Please open Telegram to view this post
VIEW IN TELEGRAM
🌚8😁7🥰4👏1🤔1
В свежих CVE снова много уязвимостей в корпоративном ПО (GitLab) и OEM-утилитах производителей ноутбуков — классическая поверхность атаки, которую часто игнорируют при пентестах.
Уязвимость позволяет неаутентифицированному пользователю вызвать отказ в обслуживании через специально сформированные GraphQL-запросы.
Причина — неконтролируемая рекурсия в обработке запросов.
Ошибка логики доступа может позволить аутентифицированному пользователю получить доступ к конфиденциальным заголовкам issue, созданных в публичных проектах.
Из-за неправильной проверки сертификата атакующий, способный перехватить трафик, может выполнить произвольный код.
Уязвимость в Lenovo Vantage / LenovoProductivitySystemAddin позволяет локальному пользователю завершать произвольные процессы с повышенными правами.
Ошибка инициализации в BIOS некоторых ThinkPad может позволить привилегированному локальному пользователю выполнить произвольный код.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤2🥰2
Что такое Clickjacking и как от него защищаются?
Обычно это делается через прозрачный iframe, наложенный поверх интерфейса.
Например:
пользователь думает, что нажимает кнопку «Play», а на самом деле кликает «Подтвердить перевод» или «Разрешить доступ» на другом сайте.
1. Атакующий размещает сайт внутри iframe
2. Делает iframe прозрачным (opacity: 0)
3. Накладывает его поверх кнопки
В итоге пользователь кликает по невидимой кнопке другого сайта.
— Заголовок X-Frame-Options: DENY
— Заголовок X-Frame-Options: SAMEORIGIN
— Политика Content-Security-Policy: frame-ancestors
Они запрещают встраивать сайт в iframe на сторонних доменах.
👍 — знал/а
🔥 — стало понятнее
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20👍8🥰2
После успешного MFA-bypass злоумышленник вошёл во внутреннюю сеть Uber через корпоративный VPN и начал исследовать интранет.
Получив контроль над внутренними инструментами, он опубликовал сообщение во внутреннем Slack, объявив сотрудникам о взломе
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🔥1
SafeLine — это open-source шлюз веб-безопасности, который работает как reverse proxy и защищает сайты от различных атак и попыток эксплуатации уязвимостей.
Он размещается перед веб-приложением и фильтрует входящий трафик, помогая обнаруживать и блокировать вредоносные запросы.
— Защита от распространённых веб-атак
— Обнаружение и блокировка вредоносных ботов
— Обфускация HTML и JavaScript
— Rate limiting по IP
— Управление доступом через ACL
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2🥰2
В кино часто показывают сцену: хакер запускает программу, на экране быстро меняются комбинации — и через пару секунд пароль найден. Так обычно изображают brute force атаку.
В реальности перебор выглядит иначе. Атакующие редко проверяют все варианты подряд — сначала используют словари и базы утёкших паролей.
Такой подход называется credential stuffing: пароли из одной утечки проверяют на других сервисах.
На пентестах такие проблемы часто находят на:
Для проверки обычно используют инструменты вроде Hydra, Burp Suite или Patator.
#hollywood_hack
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🥰2🔥1
Самый востребованный навык в ИТ в 2026-м — навык создания ИИ-агентов
Мы полностью переработали курс «Разработка AI-агентов» под реалии 2026 года. Никакой долгой теории — с самого начала пишем код. Обучать и делиться набитыми шишками будут эксперты-практики из Газпромбанка, Альфа-Банка и других бигтехов.
В программе:
— архитектура автономных систем с тестированием, ReAct-циклами и контролем токенов;
— практическая работа с актуальными фреймворками
— настройка продвинутого RAG для парсинга документов и точного поиска;
— внедрение решений с учётом действующего законодательства (152-ФЗ);
— дипломная работа, за основу которой можно взять свой рабочий проект или задачу, которую предложим мы.
Эксперты поделятся инсайтами из реального продакшна — тем, о чём вам никогда не расскажет ни одна нейросеть.
Ах да, чуть не забыли! Дарим промокодAGENTSWEB на скидку 10 000 рублей и два курса сверху при покупке до 15 марта 🎁
→ Освоить разработку AI-агентов
Мы полностью переработали курс «Разработка AI-агентов» под реалии 2026 года. Никакой долгой теории — с самого начала пишем код. Обучать и делиться набитыми шишками будут эксперты-практики из Газпромбанка, Альфа-Банка и других бигтехов.
В программе:
— архитектура автономных систем с тестированием, ReAct-циклами и контролем токенов;
— практическая работа с актуальными фреймворками
LangGraph, AutoGen, MCP и CrewAI;— настройка продвинутого RAG для парсинга документов и точного поиска;
— внедрение решений с учётом действующего законодательства (152-ФЗ);
— дипломная работа, за основу которой можно взять свой рабочий проект или задачу, которую предложим мы.
Эксперты поделятся инсайтами из реального продакшна — тем, о чём вам никогда не расскажет ни одна нейросеть.
Запись первого открытого вебинара, на котором мы вместе с руководителем AI-направления в Альфа-Банке Полиной Полуниной пилили агента в прямом эфире.
Ах да, чуть не забыли! Дарим промокод
→ Освоить разработку AI-агентов
❤4🥰2
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🥰2🌚2🥱1
Почему неправильное использование криптографии приводит к утечкам данных.
Один из самых известных атакующих сценариев против шифрования.
Типичные ошибки JWT, которые регулярно находят на пентестах.
Разбор ошибок TLS-конфигураций и как их эксплуатируют.
Реальные кейсы атак на криптографические механизмы.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩3🥰2
Нашли каталог с готовыми scraping-API, которые можно подключать напрямую к своим приложениям и автоматизировать сбор данных.
— соцсетей
— интернет-магазинов
— новостных сайтов
— вакансий и недвижимости
— e-commerce и SEO-данных
Подходит для OSINT, аналитики, автоматизации и AI-интеграций.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🥰2
🔐 Когда криптография есть, а защиты нет
Одна из самых частых находок на пентестах — JWT-токены без проверки подписи.
JWT используют для аутентификации: сервер выдаёт токен, клиент отправляет его в каждом запросе. Но если приложение не проверяет подпись, токен можно подделать.
Например, атакующий меняет payload:
Если сервер доверяет содержимому токена, злоумышленник получает админ-доступ без пароля. Такие уязвимости регулярно находят в bug bounty и внутренних API.
📌 Главная проблема криптографии в реальных системах — не алгоритмы, а ошибки реализации.
🔗 Разбор атак на JWT
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#breach_breakdown
Одна из самых частых находок на пентестах — JWT-токены без проверки подписи.
JWT используют для аутентификации: сервер выдаёт токен, клиент отправляет его в каждом запросе. Но если приложение не проверяет подпись, токен можно подделать.
Например, атакующий меняет payload:
{
"user": "admin",
"role": "administrator"
}
Если сервер доверяет содержимому токена, злоумышленник получает админ-доступ без пароля. Такие уязвимости регулярно находят в bug bounty и внутренних API.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3❤1
WFUZZ HD.png
839.3 KB
Wfuzz — инструмент для fuzzing веб-приложений: поиска скрытых эндпоинтов, параметров и уязвимостей через подстановку словарей в URL, заголовки и запросы.
Внутри — основные флаги: wordlist, фильтрация ответов, прокси и настройки нагрузки.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥4😁2
Уязвимость в графической библиотеке Skia позволяет выполнить out-of-bounds доступ к памяти при обработке вредоносной веб-страницы.
— пользователь открывает вредоносный сайт
— происходит повреждение памяти в браузере
— возможен RCE и установка malware
— обновить Chrome / Chromium-браузеры
— проверить версии в корпоративной среде
Ошибка в веб-интерфейсе управления Aruba AOS-CX позволяет удалённо сбросить пароль администратора без аутентификации.
— захват управления коммутатором
— изменение сетевой конфигурации
— перехват или перенаправление трафика
— корпоративные сети
— дата-центры
— кампусные сети
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3👍1
Где чаще всего находится информация, которую компания не планировала раскрывать:
👍 — метаданные документов
🔥 — вакансии
👾 — презентации сотрудников
🥰 — архивы сайтов (Wayback)
🌚 — тестовые поддомены и забытые сервисы
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚7🔥4👾3🥰1
Исследователи из Qualys обнаружили серию уязвимостей в механизме безопасности AppArmor, встроенном в ядро Linux. Ошибку назвали CrackArmor.
Проблема появилась ещё в Linux 4.11 (2017) и позволяет обычному пользователю системы повысить привилегии до root.
/sys/kernel/security/apparmor/
С их помощью можно изменять политики безопасности и обходить ограничения системы.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3
OpenClaw-PwnKit — инструмент для локального повышения привилегий в Linux. Он демонстрирует эксплуатацию уязвимости PwnKit в утилите pkexec из пакета Polkit.
Инструмент позволяет быстро проверить уязвимость и воспроизвести атаку без сложной настройки.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍2🔥2🥰1
У «Библиотеки программиста» появился резервный канал в мессенджере MAX
Он нужен исключительно для связи с теми, кто не может следить за обновлениями здесь из-за трудностей с доступом. Поэтому, если вы видите это сообщение, распространите его среди жильцов вашего ЖЭКа.
Контент в MAX будет дублировать телеграмный — основной нашей площадкой был и остаётся Telegram. Надеемся, это временная мера.
→ Подписаться на «Библиотеку программиста» в MAX
Он нужен исключительно для связи с теми, кто не может следить за обновлениями здесь из-за трудностей с доступом. Поэтому, если вы видите это сообщение, распространите его среди жильцов вашего ЖЭКа.
Контент в MAX будет дублировать телеграмный — основной нашей площадкой был и остаётся Telegram. Надеемся, это временная мера.
→ Подписаться на «Библиотеку программиста» в MAX
🌚8😁4🥰3🤔1
Кажется, мы окончательно перешли от игрушек к суровому AgentOps
Приглашаем на наш обновлённый курс по разработке ИИ-агентов. Никакой воды про «будущее нейросетей», только инженерный подход.
На курсе мы:
— пошагово строим готовые системы на
— настраиваем кэширование и роутинг, чтобы бот не сожрал токены;
— разбираемся со стейтом, учимся дебажить через time-travel и прикручиваем human-in-the-loop;
— выводим RAG в прод так, чтобы безопасники не завернули архитектуру из-за 152-ФЗ.
В пекло скучные лекции про общую инфраструктуру — сразу фокусируемся на агентных фреймворках и написании кода. Занятия ведут бывалые лиды из Газпромбанка и Альфы, набившие шишки на реальных задачах.
Сегодня последний день, когда можно забрать курс по старым ценам. Базовый тариф сейчас стоит 49 000 ₽ (вместо 62 990 ₽), продвинутый трек — 99 000 ₽ (вместо 124 990 ₽). Если не хочется отдавать всю сумму сразу, есть рассрочка. Торопитесь — на потоке осталось всего 5 мест!
→ Зафиксировать цену и перейти к сборке своих агентов
Приглашаем на наш обновлённый курс по разработке ИИ-агентов. Никакой воды про «будущее нейросетей», только инженерный подход.
На курсе мы:
— пошагово строим готовые системы на
LangGraph, CrewAI и MCP;— настраиваем кэширование и роутинг, чтобы бот не сожрал токены;
— разбираемся со стейтом, учимся дебажить через time-travel и прикручиваем human-in-the-loop;
— выводим RAG в прод так, чтобы безопасники не завернули архитектуру из-за 152-ФЗ.
В пекло скучные лекции про общую инфраструктуру — сразу фокусируемся на агентных фреймворках и написании кода. Занятия ведут бывалые лиды из Газпромбанка и Альфы, набившие шишки на реальных задачах.
Кстати, на днях мы пилили агента в прямом эфире, если пропустили — есть запись вебинара.
Сегодня последний день, когда можно забрать курс по старым ценам. Базовый тариф сейчас стоит 49 000 ₽ (вместо 62 990 ₽), продвинутый трек — 99 000 ₽ (вместо 124 990 ₽). Если не хочется отдавать всю сумму сразу, есть рассрочка. Торопитесь — на потоке осталось всего 5 мест!
→ Зафиксировать цену и перейти к сборке своих агентов
🥰3
На первый взгляд это выглядит как странность в парсинге заголовков. На практике — как способ рассинхронизировать front-end и back-end, а затем подменить то, как сервер видит следующий запрос.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2🌚2