😑 Фишинг через email vs соцсети

Фишинг — один из самых распространённых методов атак. Но какой канал более уязвим для обмана: email или соцсети?

Давайте разберём, в чём различие между этими подходами.

➡️ Аргументы за email:

— Это привычный формат общения с компаниями, что делает атаки через фальшивые уведомления от известных брендов более убедительными

— Легко использовать шаблоны для массовых рассылок, что повышает конверсию фишинговых страниц

— Пользователи доверяют email и редко ожидают фишинг, что делает их уязвимыми

➡️ Аргументы за соцсети:

— Пользователи часто открывают сообщения в соцсетях без опасений, что делает их уязвимыми из-за привычки общаться с друзьями и знакомыми

— Через соцсети легче атаковать конкретных пользователей, ведь персонализированные сообщения более эффективны, чем массовые рассылки

— В соцсетях фишинг может происходить не только через личные сообщения, но и через комментарии, фальшивые группы или видео

💬 А как вы считаете? Где фишинг проще: через email или через соцсети?

Поделитесь своим мнением в комментариях! ⤵️

🐸 Библиотека хакера

#междусобойчик

📌 Подборка шпаргалок по сетевым протоколам

С фокусом на маршрутизацию, туннелирование и уязвимости сетевой инфраструктуры:

➡️ IPsec — компактная шпаргалка с таблицами алгоритмов (AH, ESP, IKE, AES/SHA). Полезно для разбора VPN и туннелей.

➡️ BGP — подробный разбор атрибутов, состояний соседства, конфигурации, порта TCP 179. Актуально при анализе BGP hijack.

➡️ OSPF — материал уровня CCNA: LSA-типы, зоны, Router ID, DR/BDR. Часто встречается в корпоративных сетях.

➡️ Scribd — таймеры, роли портов, стоимость линков. Основа для L2-атак (например, root takeover).

➡️ Cisco Learning Network – кратко про LCP, PAP/CHAP, NCP. Основа старых VPN (PPTP, L2TP).

Сохраняйте себе — пригодится 😏

🐸 Библиотека хакера

#свежак

🗂️ Внедрение через загрузку файлов

Вы тестируете веб-приложение, где пользователи могут загружать аватары. Серверный код представлен на картинке (упрощенно).

И замечаете, что файлы доступны по прямым ссылкам, например:

https://example.com/uploads/exploit.php

Какую атаку вы попробуете первой ❓

🐸 Библиотека хакера

#междусобойчик

🤑 Топ-вакансий для хакеров за неделю

Lead Network Administrator — от 260 000 до 280 000 ₽, гибрид (Москва)

Аналитик информационной безопасности SOC L1, L2 -- гибрид (Москва)

Преподаватель курса по информационной безопасности — от 130 000 ₽, офис (Новосибирск)

Инженер по внедрению и технической поддержке MFA Server — от 130 000 до 180 000 ₽, офис/гибрид (Москва)

Главный специалист-эксперт по ИБ — 130 000 ₽, офис (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

⭐️ Инструмент недели: умный сканер XSS-уязвимостей

Dalfox — быстрый и точный инструмент для поиска XSS во входных точках веб-приложений. Работает на Go, подходит как для ручного аудита, так и для автоматизации.

Зачем использовать:

— Находит reflected, stored и blind XSS с учётом контекста инъекции.

— Анализирует ответы сервера, отражения и поведение фильтров.

— Поддерживает ввод URL через stdin, файлы, или Burp Suite-запросы.

— Обрабатывает параметры в теле запроса, заголовках, cookie и JSON.

— Умеет работать в параллельном режиме — подходит для массового сканирования.

Как использовать:

⚪️ Установка:

go install github.com/hahwul/dalfox/v2@latest

⚪️ Пример сканирования:

dalfox url "https://example.com/search?q=test"

⚪️ Список URL из файла:

dalfox file urls.txt

⚪️ Blind XSS через сервер-приёмник:

dalfox url "https://example.com" --blind https://xss.yourdomain.com

⚪️ Анализ всех параметров сайта:

dalfox url "https://example.com" --discover

⚠️ Dalfox не заменяет ручной аудит — особенно в сложных одностраничных приложениях. Но он отлично справляется с типовыми кейсами и даёт результат уже на этапе сбора поверхностных уязвимостей.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#буст