Malleable C2 — это мощная функция Cobalt Strike, которая позволяет настраивать и изменять сетевое взаимодействие между маячком и сервером. Это дает злоумышленникам возможность маскировать свой трафик, делая его похожим на легитимные запросы и ответы. Такая маскировка помогает обойти системы обнаружения и затруднить анализ трафика.

Metasploit Framework — самый масштабный и распиаренный из всех фреймворков для эксплуатации и постэксплуатации. Однако вводной статьи по нему в «Хакере» не было, а если и была, то так давно, что не считается. Я расскажу, как именно этот фреймворк использует моя команда, и дам разные практические советы.

В этой статье мы поговорим о фреймворках, которые помогут эксплуатировать уязвимости, закрепиться и продвинуться в целевой инфраструктуре. Для этого рассмотрим основные актуальные проекты, их функции и особенности. Надеюсь, ты найдешь для себя что-нибудь новенькое или по ходу чтения придумаешь, как сделать свой рабочий процесс еще эффективнее.

Впервые исходники новой загадочной ОС Google всплыли в Сети в августе 2016 года. К маю 2017-го они обросли кое-какой документацией и обзавелись альфа-версией интерфейса. Сегодня «Фуксия» — хорошо документированная и активно развиваемая, но не ОС, а нечто гораздо большее.

Принято считать, что тру и кул — это Objective C/Swift для iOS и Java/Kotlin для Android. Спору здесь нет, тру и кул, но существует большое количество реальных сценариев, в которых использование кроссплатформенных фреймворков является более предпочтительным в сравнении с нативными инструментами.

Я давно увлекаюсь XSS-атаками, размышляю над разными техниками эксплуатации, ищу обходы и новые векторы для внедрения кода в страницы. В определенный момент у меня накопилось много файлов с XSS-эксплоитами для топовых CMS, и, зная, что в Сети такое добро редко встречается, я решил собрать это все в один набор и назвать его el Scripto.

Фреймворк Electron разработан в GitHub и носил раньше название «Atom shell». Пожалуй, самое известное приложение, написанное с его помощью, — текстовый редактор Atom. А еще — клиент Slack для настольных компьютеров, клиент мгновенных сообщений Franz, Git-клиент GitKraken, GUI-клиент к утилите Yeoman и даже Microsoft Visual Studio Code. Давай и мы с тобой попробуем написать на нем что-нибудь крутое!

Мир ООП-разработки вообще и язык Java в частности живут очень активной жизнью. Тут есть свои модные тенденции, и сегодня разберем один из главных трендов сезона — фреймворк ReactiveX. Если ты еще в стороне от этой волны — обещаю, она тебе понравится! Это точно лучше, чем джинсы с завышенной талией :)

Если коротко, openFrameworks — это проект с открытым исходным кодом на C++, представляющий собой набор укомплектованных инструментов (фреймворков) для разработки кросс-платформенных приложений, не только настольных, но и мобильных. Мы уже знакомы с подобными либами, однако openFrameworks идет еще дальше, предоставляя программисту более широкие возможности.

Metasploit — это мощный открытый фреймворк с продуманной архитектурой, сотнями контрибьюторов, который включает в себя тысячи модулей для автоматизации эксплуатации огромного количества уязвимостей. Несмотря на то что Metasploit регулярно появляется на страницах Хакера, многие только знакомятся с ним. Мы решили помочь начинающим пентестерам и запускаем новый цикл статей, который познакомит тебя с основными возможностями этого замечательного инструмента.

Фреймворк Netty появился относительно недавно, но с каждым годом он только набирает популярность. В 2011 году проект был удостоен награды Duke’s Choice за инновации в сетевом программировании. А уже сегодня его используют в своих разработках такие гиганты, как Apple, Twitter, Facebook, Google и Instagram. На базе Netty построены многие известные проекты с открытым кодом: Infinispan, HornetQ, Vert.x, Apache Cassandra и Elasticsearch. Попробуем разобраться, чем Netty так привлекает программистов со всего мира и что он может предложить такого, чего бы не было в JDK.

Мы живем в прекрасном мире, где программисты не стесняются выкладывать различные вкусности в паблик — нужно лишь знать, где их искать. Достаточно побродить по GitHub и другим площадкам для размещения кода, и ты найдешь решение для любой проблемы. Даже для той, которой у тебя до этого момента и не было.

Восемнадцать лет назад компания Netscape Communications выпустила новую версию своего браузера — Netscape 2.0. Помимо таких крутых штук, как возможность задать цвет шрифта, вставить фрейм или анимированную гифку, в нем были представлены скрипты для исполнения в контексте загруженной страницы. Поделка получилась удачной — настолько, что Microsoft в своем ответном Internet Explorer 3.0 запустила поддержку JScript, собственного варианта скриптового языка для браузеров. И понеслось...

Старичок JavaScript, по правде говоря, был той еще хренью. Такую солянку подходов в разработке и хроническую неприязнь сообщества к проверенным временем методикам проектирования мне никогда не доводилось видеть. Потребовались долгие годы, чтобы в это мрачное царство стали пробиваться лучи света под названием «фреймворки»…

Проект w3af сильно выделяется среди многих других инструментов для исследования безопасности веб-приложений. Это не обычный сканер с жестко забитым функционалом, а фреймворк, позволяющий использовать более сотни различных плагинов для исследования сайта, поиска уязвимостей и их последующей эксплуатации.