— новый evasion-модуль linux/x86/rc4_packer для упаковки payload’ов
— эксплойт для Tactical RMM Jinja2 SSTI RCE (CVE-2025-69516)
— эксплойт для MajorDoMo command injection RCE (CVE-2026-27175)
Также добавили выбор энкодеров и их опций напрямую для exploit/payload-модулей.
— убрали несколько panic-сценариев в loader’е шаблонов
— поправили обработку cluster failure
— исправили race condition в headless и в evaluateVarsWithInteractsh
— обновили зависимости, включая поддержку Go 1.26 через sonic 1.15.0
— в
v3.93.7
добавили детектор JFrog Artifactory Reference Tokens и поправили regex для JDBC detector, чтобы не резались хвосты паролей; также улучшили прохождение chunk data через engine pipeline.
— в
v3.93.8
сделали LDAP verification context-aware и остановили бесконтрольный рост resume-data на файловой системе.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥰2
☝️ Уже сегодня: ИИ-агенты в продакшене — инженерный подход к интеграции LLM
Индустрия активно обсуждает потенциал нейросетей, способных автоматизировать бизнес-процессы и заменить целые отделы. Однако реальное внедрение агентов в
Сегодня в 19:00 МСК в рамках нашего курса «Разработка AI-агентов» мы проведём открытый вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будем говорить о нейросетях с позиции жёсткой инженерии.
Разберём три реальных кейса из сурового банковского энтерпрайза, напишем и запустим агента прямо в эфире, честно обсудим грабли, на которые наступает бизнес при интеграции
Тем, кто придёт на эфир, дадим промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
Индустрия активно обсуждает потенциал нейросетей, способных автоматизировать бизнес-процессы и заменить целые отделы. Однако реальное внедрение агентов в
production вскрывает серьёзные проблемы: разработчикам приходится бороться с непредсказуемыми галлюцинациями моделей, нестабильными API и сложной интеграцией в существующую архитектуру.Сегодня в 19:00 МСК в рамках нашего курса «Разработка AI-агентов» мы проведём открытый вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке. Будем говорить о нейросетях с позиции жёсткой инженерии.
Разберём три реальных кейса из сурового банковского энтерпрайза, напишем и запустим агента прямо в эфире, честно обсудим грабли, на которые наступает бизнес при интеграции
LLM.Тем, кто придёт на эфир, дадим промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
❤2🥰2🤩2
⏳ Часовая готовность: создаём ИИ-агента в прямом эфире
В 19:00 МСК в рамках нашего курса «Разработка AI-агентов» стартует вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке.
Будет live-демо работающего агента, реальные метрики из корпоративной среды и честный разбор архитектурных граблей — без воды и «успешного успеха».
Всем зрителям эфира дадим эксклюзивный промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
В 19:00 МСК в рамках нашего курса «Разработка AI-агентов» стартует вебинар «ИИ-агенты в продакшене: от хайпа к деньгам». Спикер — Полина Полунина, руководитель AI-направления в Альфа-Банке.
Будет live-демо работающего агента, реальные метрики из корпоративной среды и честный разбор архитектурных граблей — без воды и «успешного успеха».
Всем зрителям эфира дадим эксклюзивный промокод AGENTS на скидку 10 000 ₽ на любой тариф курса.
👉 Занять место на вебинаре
🥰3
Мы ждём всех на вебинаре по ИИ-Агентам с Полиной Полуниной!
Подключайтесь
https://us06web.zoom.us/j/86582632224?pwd=6B4sqjdo2LkQTd7LBNCMgsH5yjiEuZ.1
Подключайтесь
https://us06web.zoom.us/j/86582632224?pwd=6B4sqjdo2LkQTd7LBNCMgsH5yjiEuZ.1
Zoom
Join our Cloud HD Video Meeting
Zoom is the leader in modern enterprise cloud communications.
❤3🥰2
Аналитики BI ZONE разобрали кампанию группы Forbidden Hyena и обнаружили новый троян BlackReaperRAT.
Часть PowerShell и Bash-скриптов выглядит как код, сгенерированный через LLM: много комментариев, читаемые переменные и почти нет обфускации. При этом сама атака довольно простая — RAT на VBS, установка AnyDesk и использование фреймворка Sliver.
Разобрали цепочку атаки и техники злоумышленников в карточках выше
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4🤔2
wpscan cheat sheet hackerproglib.png
1.1 MB
🧰 WPScan: шпаргалка по основным флагам
WPScan помогает быстро определить версию CMS, найти уязвимые плагины и темы, перечислить пользователей и проверить сайт на типичные проблемы безопасности.
Собрали наглядную шпаргалку с ключевыми флагами WPScan — пригодится во время пентеста, bug bounty или быстрого аудита WordPress-сайтов.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cheat_sheet
WPScan помогает быстро определить версию CMS, найти уязвимые плагины и темы, перечислить пользователей и проверить сайт на типичные проблемы безопасности.
Собрали наглядную шпаргалку с ключевыми флагами WPScan — пригодится во время пентеста, bug bounty или быстрого аудита WordPress-сайтов.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3❤1
Эксперт по кибербезопасности — от 200 000 ₽, офис/гибрид (Москва)
Инженер по ИБ — удаленно (Москва)
Аудитор Информационная Безопасность — от 150 000 ₽, гибрид (Москва)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2🥰2
Если на сервере что-то пошло не так, важно понимать: кто и что делал перед инцидентом.
Показываем:
— как настроить правила аудита
— как анализировать логи ausearch и aureport
— как автоматически находить подозрительные действия
— как отправлять уведомления в Telegram
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🥰2
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚8😁7🥰4👏1🤔1
В свежих CVE снова много уязвимостей в корпоративном ПО (GitLab) и OEM-утилитах производителей ноутбуков — классическая поверхность атаки, которую часто игнорируют при пентестах.
Уязвимость позволяет неаутентифицированному пользователю вызвать отказ в обслуживании через специально сформированные GraphQL-запросы.
Причина — неконтролируемая рекурсия в обработке запросов.
Ошибка логики доступа может позволить аутентифицированному пользователю получить доступ к конфиденциальным заголовкам issue, созданных в публичных проектах.
Из-за неправильной проверки сертификата атакующий, способный перехватить трафик, может выполнить произвольный код.
Уязвимость в Lenovo Vantage / LenovoProductivitySystemAddin позволяет локальному пользователю завершать произвольные процессы с повышенными правами.
Ошибка инициализации в BIOS некоторых ThinkPad может позволить привилегированному локальному пользователю выполнить произвольный код.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤2🥰2
Что такое Clickjacking и как от него защищаются?
Обычно это делается через прозрачный iframe, наложенный поверх интерфейса.
Например:
пользователь думает, что нажимает кнопку «Play», а на самом деле кликает «Подтвердить перевод» или «Разрешить доступ» на другом сайте.
1. Атакующий размещает сайт внутри iframe
2. Делает iframe прозрачным (opacity: 0)
3. Накладывает его поверх кнопки
В итоге пользователь кликает по невидимой кнопке другого сайта.
— Заголовок X-Frame-Options: DENY
— Заголовок X-Frame-Options: SAMEORIGIN
— Политика Content-Security-Policy: frame-ancestors
Они запрещают встраивать сайт в iframe на сторонних доменах.
👍 — знал/а
🔥 — стало понятнее
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍8🥰2
После успешного MFA-bypass злоумышленник вошёл во внутреннюю сеть Uber через корпоративный VPN и начал исследовать интранет.
Получив контроль над внутренними инструментами, он опубликовал сообщение во внутреннем Slack, объявив сотрудникам о взломе
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🔥1
SafeLine — это open-source шлюз веб-безопасности, который работает как reverse proxy и защищает сайты от различных атак и попыток эксплуатации уязвимостей.
Он размещается перед веб-приложением и фильтрует входящий трафик, помогая обнаруживать и блокировать вредоносные запросы.
— Защита от распространённых веб-атак
— Обнаружение и блокировка вредоносных ботов
— Обфускация HTML и JavaScript
— Rate limiting по IP
— Управление доступом через ACL
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2🥰2
В кино часто показывают сцену: хакер запускает программу, на экране быстро меняются комбинации — и через пару секунд пароль найден. Так обычно изображают brute force атаку.
В реальности перебор выглядит иначе. Атакующие редко проверяют все варианты подряд — сначала используют словари и базы утёкших паролей.
Такой подход называется credential stuffing: пароли из одной утечки проверяют на других сервисах.
На пентестах такие проблемы часто находят на:
Для проверки обычно используют инструменты вроде Hydra, Burp Suite или Patator.
#hollywood_hack
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🥰2🔥1
Самый востребованный навык в ИТ в 2026-м — навык создания ИИ-агентов
Мы полностью переработали курс «Разработка AI-агентов» под реалии 2026 года. Никакой долгой теории — с самого начала пишем код. Обучать и делиться набитыми шишками будут эксперты-практики из Газпромбанка, Альфа-Банка и других бигтехов.
В программе:
— архитектура автономных систем с тестированием, ReAct-циклами и контролем токенов;
— практическая работа с актуальными фреймворками
— настройка продвинутого RAG для парсинга документов и точного поиска;
— внедрение решений с учётом действующего законодательства (152-ФЗ);
— дипломная работа, за основу которой можно взять свой рабочий проект или задачу, которую предложим мы.
Эксперты поделятся инсайтами из реального продакшна — тем, о чём вам никогда не расскажет ни одна нейросеть.
Ах да, чуть не забыли! Дарим промокодAGENTSWEB на скидку 10 000 рублей и два курса сверху при покупке до 15 марта 🎁
→ Освоить разработку AI-агентов
Мы полностью переработали курс «Разработка AI-агентов» под реалии 2026 года. Никакой долгой теории — с самого начала пишем код. Обучать и делиться набитыми шишками будут эксперты-практики из Газпромбанка, Альфа-Банка и других бигтехов.
В программе:
— архитектура автономных систем с тестированием, ReAct-циклами и контролем токенов;
— практическая работа с актуальными фреймворками
LangGraph, AutoGen, MCP и CrewAI;— настройка продвинутого RAG для парсинга документов и точного поиска;
— внедрение решений с учётом действующего законодательства (152-ФЗ);
— дипломная работа, за основу которой можно взять свой рабочий проект или задачу, которую предложим мы.
Эксперты поделятся инсайтами из реального продакшна — тем, о чём вам никогда не расскажет ни одна нейросеть.
Запись первого открытого вебинара, на котором мы вместе с руководителем AI-направления в Альфа-Банке Полиной Полуниной пилили агента в прямом эфире.
Ах да, чуть не забыли! Дарим промокод
→ Освоить разработку AI-агентов
❤4🥰2
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🥰2🌚2🥱1
Почему неправильное использование криптографии приводит к утечкам данных.
Один из самых известных атакующих сценариев против шифрования.
Типичные ошибки JWT, которые регулярно находят на пентестах.
Разбор ошибок TLS-конфигураций и как их эксплуатируют.
Реальные кейсы атак на криптографические механизмы.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩3🥰2