❓ Nessus vs OpenVAS — чем сканировать уязвимости

Оба — про VA (анализ уязвимостей), но подход разный.

➖ Nessus

— коммерческий продукт
— регулярные и быстрые обновления сигнатур
— удобный UI и отчёты из коробки
— меньше ложных срабатываний

🔜 чаще выбирают в проде

➖ OpenVAS

— open-source
— гибкая настройка
— бесплатно
— требует больше времени на настройку и поддержку

🔜 часто используют в лабораториях и small/medium проектах

Что используете вы?

❤️ — Nessus
🔥 — OpenVAS
👍 — Оба
🤔 — Ничего / другое

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_vs_tool

🔒 Chrome привязал сессии к устройству

В Chrome 146 на Windows появился механизм DBSC (Device Bound Session Credentials). Теперь украденной куки недостаточно, чтобы зайти в аккаунт.

🔢 Сессия привязывается к устройству через TPM: браузер доказывает серверу, что ключ находится именно на этом железе. Без этого подтверждения токен не работает.

Что меняется:

— кража cookies больше не даёт автоматический доступ

— схемы инфостилеров теряют эффективность

— сессии становятся короткоживущими и привязанными

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes

🔥 Инструмент для расследований, который сам строит карту связей

OpenPlanter собирает и склеивает данные из разных источников:

— реестры компаний
— госконтракты
— лоббизм и финансы
— открытые базы

И сам находит неочевидные связи между сущностями.

✅ Чем отличается от обычных тулзов:

1. Граф связей в реальном времени
Пока идёт анализ — строится граф (кто с кем связан, через что)

2. Wiki внутри инструмента
Любой узел → можно открыть источник и посмотреть доказательства

3. Рекурсивные агенты
Задача дробится на подзадачи → параллельно ищутся связи

4. Автоматизация расследования
— парсинг данных
— запуск скриптов
— веб-поиск
— проверка гипотез

Как использовать:

openplanter-agent --task "Find links between vendors and lobbying data»

Или полноценное приложение: чат с агентом, визуализация графа, сохранение сессий.

🔤 Где полезно:

— OSINT / расследования
— bug bounty (поиск связей, инфраструктуры)
— антифрод / финансы
— анализ компаний и подрядчиков

👩‍💻 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

↖️ Анти-паттерны в пентесте веба

Большинство отчётов выглядят одинаково: базовые XSS, пара misconfig, иногда IDOR. Но критичные уязвимости чаще остаются незамеченными — не из-за отсутствия знаний, а из-за прямолинейного подхода к тестированию. Ниже — типичные ошибки, которые мешают находить серьёзные баги.

1️⃣ Проверка одним payload

Вставили <script>alert(1)</script> → не сработало → идём дальше.

Что пропускают:

— DOM XSS
— обход фильтров и CSP
— инъекции в нестандартных контекстах

✅ Сначала необходимо понять, куда попадают данные и как они исполняются.

2️⃣ Поверхностная проверка API

Открыли пару endpoint’ов → всё выглядит нормально.

Что пропускают:

— доступ к чужим данным (IDOR)
— лишние поля в ответах
— изменение скрытых параметров

✅ Нужно проверять API отдельно: руками менять запросы и параметры.

3️⃣ Отдельные проверки без связи

Нашли уязвимость → зафиксировали → пошли дальше.

Что пропускают:

— усиление атаки через комбинации
— переход от среднего бага к критичному

✅ Необходимо пробовать объединять уязвимости в цепочки.

4️⃣ Доверие интерфейсу

Если кнопки нет — значит нельзя.

Что пропускают:

— прямые запросы к API
— обход ролей и ограничений

✅ Сначала нужно проверять не интерфейс, а фактические запросы.

5️⃣ Игнор сложных протоколов

GraphQL, WebSocket, нестандартные точки откладываются.

Что пропускают:

— introspection
— batching abuse
— обход авторизации

✅ Нужно проверять нестандартные интерфейсы в первую очередь.

6️⃣ Игнор инфраструктуры

Тестируется только приложение.

Что пропускают:

— cache poisoning
— request smuggling
— ошибки проксирования

✅ Важно анализировать цепочку: клиент → CDN → WAF → backend.

7️⃣ Игнор бизнес-логики

Нет технических уязвимостей — значит всё безопасно.

Что пропускают:

— обход ограничений
— логические ошибки
— злоупотребление функционалом

✅ Обязательно нужно моделировать реальные сценарии злоумышленника.

8️⃣ Один запрос — один вывод

Отправили запрос → посмотрели ответ → сделали вывод.

Что пропускают:

— race conditions
— проблемы состояния
— тайминги

✅ Важно проверять поведение системы под нагрузкой и в динамике.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

📎 SQLmap: от проверки до доступа к данным

На практике его используют не только для сканирования, но и для:

— работы с POST-запросами и сложными кейсами
— анализа структуры базы
— проверки прав и пользователей
— извлечения данных

Выше — компактная шпаргалка с командами, которые закрывают основные сценарии в реальном пентесте.

Сохраните, чтобы не тратить время на поиск нужных флагов 🎈

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🔥 Топ-вакансий недели для хакеров

Penetration testing specialist (industrial) — офис (Москва)

Инженер ИБ / SOC — офис (Нижний Новгород)

Senior Cybersecurity Professional — удаленно (Греция)

➡️ Больше офферов в канале: @hackdevjob

🐸 Библиотека хакера

👩‍💻 Историю в Git теперь можно переписать быстрее

Разберём ключевые изменения в Git 2.54 и посмотрим, что они меняют на практике — в том числе с точки зрения безопасности и анализа кода.

➡️ Анализ истории стал проще

Обновлённый git log -L теперь лучше работает с поиском по содержимому.

Это ускоряет:

— поиск утёкших токенов и паролей
— понимание, когда появилась уязвимость
— анализ правок в чувствительных местах

Фактически, копаться в истории стало быстрее и точнее.

➡️ Переписывать историю стало легче

Новая git history упрощает редактирование старых коммитов.

Обратная сторона:

— секреты можно быстрее зачистить
— следы изменений проще убрать
— сложнее восстановить реальное состояние репозитория

Для форензики это минус.

➡️ Хуки перестали быть локальной историей

Теперь их можно задавать через конфиги.

Что это даёт:

— выполнение кода при git-операциях
— возможность спрятать логику вне .git/hooks
— точку закрепления в dev-окружении

Это уже не просто скрипты, а часть конфигурации.

➡️ Автоматические retry меняют поведение клиента

Git теперь сам ждёт и повторяет запросы при HTTP 429.

На практике:

— автоматизация становится менее заметной
— меньше шумных ошибок
— сложнее отличить легитимную активность от перебора

🔗 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes

🗓 В следующий вторник (28.04) в 19:00 встречаемся в онлайне.

Тема:

Как эффективно управлять контекстным окном LLM в мультиагентных системах и не сливать бюджет на токены

В кружке Кирилл рассказал, какие именно подходы будем разбирать.

👉 Занять место на вебинаре

Перемен требуют наши сердца 😁

🐸 Библиотека хакера

#hack_humor

👍 Тренажер для изучения уязвимостей

Репозиторий с уязвимым ПО в docker-compose. Можно развернуть окружение, изучить уязвимости и потренироваться в их закрытии. Каждая лаборатория снабжена документацией — удобно для обучения и практики.

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

⚙️ Подборка инструментов для защиты кода от утечек

📍 TruffleHog

Мощный инструмент для поиска, классификации и анализа утечек ключей и токенов в коде. Поддерживает более 800 типов секретов и может проверять их актуальность.

📍Gitleaks

Лёгкий и быстрый сканер для обнаружения токенов в Git-репозиториях. Идеально подходит для интеграции в CI/CD пайплайны.

📍GitGuardian

Обеспечивает обнаружение более 350 типов токенов в реальном времени как в публичных, так и в приватных репозиториях. Предлагает подробные отчёты и интеграции с различными платформами.

📍 Detect Secrets

Инструмент от Yelp с плагинной архитектурой, позволяющей настраивать правила обнаружения в соответствии с потребностями проекта.

📍 Talisman

Инструмент от ThoughtWorks, предотвращающий случайную отправку данных в репозиторий с помощью хуков предварительной фиксации.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_vs_tool

🔥 Как через тестовое задание украли миллионы

За несколько месяцев злоумышленники получили миллионы долларов, используя связку социальной инженерии и AI-инструментов.

🔜 Сценарий встроен в привычный процесс найма. Предложение о работе, аккуратный сайт, тестовое задание — и файл, который нужно запустить. После этого открывается доступ к системе, токенам и ключам.

AI используется на каждом этапе: генерация кода, подготовка переписки, сборка инфраструктуры. Это сокращает время запуска атак и позволяет масштабировать их без большой команды.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin

🖥 Ubuntu 26.04 LTS уже вышла

Вышел новый LTS-релиз Ubuntu — версия, на которой будут жить инфраструктуры ближайшие годы.

Добавили:

— шифрование диска с привязкой к TPM
— больше memory-safe компонентов
— улучшенный контроль прав приложений
— Livepatch для ARM (обновления без перезагрузки)

Обновился и стек:

— GNOME 50 на Wayland
— оптимизации под cloud и серверы
— поддержка AI и HPC-инструментов

✔️ Обновление придёт:

— с 25.10 — сразу
— с 24.04 LTS — после 26.04.1

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes

🔥 Вопрос с собеседования

Почему даже при использовании экранирования (escaping) XSS всё равно возникает?

👇 Правильный ответ (нажми, чтобы прочитать):

Потому что XSS — это не одна уязвимость, а набор контекстов, и экранирование работает только если вы попали точно в нужный.

🔴 Где ломается:

— Разные контексты
HTML, атрибут, JS, URL — для каждого нужен свой способ экранирования
Один универсальный “escape” не работает

— Смена контекста
Данные могут попасть сначала в HTML, потом внутрь <script> или атрибута
→ защита перестаёт соответствовать месту исполнения

— DOM XSS
Данные обрабатываются уже в браузере (innerHTML, eval, setTimeout)
→ серверная санитизация не помогает

— Декодирование
Данные могут декодироваться несколько раз
→ то, что было «безопасным», снова становится опасным

— Фильтры вместо строгих правил
Чёрные списки обходятся
→ браузер всё равно найдёт способ выполнить код

— Интеграции и библиотеки
сторонний код может вставлять данные в опасный контекст
→ защита теряется на уровне фронта

👍 — знал/а
🔥 — теперь буду знать

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge

❔ Кто у вас в личном топе по IT-контенту

Укажите в комментариях:

— 1–2 авторов
— где их читаете (Telegram / блог / X / GitHub / Habr)
— тематика (web, bug bounty, reverse, red team)

Пример:
@nickname — Telegram, web / bug bounty

Собираем список сильных источников по делу 🔥

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ask_the_community