All’interno del vasto mondo dei tool per la Osint (spesso ne abbiamo parlato su questo blog), abbiamo Osintgram, un tool per effettuare Open Source Intelligence attraverso il noto social network di proprietà di Facebook (tra poco Meta), ovvero Instagram. Alcune premesse, come presenta il repository GitHub del progetto sono importanti da fare: E’ declinata qualsiasi responsabilità per un uso scorretto del tool che serve solo a scopo didattico; Non puoi ottenere informazioni dai profili privati. Puoi ottenere informazioni solo da un profilo pubblico o da un profilo che segui. Gli strumenti che affermano di avere successo in questo modo sono truffe! L’errore

Lo strumento L0phtCrack, Il decennale strumento di controllo e ripristino delle password del famoso gruppo hacker L0pht, è ora finalmente disponibile per tutti in licenza open source. In breve, L0phtCrack è nato nel 1997 da un gruppo di hacker chiamato L0pht Heavy Industries. In particolare, la creazione dello strumento è attribuita a Peiter C. Zatko (con l’alias Mudge che parlò al senato degli Stati Uniti D’America della sicurezza di internet), il quale in seguito ha lavorato per la Defense Advanced Research Projects Agency (DARPA), Google e, recentemente con Twitter. L0phtCrack funge da strumento per valutare la sicurezza della password e recuperare le

Autore: Massimiliano Brolli Data Pubblicazione: 22/10/2021 Tutti conosciamo la famosa Kali Linux, affidabile compagna nelle attività di penetration test, prodotta da Offensive Security, derivata e basata su Debian. Ma tra le tante distribuzioni Linux create per effettuare dei penetration test, già incontrate in precedenza, c’è n’è una, la cui community è principalmente Italiana, fondata da Raffaele Forte di origini calabresi, poi trasferito a Torino circa 10 anni fa per lavorare come consulente sempre in materia di Offensive Security per note aziende internazionali. Si tratta di BackBox, della quale vogliamo parlare oggi con Raffaele Forte. BackBox, la distribuzione per penetration test italiana. Si

Per la serie Programmi Hacker, oggi parliamo di Getallurls. Getallurls (Gau) sta appunto per get all url, ed è uno strumento gratuito, open source disponibile su GitHub che viene utilizzato per estrarre da un determinato dominio tutti gli URL disponibili. Viene anche utilizzato sia per la ricognizione dei sottodomini su siti Https o Http. Gau è scritto in GO. Getallurls (gau) recupera gli URL noti da AlienVault, Wayback Machine e Common Crawl per un determinato dominio. Ispirato ai waybackurl di Tomnomnom. L’installazione da Binary è il modo più semplice, pertanto scaricate i binari precompilati dalla pagina delle versioni pronti all’uso. Scarica il

PortSwigger ha recentemente rilasciato una nuova versione di Burp Suite 2021.9 per utenti Professional e Community con varie correzioni di bug e miglioramenti. Burp Suite è ben noto con il suo nome informale, “Pentester’s Swiss Army Knife”, è un set completo di strumenti per il penetration test su applicazioni web. Questo strumento di sicurezza è sviluppato e mantenuto da PortSwigger ed è scritto in Java che consente il test di sicurezza delle applicazioni web. Contiene vari strumenti interni, come: Proxy Target Scanner Spider Intruder Repeater Collaborator client Clickbandit Sequencer Decoder Extender Comparer Miglioramento in Burp Suite 2021.9 PortSwigger ha applicato diversi miglioramenti

Microsoft ha rilasciato una versione Linux della popolarissima utility di monitoraggio del sistema Sysmon per Windows, che consente agli amministratori Linux di monitorare i dispositivi per attività dannose. Per coloro che non hanno familiarità con Sysmon (alias System Monitor), è uno strumento che monitora un sistema per attività dannose e quindi registra qualsiasi comportamento rilevato nei file di registro di sistema. La versatilità di Sysmon deriva dalla capacità di creare file di configurazione personalizzati che gli amministratori, i quali possono utilizzarli per monitorare eventi di sistema specifici che potrebbero indicare attività dannose nel sistema. Ieri, Mark Russinovich di Microsoft e cofondatore della

Mentre la Black Hat e la DEF CON svaniscono dalla memoria e riappariranno tra meno di un anno nelle nostre menti, è giunto il momento di rifornire l’arsenale di strumenti di sicurezza. Dato l’ambiente sempre più pericoloso e complesso della sicurezza informatica, è una fortuna che i ricercatori di sicurezza abbiano lavorato duramente per creare nuove utility, molte delle quali gratuite e open source. Ecco una carrellata degli ultimi strumenti di hacking disponibili per penetration tester, red-team e altri “curiosi” disponibili all’inizio del quarto trimestre del 2021. TruffleHog: trova le chiavi segrete nel codice JavaScript Si tratta di una estensione del browser

Il team di sicurezza di Facebook mercoledì ha tirato il sipario su Mariana Trench, uno strumento open source che ha utilizzato internamente per identificare le vulnerabilità nelle applicazioni Android e Java. Facebook ha costruito internamente Mariana Trench per gestire l’analisi delle applicazioni su larga scala, per aiutare a ridurre significativamente il rischio di fornire errori di sicurezza e privacy in produzione. Progettato per automatizzare l’analisi del codice, questo è il terzo strumento di analisi statica e dinamica che Facebook ha reso pubblico, dopo il rilascio di Zoncolan e Pysa nel 2019 e 2021. Lo strumento (disponibile su Github) può scansionare grandi basi