Сценарий:
Платформа не взломана. Но supply chain уже заражён. GitHub — сложная цель: Anycast, несколько аплинков, RPKI. Реалистичнее атака на менее защищённые зеркала или внутренние registry. Прецеденты есть: Rostelecom 2020, Pakistan Telecom → YouTube 2008, AS7007.
— CI автоматически тянет зависимости
— Большинство проектов не проверяют подписи пакетов
— Lock-файлы не спасают без верификации integrity hash — а большинство CI гоняет `npm ci` молча
— Разработчики замечают проблему слишком поздно
Один hijack — и вредоносный код распространяется через ваши же сборки.
— RPKI / Origin Validation — валиден ли анонс префикса
— AS-path в traceroute — неожиданные автономные системы в маршруте
— Резкие скачки latency и TTL
— Аномалии в логах CI при загрузке зависимостей
Современный периметр — это CI/CD. Минимальный уровень зрелости: внутреннее зеркало registry, кэш зависимостей, изоляция runner'ов, проверка checksum / подписи пакетов, мониторинг сетевых маршрутов.
Если защищён ноутбук, но не защищена сборка — атакующему даже не нужно писать эксплойт.
🔥 — видел BGP-аномалии в своей инфре
❤️ — уже защитил CI/CD
🌚 — у нас это вообще не мониторится
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤1🥰1🌚1
snort cheat sheet hackproglib 2.jpeg
173.2 KB
Две шпаргалки по фундаменту IDS:
— Header vs Options
— content, flow, nocase, fast_pattern
— как формируется детект
— sniffer / logger / IDS
— запуск с конфигом
— обработка pcap
Если вы пишете или правите сигнатуры — это минимум, который нужно знать.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🥰2🔥1
Менеджер проектов ИБ — от 70 000 до 100 000 ₽, офис (Ярославль)
Главный инженер отдела сетевой безопасности — офис (Москва)
Инженер по информационной безопасности — офис (Анапа)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚2
Что критично при настройке iptables для прод-сервера?
Anonymous Quiz
13%
Достаточно открыть нужные порты (22, 80, 443), остальные правила не обязательны
54%
После добавления правил нужно сохранить их, иначе после перезагрузки сервера они исчезнут
13%
Если добавить правило DROP в конце, сервер автоматически станет защищён от DDoS
21%
iptables фильтрует только входящий HTTP-трафик, для SSH он не применяется
🔥5🥰2
За год мы провели три потока курса по ИИ-агентам, а теперь запускаем масштабное обновление!
В новом, четвёртом потоке мы учли все пожелания студентов, добавили большой блок про
В программе:
— secure prompting и изоляция выполнения рискованных действий;
— оркестрация в
— продвинутый
— контроль экономики: защита от неконтролируемого роста нагрузки;
— развёртывание опенсорс-моделей в закрытых контурах (152-ФЗ).
В честь старта продаж действует спецпредложение: 3 курса по цене 1 (два дополнительных курса в подарок).
Доступ к материалам для предварительной подготовки откроется сразу после оплаты.
По промокоду
👉 Присоединиться к четвёртому потоку и защитить своих агентов
В новом, четвёртом потоке мы учли все пожелания студентов, добавили большой блок про
AgentOps и сместили фокус с базовых концепций на суровый инжиниринг. Собрать бота из готовых API легко, а вот защитить его от промпт-инъекций, изоляции рискованных действий и утечек данных в проде — задача со звёздочкой.В программе:
— secure prompting и изоляция выполнения рискованных действий;
— оркестрация в
LangGraph: human-in-the-loop для подтверждения критичных шагов;— продвинутый
RAG с обработкой разнородных документов и защитой данных;— контроль экономики: защита от неконтролируемого роста нагрузки;
— развёртывание опенсорс-моделей в закрытых контурах (152-ФЗ).
В честь старта продаж действует спецпредложение: 3 курса по цене 1 (два дополнительных курса в подарок).
Доступ к материалам для предварительной подготовки откроется сразу после оплаты.
По промокоду
Agent забирайте скидку 10 000 ₽ (89 000 ₽ вместо 99 000 ₽). Успейте занять место до 28 февраля!👉 Присоединиться к четвёртому потоку и защитить своих агентов
🥰3❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰9😁5🤩2👍1
Релизы 2026.1.x и 2026.2.x выходили весь февраль: исправления багов сканера, оптимизации запросов, улучшения расширяемости и поддержки расширений.
✔ уменьшение шума в отчетах через alert de-duplication;
✔ Insights — новая вкладка аналитики;
✔ улучшение обработки памяти и диск-space ошибок;
✔ оптимизацию headless/CI-сканирования;
✔ структурированные отчеты с ISO 8601-датой.
✔ новый набор exploit-модулей, включая RCE-эксплоиты для Xerte Online Toolkits;
✔ модуль для SolarWinds Web Help Desk с получением SYSTEM-сессии;
✔ улучшена поддержка MITRE ATT&CK-метаданных и LDAP-кэширования.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤3🌚2
Почему SSRF в AWS при использовании IMDSv1 может привести к компрометации инфраструктуры?
1️⃣ Можно получить временные credentials IAM-роли (instance profile)
2️⃣ Эти ключи дают права, назначенные роли
3️⃣ При избыточных IAM-политиках возможна privilege escalation
4️⃣ В худшем случае — полный контроль над AWS-аккаунтом
Важно понимать: «полный захват» происходит не из-за самого SSRF, а из-за небезопасных IAM-настроек.
IMDSv2 требует предварительный session token и проверяет hop-limit, что значительно усложняет эксплуатацию SSRF и закрывает большинство примитивных атак.
— упоминание STS и временного характера ключей
— проверка через aws sts get-caller-identity
— перечисление IAM и попытка AssumeRole / PassRole
— понимание влияния SCP и ограничений на уровне организации
👍 — знал/а
🔥 — стало понятнее
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍3🥰3
vps-cheatsheet.pdf
96.5 KB
Покупаешь новый сервер — и каждый раз заново вспоминаешь нужные команды.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9🥰3❤2
Если state не проверяется или хранится криво — можно:
1. Авторизоваться через OAuth у себя
2. Подсунуть жертве ссылку на callback
3. Жертва «логинится» в ваш аккаунт
Дальше — phishing, data exfiltration, business-logic abuse.
Классика SPA:
Backend не проверяет:
• aud
• iss
• nonce
• подпись через JWK
Берём валидный id_token от другого клиента → отправляем в API → логинимся. Если нет строгой валидации claims — это ATO.
Сценарий:
1. redirect_uri проходит слабую проверку
2. Внутри него есть open redirect
3. Authorization code уходит на атакующий домен
4. Обмен кода → access_token
Это уже не просто баг — это полный доступ к аккаунту.
Некоторые реализации динамически подтягивают:
/.well-known/openid-configuration
Если можно подменить issuer → сервер сам сделает SSRF.
Дальше:
• Внутренние сервисы
• Cloud metadata
• Credential leak
OAuth превращается в pivot.
Приложение доверяет: email = уникальный идентификатор
Но:
• email_verified не проверяется
• Разные провайдеры могут вернуть одинаковый email
• Нет жесткой привязки к provider ID
Результат — silent account takeover.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩3❤1🔥1🥰1
🔎 IP-разведка из терминала
В логах всплыл незнакомый IP? Необязательно идти в браузер и пользоваться онлайн-сервисами.
Есть простой CLI-инструмент, который покажет страну, провайдера, ASN и координаты прямо в консоли — смотрите в карточках⚡️
🔗 Ссылка на статью
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
В логах всплыл незнакомый IP? Необязательно идти в браузер и пользоваться онлайн-сервисами.
Есть простой CLI-инструмент, который покажет страну, провайдера, ASN и координаты прямо в консоли — смотрите в карточках
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3🥰2
Последний шанс: 3 курса по цене 1 и запуск AI-агентов в продакшн
Скормить данные нейронке — полдела, а вот защитить пайплайн от промпт-инъекций — задача для сеньора. Как контролировать доступ автономных мультиагентных систем и не нарушить 152-ФЗ при работе с данными?
В обновлённой программе фокус смещён на безопасность и вывод ИИ в прод. Вы научитесь строить защищённые ReAct-циклы, работать с
Почему нельзя откладывать:
— масштабная акция «3 курса по цене 1» сгорит уже завтра;
— промокод
— сразу после оформления открываются материалы для подготовки — начать учиться можно прямо сейчас.
Забронировать место на курсе и забрать бонусы до 28 февраля
Скормить данные нейронке — полдела, а вот защитить пайплайн от промпт-инъекций — задача для сеньора. Как контролировать доступ автономных мультиагентных систем и не нарушить 152-ФЗ при работе с данными?
В обновлённой программе фокус смещён на безопасность и вывод ИИ в прод. Вы научитесь строить защищённые ReAct-циклы, работать с
LangGraph и AutoGen, безопасно внедрять RAG и протоколы MCP. Все ключевые навыки в одном месте: изоляция выполнения, secure prompting, подтверждение рискованных действий (human-in-the-loop) и развёртывание в закрытых Enterprise-контурах.Почему нельзя откладывать:
— масштабная акция «3 курса по цене 1» сгорит уже завтра;
— промокод
Agent на скидку 10 000 рублей действует последние часы;— сразу после оформления открываются материалы для подготовки — начать учиться можно прямо сейчас.
Забронировать место на курсе и забрать бонусы до 28 февраля
❤3🥰2
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4❤2
Узнайте правильный ответ здесь
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🥰2
Инфраструктура ведомства продолжает работать с перебоями после начавшейся 27 февраля масштабной DDoS-атаки. На утро 1 марта сайт частично доступен, но сохраняются ошибки подключения и медленная загрузка.
Что известно на текущий момент:
— атака носит многовекторный характер
— используется распределённый ботнет с зарубежной инфраструктурой
— фильтрация трафика продолжается
— полное восстановление стабильности не достигнуто
Ситуация показывает: даже государственные сервисы с защитой могут долго «ложиться» под устойчивым DDoS
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩12❤3👏3🥰2🌚2
Устал искать уязвимости в чужих костылях? Построй продукт, за который не стыдно 🚀
Proglib App ищет технического кофаундера. Это не очередной корпоративный портал, а EdTech-платформа с ИИ-фишками, курсами и лидербордами. MVP готов, юзеры учатся, на очереди — масштабирование и усложнение логики.
Нужен человек с «хакерским» драйвом: способный видеть систему целиком, проектировать чистую архитектуру и быстро доставлять фичи.
🛠️ Технический ландшафт:
TypeScript, React 18, Express 5, PostgreSQL, Drizzle ORM. Работа в связке с Claude Code и Cursor.
Что предстоит:
• Проектировать архитектуру и пилить новый функционал.
• Рефакторить, писать тесты и проводить код-ревью.
• Развивать ИИ-агентов внутри платформы.
Ожидания:
• Уверенное знание TS, React, Node.js и SQL.
• Самостоятельность: взял задачу — довёл до результата.
• Интерес к современному EdTech и информационной безопасности.
Удалёнка, гибкий график, работа напрямую с фаундером без менеджеров-прослоек.
Хочешь создать сервис, которым будут пользоваться тысячи коллег? Пиши 👇
@proglibrary_feedback_bot
Proglib App ищет технического кофаундера. Это не очередной корпоративный портал, а EdTech-платформа с ИИ-фишками, курсами и лидербордами. MVP готов, юзеры учатся, на очереди — масштабирование и усложнение логики.
Нужен человек с «хакерским» драйвом: способный видеть систему целиком, проектировать чистую архитектуру и быстро доставлять фичи.
🛠️ Технический ландшафт:
TypeScript, React 18, Express 5, PostgreSQL, Drizzle ORM. Работа в связке с Claude Code и Cursor.
Что предстоит:
• Проектировать архитектуру и пилить новый функционал.
• Рефакторить, писать тесты и проводить код-ревью.
• Развивать ИИ-агентов внутри платформы.
Ожидания:
• Уверенное знание TS, React, Node.js и SQL.
• Самостоятельность: взял задачу — довёл до результата.
• Интерес к современному EdTech и информационной безопасности.
Удалёнка, гибкий график, работа напрямую с фаундером без менеджеров-прослоек.
Хочешь создать сервис, которым будут пользоваться тысячи коллег? Пиши 👇
@proglibrary_feedback_bot
🥰2