🧐 Infosec — база по информационной безопасности!

Внутри собраны заметки, практики и разборы, которые помогают разобраться в ключевых аспектах безопасности систем и приложений. Это компактный справочник, который можно использовать как базу для дальнейшего изучения пентестинга, защиты приложений и инфраструктуры.

Оставляю ссылочку: GitHub 📱

➡️ Hacking Ready | #репозиторий

👍 Mindgrasp AI — инструмент для быстрого анализа и усвоения информации!

Это AI-ассистент для обучения, который позволяет загружать документы, видео или аудио и автоматически превращать их в структурированные материалы: краткие конспекты, ответы, карточки и тесты. Также можно задавать вопросы прямо по загруженному источнику и получать точные ответы на основе его содержания.

📌 Оставляю ссылочку: mindgrasp.ai

➡️ Hacking Ready | #ресурс

🤔 Знали, что один символ «*» может сделать ваши приватные данные общедоступными?

CORS — это механизм защиты, который ограничивает запросы между разными доменами. Если в конфиге сервера указана «звездочка», это разрешает любому вредоносному сайту в браузере жертвы отправить запрос к вашему API и прочитать ответ, включая персональные данные или токены.

Пример уязвимого заголовка, который отключает проверку источника:

Access-Control-Allow-Origin: *

Такая настройка допустима только для публичных API без авторизации.

Безопасный вариант с проверкой конкретного доверенного домена:

add_header 'Access-Control-Allow-Origin' 'https://trust.com';

Если нужно разрешить несколько сайтов, используйте динамическую проверку через белый список (White List):

if (allowedOrigins.includes(request.origin)) {
    response.setHeader('Access-Control-Allow-Origin', request.origin);
}

Мини-совет: Никогда не используйте сочетание Allow-Origin: * и Allow-Credentials: true, так как это позволяет атакующему красть куки и проводить CSRF-атаки.

🔥 Безопасный CORS — это когда вы точно знаете каждого «гостя», которому открываете дверь к своим данным.

➡️ Hacking Ready | #совет

🐱 Bash Cheatsheet — шпаргалка по Bash и Linux-командам!

Помогает быстро разобраться в работе с терминалом. Здесь собраны ключевые вещи: переменные, условия, циклы, работа с файлами, аргументы скриптов и базовые команды. Формат максимально простой, короткие примеры и конструкции, которые можно сразу использовать.

Оставляю ссылочку: GitHub 📱

➡️ Hacking Ready | #репозиторий

Пробрасываем локальный порт через SSH — доступ к закрытому сервису за одну команду!

Частый кейс: сервис крутится на удалённой машине, но слушает только localhost (например, база, админка, dev-сервер). Напрямую к нему не подключиться — но можно аккуратно протянуть порт к себе.

Команда:

ssh -L 8080:localhost:3000 user@remote-server

Что происходит: 8080 — локальный порт на твоей машине; localhost:3000 — адрес сервиса на удалённой машине; всё, что ты открываешь на localhost:8080, идёт через SSH на localhost:3000 на удалённой машине.

Теперь просто открываешь в браузере: http://localhost:8080
И видишь сервис с удалённой машины, даже если он не доступен извне.

Чтобы не держать терминал:

ssh -f -N -L 8080:localhost:3000 user@remote-server

Остановить можно, например:

pkill -f "ssh -L 8080"

Практический пример: PostgreSQL на сервере слушает только localhost:

ssh -L 5432:localhost:5432 user@remote-server

Теперь локально можно подключаться как будто база у тебя:

psql -h localhost -p 5432 -U user dbname

Если локальный порт уже занят — просто меняешь его:

ssh -L 9000:localhost:3000 user@remote-server

Важно: трафик шифруется через SSH, не нужно открывать порты на сервере; работает для любых TCP-сервисов (HTTP, DB, Redis и т.д.).

🔥 Это базовый приём: быстро получить доступ к любому закрытому сервису без изменения конфигурации сервера.

🚪 Linux Ready | #практика

📂 Карта ресурсов для изучения Linux!

На схеме структурированы направления: обучающие YouTube-каналы, профильные блоги, специализированная литература, популярные дистрибутивы, сертификации.

Это удобная схема — можно быстро понять, куда двигаться дальше и какие ресурсы использовать.

Сохраните, чтобы не потерять!

➡️ Hacking Ready | #ресурс

🤔 Как найти дыры в безопасности проекта одной командой?

Современные приложения строятся на сотнях сторонних библиотек, в которых регулярно находят критические уязвимости (CVE). Чтобы не превратить свой софт в решето для хакеров, нужно использовать встроенные сканеры зависимостей, которые сверяют версии ваших пакетов с базами данных известных угроз.

Проверка всех установленных пакетов Node.js на наличие дыр в безопасности:

npm audit

Автоматическое исправление мелких уязвимостей путем обновления версий пакетов:

npm audit fix

Глубокое сканирование Python-зависимостей из файла requirements.txt:

pip install safety && safety check -r requirements.txt

Мини-совет: Включайте эти команды в ваш CI/CD пайплайн (например, GitHub Actions), чтобы блокировать сборку проекта, если в нем обнаружены критические уязвимости.

🔥 Пятисекундная проверка защитит вас от использования кода с бэкдором, о котором вы даже не подозревали.

➡️ Hacking Ready | #совет

📂 Напоминалка по сетевым портам!

Например, порт 22 используется для SSH-подключений, а 443 — для защищённого HTTPS-трафика. Порты — основа любого взаимодействия между клиентом и сервером.

На картинке — 18 основных портов.

Сохрани, чтобы не забыть!

➡️ Hacking Ready | #ресурс

📂 Наглядное сравнение основных видов межсетевых экранов!

Таблица охватывает packet-filtering, stateful inspection, proxy, circuit-level, software, hardware, cloud и next-gen firewalls, показывая, как каждый из них фильтрует трафик, проверяет соединения и защищает сеть.

Идеально для быстрого понимания различий между базовой фильтрацией, глубокой инспекцией пакетов и современными NGFW.

➡️ Hacking Ready | #ресурс

🤔 Знали, что ваш «неприступный» фаервол может пропускать трафик через IPv6?

Многие администраторы настраивают правила безопасности только для IPv4, забывая, что современные ОС включают IPv6 по умолчанию. Это создает «черный ход»: сервис, закрытый снаружи по обычному IP, может быть полностью доступен через свой IPv6-адрес, чем активно пользуются сканеры уязвимостей.

Проверка текущих правил фильтрации специально для протокола IPv6:

sudo ip6tables -S

Быстрая команда для полной блокировки входящего трафика по IPv6 (если он вам не нужен):

sudo ip6tables -P INPUT DROP

Если IPv6 не используется, его можно полностью отключить на уровне ядра через sysctl:

sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1

Мини-совет: При настройке ufw или firewalld обязательно убедитесь в конфигах, что поддержка IPv6 включена (IPv6=yes), чтобы правила дублировались для обоих протоколов.

🔥 Безопасность — это когда закрыты все двери, а не только та, в которую вы привыкли заходить.

➡️ Hacking Ready | #совет

😎 krxnotes — информативные шпаргалки по Linux и системам!

Это структурированная коллекция заметок по Linux и смежным темам: процессы, файловые системы, shell и работа с ядром. Материал ориентирован на практическое понимание того, как устроена система на низком уровне. Информация подаётся в компактном формате без избыточной теории, с акцентом на реальные сценарии использования.

Оставляю ссылочку: GitHub 📱

➡️ Hacking Ready | #репозиторий

🤔 Как защитить систему от исчерпания ресурсов одной командой!

В Linux каждый процесс имеет лимит на количество открытых файлов (дескрипторов). Настройка мягких лимитов позволяет ограничить аппетиты потенциально уязвимого софта, предотвращая ситуацию, когда один процесс захватывает все системные ресурсы и вызывает отказ в обслуживании всей системы.

Просмотр текущего мягкого лимита на количество одновременно открытых файлов:

ulimit -Sn

Установка временного ограничения на 2048 дескрипторов для текущей сессии:

ulimit -n 2048

Это не даст процессам в этой оболочке открыть файлов больше, чем разрешено, сохраняя стабильность ОС.

Для постоянной настройки лимитов конкретного пользователя отредактируйте конфиг:

sudo nano /etc/security/limits.conf
# Добавьте строку: username soft nofile 2048

Мини-совет: Проверить лимиты уже запущенного процесса можно через файловую систему proc, выполнив cat /proc/[PID]/limits.

🔥 Правильные лимиты — это страховка от того, что ошибка в коде или атака «положит» весь ваш сервер.

➡️ Hacking Ready | #совет

📂 Напоминалка как работает SSH!

Например, при подключении по SSH сначала устанавливается TCP-соединение, затем происходит согласование версий и алгоритмов, после чего выполняется key exchange и аутентификация по ключам.

На картинке — полный процесс: от установления соединения до выполнения команд внутри зашифрованного канала.

Сохрани, чтобы не потерять!

➡️ Hacking Ready | #ресурс

📂 Разбор DNS Record Types!

Это наглядная шпаргалка по основным DNS-записям. Таблица охватывает A и AAAA для IPv4/IPv6, CNAME для алиасов, MX для почты, PTR для reverse DNS, NS для name servers, SOA для административных данных и TXT для произвольной информации. Идеально для быстрого понимания, как DNS связывает домены, IP-адреса и почтовую инфраструктуру.

➡️ Hacking Ready | #ресурс

❤️ Ravesli — курс по Linux с разбором системы и практикой!

От базовых понятий и структуры системы до понимания дистрибутивов и принципов работы ОС. Материал построен последовательно и помогает сформировать целостное представление о Linux. Уроки ориентированы на системное понимание: объясняется не только работа команд, но и логика самой системы.

📌 Оставляю ссылочку: ravesli.com

➡️ Hacking Ready | #сайт