🔒 Книга: «Грокаем безопасность веб-приложений»

Здесь вы найдете все, что нужно практикующему разработчику для защиты приложений как в браузере, так и на сервере.

Проверенные на практике методы применимы к любому стеку и проиллюстрированы конкретными примерами из обширного опыта автора.

— Вы освоите обязательные принципы безопасности и даже узнаете о методах и инструментах, которые используют злоумышленники для взлома систем.

🔗 Статья

// BACKDOOR

📶 Стали известны детали Wi-Fi 8. Он работает не так, как все предыдущие

Wi-Fi 7 едва успели утвердить официально, а в отрасли уже обсуждают преемника — Wi-Fi 8. И на этот раз ставка делается не на скорость, а на стабильность.

Qualcommв своём релизе подчеркнула, что Wi-Fi 8 не стремится побить рекорды по пропускной способности.

Вместо этого новая технология сосредоточена на снижении задержек, устойчивой работе в перегруженных сетях и стабильной передаче данных в условиях сильных помех.

// BACKDOOR

🩻 Коллекция уязвимых фрагментов кода для обучения и тестирования безопасности

Vulnerable Code Snippets — это репозиторий, содержащий примеры уязвимого кода на различных языках программирования, предназначенный для обучения разработчиков и специалистов по безопасности выявлению и предотвращению распространенных ошибок в коде.

— Он позволяет изучить реальные примеры уязвимостей, понять причины их возникновения и научиться разрабатывать более безопасный код.

Влючает в себя фрагменты кода, демонстрирующие различные типы уязвимостей, такие как SQL-инъекции, межсайтовый скриптинг (XSS), переполнение буфера и другие, а также рекомендации по их устранению.

🔗 GitHub

// BACKDOOR

🤨 Обзор программ для подбора паролей к админ-панелям CMS

Представьте: вы забыли пароль от админки своего сайта. Паника? Не обязательно.

Существуют программы, которые могут помочь восстановить доступ — или, наоборот, стать угрозой, если их использует злоумышленник.

— В этом обзоре разберем популярные инструменты для подбора паролей к CMS, обсудим их особенности и… как не стать жертвой таких атак.

Спойлер: даже если вы никогда не планировали взламывать сайты, знать эти инструменты полезно — чтобы понимать, как защититься.

🔗 Статья

// BACKDOOR

👩‍💻 5 платформ для Bug Bounty

В этом посте отобрали для вас пять самых популярных сайтов на которых можно принять участие в поисках уязвимости за вознаграждение (Bug Bounty).

1. HackerOne

Ведущая платформа, известная своими разнообразными программами вознаграждения.

Благодаря глобальному сообществу экспертов по безопасности и многочисленным партнерским организациям HackerOne предлагает широкие возможности для заработка.

2. Bugcrowd

Это надежная платформа, которая объединяет квалифицированных специалистов по безопасности с компаниями, стремящимися укрепить свои цифровые активы.

Обладая удобным интерфейсом и широким спектром программ, Bugcrowd является отличным выбором как для начинающих, так и для опытных охотников за ошибками.

3. Synack

Он выделяется своим уникальным подходом к кибербезопасности.

Предлагает сплоченное сообщество этичных хакеров и платформу, которая делает упор на сотрудничество.

4. Detectify

Фокусируется на автоматизированной оценке безопасности.

Это идеальная платформа для людей, желающих повысить свои навыки, внося свой вклад в сообщество кибербезопасности.

5. Cobalt

Привносит уникальное сочетание человеческих навыков и технологий в пространство bug bounty.

Их платформа сочетает в себе опыт глобального сообщества хакеров с платформой, оптимизирующей процесс и обеспечивающей впечатляющие результаты.

// BACKDOOR

🤒 От обфускации к payload: вскрытие Snake Keylogger шаг за шагом

Snake Keylogger — один из тех .NET-образцов, что на первый взгляд кажутся простыми, но на деле используют нетривиальный способ упаковки полезной нагрузки.

— В этом материале мы пошагово разберем процесс распаковки, рассмотрим, как извлекаются скрытые PE-файлы, и что делает зловред после их загрузки в память.

🔗 Статья

// BACKDOOR

☁️ Let's Encrypt перешёл на CRL — теперь без слежки за IP и сайтами

Let's Encrypt окончательно отключил сервис OCSP (Online Certificate Status Protocol), заменив его на CRL (Certificate Revocation Lists).

Как напомнили в организации, URL-адреса OCSP больше не включались в сертификаты с апреля 2025 года, а срок действия всех старых сертификатов уже истёк.

Основная причина отказа от OCSP — защита конфиденциальности пользователей.

При проверке статуса сертификата через OCSP браузер раскрывает Центру сертификации (CA) IP-адрес пользователя и посещаемый сайт.

// BACKDOOR

💀 Инструмент для создания вредоносных программ и эксплуатации уязвимостей

TheFatRat — это инструмент, предназначенный для упрощения процесса создания вредоносных программ (payloads) и эксплуатации известных уязвимостей.

— Инструмент может использоваться для проведения тестов на проникновение и оценки безопасности, важно отметить, что он также может быть использован в злонамеренных целях.

🔗 GitHub

// BACKDOOR

🤒 Harvest Now Decrypt Later: как квантовые компьютеры превратят сегодняшние секреты в завтрашние новости

«Harvest now, decrypt later» — по-русски можно сказать «собирай сейчас, взламывай потом».

И да, это происходит прямо сейчас, пока вы читаете эти строки.

Логика простая до неприличия. Хакеры массово собирают зашифрованные данные. Расшифровать их сегодня? Почти нереально.

— Но они терпеливо ждут появления квантовых компьютеров. А те, как обещают учёные, смогут разгрызть большинство современных алгоритмов шифрования буквально за часы.

🔗 Статья

// BACKDOOR

👮‍♀ Мощные хакерские инструменты

1. WiFi Bruteforcer — Android-приложение для брутфорса паролей WiFi;

2. Nexphisher — продвинутый инструмент фишинга для Linux и Termux;

3. Hijacker — универсальный инструмент для взлома Wi-Fi для Android.

// BACKDOOR

❗️ Как автор взламывал Telegram

Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные.

— Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался.

Но, не ошибается тот, кто ничего не делает!

🔗 Статья

// BACKDOOR

🎩 Более 29 000 серверов Exchange уязвимы перед серьезным багом

29 000 серверов Exchange уязвимы перед проблемой CVE-2025-53786, которая позволяет атакующим перемещаться внутри облачных сред Microsoft, что потенциально может привести к полной компрометации домена.

CVE-2025-53786 позволяет злоумышленникам, уже получившим административный доступ к on-premises серверам Exchange, повысить привилегии в подключенной облачной среде организации путем подделки или манипуляции доверенными токенами и API-запросами.

— Такая атака практически не оставляет следов, что затрудняет ее обнаружение.

// BACKDOOR

🐞 Коллекция словарей для Bug Bounty и тестирования на проникновение

Bug Bounty Wordlists — это репозиторий, содержащий обширную коллекцию списков слов, которые используются для проведения атак перебором, обнаружения скрытых файлов и директорий, а также для других задач в рамках Bug Bounty программ и тестирования на проникновение.

Репозиторий включает в себя различные типы списков слов, такие как общие имена файлов и директорий, часто используемые пароли, параметры URL.

— И другие, что делает его ценным ресурсом для специалистов по безопасности, занимающихся поиском уязвимостей в веб-приложениях и других системах.

🔗 GitHub

// BACKDOOR

🎩 Уклонение от Sysmon при вредоносной активности Red Team

Sysmon (System Monitor) — это часть набора инструментов Sysinternals, разработанного Microsoft.

Он регистрирует системную активность и предоставляет подробную информацию о создании процессов, сетевых подключениях и изменениях времени создания файлов.

Это делает его полезным для специалистов ИБ и системных администраторов при мониторинге и обнаружении подозрительной активности в системе.

— В руководстве рассмотрим довольно простой способ уклонения от Sysmon.

🔗 Статья

// BACKDOOR

💀 Как найти человека по номеру телефона в социальных сетях: проверенные способы

По статистике, обычный человек привязывает свой номер к полутора десяткам сервисов.

Соцсети особенно этим грешат.

— Они не только просят номер при регистрации, но и активно предлагают добавить в друзья тех, чьи номера есть у вас в телефоне. Алгоритмы работают так хитро, что порой становится не по себе.

Поиск людей по номеру телефона — это реальность нашего времени. Технологии дают нам невероятные возможности.

🔗 Статья

// BACKDOOR

📶 Shodan – самый страшный поисковик Интернета

«Если люди не могут найти что-то в Google, они думают, что это не сможет найти никто. Это не так»

–утверждает Джон Мэзерли, создатель Shodan.

В отличие от Google, который ищет в Сети простые сайты, Shodan работает с теневыми каналами Интернета.

— Это своего рода «черный» Google, позволяющий искать серверы, веб-камеры, принтеры, роутеры и самую разную технику, которая подключена к Интернету и составляет его часть.

🔗 Статья

// BACKDOOR

🌐 Менеджеры паролей KeePass и KeePassXC

Главные правила безопасного использования паролей:

1. Пароль должен быть сложным;
2. Нельзя использовать один и тот же пароль на разных сайтах и сервисах, поскольку компрометация вашего пароля;
3. Пароли не должны храниться на компьютере в текстовых файлах, а также в общедоступных местах.

— При соблюдении этих условий, нужно помнить большое количество сложных паролей, что на практике невозможно.

Помочь в этой ситуации может менеджер паролей — программа, которая хранит в зашифрованном виде ваш пароль. То есть вместо множества паролей, вам достаточно запомнить один мастер-пароль.

🔗 Статья

// BACKDOOR

😩 APT-группировки стали чаще использовать фишинг

Во втором квартале 2025 года специалисты Positive Technologies зафиксировали рост активности киберпреступных групп и хактивистов в отношении российских организаций.

— В качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и в 0-day атаках.

Для рассылок злоумышленники часто регистрируют домены, визуально имитирующие легитимные, прибегают к захваченным реальным почтовым ресурсам, либо покупают инфраструктуру у третьих лиц, которым доверяют рассылку фишинга.

// BACKDOOR

🥸 Сборник ресурсов для веб-хакинга

Web_Hacking — это репозиторий, содержащий коллекцию ресурсов, инструментов и техник, связанных с веб-хакингом и безопасностью веб-приложений.

— Инструмент предоставляет набор ссылок на статьи, руководства, инструменты, CTF (Capture The Flag) задачи и другие материалы, охватывающие различные аспекты веб-хакинга, такие как XSS, SQL injection, CSRF, SSRF и другие.

Он может использоваться для обучения, тестирования на проникновение и разработки безопасных веб-приложений.

🔗 GitHub

// BACKDOOR

🎩 Как работать с CAN-шиной в Bettercap

Bettercap — это универсальная утилита для сетевых атак и мониторинга.

Она позволяет исследовать уязвимости Wi-Fi-сетей, устройств с Bluetooth Low Energy и проводить различные атаки.

— В статье автор расскажует, как выполнять эти операции с помощью основных команд и параметров Bettercap.

🔗 Статья

// BACKDOOR