🙃 Сервер «умирает» — а вы внутри

Доступ есть, но дальше начинается самое сложное: понять, что происходит на хосте и куда двигаться дальше. Особенно когда система ведёт себя нестабильно, что-то ломается или активность выглядит подозрительно.

🔤 Эта шпаргалка — как раз для таких моментов:

— когда нужно быстро найти сетевую активность и возможный C2
— когда процесс что-то делает, но непонятно что именно
— когда ищете точку для pivot’а внутри системы
— когда exploit есть, а результат ведёт себя странно

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

💥 Минус миллиард: взлом криптобиржи Grinex

Криптобиржа Grinex остановила работу после атаки, в результате которой с кошельков пользователей вывели более 1 млрд рублей. Инфраструктуру отключили, инцидент передали в правоохранительные органы.

По версии самой биржи, атака была не «обычным взломом», а операцией с высоким уровнем подготовки: сложная координация, работа с транзакциями и попытки ограничить вывод средств фиксировались и раньше. Сейчас всё закончилось прямым выводом активов.

Заявления про «участие спецслужб» — это отдельный вопрос. Но сам факт важнее:

🔜 централизованная криптобиржа = одна точка отказа
🔜 если ломают инфраструктуру — страдают все пользователи

💡 Для ИБ это классический кейс: не важно, сколько слоёв защиты — если есть доступ к кошелькам или транзакционной логике, деньги уходят.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

📡 Wi-Fi вокруг вас — это не только «интернет есть/нет»

Эта статья — про то, как превратить обычный роутер в пассивный сенсор и увидеть, что реально происходит в беспроводной сети:

— какие точки и клиенты живут в эфире
— насколько загружены каналы на самом деле
— откуда берутся просадки и помехи
— и как всё это использовать для анализа, а не догадок

Без атак и «грязных» техник — только мониторинг и разбор радиосигнала.

🔗 Гайд по ссылке

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

🔥 Вопрос с собеседования

Почему JWT-аутентификация часто ломается на практике?

👇 Правильный ответ (нажми, чтобы прочитать):

JWT сам по себе безопасен, но ошибки в реализации превращают его в дыру.

🔴 Типовые проблемы:

— Хранение в localStorage
XSS → токен утекает → полный доступ от имени пользователя

— Отсутствие проверки подписи
Сервер доверяет payload без валидации → можно подделать токен

— Алгоритм none / downgrade
Некорректная конфигурация → токен принимается без подписи

— Долгоживущие токены
Украли один раз → доступ остаётся надолго

— Нет привязки к сессии / устройству
Токен работает откуда угодно → сложно отследить злоумышленника

— Refresh-токены без контроля
Можно бесконечно обновлять скомпрометированный доступ

⚡️ Сильный ответ:

«JWT ломается не из-за криптографии, а из-за хранения и валидации. Чаще всего это XSS → кража токена, отсутствие проверки подписи и слишком долгий TTL»

👍 — знал/а
🔥 — теперь буду знать

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge

🔍 TUI-утилиту для анализа трафика

Это инструмент под Linux, который позволяет смотреть сетевую активность не через сухие логи, а в нормальном интерактивном интерфейсе прямо в терминале.

Что умеет:

— показывает трафик в реальном времени
— даёт подробную статистику по взаимодействию системы и приложений
— позволяет фильтровать и искать нужные события
— может использоваться как простой firewall

🔴 Поддерживает базовый стек: TCP/UDP, IPv4/IPv6, ICMP, ARP и др.

Работает на Linux (желательно свежее ядро), запускается одной командой:

sudo oryx

Подойдёт, когда нужно быстро понять:

— кто куда ходит
— есть ли подозрительная активность
— что происходит с сетью прямо сейчас

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

🎯 Что спрашивают на собесе по AppSec

Можно знать десятки уязвимостей — и провалить интервью на базовых вопросах. Потому что чаще проверяют не «зубрёжку», а понимание: как это работает и где ломается.

В этом видео — концентрат того, что стабильно всплывает на собеседованиях:

🔜 OWASP Top 10, XSS и SQLi, CORS/SOP, SAST vs DAST, HTTPS и шифрование

Подойдёт для:

— подготовки к интервью (intern–middle)
— систематизации базы
— понимания, где у вас реальные пробелы

🔗 Смотреть по ссылке

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

🦾 Надоело чинить «упавших» ИИ-агентов после каждого микросбоя внешних сервисов?

Анонсируем старт продаж большого курса по AgentOps. Мы собрали опыт десятков разработчиков и сделали программу, которая учит выводить ИИ в стабильный прод.

🗓 Ждем вас 28 апреля в 19:00 МСК на эфире: «Как эффективно управлять контекстным окном LLM в мультиагентных системах и не сливать бюджет на токены».

👉 Кто вещает и в чем польза?

Спикер Кирилл Кухарев (Senior AI Engineer в Raft, спикер AI Conf и Highload++). Он реализовал более 50 коммерческих проектов в GenAI и на вебинаре покажет, как взять под контроль работу нескольких агентов, чтобы они не перекидывали друг другу лишний контекст и не сжигали ваши деньги.

В прямом эфире разберем:
• Как формируется контекст в LLM при маршрутизации между агентами;
• Куда утекают лишние токены и возникает перерасход;
• Практические методы: как сжимать историю, грамотно делить задачи, лимитировать передачу контекста и собирать промпты прямо в процессе запроса пользователя.

🔥 Два способа получить максимум:

1. Приходите на вебинар 28 апреля. Дарим участникам промокод на 5.000 ₽ (работает 3 дня после эфира - это шанс забрать курс по самому низу рынка).

2. Выбирайте Инженерный трек. В подарок к нему идет полный доступ к записям и автопроверкам завершенного курса «Разработка ИИ-агентов».

👉 Занять место на вебинаре и стать профи в AgentOps

💡 Лайфхак для пентеста с автономным red-team инструментом

Если нужно быстро проверить сценарий атаки, а не тыкать всё вручную — можно отдать это агенту. Decepticon — инструмент, который сам проходит цепочку от входа до постэксплуатации.

Вы задаёте цель — дальше он:

сканирует → находит вектор → эксплуатирует → закрепляется → двигается по сети → поднимает C2 → собирает креды

Он работает с Metasploit, Sliver, держит сессии и продолжает атаку, если что-то ломается.

Быстрый старт:

curl -fsSL https://decepticon.red/install | bash
decepticon config
decepticon

🔜 Где полезно:

— быстро прогнать гипотезу атаки
— посмотреть, как может развиваться реальный сценарий
— найти слабые места в цепочке, а не в одной точке

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

💡 Лайфхак для пентеста: подмена API-ответов

Одна из самых недооценённых фич в DevTools — Local Overrides. Позволяет подменять ответы сервера прямо в браузере.

Зачем это нужно:

— проверить, доверяет ли фронт данным
— прогнать сценарии, которых нет в проде
— найти места без серверной валидации

Часто приводит к реальным находкам:

🔜 Broken Access Control, business logic bugs, лишние доверия к клиенту

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🔖 Vim-шпаргалка

В ней — всё необходимое для повседневных задач: от переключения режимов до работы с буферами и вкладками.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet #vim

😈 Vercel подтвердили взлом

Злоумышленники получили доступ к части внутренних систем через компрометацию Google Workspace-аккаунта сотрудника (через сторонний AI-сервис).

Что известно:

🔴 затронута часть клиентов
🔴 сервисы продолжают работать
🔴 атакующий получил доступ к env-переменным, не помеченным как sensitive

Хакер заявляет о продаже:

— API-ключей и токенов (GitHub, NPM)
— исходного кода и БД
— доступа к внутренним деплоям
(подлинность данных не подтверждена)

💰 обсуждается выкуп ~ $2 млн (со слов атакующего)

❗️ Что важно проверить:

— ротировать все секреты
— пересмотреть env variables
— включить sensitive variables
— проверить OAuth-приложения в Google Workspace

🔗 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin

⚡️ Мы рады представить команду экспертов курса AgentOps!

— Дмитрий Антипов расскажет, как грамотно проверить работу AI-моделей
— Курилл Кухарев поделится, почему компаниям выгодно использовать локальные модели и как их развернуть
— Андрей Носов расскажет, как работать с данными и знаниями в AI-системах: построение RAG, выбор подходов к поиску и организация хранения данных
— Антон Будняк разберет, как обеспечить устойчивость сервиса, в котором используется ИИ
— Александр Ошурков расскажет, как оценивать качество работы LLM в backend-сервисах
— Екатерина Трофимов разберет, как проектировать инструменты для AI-агентов и выстраивать взаимодействие с внешними сервисами

Курс для backend-разработчиков, тимлидов и LLM инженеров о том, как внедрять AI-логику в бэкенд IT-продуктов и сохранять стабильность сервиса.

К концу обучения вы получите:

• Структурированный подход к архитектуре и деплою AI-агентов
• Навыки настройки мониторинга, тестирования и контроля расходов на токены
• Разбор сложных инженерных кейсов из реальной практики

🎁 Доступ к материалам курса «Разработка ИИ-агентов» в подарок при покупке Инженерного трека

👉 Все подробности и программа обучения.

❓ Nessus vs OpenVAS — чем сканировать уязвимости

Оба — про VA (анализ уязвимостей), но подход разный.

➖ Nessus

— коммерческий продукт
— регулярные и быстрые обновления сигнатур
— удобный UI и отчёты из коробки
— меньше ложных срабатываний

🔜 чаще выбирают в проде

➖ OpenVAS

— open-source
— гибкая настройка
— бесплатно
— требует больше времени на настройку и поддержку

🔜 часто используют в лабораториях и small/medium проектах

Что используете вы?

❤️ — Nessus
🔥 — OpenVAS
👍 — Оба
🤔 — Ничего / другое

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_vs_tool

🔒 Chrome привязал сессии к устройству

В Chrome 146 на Windows появился механизм DBSC (Device Bound Session Credentials). Теперь украденной куки недостаточно, чтобы зайти в аккаунт.

🔢 Сессия привязывается к устройству через TPM: браузер доказывает серверу, что ключ находится именно на этом железе. Без этого подтверждения токен не работает.

Что меняется:

— кража cookies больше не даёт автоматический доступ

— схемы инфостилеров теряют эффективность

— сессии становятся короткоживущими и привязанными

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes

🔥 Инструмент для расследований, который сам строит карту связей

OpenPlanter собирает и склеивает данные из разных источников:

— реестры компаний
— госконтракты
— лоббизм и финансы
— открытые базы

И сам находит неочевидные связи между сущностями.

✅ Чем отличается от обычных тулзов:

1. Граф связей в реальном времени
Пока идёт анализ — строится граф (кто с кем связан, через что)

2. Wiki внутри инструмента
Любой узел → можно открыть источник и посмотреть доказательства

3. Рекурсивные агенты
Задача дробится на подзадачи → параллельно ищутся связи

4. Автоматизация расследования
— парсинг данных
— запуск скриптов
— веб-поиск
— проверка гипотез

Как использовать:

openplanter-agent --task "Find links between vendors and lobbying data»

Или полноценное приложение: чат с агентом, визуализация графа, сохранение сессий.

🔤 Где полезно:

— OSINT / расследования
— bug bounty (поиск связей, инфраструктуры)
— антифрод / финансы
— анализ компаний и подрядчиков

👩‍💻 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

↖️ Анти-паттерны в пентесте веба

Большинство отчётов выглядят одинаково: базовые XSS, пара misconfig, иногда IDOR. Но критичные уязвимости чаще остаются незамеченными — не из-за отсутствия знаний, а из-за прямолинейного подхода к тестированию. Ниже — типичные ошибки, которые мешают находить серьёзные баги.

1️⃣ Проверка одним payload

Вставили <script>alert(1)</script> → не сработало → идём дальше.

Что пропускают:

— DOM XSS
— обход фильтров и CSP
— инъекции в нестандартных контекстах

✅ Сначала необходимо понять, куда попадают данные и как они исполняются.

2️⃣ Поверхностная проверка API

Открыли пару endpoint’ов → всё выглядит нормально.

Что пропускают:

— доступ к чужим данным (IDOR)
— лишние поля в ответах
— изменение скрытых параметров

✅ Нужно проверять API отдельно: руками менять запросы и параметры.

3️⃣ Отдельные проверки без связи

Нашли уязвимость → зафиксировали → пошли дальше.

Что пропускают:

— усиление атаки через комбинации
— переход от среднего бага к критичному

✅ Необходимо пробовать объединять уязвимости в цепочки.

4️⃣ Доверие интерфейсу

Если кнопки нет — значит нельзя.

Что пропускают:

— прямые запросы к API
— обход ролей и ограничений

✅ Сначала нужно проверять не интерфейс, а фактические запросы.

5️⃣ Игнор сложных протоколов

GraphQL, WebSocket, нестандартные точки откладываются.

Что пропускают:

— introspection
— batching abuse
— обход авторизации

✅ Нужно проверять нестандартные интерфейсы в первую очередь.

6️⃣ Игнор инфраструктуры

Тестируется только приложение.

Что пропускают:

— cache poisoning
— request smuggling
— ошибки проксирования

✅ Важно анализировать цепочку: клиент → CDN → WAF → backend.

7️⃣ Игнор бизнес-логики

Нет технических уязвимостей — значит всё безопасно.

Что пропускают:

— обход ограничений
— логические ошибки
— злоупотребление функционалом

✅ Обязательно нужно моделировать реальные сценарии злоумышленника.

8️⃣ Один запрос — один вывод

Отправили запрос → посмотрели ответ → сделали вывод.

Что пропускают:

— race conditions
— проблемы состояния
— тайминги

✅ Важно проверять поведение системы под нагрузкой и в динамике.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

📎 SQLmap: от проверки до доступа к данным

На практике его используют не только для сканирования, но и для:

— работы с POST-запросами и сложными кейсами
— анализа структуры базы
— проверки прав и пользователей
— извлечения данных

Выше — компактная шпаргалка с командами, которые закрывают основные сценарии в реальном пентесте.

Сохраните, чтобы не тратить время на поиск нужных флагов 🎈

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🔥 Топ-вакансий недели для хакеров

Penetration testing specialist (industrial) — офис (Москва)

Инженер ИБ / SOC — офис (Нижний Новгород)

Senior Cybersecurity Professional — удаленно (Греция)

➡️ Больше офферов в канале: @hackdevjob

🐸 Библиотека хакера

👩‍💻 Историю в Git теперь можно переписать быстрее

Разберём ключевые изменения в Git 2.54 и посмотрим, что они меняют на практике — в том числе с точки зрения безопасности и анализа кода.

➡️ Анализ истории стал проще

Обновлённый git log -L теперь лучше работает с поиском по содержимому.

Это ускоряет:

— поиск утёкших токенов и паролей
— понимание, когда появилась уязвимость
— анализ правок в чувствительных местах

Фактически, копаться в истории стало быстрее и точнее.

➡️ Переписывать историю стало легче

Новая git history упрощает редактирование старых коммитов.

Обратная сторона:

— секреты можно быстрее зачистить
— следы изменений проще убрать
— сложнее восстановить реальное состояние репозитория

Для форензики это минус.

➡️ Хуки перестали быть локальной историей

Теперь их можно задавать через конфиги.

Что это даёт:

— выполнение кода при git-операциях
— возможность спрятать логику вне .git/hooks
— точку закрепления в dev-окружении

Это уже не просто скрипты, а часть конфигурации.

➡️ Автоматические retry меняют поведение клиента

Git теперь сам ждёт и повторяет запросы при HTTP 429.

На практике:

— автоматизация становится менее заметной
— меньше шумных ошибок
— сложнее отличить легитимную активность от перебора

🔗 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes