📌 Команда дня: ss

Сегодня в центре внимания — ss (Socket Stat). Легковесный, быстрый, без ностальгии по 2005 году.

Пример:

ss -tulnp

🔜 Расшифровка:

-t: TCP

-u: UDP

-l: слушающие сокеты

-n: не пытаться резолвить имена (мы не в гостях у DNS)

-p: показать, кто (PID/имя процесса) за всем этим стоит

📍 Зачем это нужно:

— Чтобы выловить странные соединения до того, как их заметит твой SOC.

— Чтобы понять, почему твой порт 443 занят, хотя ты только установил Nginx.

— Чтобы поймать нежданных гостей до того, как они попросят root-доступ.

P.S. Запусти ss вместе с lsof -i и iptables, чтобы быстро понять, кто стучится в твою систему.

🐸 Библиотека хакера

#cheat_sheet

🔥 Топ-вакансий недели для хакеров

Information Security Specialist — от 143 380 ₽, офис (Москва)

Архитектор ИБ (Backup & DRP) — от 430 000 ₽, офис/гибрид (Москва)

Специалист по анализу защищенности (Pentest) — офис (Екатеринбург)

➡️ Больше офферов в канале: @hackdevjob

🐸 Библиотека хакера

🚨 PT Fusion 1.5: поиск угроз теперь за секунды

Positive Technologies обновили платформу PT Fusion — и сделали упор на скорость и автоматизацию работы SOC.

➡️ Добавили Threat Intelligence Feeds

🈂️свежие IOC: домены, IP, хеши, ссылки из реальных расследований

➡️ Появился полнотекстовый поиск по угрозам

🈂️можно искать по описанию инцидента или MITRE ATT&CK
🈂️время поиска сократилось с минут до секунд

➡️ Новые дашборды со статистикой

🈂️активность группировок, malware, фишинг, атаки по отраслям

➡️ Расширили API

🈂️обогащение алертов контекстом
🈂️массовая проверка IOC
🈂️поиск похожих файлов и автоанализ

Ссылка на обновление

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes

🐸 Библиотека хакера

#hack_humor

🚩 Шпаргалка по Hashcat

Если вы работаете с паролями, хешами и оффлайн-атаками — без Hashcat никуда. Но количество режимов, алгоритмов и опций быстро превращается в хаос.

🔜 На этой схеме — структурированная карта Hashcat: режимы атак, форматы хешей, правила, маски и ключевые параметры.

Хороший ориентир, чтобы быстрее подбирать стратегию под задачу.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🚨 Storm-0558: как зайти в систему без логина

Атакующие получили signing key Microsoft — и этого оказалось достаточно. Без фишинга, брутфорса, обхода MFA. Они просто начали выпускать свои токены и заходить как легитимные пользователи.

Как это работает:

Система доверяет не логину, а подписи токена. Если подпись валидная — доступ даётся.

🔜 значит, с ключом можно:

— выдать себя за любого пользователя
— получить нужные роли
— ходить по сервисам без ограничений

💡 Почему это важно для пентеста:

Главная цель — не пароль, а точка доверия.

Ищите, где лежат ключи:

— конфиги и .env
— CI/CD и переменные окружения
— secret storage
— внутренние сервисы

🔜 компрометация ключа = полный обход auth

🔗 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🔥 Вопрос с собеседования на Junior

Почему JWT может быть небезопасен?

👇 Правильный ответ (нажми, чтобы прочитать):

JWT сам по себе не является уязвимостью. Проблемы возникают из-за того, как его используют. Главная идея JWT — сервер доверяет данным внутри токена, если подпись валидна.

Если атакующий может подделать токен или украсть его — он получает доступ без дополнительной проверки.

🔤 Частые проблемы:

— слабый secret → можно подобрать подпись
— alg=none или некорректная проверка алгоритма
— утечка токена (XSS, логи, localStorage)
— слишком долгий срок жизни
— отсутствие revoke / blacklist

🔴 Как проверяют на практике

— меняют payload (например role=user → admin)
— проверяют, валидируется ли подпись
— ищут утечки токена в фронте и логах

👍 — знал/а
🔥 — стало понятнее

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge

📌 Как начать веб-пентест, если доступен только 80 порт

Если открыт только 80 порт — значит вся атака будет через веб. И этого более чем достаточно.

6️⃣ Быстрый осмотр (ищем не очевидное)

— исходный код → токены, API, комментарии
— заголовки → сервер, прокси, WAF
— favicon → иногда палит стек
— robots.txt → скрытые пути

➖ цель: понять, что забыли спрятать

2️⃣ Технологии = потенциальные векторы

whatweb http://TARGET

Смотрим не просто стек, а:

— версии (старые → CVE)
— фреймворки → типовые уязвимости
— признаки CMS / админок

➖ стек = карта атак

3️⃣ Брут директорий — но с целью

Не просто /admin:

— /backup /old /dev
— /.git /config /env
— /api /internal

Инструменты:

— gobuster
— feroxbuster

➖ ищем утечки и забытые сервисы, а не страницы

4️⃣ Параметры = вход в логику

?id=
?page=
?file=

Проверяем:

— IDOR (самое частое)
— LFI / SSRF
— XSS / SQLi

➖ главный вопрос: что будет, если изменить значение

5️⃣ Где чаще всего реальные находки

— upload → RCE / XSS
— reset password → takeover
— скрытые API → без auth
— ID → доступ к чужим данным

➖ не ищите «уязвимость»
➖ ищите слом логики

❗️ Часто упускают

— Host header → доступ к внутренним сервисам
— subdomain / vhost fuzzing
— cache poisoning
— открытые .git и бэкапы

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🚨 Фишинг нового уровня: атака через Cisco и Microsoft

Злоумышленники провели сложную атаку на топ-менеджера Outpost24, используя цепочку доверенных сервисов.

Письмо выглядело как легитимное (DKIM-подписи) и вело на реальный домен Cisco, что помогло обойти защиту почты. Далее жертву прокидывали через несколько сервисов (включая Nylas) на подготовленный домен и финальную фишинговую страницу Microsoft 365.

🔴 Фишка атаки — всё выглядело как нормальная инфраструктура: никаких «левый сайтов», только доверенные сервисы.

👉 В конце — поддельный логин Microsoft с проверкой учётных данных в реальном времени.

🔗 Подробнее

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown