Многие считают, что защита домена заканчивается на одной галочке в настройках. Но в реальности безопасность DNS требует куда большего внимания и усилий.
Что внутри:
— Почему криптографическая подпись — только часть защиты
— Где лежат настоящие риски: от DDoS до утечек
— Какие ошибки чаще всего ломают защищённые зоны
— Чем дополнить DNSSEC, чтобы не остаться уязвимым
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🥰2
This media is not supported in your browser
VIEW IN TELEGRAM
Strix — open-source инструмент, который запускает AI-«пентестеров» и выдаёт готовый отчёт с PoC.
strix --target https://your-app.com
— сканирует веб, API и код
— возвращает валидные находки
— даёт PoC + remediation
— генерирует отчёт уровня классического пентеста
Не просто «запустить скан»:
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7😁3🥰2❤1
Apple закрыла уязвимость в WebKit, которая позволяла обходить Same-Origin Policy и получать доступ к данным других сайтов.
Атака сводится к открытию специально подготовленной страницы, после чего возможен доступ к данным из других вкладок или встроенного контента.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥3
🧰 Хакерский набор 2026: топ инструментов для пентеста
Только то, что реально используют на практике.
➖ Разведка
— Nmap / Masscan / Naabu
— Subfinder / DNSRecon
— httpx
➖ Веб
— Burp Suite / OWASP ZAP
— ffuf / feroxbuster
— Arjun / Waybackurls
— Kiterunner / WPScan
➖ AI
— PentestGPT
— Burp AI
— локальные LLM
➖ Внутренняя сеть
— BloodHound
— NetExec / Impacket
— Snaffler
➖ Эскалация
— linPEAS / winPEAS
— Sliver
— PowerSploit
➖ Пароли и сеть
— Hashcat / John
— Wireshark / Bettercap
— Nuclei / Hydra
🔗 Подробнее в статье
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_vs_tool
Только то, что реально используют на практике.
— Nmap / Masscan / Naabu
— Subfinder / DNSRecon
— httpx
— Burp Suite / OWASP ZAP
— ffuf / feroxbuster
— Arjun / Waybackurls
— Kiterunner / WPScan
— PentestGPT
— Burp AI
— локальные LLM
— BloodHound
— NetExec / Impacket
— Snaffler
— linPEAS / winPEAS
— Sliver
— PowerSploit
— Hashcat / John
— Wireshark / Bettercap
— Nuclei / Hydra
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2🥰1
Многие думают, что наличие SIEM = контроль безопасности. На практике всё наоборот: если с ней есть проблемы — вы об этом даже не узнаете. Разберём, где в реальных системах появляются слепые зоны, как их используют в атаках и на что стоит смотреть при пентесте
— где ломается Wazuh / SIEM в проде
— какие метрики реально критичны (агенты, логи, очередь, диск)
— как проверять «здоровье» системы мониторинга
— и почему отсутствие логов опаснее, чем уязвимость
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3❤1👍1
Нужен быстрый портскан по десяткам или тысячам хостов — берёте naabu.
Это один из самых удобных сканеров под реальные пайплайны.
Что умеет:
— быстрый SYN/CONNECT (заточен под скорость)
— нормальная работа с большими списками (CIDR / ASN / файлы)
— автоматическая дедупликация хостов
— вывод в TXT / JSON
— легко встраивается в связку с httpx / nuclei / nmap
Как запустить:
go install github.com/projectdiscovery/naabu/v2/cmd/naabu@latest
naabu -l targets.txt -o open.txt
naabu -l targets.txt -rate 200 -verify -o verified.txt
naabu -l targets.txt | httpx -silent > alive_http.txt
naabu -l targets.txt -p u:53,123 -o udp_open.txt
💡 При сканах с домашнего IP снижайте -rate`/`-timeout — не привлекайте внимание.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🥰2
Специалист по защите продукта (Self-Driving Technology) — от 300 000 ₽, офис/гибрид (Москва, Санкт-Петербург)
Security Engineer — 4 500 — 6 500 €, office-based Belgrade, Serbia)
Специалист по информационной безопасности — от 200 000 ₽, офис/гибрид (Москва)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🥰2
На практике — bluetooth один из самых недооценённых векторов слежки.
Разберём, как через обычные наушники и смартфоны можно:
— разбор уязвимости WhisperPair (перехват и слежка)
— как работает скрытое сопряжение через Fast Pair
— почему Bluetooth = источник «цифровых следов»
— и как обычный сканер вроде Bluehood превращается в инструмент массового наблюдения
👉 это уже не про взлом, а про пассивную разведку в реальном мире
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🥰2🤔1🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3👍2😁2
hydra.pdf
150.2 KB
Если вы работаете с паролями, сервисами или CTF — рано или поздно упрётесь в Hydra.
В шпаргалке:
— как задавать логины и пароли
— как ускорять брутфорс через потоки
— как работать с массовыми целями
— и какие флаги реально экономят время
Пригодится и для пентеста, и для практики в лабах
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3🥰2
CVE-2026-3055 (CVSS 9.3)
В NetScaler ADC / Gateway нашли критическую уязвимость: можно читать память устройства без логина. А это — токены, сессии и потенциальный доступ к SSO.
И здесь важен контекст.
Если у вас есть NetScaler — это не та история, где можно подождать.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2🥰2
Подбирать payload’ы вручную — долго и почти всегда неэффективно.
В реальных тестах всё решает автоматизация.
— брутить логины и пароли
— находить SQL-инъекции и XSS
— вскрывать скрытые эндпоинты
— обходить ограничения (например, upload)
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩3🥰2🔥1
😱 Если ваш продукт не умеет отдавать данные в формате, понятном AI-агенту, то вас просто не существует
Скрипт не будет кликать по красивым кнопкам в браузере, он уйдёт к конкуренту с нормальным API. Перестроить архитектуру под машинных клиентов — это уже не хайп, а необходимое условие сохранения конкурентоспособности.
Как адаптировать продукт и не исчезнуть из выдачи:
— интегрировать
— научиться контролировать стоимость (лимиты, кэш, роутинг между моделями);
— настроить AgentOps: трейсинг, логирование и отлов регрессий.
Всё это ждёт вас на обновлённом курсе «Разработка AI-агентов». Мы специально сделали фокус на утилитарном инжиниринге и production-ready решениях.
Кстати, до 29 марта можно забрать курс с большой скидкой, и стоит поторопиться — мест на потоке всё меньше.
Зафиксировать цену и начать деплоить агентов без слива бюджета 👈
Скрипт не будет кликать по красивым кнопкам в браузере, он уйдёт к конкуренту с нормальным API. Перестроить архитектуру под машинных клиентов — это уже не хайп, а необходимое условие сохранения конкурентоспособности.
Как адаптировать продукт и не исчезнуть из выдачи:
— интегрировать
MCP и A2A-взаимодействие, чтобы агенты могли вас читать;— научиться контролировать стоимость (лимиты, кэш, роутинг между моделями);
— настроить AgentOps: трейсинг, логирование и отлов регрессий.
Всё это ждёт вас на обновлённом курсе «Разработка AI-агентов». Мы специально сделали фокус на утилитарном инжиниринге и production-ready решениях.
Кстати, до 29 марта можно забрать курс с большой скидкой, и стоит поторопиться — мест на потоке всё меньше.
Зафиксировать цену и начать деплоить агентов без слива бюджета 👈
🥰3❤1
Разберём инструмент, который используют почти в каждом AD/Windows-кейсе — Evil-WinRM.
— как подключаться к WinRM (пароль / hash / ключи)
— как разворачивать post-exploitation за минуты
— как работать с файлами без костылей (upload/download)
— и какие фичи реально ускоряют внутренний пентест
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2🥰2
Почему SameSite=Lax не спасает от CSRF?
Что это значит на практике:
пользователь кликает по ссылке → браузер отправляет cookie → запрос выполняется от его имени
⚠️ Поэтому CSRF всё ещё возможен через:
— GET-запросы
— переходы по ссылкам
— некоторые edge-кейсы с редиректами
👍 — знал/а
🔥 — теперь точно запомню
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8🥰2👍1