Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
12.5K subscribers
2.08K photos
123 videos
169 files
3.11K links
Все самое полезное по инфобезу в одном канале.

Список наших каналов: https://t.me/proglibrary/9197

Для обратной связи: @proglibrary_feeedback_bot

По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
Download Telegram
🪄 Burp Suite обновился

PortsWigger выпустил свежий патч для Burp Suite (1 октября).
В нём — исправления стабильности, улучшения работы Proxy и мелкие security-фиксы.

Если вы активно используете Burp — обязательно обновитесь:
• старые плагины могут работать нестабильно;
• обновление повышает совместимость с последними Java-версиями;
• в Pro-версии улучшили работу Intruder и Repeater.

🔁 Проверить: Help → Check for updates
или скачайте последнюю сборку

🐸 Библиотека хакера

#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21
💥 Один заражённый пакет — тысячи уязвимых проектов

Иногда атака приходит не через уязвимый сервер, а прямо из зависимостей.
Недавний кейс с npm/pip показал, как вредоносное обновление смогло попасть в CI/CD и скомпрометировать сборки без участия разработчиков.

➡️ В карточках — коротко о том, как это произошло, почему почти никто не заметил и какие шаги помогут защититься от подобных supply-chain атак.

🐸 Библиотека хакера

#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥1
📌 Шпаргалка по SQL JOIN

Компактный референс для мгновенного понимания: INNER, LEFT, RIGHT, FULL — что возвращают и когда применять.

➡️ Идеально для быстрого сопоставления логов, поиска аномалий и разведки по данным.

🐸 Библиотека хакера

#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍1
💥 Весь октябрь -40% на курсы для разработчиков в proglib.academy

Бери знания под свой стек:
Python | алгоритмы | математика для Data Science | архитектура кода.

Пока одни ждут «идеальный момент», другие просто учатся.
А потом берут ваши офферы.


⚡️ Пока скидка действует, апдейтни свои навыки
2
🧩 Хакер-челлендж

На проде магазина замечают странные списания: одни пользователи платят дважды, у других приходит товар без списания. Вот фрагмент логов (время в ms).

Что наиболее правдоподобно объясняет произошедшее, голосуйте эмодзи

🔥 — Неправильно реализован механизм идемпотентности: Idempotency-Key не проверяется глобально/атомарно (ключ принимается разными бекендами), из-за чего созданы две транзакции.

👾 — Race condition/несинхронизированное состояние между бэкендами: параллельные запросы обрабатываются разными экземплярами, каждый создал транзакцию до репликации/блокировки.

❤️ — Replay-атака: перехват и повторная отправка запроса с тем же ключом с других IP.

👍 — Интеграционный баг с платёжным провайдером: двойное создание транзакции на стороне провайдера или несогласованность статусов.

🐸 Библиотека хакера

#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
👾1211👍1🔥1🥱1
🔥 WatchGuard анонсирует новые устройства

WatchGuard выпустил новые rackmount-устройства Firebox M Series, которые обеспечат вам:

🔴 Высокую производительность фаервола — максимальная защита с минимальными задержками.

🔴 Интеграцию с Zero Trust Network Access через FireCloud — полный контроль доступа по принципу Zero Trust.

🔴 Упрощённую развертку и масштабируемость — идеальны для MSP и гибридных сетей.

Эти устройства — отличное решение для высокозащищённых корпоративных сетей, где важна безопасность и масштабируемость.

🔗 Подробнее на сайте

🐸 Библиотека хакера

#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥2👍1🔥1
⚡️ Легенды хакерского мира

В 2011 году Sony пережила одну из крупнейших атак в истории гейминга. Неизвестные взломали PlayStation Network, похитив данные 77 миллионов пользователей — от логинов до истории покупок.

Сеть легла на 23 дня: миллионы игроков по всему миру не могли войти в аккаунты, а репутация Sony пострадала сильнее, чем её серверы.

Уязвимость оказалась не технической, а организационной — компания не обновила старые серверы и недооценила риск SQL-инъекций.

❗️ Этот случай стал хрестоматийным примером, как устаревшие системы и самоуверенность могут привести к катастрофе.

🐸 Библиотека хакера

#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
3👾3💯2
🔍 Разбор инцидента

Раннее мы выкладывали задачу 📎

В логах магазина видно два почти одинаковых запроса на оплату с одинаковым Idempotency-Key. Но обработаны они разными инстансами: один вернул статус processing, второй — paid. В итоге пользователю пришёл товар, но система зарегистрировала две транзакции.

Что могло привести к ошибке:

1. 🔥 Неправильно реализована идемпотентность: проверка Idempotency-Key не выполняется централизованно или атомарно. Из-за этого два разных инстанса приняли один и тот же ключ и создали две транзакции. Это самая вероятная причина проблемы.

2. 👾 Race condition: параллельные запросы были обработаны разными инстансами, что привело к созданию двух транзакций до синхронизации состояния между ними.

3. ❤️ Replay-атака: маловероятно, потому что IP-адреса в логах разные. Хотя теоретически возможно, что запрос был повторно отправлен с тем же ключом.

4. 👍 Интеграционный баг с платёжным провайдером: это также возможно, но не является основной причиной. Провайдер зарегистрировал оба статуса, но ошибки на его стороне не столь очевидны.


Правильный ответ:

Неправильно реализована идемпотентность: эта ошибка приводит к созданию двух транзакций с одинаковым ключом, так как проверка Idempotency-Key не была централизованной и атомарной, и запросы обработаны разными инстансами.

🐸 Библиотека хакера

#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥21