🔥 Высокоскоростной инструмент для DNS-разведки и перебора поддоменов

MassDNS — DNS stub-резолвер, рассчитанный на массовые запросы: способен обрабатывать миллионы доменов и отправлять сотни тысяч запросов в секунду.

Часто используется для масштабной субдоменной энумерации.

🔵 Полезен при работе с большими wordlist, CT-логами, сканировании целых зон и PTR-разведке.

Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

👍 На курсе по контролируемой разработке AI-агентов мы будем разбирать ровно то, о чём говорит Владислав в голосовом, но уже в формате системной практики.

📅 Старт курса — 20 апреля.

Если хотите разобраться, как строить управляемые агентные системы:
➡️ Присоединяйтесь.

P.S. С первого занятия будет практика: код и разбор реальных ошибок, а не только теория.

🧰 Карта инструментов для Bug Bounty

Большая mind-map со стеком утилит, которые используют багхантеры при поиске уязвимостей.

В схеме собраны десятки категорий:

— OSINT и reconnaissance
— поиск поддоменов
— сканеры уязвимостей
— инструменты для XSS, SQLi, SSRF
— расширения для Burp Suite
— fuzzing, automation
— тестирование API и cloud-сервисов

С вас 👍, если сохранили

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🔥 Вопрос с собеседования на Junior

Что такое Same-Origin Policy и зачем она нужна?

👇 Правильный ответ (нажми, чтобы прочитать):

Same-Origin Policy (SOP) — это механизм безопасности браузера, который запрещает странице читать данные другого сайта.

Origin определяется как:

scheme + host + port

Если хотя бы один параметр отличается — origin считается другим.

🔤 Что блокирует SOP

Скрипт одного сайта не может читать:

— DOM другого сайта
— ответы API
— cookies и localStorage

Например, сайт evil.com не сможет прочитать данные bank.com.

⚠️ Обход возможен только через специальные механизмы вроде CORS или postMessage, и их неправильная настройка часто приводит к уязвимостям.

👍 — знал/а
🔥 — стало понятнее

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge

😐 Лучшие материалы для хакеров в одной подборке

Собрали топовые материалы, которые стабильно попадает в закладки наших айти-подписчиков.

1. Топ уязвимостей 2025 года, которые не следует включать в отчет о пентесте

2. 30 удобных алиасов bash для Linux/Unix/macOS

3. Всеобъемлющий ресурс для пентестеров, охватывающий все типы уязвимостей и необходимых материалов

4. Коллекция вопросов по offensive security

5. Реверс и анализ безопасности умного дома на базе ESP32

6. Небозопасная десериализация: пример уязвимого приложения, разработанного с помощью Python-модуля Pickle

7. End-to-end шифрование: как перестать доверять облакам и научиться шифровать

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

⚠️ Скандал вокруг мессенджера MAX

Пользователь на Pikabu заявил, что изображения из личных чатов в веб-версии MAX можно открыть по прямому URL без авторизации, а после удаления из переписки ссылка ещё некоторое время работает. Редакция Хабра проверила сценарий и сообщила, что смогла его воспроизвести.

🔤 В MAX всё отрицают: в компании заявляют, что доступ к файлам есть только у владельца, а сообщения о проблеме называют фейком.

По рекомендациям OWASP, приватность не должна держаться на «секретности ссылки» — сервер должен проверять права доступа при каждом запросе.

Пока ситуация спорная, лучше не отправлять через веб-версию сервиса чувствительные изображения.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin