCP ports are open on your target host.

Network ports are the entry points to a machine that is connected to the Internet. A service that listens on a port is able to receive data from a client application, process it and send a response back. Malicious clients can sometimes exploit vulnerabilities in the server code so they gain access to sensitive data or execute malicious code on the machine remotely. That is why testing for all ports is necessary in order to achieve a thorough security verification.

Port scanning is usually done in the initial phase of a penetration test in order to discover all network entry points into the target system. Port scanning is done differently for TCP ports and for UDP ports that's why we have different tools.



Parameters
Target: This is the hostname of IP address(es) to scan
Ports to scan - Common: This option tells Nmap to scan only the top 100 most common TCP ports (Nmap -F).
Ports to scan - Range: You can specify a range of ports to be scanned. Valid ports are between 1 and 65535.
Ports to scan - List: You can specify a comma separated list of ports to be scanned.
Detect service version: In this case Nmap will try to detect the version of the service that is running on each open port. This is done using multiple techniques like banner grabbing, reading server headers and sending specific requests.
Detect operating system: If enabled, Nmap will try to determine the type and version of the operating system that runs on the target host. The result is not always 100% accurate, depending on the way the target responds to probe requests.
Do traceroute: If enabled, Nmap will also do a traceroute to determine the path packets take from our server to the target server, including the ip addresses of all network nodes (routers).
Don't ping host: If enabled, Nmap will not try to see if the host is up before scanning it (which is the default behavior). This option is useful when the target host does not respond to ICMP requests but it is actually up and it has open ports.

https://pentest-tools.com/network-vulnerability-scanning/tcp-port-scanner-online-nmap
Μαΐου 18, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Πως θα φτιάξετε ένα ψεύτικο domain name

Written By Greek Port on Τετάρτη, 17 Μαΐου 2017 | Μαΐου 17, 2017



Βημα 1)

Πηγαίνετε στην ιστοσελίδα http://get.lgbt/ και κάντε καταχώρηση το domain name com-watch-fdgfdu743.

Δηλαδή τώρα έχετε φτιάξει το domain name com-watch-fdgfdu743.lgbt.



Βήμα 2)

Δημιουργήστε ένα subdomain name με το όνομα youtube.

Και το αποτέλεσμα είναι αυτο



www.youtube.com-watch-fdgfdu743.lgbt



κάποιος ο οποίος το δει, θα παρατηρήσει μπροστά το youtube.com οπότε θα το περάσει αληθινό, και μετά στο watch θα υποθέσει ότι είναι το βίντεο.



Αυτο μπορείτε να το κάνετε και πχ στη σελίδα της microsoft.



Δηλαδή κάνετε καταχώρηση το com-index-php.lgbt και απο μπροστά δημιουργείτε ενα subdomain name με το όνομα microsoft και το αποτέλεσμα θα είναι να έχετε φτιάξει το microsoft.com-index-php.lgbt





Τα ονόματα είναι τυχαία και πιθανόν κάποιος αλλος να τα έχει χρησιμοποιήσει, οπότε δοκιμάζετε κάθε φορα αλλα.



Ακόμα μπορείτε να το κάνετε σε πολλές υπηρεσίες που παρέχουν δωρεάν subdomain name για παράδειγμα. xyz

via: greekhacking.gr
Μαΐου 17, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Android Hijacking Tools

Written By Greek Port on Παρασκευή, 12 Μαΐου 2017 | Μαΐου 12, 2017


Όλα τα παρακάτω προγράμματα χρησιμοποιούνε την μέθοδο του cookie hijacking/stealing.



Για να χρησιμοποιήσετε τα παρακάτω προγράμματα πρέπει να έχετε ROOTάρει την συσκευή σας.



Όταν κατεβάσετε τα .apk στο κινητό σας, θα χρειαστείτε έναν file manager για να τα κάνετε εγκατάσταση.
File managers μπορείτε να βρείτε στο google store η να κατεβάσετε έναν από το internet.



Hidden Content
DroidSheep



http://droidsheep.de/





FaceNiff



https://8apk.net/faceniff-apk-cracked-download-latest/



Το faceniff είναι πληρωτέο πρόγραμμα που το trial version σου δίνει την δυνατότητα μέχρι 3 accounts.Εμείς θα χρησιμοποιήσουμε την σπασμένη έκδοση.Για το πως θα κάνετε την εγκατάσταση διαβάστε το "Steps το Use:-"



Droid Sniff



mediafire.com download/c3mr5lx34kpmp97/DroidSniff.apk
Μαΐου 12, 2017 | 0 σχόλια | Διαβάστε περισσότερα

Hacking Resources

Written By Greek Port on Σάββατο, 31 Δεκεμβρίου 2016 | Δεκεμβρίου 31, 2016



Disclosures

Application Logic

06/18/2013 - https://labs.spotify.com/2013/06/18/creative-usernames/ - Creative usernames and Spotify account hijacking
06/26/2013 - Hijacking a Facebook Account with SMS - https://whitton.io/articles/hijacking-a-facebook-account-with-sms/
03/25/2014 - Phabricator Bypass auth.email-domains - https://hackerone.com/reports/2233
05/15/2016 - The Bank Job - https://boris.in/blog/2016/the-bank-job/
05/19/2016 - InstaBrute: Two Ways to Brute-force Instagram Account Credentials - https://www.arneswinnen.net/2016/05/instabrute-two-ways-to-brute-force-i...
06/06/2016 - Trello bug bounty: Payments informations are sent to the webhook - https://hethical.io/trello-bug-bounty-payments-informations-are-sent-to-...
06/07/2016 - Pwning Pornhub (memcache) - https://blog.zsec.uk/pwning-pornhub/
07/01/2016 - Magento – Re-Installation & Account Hijacking Vulnerabilities - http://netanelrub.in/2016/07/01/magento-re-installation-account-hijackin...
08/08/2016 - Free way to Facebook Freebooting | Hacking Rights Manager - http://www.7xter.com/2016/08/free-way-to-facebook-freebooting.html
08/16/2016 - Google Chrome, Firefox Address Bar Spoofing Vulnerability - http://www.rafayhackingarticles.net/2016/08/google-chrome-firefox-addres...
08/18/2016 - How I hacked an Android App to Get Free Beer - https://breakdev.org/how-i-hacked-an-android-app-to-get-free-beer/
09/02/2016 - Response To Request Injection (RTRI) - https://www.bugbountyhq.com/front/latestnews/dWRWR0thQ2ZWOFN5cTE1cXQrSFZ...

Authentication

04/27/2016 - Microsoft Office 365 SAML Bypass - http://www.economyofmechanism.com/office365-authbypass.html
04/28/2016 - Slack bot token leakage exposing business critical information - https://labs.detectify.com/2016/04/28/slack-bot-token-leakage-exposing-b...
06/01/2016 - Taking over Heroku accounts - http://esevece.github.io/2016/06/01/taking-over-heroku-accounts.html
10/20/2016 - Slack, a Brief Journey to Mission Control - http://secalert.net/slack-security-bug-bounty.html
11/02/2016 - Bypassing Two-Factor Authentication on OWA & Office365 Portals - http://www.blackhillsinfosec.com/?p=5396

CORS/CSP

04/04/2016 - CSP: bypassing form-action with reflected XSS - https://labs.detectify.com/2016/04/04/csp-bypassing-form-action-with-ref...
12/16/2016 - Exploiting Misconfigured CORS (Cross Origin Resource Sharing) - http://www.geekboy.ninja/blog/exploiting-misconfigured-cors-cross-origin...

CSRF

05/17/2016 - How I bypassed Facebook CSRF in 2016 - http://pouyadarabi.blogspot.ca/2016/05/how-i-bypassed-facebook-csrf-in-2...
19/07/2016 - Paypal bug bounty: Updating the Paypal.me profile picture without consent (CSRF attack) - https://hethical.io/paypal-bug-bounty-updating-the-paypal-me-profile-pic...
26/10/2016 - Google Spreadsheet Vuln - CSRF and JSON Hijacking allows data theft - https://www.rodneybeede.com/Google_Spreadsheet_Vuln_-_CSRF_and_JSON_Hija...

CSV Injection

29/01/2013 - Cell Injection: Attacking the End User Through the Application - http://blog.7elements.co.uk/2013/01/cell-injection.html
04/17/2016 - CSV Injection in business.uber.com - http://blog.daviddworken.com/posts/csv-injection-in-businessubercom/

HPP

08/23/2015 - Twitter HPP vulnerability unsubscribing from emails - http://www.merttasci.com/blog/twitter-hpp-vulnerability/
12/03/2015 - Parameter Tampering Attack on Twitter Web Intents - https://ericrafaloff.com/parameter-tampering-attack-on-twitter-web-intents/
02/02/2016 - Bypassing Digits web authentication's host validation with HPP - https://hackerone.com/reports/114169

Host Header Injection
09/06/2016 - Internet Explorer has a URL Problem - http://blog.innerht.ml/internet-explorer-has-a-url-problem/
10/24/2016 - Combining Host Header Injection and Lax Host Parsing Service Malicious Data - https://labs.detectify.com/2016/10/24/combining-host-header-injection-an...

IDOR

06/23/2016 - UBER HACKING: HOW WE FOUND OUT WHO YOU ARE, WHERE YOU ARE AND WHERE YOU WENT! - https://labs.integrity.pt/articles/uber-hacking-how-we-found-out-who-you...
06/23/2016 - Facebook's Bug - Delete any video from Facebook - http://www.pranavhivarekar.in/2016/06/23/facebooks-bug-delete-any-video-...
08/25/2016 - How I Could Have Hacked Multiple Facebook Accounts - https://medium.com/@gurkiratsingh/how-i-could-have-hacked-multiple-faceb...
11/22/2016 - You get a UUID! You get a UUID! Everybody gets a UUID! - http://www.rohk.xyz/uber-uuid/

Information Disclosure

12/21/2016 - Disclosing the primary email address for each Facebook user - http://www.dawgyg.com/2016/12/21/disclosing-the-primary-email-address-fo...

SSRF

04/18/2016 - ESEA Server-Side Request Forgery and Querying AWS Meta Data - http://buer.haus/2016/04/18/esea-server-side-request-forgery-and-queryin...
02/23/2016 - FFMPEG File Disclosure - https://github.com/ctfs/write-ups-2015/tree/master/9447-ctf-2015/web/sup...
Trello Bug BOunty Access Servier Files Using Imagetragick - https://hethical.io/trello-bug-bounty-access-servers-files-using-imagetr...

SSTI

04/25/2016 - Adapting AngularJS Payloads to Exploit Real World Applications - http://blog.portswigger.net/2016/04/adapting-angularjs-payloads-to-explo...

Reverse Engineering

04/19/2016 - Digging into a Facebook Worm -https://gist.githubusercontent.com/phwd/0ec21c6289543f35135e17aa11f7dec1...
07/01/2016 - How I Cracked a Keylogger and Ended Up in Someone's Inbox - https://www.trustwave.com/Resources/SpiderLabs-Blog/How-I-Cracked-a-Keyl...
11/14/2016 - Hacking Team Back For Your Androids - http://rednaga.io/2016/11/14/hackingteam_back_for_your_androids/

Relative Path Overwrite

03/21/2014 - Relative vs Absolute - http://www.thespanner.co.uk/2014/03/21/rpo/
02/17/2015 - Detecting and exploiting path-relative stylesheet import (PRSSI) vulnerabilities - http://blog.portswigger.net/2015/02/prssi.html
07/03/2016 - RPO Gadgets - http://blog.innerht.ml/rpo-gadgets/

XSS

07/06/2010 - Facebook XSS via Cross-Origin Resource Sharinghttp://maustin.net/2010/07/06/facebook_html5.html
02/14/2013 - How I got the Bug Bounty for Mega.co.nz XSS - https://labs.detectify.com/2013/02/14/how-i-got-the-bug-bounty-for-mega-...
04/22/2015 - XSS via Host header - www.google.com/cse - http://blog.bentkowski.info/2015/04/xss-via-host-header-cse.html
12/08/2015 - Creative bug which result Stored XSS on m.youtube.com - http://sasi2103.blogspot.ca/2015/12/creative-bug-which-result-stored-xss...
04/17/2016 - XSS in pypi (and Uber!) - http://blog.daviddworken.com/posts/xss-in-pypi-and-uber/
04/17/2016 - XSS in getrush.uber.com - http://blog.daviddworken.com/posts/xss-in-getrushubercom/
04/19/2016 - Using a Braun Shaver to Bypass XSS Audit and WAF - https://blog.bugcrowd.com/guest-blog-using-a-braun-shaver-to-bypass-xss-...
05/09/2016 - XSS and RCE, domain takeover with remote loaded JS - http://brutelogic.com.br/blog/xss-and-rce/
06/13/2016 - Embedding XSS in SVG files - http://bini.tech/wordpress-remote-upload-unrestricted-file-upload/
07/02/2016 - OneDrive: an easter egg into MS library - XSS on Microsoft and not only - https://luc10.github.io/onedrive-an-easter-egg-into-ms-library/
07/04/2016 - Apple and the 5 XSSes - http://strukt93.blogspot.ca/2016/07/apple-and-5-xsses.html
07/19/2016 - Instagram Reflected XSS in Link Shim - http://ameeras.me/Instagram-Reflected-XSS-in-Link-Shim/
07/19/2016 - Blind XSS in Spotify - https://mhmdiaa.github.io/jekyll/update/2016/07/19/blind-xss-in-spotify....
07/22/2016 - United to XSS United - http://strukt93.blogspot.ca/2016/07/united-to-xss-united.html
08/29/2016 - Turning Self-XSS into Good XSS v2: Challenge Completed but Not Rewarded - https://httpsonly.blogspot.ca/2016/08/turning-self-xss-into-good-xss-v2....
08/31/2016 - Breaching a CA – Blind Cross-site Scripting (BXSS) in the GeoTrust SSL Operations Panel Using XSS Hunter - https://thehackerblog.com/breaching-a-ca-blind-cross-site-scripting-bxss...
09/19/2016 - Combination of techniques lead to DOM Based XSS in Google - http://sasi2103.blogspot.ca/2016/09/combination-of-techniques-lead-to-do...
12/07/2016 - Stored XSS Affecting All Fantasy Sports on Yahoo - http://dawgyg.com/2016/12/07/stored-xss-affecting-all-fantasy-sports-fan...

XXE

06/25/2014 - Identifying Xml eXternal Entity vulnerability (XXE) in GPX files - http://blog.h3xstream.com/2014/06/identifying-xml-external-entity.html
03/21/2015 - XML External Entity (XXE) Injection in Apache Batik Library [CVE-2015-0250] - https://www.insinuator.net/2015/03/xxe-injection-in-apache-batik-library...
08/14/2015 - XXE ALL THE THINGS!!! (INCLUDING APPLE IOS’S OFFICE VIEWER) - https://labs.integrity.pt/articles/xxe-all-the-things-including-apple-io...

CRLF

03/15/2015 - Parse.com - X-Forwarded-Host Injection - Bypass secure & HTTP_only Vulnerability - https://www.youtube.com/watch?v=1yUw7rtTTeI

Remote Code Execution

12/09/2013 - Remote Code Execution exploit in WordPress 3.5.1 - https://tom.vg/2013/12/wordpress-rce-exploit/
02/15/2015 - RCE in Oracle NetBeans Opensource Plugins: PrimeFaces 5.x Expression Language Injection - http://blog.mindedsecurity.com/2016/02/rce-in-oracle-netbeans-opensource...
11/06/2015 - Java unserialization - https://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss...
11/12/2015 - XSS to Remote Code Execution with HipChat - http://maustin.net/2015/11/12/hipchat_rce.html
05/04/2016 - Remote Code Execution via ImageMagick - http://pastebin.com/aE4sKnCg (file)
05/10/2016 - Exploiting ImageMagick on Polyvore (Yahoo) - http://nahamsec.com/exploiting-imagemagick-on-yahoo/
07/22/2016 - Exploiting Java Deserialization via JBoss - https://seanmelia.wordpress.com/2016/07/22/exploiting-java-deserializati...
07/25/2016 - CVE-2016-5840: Trend Micro Deep Discovery hotfix_upload.cgi filename Remote Code Execution Vulnerability - http://www.korpritzombie.com/cve-2016-5840-trend-micro-deep-discovery-ho...
08/15/2016 - Jetbrains IDE Remote Code Execution and Local File Disclosure - http://blog.saynotolinux.com/blog/2016/08/15/jetbrains-ide-remote-code-e...
08/24/2016 - The Million Dollar Dissident - https://citizenlab.org/2016/08/million-dollar-dissident-iphone-zero-day-...
09/21/2016 - pwn them for learn -http://bugdisclose.blogspot.ca/2016/09/pwn-them-for-learn.html
10/26/2016 - Details on the Privilege Escalation Vulnerability in Joomla - https://blog.sucuri.net/2016/10/details-on-the-privilege-escalation-vuln...

Memory Related

5/13/2016 - 7-Zip vulnerabilities found by Talos - http://blog.talosintel.com/2016/05/multiple-7-zip-vulnerabilities.html

Source Code Disclosure

03/27/2016 - A tale of an interesting source code leak - http://secalert.net/#scl-soh
07/19/2016 - Accessing PornHub's SVN repo - https://hackerone.com/reports/72243
07/22/2016 - Twitter's Vine Source code dump - https://avicoder.me/2016/07/22/Twitter-Vine-Source-code-dump/
10/14/2016 - Importance of up-to-date application usage plus complex password OR from directory traversal to admin panel takeover - http://zuh4n.blogspot.ca/

SQLi

12/20/2016 - Flickr from SQLi to RCE - https://pwnrules.com/flickr-from-sql-injection-to-rce/
07/25/2016 - SQL Injection on sctrack.email.uber.com.cn - https://hackerone.com/reports/150156

Subdomain Takeover

10/21/14 - Hostile Subdomain Takeover using Heroku/Github/Desk + more - https://labs.detectify.com/2014/10/21/hostile-subdomain-takeover-using-h...
12/08/14 - Hijacking of abandoned subdomains part 2 - https://labs.detectify.com/2014/12/08/hijacking-of-abandoned-subdomains-...
07/26/16 - Uber Subdomain Takeover - http://blog.eseccyber.tech/article/uber.html
09/05/2016 - How I was able to read Uber logs and internal emails - http://blog.pentestnepal.tech/post/149985438982/how-i-was-able-to-read-u...

HTML Injection

07/26/2016 - Keeping Positive – Obtaining Arbitrary Wildcard SSL Certificates from Comodo via Dangling Markup Injection - https://thehackerblog.com/keeping-positive-obtaining-arbitrary-wildcard-...

OAuth

02/07/2014 - How I Hacked GitHub Again. - http://homakov.blogspot.ca/2014/02/how-i-hacked-github-again.html
07/20/2015 - Bypassing Google Authentication on Periscope's Administration Panel - https://whitton.io/articles/bypassing-google-authentication-on-periscope...
01/04/2016 - Bypassing callback_url validation on Digits - https://hackerone.com/reports/108113
02/29/2016 - Swiping Facebook Official Access Tokens - http://philippeharewood.com/swiping-facebook-official-access-tokens/
04/03/2016 - Obtaining Login Tokens for Outlook, Office or Azure (OAuth) - https://whitton.io/articles/obtaining-tokens-outlook-office-azure-account/
06/16/2016 - Bypass Disabled Client OAuth Login in Facebook Pages Manager App - http://philippeharewood.com/bypass-disabled-client-oauth-login-in-facebo...
10/13/2016 - CVE-2016-4977: RCE in Spring Security OAuth - http://secalert.net/#CVE-2016-4977

Mobile

04/12/2015 - Shopify android client all API request's response leakage - https://hackerone.com/reports/56002
07/26/2016 - Odnoklassniki Android application vulnerabilities - https://hackerone.com/reports/97295

Browser
12/06/16 - Firefox - SVG cross domain cookie vulnerability - https://insert-script.blogspot.ca/2016/12/firefox-svg-cross-domain-cooki...


CTF Writeups

03/03/2013 - Unauthorized Access: Bypassing PHP strcmp() - http://danuxx.blogspot.ca/2013/03/unauthorized-access-bypassing-php-strc...
06/09/2016 - Hack in the Box 2016 – MISC400 Writeup (Part 1) - http://rileykidd.com/2016/06/09/hack-in-the-box-2016-misc400-writeup-par...
10/03/2016 - Hacking the Hard Way at the Derbycon CTF - https://labs.signalsciences.com/hacking-the-hard-way-at-the-derbycon-ctf...
BSides Ottawa CTF - Second Place! - https://blog.fletchto99.com/2016/october/bsides-ottawa/
2016 Hack the Vote - https://github.com/ctfs/write-ups-2016/tree/master/hack-the-vote-ctf-2016
Resources

XXE Payloads in iOS - http://en.hackdig.com/08/28075.htm
Burp Tutorials - https://vimeo.com/album/3510171
Facebook CTF - https://github.com/facebook/fbctf
SSRF Bible - https://docs.google.com/document/d/1v1TkWZtrhzRLy0bYXBcdLUedXGb9njTNIJXa...
Jerry Gamblin Hacking Blog - http://jerrygamblin.com/category/hacking
Filedescriptor XSS Polygots - http://polyglot.innerht.ml/
prompt.ml XSS Challenge - https://github.com/cure53/XSSChallengeWiki/wiki/prompt.ml#hidden-level--1
Hacking with Unicode - https://speakerdeck.com/mathiasbynens/hacking-with-unicode-in-2016
Programming Practice (paid premium) - https://coderbyte.com/
Online CTF Practice challenges - https://backdoor.sdslabs.co
Nicolas Grégoire Burp Pro Tips - http://www.agarri.fr/docs/HiP2k13-Burp_Pro_Tips_and_Tricks.pdf
Open Security Training - http://opensecuritytraining.info/
OWASP Mutillidae II Web Pen-Test Practice Application - https://sourceforge.net/projects/mutillidae/
DNS - https://haxpo.nl/haxpo2015ams/wp-content/uploads/sites/4/2015/04/D1-P.-M...
XSS without HTML: Client-Side Template Injection with AngularJS - http://blog.portswigger.net/2016/01/xss-without-html-client-side-templat...
File Upload XSS - http://brutelogic.com.br/blog/file-upload-xss/
CSV Injection Mitigations - https://blog.zsec.uk/csv-dangers-mitigations/
Comma Separated Vulnerabilities - http://www.contextis.com/resources/blog/comma-separated-vulnerabilities/
Running your own anonymous rotating proxies - http://blog.databigbang.com/running-your-own-anonymous-rotating-proxies/
Reviewing bug bounties - a hacker's perspective - http://www.skeletonscribe.net/2016/08/reviewing-bug-bounties-hackers.html
Practical HTTP Host Header Attacks - http://www.skeletonscribe.net/2013/05/practical-http-host-header-attacks...
Practice CTF List / Permanant CTF List - https://captf.com/practice-ctf/
lcamtuf's blog - https://lcamtuf.blogspot.ca/
Backup File Artifacts - http://blog.mazinahmed.net/2016/08/backup-file-artifacts.html
Unicode Character 'PILE OF POO' - http://www.fileformat.info/info/unicode/char/1F4A9/index.htm
Decompile and Recompile Android APK - https://blog.bramp.net/post/2015/08/01/decompile-and-recompile-android-apk/
Frans Rosen - Time Based Captcha Protected SQLi - http://www.slideshare.net/fransrosen/time-based-captcha-protected-sql-in...
CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy - https://research.google.com/pubs/pub45542.html
How to View TLS Traffic in Android’s Logs - https://blog.securityevaluators.com/how-to-view-tls-traffic-in-androids-...
https://url.spec.whatwg.org/
AngularJS Sandbox Escapes Explained - https://www.reddit.com/r/angularjs/comments/557bhr/xss_in_angularjs_vide...
Senate Republicans were skimmed for six months, quietly fix store - https://gwillem.github.io/2016/10/04/how-republicans-send-your-credit-ca...
Introduction to OSINT: Recon-ng Tutorial - https://strikersecurity.com/blog/getting-started-recon-ng-tutorial/
Exploiting CORS misconfigurations - http://blog.portswigger.net/2016/10/exploiting-cors-misconfigurations-fo...
Abusing Dorking and Robots.txt - http://sten0.ghost.io/2016/10/13/abusing-dorking-and-robots-txt/
Brute Logic XSS Challenge I - http://brutelogic.com.br/blog/xss-challenge-i/
How Google and Bing Protect their APIs - https://rudk.ws/2016/10/23/how-google-and-bing-protects-their-api/
Free Dev Books - https://devfreebooks.github.io/
IOS Application Security Review Methodology - http://research.aurainfosec.io/ios-application-security-review-methodology/
Anatomy of a Subtle JSON Vulnerability - http://haacked.com/archive/2008/11/20/anatomy-of-a-subtle-json-vulnerabi...
Finding XSS Slidedeck - http://slides.com/mscasharjaved/deck-13#/
XSS Polyglots - https://blog.bugcrowd.com/xss-polyglots-the-context-contest?utm_campaign...
Bypassing Saml 2.0 SSO - http://research.aurainfosec.io/bypassing-saml20-SSO/
Bypassing CSP using polyglot jpegs - http://blog.portswigger.net/2016/12/bypassing-csp-using-polyglot-jpegs.html
Facebook Graphql Crash Course - https://www.facebook.com/notes/phwd/a-facebook-graphql-crash-course/1189...
New XXSI Vector Untold Merits of nosniff - https://www.hurricanelabs.com/blog/new-xssi-vector-untold-merits-of-nosniff
Research papers

Minded Security Expression Language Injection Paper - https://www.mindedsecurity.com/fileshare/ExpressionLanguageInjection.pdf
Sandboxing JavaScript in the Browser - https://var.thejh.net/thesis_excerpt.pdf
Does The Online Card Payment Landscape Unwittingly Facilitate Fraud? - http://eprint.ncl.ac.uk/file_store/production/230123/19180242-D02E-47AC-...
Online Courses / Training

Cyber Security Base with F-Secure is a free course series by University of Helsinki - https://cybersecuritybase.github.io/
Vulnerable Web Applications for Learning - https://securitythoughts.wordpress.com/2010/03/22/vulnerable-web-applica...
Jame Kettle's hackxor - http://hackxor.sourceforge.net/cgi-bin/index.pl#demo
Google XSS Game - https://xss-game.appspot.com/
Google DOM Based XSS - https://public-firing-range.appspot.com/address/index.html
Code Lab: Web Application Exploits and Defenses - https://google-gruyere.appspot.com/
Cheat Sheets

Path Traversal Cheat Sheet Linux - https://www.gracefulsecurity.com/path-traversal-cheat-sheet-linux/
XXE - https://www.gracefulsecurity.com/xxe-cheatsheet/
HTML5 Security Cheat Sheet - https://html5sec.org/
Brute XSS Cheat Sheet - http://brutelogic.com.br/blog/cheat-sheet/
MySQL SQL Injection Cheat Sheet - http://pentestmonkey.net/cheat-sheet/sql-injection/mysql-sql-injection-c...
AngularJS Sandbox Bypass Collection (includes 1.5.7) - http://pastebin.com/xMXwsm0N
Java Deserialization - https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet
Penetration testing tools cheat sheet - https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/
OAuth - https://github.com/homakov/oauthsecurity
Burp How Tos

http://security-geek.in/2014/08/22/using-burp-suite-to-brute-force-http-...
Tools

Discovery
https://github.com/OJ/gobuster
Sublist3r is python tool that is designed to enumerate subdomains of websites using search engines - https://github.com/aboul3la/Sublist3r
EyeWitness is designed to take screenshots of websites, provide some server header info, and identify default credentials if possible - https://github.com/ChrisTruncer/EyeWitness
Smart content discovery burp plugin with context awareness - https://github.com/pathetiq/BurpSmartBuster
An automated tool that checks for backup artifacts that may discloses the web-application's source code - https://github.com/mazen160/bfac

Recon-ng
Recon-ng + Google Dorks + Burp = ... - https://averagesecurityguy.github.io/2016/10/21/recon-ng-dorks-burp/

Port Scanning
Resolve and quickly portscan a list of (sub)domains - https://github.com/melvinsh/subresolve

Mobile
JD-GUI, a standalone graphical utility that displays Java sources from CLASS files. - https://github.com/java-decompiler/jd-gui
Mobile Security Framework is an intelligent, all-in-one open source mobile application (Android/iOS) automated pen-testing framework capable of performing static, dynamic analysis and web API testing - https://github.com/ajinabraham/Mobile-Security-Framework-MobSF
An xposed module that disables SSL certificate checking for the purposes of auditing an app with cert pinning - https://github.com/Fuzion24/JustTrustMe
Blackbox tool to disable SSL certificate validation - including certificate pinning - within iOS and OS X Apps - https://github.com/nabla-c0d3/ssl-kill-switch2
Android APK Tool - https://ibotpeaches.github.io/Apktool/
Android Dex2Jar - https://github.com/pxb1988/dex2jar

Decompiler
JPEXS Free Flash Decompiler - https://github.com/jindrapetrik/jpexs-decompiler
Flashbang, find theflashVars of a naked SWF and display them - https://github.com/cure53/Flashbang

Java Deserialization
A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization - https://github.com/frohoff/ysoserial

Password Cracking
John the Ripper - http://www.openwall.com/john/

Hash Cracking
Online Hash Crack - http://www.onlinehashcrack.com/
CyberChef - https://gchq.github.io/CyberChef/

Vulnerability SaaS
SSRF Detector - https://ssrfdetector.com/
XSSHunter - https://xsshunter.com



via: www.torontowebsitedeveloper.com
Δεκεμβρίου 31, 2016 | 0 σχόλια | Διαβάστε περισσότερα
 
berita unik