Что такое Same-Origin Policy и зачем она нужна?
Origin определяется как:
scheme + host + port
Если хотя бы один параметр отличается — origin считается другим.
Скрипт одного сайта не может читать:
— DOM другого сайта
— ответы API
— cookies и localStorage
Например, сайт
⚠️ Обход возможен только через специальные механизмы вроде CORS или postMessage, и их неправильная настройка часто приводит к уязвимостям.
👍 — знал/а
🔥 — стало понятнее
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍5🥰2
Собрали топовые материалы, которые стабильно попадает в закладки наших айти-подписчиков.
1. Топ уязвимостей 2025 года, которые не следует включать в отчет о пентесте
2. 30 удобных алиасов bash для Linux/Unix/macOS
3. Всеобъемлющий ресурс для пентестеров, охватывающий все типы уязвимостей и необходимых материалов
4. Коллекция вопросов по offensive security
5. Реверс и анализ безопасности умного дома на базе ESP32
6. Небозопасная десериализация: пример уязвимого приложения, разработанного с помощью Python-модуля Pickle
7. End-to-end шифрование: как перестать доверять облакам и научиться шифровать
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🥰3🔥2
Пользователь на Pikabu заявил, что изображения из личных чатов в веб-версии MAX можно открыть по прямому URL без авторизации, а после удаления из переписки ссылка ещё некоторое время работает. Редакция Хабра проверила сценарий и сообщила, что смогла его воспроизвести.
По рекомендациям OWASP, приватность не должна держаться на «секретности ссылки» — сервер должен проверять права доступа при каждом запросе.
Пока ситуация спорная, лучше не отправлять через веб-версию сервиса чувствительные изображения.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱9👍3🥰3⚡2
Penetration Testing Tools HD.png
2.7 MB
Большая схема с основными инструментами, которые используются на разных этапах тестирования безопасности:
— разведка и сканирование
— анализ веб-приложений
— password-атаки
— exploitation и post-exploitation
— MITM и sniffing
— wireless-атаки
— форензика
С вас
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🥰2
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🥰2
💥 Открытый вебинар | ИИ-агенты в продакшене: от хайпа к деньгам
Агенты уже везде. Но мало кто признаётся, сколько денег сжёг на бесконечных циклах, галлюцинациях в RAG и отсутствии мониторинга.
Полина Полунина, руководитель AI-направления Альфа-Банка, расскажет честно:
▪️ Чем агент отличается от «просто GPT с промптом» и когда бизнесу достаточно обычного LLM
▪️ 3 реальных кейса из корпоративной среды: что взлетело, а что нет
▪️ Live-демо работающего агента
▪️ ТОП-5 граблей, на которые наступают команды при внедрении
⏱️ 10 марта в 19:00 (МСК)
🎁 Участники получат промокод на скидку на самый полный курс по ИИ-агентам
👉 Регистрируйся
Агенты уже везде. Но мало кто признаётся, сколько денег сжёг на бесконечных циклах, галлюцинациях в RAG и отсутствии мониторинга.
Полина Полунина, руководитель AI-направления Альфа-Банка, расскажет честно:
▪️ Чем агент отличается от «просто GPT с промптом» и когда бизнесу достаточно обычного LLM
▪️ 3 реальных кейса из корпоративной среды: что взлетело, а что нет
▪️ Live-демо работающего агента
▪️ ТОП-5 граблей, на которые наступают команды при внедрении
⏱️ 10 марта в 19:00 (МСК)
🎁 Участники получат промокод на скидку на самый полный курс по ИИ-агентам
👉 Регистрируйся
😁3🥰2
Разобрали базу для тех, кто хочет зайти в пентест: какие знания нужны, какие инструменты используют и где безопасно практиковаться.
В карточках — коротко про разведку, инструменты и типовые уязвимости.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🥰2
Tryhackme hackerproglib.png
2.6 MB
Полезная шпаргалка, чтобы понимать структуру платформы и планировать обучение в пентесте.
На карте показан путь обучения:
— Linux и networking
— web-уязвимости
— Active Directory
— криптография
— reverse engineering и malware analysis
— CTF и сложные лаборатории
С вас
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🥰2
В каталог Cybersecurity and Infrastructure Security Agency (KEV) добавлена критическая уязвимость CVE-2017-7921, затрагивающая несколько продуктов Hikvision.
Баг связан с ошибкой аутентификации (CWE-287). Злоумышленник может отправить специально сформированный запрос и обойти авторизацию, получив доступ к устройству как администратор.
— просмотр live-камер
— скачивание архивных записей
— доступ к конфигурации и сетевым паролям
— Найти все устройства Hikvision в сети
— Срочно установить обновления прошивки и официальные патчи
— Если устройство больше не поддерживается — вывести его из эксплуатации
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🌚1
Вы анализируете IP-камеру. Интерфейс требует авторизацию, но при просмотре трафика видно:
— видеопоток доступен по прямому URL
— ссылка содержит длинный токен
— токен не меняется после logout и работает несколько часов
Какую уязвимость это может указывать
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6🥰2
Варианты ответа:
Anonymous Quiz
31%
Insecure Direct Object Reference (IDOR)
57%
Session Management Weakness
9%
SSRF
3%
Clickjacking
🔥5🥰2
This media is not supported in your browser
VIEW IN TELEGRAM
badKarma — open-source тулкит для пентестеров, который помогает быстро собрать информацию о сетевой инфраструктуре во время аудита.
Что умеет:
— обнаруживать активные хосты в целевой подсети
— сканировать порты и находить открытые сервисы
— определять запущенные службы и их версии
— искать известные уязвимости в найденных сервисах
— проверять сервисы на слабые пароли (брутфорс)
— запускать дополнительные инструменты сканирования в зависимости от обнаруженных сервисов
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍2🥰2
— новый evasion-модуль linux/x86/rc4_packer для упаковки payload’ов
— эксплойт для Tactical RMM Jinja2 SSTI RCE (CVE-2025-69516)
— эксплойт для MajorDoMo command injection RCE (CVE-2026-27175)
Также добавили выбор энкодеров и их опций напрямую для exploit/payload-модулей.
— убрали несколько panic-сценариев в loader’е шаблонов
— поправили обработку cluster failure
— исправили race condition в headless и в evaluateVarsWithInteractsh
— обновили зависимости, включая поддержку Go 1.26 через sonic 1.15.0
— в
v3.93.7
добавили детектор JFrog Artifactory Reference Tokens и поправили regex для JDBC detector, чтобы не резались хвосты паролей; также улучшили прохождение chunk data через engine pipeline.
— в
v3.93.8
сделали LDAP verification context-aware и остановили бесконтрольный рост resume-data на файловой системе.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥰2
☝️ Уже сегодня: ИИ-агенты в продакшене — инженерный подход к интеграции LLM
Индустрия активно обсуждает потенциал нейросетей, способных автоматизировать бизнес-процессы и заменить целые отделы. Однако реальное внедрение агентов в
Сегодня в 19:00 МСК в рамках нашего курса «Разработка AI-агентов» мы проведём открытый вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будем говорить о нейросетях с позиции жёсткой инженерии.
Разберём три реальных кейса из сурового банковского энтерпрайза, напишем и запустим агента прямо в эфире, честно обсудим грабли, на которые наступает бизнес при интеграции
Тем, кто придёт на эфир, дадим промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
Индустрия активно обсуждает потенциал нейросетей, способных автоматизировать бизнес-процессы и заменить целые отделы. Однако реальное внедрение агентов в
production вскрывает серьёзные проблемы: разработчикам приходится бороться с непредсказуемыми галлюцинациями моделей, нестабильными API и сложной интеграцией в существующую архитектуру.Сегодня в 19:00 МСК в рамках нашего курса «Разработка AI-агентов» мы проведём открытый вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будем говорить о нейросетях с позиции жёсткой инженерии.
Разберём три реальных кейса из сурового банковского энтерпрайза, напишем и запустим агента прямо в эфире, честно обсудим грабли, на которые наступает бизнес при интеграции
LLM.Тем, кто придёт на эфир, дадим промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
❤2🥰2🤩2
⏳ Часовая готовность: создаём ИИ-агента в прямом эфире
В 19:00 МСК в рамках нашего курса «Разработка AI-агентов» стартует вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке.
Будет live-демо работающего агента, реальные метрики из корпоративной среды и честный разбор архитектурных граблей — без воды и «успешного успеха».
Всем зрителям эфира дадим эксклюзивный промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
В 19:00 МСК в рамках нашего курса «Разработка AI-агентов» стартует вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке.
Будет live-демо работающего агента, реальные метрики из корпоративной среды и честный разбор архитектурных граблей — без воды и «успешного успеха».
Всем зрителям эфира дадим эксклюзивный промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
🥰3