Уходит на Х
Загляните в профиль и найдёте:
Please open Telegram to view this post
VIEW IN TELEGRAM
😁3🌚1
🛡 Шпаргалка по MCP от Elastic Security Labs
Основные риски — поддельные тулзы, внедрение инструкций, доступ к ресурсам.
⚡️ Что делать: минимальные права, проверка серверов и клиентов, контейнеризация, логирование и подтверждение критичных операций.
🔗 Подробнее по ссылке
🐸 Библиотека хакера
#cheat_sheet #blue_team
Основные риски — поддельные тулзы, внедрение инструкций, доступ к ресурсам.
⚡️ Что делать: минимальные права, проверка серверов и клиентов, контейнеризация, логирование и подтверждение критичных операций.
#cheat_sheet #blue_team
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤1👍1
Cisco подтвердила 2 новые уязвимости в ASA и Firepower Threat Defense:
• CVE-2025-20333 (CVSS 9.9) — RCE через crafted HTTP-запросы (нужен VPN-логин).
• CVE-2025-20362 (CVSS 6.5) — обход аутентификации и доступ к закрытым эндпоинтам.
Что делать: срочно обновить ASA/FTD, ограничить доступ к management-интерфейсам, включить мониторинг логов и IDS/IPS.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4👏1
🧩 Blue vs Red: как править правила для реальных атак, а не тестов
Теория ≠ практика: срабатывания в тестах часто бесполезны в реале — либо потому что слишком много шума, либо потому что злоумышленник меняет маршрут и «обходит» правило за минуту.
❓ Вопрос от подписчика:
Делитесь реальными кейсами, примерами правил и скриптами/паттернами для снижения false positives🔜
🐸 Библиотека хакера
#ask_the_community
Теория ≠ практика: срабатывания в тестах часто бесполезны в реале — либо потому что слишком много шума, либо потому что злоумышленник меняет маршрут и «обходит» правило за минуту.
Какие правила/метрики детектинга реально работают против сложных атак, а какие — только шум?
Пишите реальные примеры эффективных правил и способы борьбы с false positives.
— Какие сигнатуры показали себя в продакшне?
— Какие метрики (precision, recall, MTTR и т.д.) вы считаете приоритетными для оценки качества детектинга?
— Как настроили пороговые значения и автоматическую фильтрацию шума?
— Какие практики снижают шум без потери обнаружения (enrichment, дедупликация, контекстные эвристики)?
Делитесь реальными кейсами, примерами правил и скриптами/паттернами для снижения false positives
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔4👍3🌚2
🤖 Курс «ИИ-агенты для DS-специалистов»
Последняя возможность в этом году освоить ИИ-агентов — курс стартует уже 3 октября! Первый вебинар пройдёт в день старта, а подробности вебинара можно найти на сайте.
📚 Бонус: при оплате до 30 сентября вы получите дополнительный лонгрид для подготовки к курсу. Это отличный способ подойти к занятиям уже с базой.
🔥 А ещё после прохождения курса у вас будет достаточно знаний, чтобы участвовать в хакатоне с призовым фондом 1 125 000 ₽.
🔗 Записаться на курс и узнать подробности
Последняя возможность в этом году освоить ИИ-агентов — курс стартует уже 3 октября! Первый вебинар пройдёт в день старта, а подробности вебинара можно найти на сайте.
📚 Бонус: при оплате до 30 сентября вы получите дополнительный лонгрид для подготовки к курсу. Это отличный способ подойти к занятиям уже с базой.
🔥 А ещё после прохождения курса у вас будет достаточно знаний, чтобы участвовать в хакатоне с призовым фондом 1 125 000 ₽.
🔗 Записаться на курс и узнать подробности
🔥3
Высокопроизводительный шаблонный сканер для быстрого поиска уязвимостей по шаблонам (YAML). Отлично подходит для массового сканирования и интеграции в pipeline.
— Быстрый запуск массовых проверок по сообществу шаблонов;
— поддержка HTTP, DNS, TCP, cloud-checks и пр.;
— лёгкая кастомизация шаблонов (YAML).
# простая проверка хоста по шаблону
nuclei -u https://target.example -t cves/ -o results.txt
# запустить с набором шаблонов из репозитория
nuclei -u urls.txt -t ~/nuclei-templates/ -o out.csv
— Поддерживай локальную копию nuclei-templates и обновляй их часто;
— в CI запускай сначала «quiet» режим и настраивай rate-limits, чтобы не утонуть в false-positives;
— комбинируй с fingerprinting (httpx) и предварительной фильтрацией.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2
После атаки Shai-Hulud, которая затронула экосистему npm, GitHub анонсировал новые правила безопасности для публикации пакетов:
— локальная публикация теперь только с 2FA;
— lifetime токенов сокращён до 7 дней;
— вводится модель **trusted publishing.
Это шаг к тому, чтобы снизить риск массовых компрометаций в цепочке поставок.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥2
🤖 Курс «ИИ-агенты для DS-специалистов»
Последняя возможность в этом году освоить ИИ-агентов с Proglib— старт живых вебинаров на курсе уже 3 октября!
Уже 24 студента изучают 5 лонгридов подготовительного модуля, чтобы сформировать базу к старту живых вебинаров с Никитой Зелинским.
📚 Бонус: при оплате до 30 сентября вы получите дополнительный лонгрид для подготовки к курсу. Это отличный способ подойти к занятиям уже с базой.
🔥 А ещё после прохождения курса у вас будет достаточно знаний, чтобы участвовать в хакатоне с призовым фондом 1 125 000 ₽.
🔗 Записаться на курс и узнать подробности
Последняя возможность в этом году освоить ИИ-агентов с Proglib— старт живых вебинаров на курсе уже 3 октября!
Уже 24 студента изучают 5 лонгридов подготовительного модуля, чтобы сформировать базу к старту живых вебинаров с Никитой Зелинским.
📚 Бонус: при оплате до 30 сентября вы получите дополнительный лонгрид для подготовки к курсу. Это отличный способ подойти к занятиям уже с базой.
🔥 А ещё после прохождения курса у вас будет достаточно знаний, чтобы участвовать в хакатоне с призовым фондом 1 125 000 ₽.
🔗 Записаться на курс и узнать подробности
👏1
Разработчик хранил access/refresh токены в SharedPreferences/NSUserDefaults. Исследователь распаковал сборку → нашёл токен → подставил Authorization: Bearer <token> — и вошёл в аккаунт жертвы.
— быстрое считывание токенов с устройства
— захват сессий — личные данные и действия от имени пользователя
— массовый фишинг по похищенным контактам
— срочный хотфикс, репутационный и юридический урон
— перевели секреты в Keychain / Android Keystore
— сделали короткие access-токены + одноразовые refresh
— привязали токен к устройству и детект reuse
— добавили сканы сборок и security-tests в CI
💡 Не храните токены в plain files — мобильный клиент не место для секретов.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🤔1👾1
This media is not supported in your browser
VIEW IN TELEGRAM
На одной схеме собраны ключевые элементы отрасли:
— топ-15 киберугроз,
— базовые механизмы защиты,
— модель CIA-триады,
— фреймворки (NIST, Zero Trust, Mesh),
— экосистема вендоров и решений.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍1
Чтобы не теряться в потоке постов, мы собрали удобную навигацию по тегам. Теперь всё нужное можно найти в пару кликов:
#cve_bulletin — свежие уязвимости (CVE, 0-day), крупные утечки и эксплойты.
#cheat_sheet — короткие и полезные шпаргалки: однострочники, Nmap/SQLmap/Bash-команды, готовые сниппеты.
#ctf_challenge — интерактивные задачи: найдите баг, разгадайте шифр или проанализируйте лог.
#tool_of_the_week — глубокие разборы инструментов и репозиториев с GitHub: возможности, плюсы и минусы.
#patch_notes — краткие сводки обновлений ключевых хакерских тулзов (Burp, Metasploit и др.).
#breach_breakdown — реальные кейсы: баг-баунти находки, пентесты и громкие атаки. От вектора до последствий.
#zero_day_legends — истории о культовых хакерах, легендарных вирусах и знаковых событиях ИБ.
#tool_vs_tool — голосования и сравнения конкурирующих инструментов: чьи фичи круче.
#hollywood_hack — разбор сцен взлома из фильмов и сериалов: где правда, а где фантазия.
#hack_humor — мемы, шутки и забавные инсайды из мира хакинга и IT-быта.
#resource_drop — еженедельные подборки топ-статей, докладов, курсов и видео.
#ask_the_community — площадка для ваших вопросов и советов от комьюнити.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2
🕵️♂️ Crypto-челлендж
Сервис генерирует 6-значные одноразовые пароли (OTP) через линейный конгруэнтный генератор (LCG).
Вам удалось подсмотреть подряд три значения:
Из документации известно:
— формула:
— параметры:
— итоговый OTP =
➡️ Ваша задача — восстановить состояние генератора и предскажите следующий 6-значный OTP.
❓ Какое число следующее:
🔥 — ≈
👾 — ≈
❤️ — ≈
👍 — ≈
🐸 Библиотека хакера
#ctf_challenge
Сервис генерирует 6-значные одноразовые пароли (OTP) через линейный конгруэнтный генератор (LCG).
Вам удалось подсмотреть подряд три значения:
426197, 013582, 790341
Из документации известно:
— формула:
X_{n+1} = (a * X_n + c) mod m— параметры:
a = 1103515245, c = 12345, m = 2^31— итоговый OTP =
X mod 1_000_000🔥 — ≈
812907👾 — ≈
541220❤️ — ≈
019874👍 — ≈
377654#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥1😁1👾1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2❤1