⚠️ CVE-2026-2531 — SSRF в MindsDB
В компоненте загрузки файлов (clear_filename) нашли SSRF: можно заставить сервер отправлять произвольные HTTP-запросы от своего имени.
Что это значит на практике:
— Доступ к внутренним API
— Попытки дернуть cloud metadata
— Пивот внутрь сети
Серьёзность «средняя», но всё упирается в окружение. Если сервер видит чувствительные сервисы — это уже не средний риск.
Фикс — обновление. Проверьте outbound-доступ и фильтрацию внутренних диапазонов.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cve_bulletin
В компоненте загрузки файлов (clear_filename) нашли SSRF: можно заставить сервер отправлять произвольные HTTP-запросы от своего имени.
Что это значит на практике:
— Доступ к внутренним API
— Попытки дернуть cloud metadata
— Пивот внутрь сети
Серьёзность «средняя», но всё упирается в окружение. Если сервер видит чувствительные сервисы — это уже не средний риск.
Фикс — обновление. Проверьте outbound-доступ и фильтрацию внутренних диапазонов.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰5🔥3
This media is not supported in your browser
VIEW IN TELEGRAM
Искать нужный фрагмент в часовом файле — сомнительное удовольствие. AudioGhost AI решает это через модель SAM-Audio: вы вводите текстовый запрос — инструмент находит и извлекает нужный звук.
— Поиск конкретных звуков по описанию
— Удобный веб-интерфейс
— Работа с крупными файлами без просадок по памяти
Подходит для OSINT, расследований, ресёрча и детального анализа записей. Вместо «переслушивать всё» — задаёте запрос и получаете результат.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3👍1
Оказалось, что даже 12-летний ASUS может стать полноценным Linux-сервером: хранить файлы, крутить Docker-контейнеры и разгружать основной ноут.
В карточках — зачем поднимать отдельный сервер, как его настроить и что на нём запустить (от JupyterLab до Home Assistant)
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤3🔥2
Системный интегратор ИБ «Бастион» разобрал более 20 инструментов.
• FileVault (macOS) — XTS-AES-128, шифрует весь диск, интеграция с T2.
• BitLocker (Windows) — AES-128/256 + TPM, можно шифровать диск целиком или разделы.
• LUKS (Linux) — стандарт де-факто, AES-256, гибкое управление ключами.
• Hat.sh / Cloaker — браузерное шифрование (XChaCha20-Poly1305, Argon2id).
• Picocrypt — XChaCha20 + Serpent, HMAC-SHA3, кроссплатформа.
• Dexios (Rust) — AES-256-GCM / ChaCha20-Poly1305, аудит NCC.
• Kryptor — CLI, XChaCha20-Poly1305 + Ed25519.
• Cryptomator — AES-256, шифрует каталог перед синком в Dropbox/Drive.
• Duplicati — бэкапы + AES-256 + дедупликация.
• RClone — NaCl SecretBox (XSalsa20-Poly1305), шифрованная синхронизация.
• VeraCrypt — AES, Serpent, Twofish, скрытые тома, каскады.
• Tomb — оболочка для LUKS + стеганография.
• zuluCrypt — GUI для cryptsetup.
• SiriKali — комбайн для CryFS, EncFS, gocryptfs и др.
• HSM — безопасное хранение ключей.
• SIEM — мониторинг аномалий.
• DLP — контроль утечек.
Шифрование без контроля доступа и мониторинга — половина защиты.
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤3🥰3
08-26_СУБД_Шпаргалка.pdf
437.1 KB
В шпаргалке десятки систем: реляционные, NoSQL, аналитические платформы и специализированные решения.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3
Что такое Second-Order SQL Injection?
инъекция «срабатывает» не сразу, а позже — когда сохранённые данные попадают в динамический SQL.
Как это выглядит на практике:
1. Пользователь сохраняет имя: test'--
2. Приложение кладёт это в БД.
3. Позже это значение вставляется в SQL без параметризации → инъекция.
👍 — знал/а
🔥 — не знал/а
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍4
AI-агент — это дыра в периметре?
Дать LLM доступ к браузеру и базе данных — звучит как начало взлома. В обновлённом курсе «Разработка AI-агентов» мы уделили особое внимание безопасности и юридическим аспектам.
Sec & Legal модули:
🔹 Изоляция. Контроль доменов и действий при управлении браузером/legacy-интерфейсами.
🔹 Data Privacy. Как развернуть решение с соблюдением 152-ФЗ. Юридическая обвязка и защита персональных данных.
🔹 Контроль. Внедрение
🔹 Log & Trace. Полная прозрачность действий системы для аудита.
Стартуй сейчас! Материалы пре-подготовки доступны сразу.
🎟 ПромокодAgent — скидка 10 000 ₽ (до 28 февраля).
👉 Безопасная разработка агентов
Дать LLM доступ к браузеру и базе данных — звучит как начало взлома. В обновлённом курсе «Разработка AI-агентов» мы уделили особое внимание безопасности и юридическим аспектам.
Sec & Legal модули:
🔹 Изоляция. Контроль доменов и действий при управлении браузером/legacy-интерфейсами.
🔹 Data Privacy. Как развернуть решение с соблюдением 152-ФЗ. Юридическая обвязка и защита персональных данных.
🔹 Контроль. Внедрение
Human-in-the-loop для утверждения критичных операций агента.🔹 Log & Trace. Полная прозрачность действий системы для аудита.
Стартуй сейчас! Материалы пре-подготовки доступны сразу.
🎟 Промокод
👉 Безопасная разработка агентов
🥰4
Please open Telegram to view this post
VIEW IN TELEGRAM
👾4😢2🔥1
Лёгкий инструмент для поиска открытых портов на хостах. Подходит для быстрой разведки перед углублённым анализом.
— SYN / CONNECT / UDP-сканирование
— Работа с одним хостом или списком целей
— Вывод только откликающихся портов
— Удобен для автоматизации и CI
Используется для первичного профилирования поверхности атаки: быстро понять, какие сервисы доступны извне.
Docker-образ:
registry.cybercodereview.ru/cybercodereview/security-images/naabu:2.1.9
Результаты можно импортировать в Security Center через API (POST + JSON-отчёт).
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🥰3🔥2
🧱 Замедляли Telegram — лег git kernel org
Последнюю неделю разработчики жалуются:
Картина типичная: не падение сервера, а фильтрация трафика. Параллельно под ограничения попали Yocto, Zephyr, Buildroot и другие ресурсы, от которых зависят сборки Linux и embedded-проектов.
⚠️ Что здесь важно:
Фильтрация трафика затронула upstream-репозитории. Доступ к исходникам и обновлениям у части разработчиков работает только через VPN.
🔤 Linux — фундамент большинства отечественных ОС и серверных решений. Если upstream нестабилен, это бьёт по всей экосистеме.
Что меняется для инженеров:
Если внешний upstream недоступен или непредсказуем, инфраструктура перестаёт быть глобальной и становится изолированной по умолчанию.
Интересно ваше мнение:
❤️ — инфраструктура должна быть полностью автономной
🔥 — без глобального интернета разработка деградирует
🌚 — посмотрим, чем закончится
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#breach_breakdown
Последнюю неделю разработчики жалуются:
• git clone https://git.kernel.org/... зависает
• HTTPS-соединение рвётся по таймауту
• ping до сервера проходит
• главная kernel.org иногда открывается, а git.kernel.org — нет
Картина типичная: не падение сервера, а фильтрация трафика. Параллельно под ограничения попали Yocto, Zephyr, Buildroot и другие ресурсы, от которых зависят сборки Linux и embedded-проектов.
Фильтрация трафика затронула upstream-репозитории. Доступ к исходникам и обновлениям у части разработчиков работает только через VPN.
Что меняется для инженеров:
1. Компании поднимают собственные зеркала и кэш-репозитории
2. CI/CD переводят на внутренние источники зависимостей
3. Хранят офлайн-архивы пакетов и исходников
4. Закладывают автономность как требование архитектуры
Если внешний upstream недоступен или непредсказуем, инфраструктура перестаёт быть глобальной и становится изолированной по умолчанию.
Интересно ваше мнение:
❤️ — инфраструктура должна быть полностью автономной
🔥 — без глобального интернета разработка деградирует
🌚 — посмотрим, чем закончится
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤6🌚3😁1🤔1
Иногда уязвимость — это не баг в коде, а решение на уровне стандарта.
Dual_EC_DRBG — генератор, который выглядел корректно, но мог быть предсказуемым при знании скрытого параметра.
— краткий, но показательный разбор Shumow & Ferguson (2007), где впервые публично указали на возможность закладки
— расследование Reuters о связях NSA и индустрии
— официальное заявление National Institute of Standards and Technology о пересмотре стандарта
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚4🔥2
📚 Wordlists для практического пентеста
Подборки от Trickest — это не случайные списки из интернета, а словари, собранные на основе реальных данных: исходные коды популярных CMS и серверных решений, robots.txt крупных сайтов, публичные программы bug bounty и данные из облачных сертификатов.
Что внутри:
Подходит для:
🔴 брутфорса директорий
🔴 поиска скрытых эндпоинтов
🔴 расширения поверхности атаки при веб-пентесте
Это инструмент не для «галочки», а для реальной разведки и углублённого тестирования.
📎 Ссылка на GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
Подборки от Trickest — это не случайные списки из интернета, а словари, собранные на основе реальных данных: исходные коды популярных CMS и серверных решений, robots.txt крупных сайтов, публичные программы bug bounty и данные из облачных сертификатов.
Что внутри:
— директории и пути для WordPress, Joomla, Drupal, Magento, Tomcat и других технологий
— масштабные базы сабдоменов, включая находки из облачной инфраструктуры
— агрегированные данные из robots.txt топ-ресурсов
Подходит для:
Это инструмент не для «галочки», а для реальной разведки и углублённого тестирования.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🔥1🌚1
Что такое SSRF через DNS Rebinding?
Если сервер не кэширует DNS или повторно не проверяет IP — можно достучаться до внутренних сервисов.
— metadata cloud (AWS/GCP/Azure)
— Redis / Elasticsearch
— внутренние admin-панели
👍 — знал/а
🔥 — стало понятнее
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13🌚3🥰2👍1