Важная информация
Весь контент несет лишь исключительно познавательный характер. Все предоставленное ПО находится в публичном доступе и прилагается для анализа, и ознакомления.
EVA (Exploit Vector Agent)
Агент для тестирования на проникновение с искусственным интеллектом, который помогает пользователям пройти полный цикл тестирования на проникновение с помощью стратегии атак на базе искусственного интеллекта, автономного генератора команд и анализа уязвимостей в реальном времени на основе результатов.
Abdal XML-RPC Blaster
Высокопроизводительная утилита, разработанная для сред на базе WordPress. Она позволяет имитировать интенсивный трафик к конечной точке `xmlrpc.php` в контролируемом многопоточном режиме, что помогает оценить поведение системы в условиях нагрузки.
Shannon
Открытый проект от KeygraphHQ, представляющий собой полностью автономного AI-пентестера, предназначенного для поиска и эксплуатации реальных уязвимостей в веб-приложениях. Основная идея: "взломать ваше приложение до того, как это сделает кто-то другой". Shannon фокусируется исключительно на эксплуатируемых уязвимостях, предоставляя готовые proof-of-concept эксплойты для подтверждения.
CVE-2025-60709 - Weaponized CLFS LPE
Критическая уязвимость локального повышения привилегий в драйвере Windows Common Log File System (clfs.sys). Позволяет аутентифицированному локальному атакующему (low-privileged user) повысить привилегии до NT AUTHORITY\SYSTEM через out-of-bounds read => arbitrary kernel write.
Star Stealer [Source]
Полнофункциональный Stealer с модульной архитектурой, обфускацией и защитными механизмами. Проект демонстрирует техники кражи данных, обхода защиты и скрытности. Имеет подключение по webhook к Discord и Telegram.
Объяснение уязвимостей сеансового взлома [Complete web app pentesting series #17]
Представьте, что вы перестали сдавать ключ-карту от офиса, но она по-прежнему открывает здание спустя несколько месяцев. Именно в этом заключается обход истечения сеанса входа в Facebook в приложении Facebook Creator. Несмотря на то, что пользователи выходили из системы со всех устройств или меняли пароли, злоумышленники могли пользоваться постоянным доступом — загружать или удалять посты, отправлять сообщения подписчикам до бесконечности. Это была уязвимость, связанная с сохранением сеанса, а не с кражей сеанса. У вас было несколько функций, при которых приложение отображало сообщение «Сеанс истек», но на самом деле закрывало на это глаза. Поле игры было таким для предприятий и создателей контента, ставки были невероятно высоки: если...
Rabbit Stealer
Современный Stealer, построенный на базе Next.js 15, с расширенной аналитикой, безопасностью и оптимизацией производительности. Имеет большой ряд функционала от статистики до создания билда прям из панели. Также имеются функции API для автоматизации управления.
Phantom Stealer
Проект Stealer написанн на Go. Демонстрирует извлечение пароля из браузера, кражу криптовалютных кошельков, захват токенов Discord и сессий Telegram. Включает в себе методы обхода анализа. Для управления проект подключается через веб-хуки к Telegram или Discord.
CVE-2025-55182 - RCE React.js
Критическая уязвимость удалённого выполнения кода в React Server Components (RSC), которая позволяет неаутентифицированному атакующему выполнять произвольный код на сервере путём отправки специально сформированного HTTP-запроса на эндпоинты Server Functions. Затрагивает популярные фреймворки, такие как Next.js с App Router и Server Actions.