#tools #pentest #redteam
⚡️Вышла новая версия Kali Linux, основное внимание в которой было уделено переработке инфраструктуры дистрибутива в связи с выходом Debian 12 этим летом. Цель этих изменений — повысить надёжность дистрибутива и оптимизировать его компоненты.
📌Что внутри:
▪️9 новых инструментов, включая платформу автоматизации атак Rekono, систему мониторинга кибербезопасности Hubble, Hex-редактор ImHex и многие другие
▪️Оптимизация внутренней инфраструктуры и архитектуры дистрибутива
▪️Обновление ядра Linux до версии 6.3.7
▪️Модернизация инструмента автоматизированных атак Kali Autopilot
▪️Расширение функционала мобильной версии Kali NetHunter
⚡️Вышла новая версия Kali Linux, основное внимание в которой было уделено переработке инфраструктуры дистрибутива в связи с выходом Debian 12 этим летом. Цель этих изменений — повысить надёжность дистрибутива и оптимизировать его компоненты.
📌Что внутри:
▪️9 новых инструментов, включая платформу автоматизации атак Rekono, систему мониторинга кибербезопасности Hubble, Hex-редактор ImHex и многие другие
▪️Оптимизация внутренней инфраструктуры и архитектуры дистрибутива
▪️Обновление ядра Linux до версии 6.3.7
▪️Модернизация инструмента автоматизированных атак Kali Autopilot
▪️Расширение функционала мобильной версии Kali NetHunter
👍6❤5
#bugbounty #pentest #tips
Что на счет того, чтобы заняться пентестом расширений Google? Ну а что, они используют те же веб-технологии, bounty по ним тоже сравнимы с веб-приложениями, а где-то и выше.
Интересно? Ловите полезные советы и крутые кейсы, которые можно применить на практике👇
🔗 Читать
Что на счет того, чтобы заняться пентестом расширений Google? Ну а что, они используют те же веб-технологии, bounty по ним тоже сравнимы с веб-приложениями, а где-то и выше.
Интересно? Ловите полезные советы и крутые кейсы, которые можно применить на практике👇
🔗 Читать
Writeups
Google Extensions (Awarded $18833.7)
The reward total in the post title does not include other people’s bugs that this writeup includes but does include that bug from Proton that’s notably not a Google extension. This may not reflect the actual money received.
👍2
positive-research-2023-rus.pdf
8.7 MB
#analytics #security
В новом выпуске журнала Positive Research все о громких атаках, результативной кибербезопасности, недопустимых событиях, отраслевых кейсах и исследованиях, а также реальный опыт экспертов Positive Technologies.
В новом выпуске журнала Positive Research все о громких атаках, результативной кибербезопасности, недопустимых событиях, отраслевых кейсах и исследованиях, а также реальный опыт экспертов Positive Technologies.
👍4🥱2
#infographic #pentest #bugbounty
Server Side Template Injection в деталях: на заметку этичному хакеру
Server Side Template Injection в деталях: на заметку этичному хакеру
🔥4
#холивар
👨🎓Обучение — ключевой момент в нашей сфере. И у нас здесь точно есть матерые этичные хакеры.
💬Какие материалы вы использовали на старте карьеры? Или нет ничего лучше суровой практики? Поделитесь опытом — облегчите жизнь новичкам👇
👨🎓Обучение — ключевой момент в нашей сфере. И у нас здесь точно есть матерые этичные хакеры.
💬Какие материалы вы использовали на старте карьеры? Или нет ничего лучше суровой практики? Поделитесь опытом — облегчите жизнь новичкам👇
🔥3🥱1
#CVE
Кажется, команда Microsoft что-то знала, когда добавляла нативную поддержку WinRAR в Windows 11.
🤔А вот у оригинального WinRAR (<= 6.22) есть проблемки 👉 poc для CVE-2023-38831
Кажется, команда Microsoft что-то знала, когда добавляла нативную поддержку WinRAR в Windows 11.
🤔А вот у оригинального WinRAR (<= 6.22) есть проблемки 👉 poc для CVE-2023-38831
🔥3
#recon #tips #tools
🤔Вы наверняка знаете, что наиболее эффективный результат получается только тогда, когда вы объединяете несколько положительных сторон инструментов для достижения одной цели.
📌Предположим, вы начали разведку и должны собрать полный список поддоменов указанной цели. Сосредоточившись на поиске в открытых источниках, мы часто забываем про другие способы достижения этой цели.
Можно использовать эти или другие инструменты — дело вкуса👇
🔧chaos — генерирует поддомены из Chaos dataset
🔧alterx — создает перестановки из списка существующих поддоменов
🔧dnsx — резолвит DNS-имена
🤔Вы наверняка знаете, что наиболее эффективный результат получается только тогда, когда вы объединяете несколько положительных сторон инструментов для достижения одной цели.
📌Предположим, вы начали разведку и должны собрать полный список поддоменов указанной цели. Сосредоточившись на поиске в открытых источниках, мы часто забываем про другие способы достижения этой цели.
Можно использовать эти или другие инструменты — дело вкуса👇
🔧chaos — генерирует поддомены из Chaos dataset
🔧alterx — создает перестановки из списка существующих поддоменов
🔧dnsx — резолвит DNS-имена
❤3👏2
#bugbounty
Редкий, но все-таки возможный случай XSS-сценария в Bug Bounty
💡Когда приложение экранирует одинарную/двойную кавычку в JS с помощью обратной косой черты, попробуйте добавить в нее еще одну обратную косую черту.
Обратная косая черта может быть экранирована, и одинарные/двойные кавычки будут работать:
❌ " ➡️ \"
✅ \"-alert(1)// ➡️ \\"-alert(1)//
Редкий, но все-таки возможный случай XSS-сценария в Bug Bounty
💡Когда приложение экранирует одинарную/двойную кавычку в JS с помощью обратной косой черты, попробуйте добавить в нее еще одну обратную косую черту.
Обратная косая черта может быть экранирована, и одинарные/двойные кавычки будут работать:
❌ " ➡️ \"
✅ \"-alert(1)// ➡️ \\"-alert(1)//
👍10
Какие серверные баги/уязвимости, по вашему мнению, интереснее всего эксплуатировать, несмотря на сложность? Можно выбрать несколько вариантов.
Anonymous Poll
22%
Insecure Deserialization
22%
Server-side Request Forgery
12%
XML External Entity
20%
Server-side Template Injection
10%
Insecure Direct Object References
44%
SQL Injection
12%
Security Misconfiguration
11%
Path Traversal
23%
Remote/Local file inclusion
14%
Другой вариант (напишу в комментарии)
👍6
#redteam #tools #pentest
⚒️RedEye — это аналитический инструмент с открытым исходным кодом, предназначенный для помощи пентестерам и Red Team специалистам в визуализации и составлении отчетов о своей работе.
Инструмент позволяет анализировать и отображать сложные данные, оценивать стратегии и строить планы дальнейшей работы. RedEye анализирует логи (например, Cobalt Strike) и представляет данные в легко усваиваемом формате.
Вы можете помечать и добавлять комментарии к действиям, отображаемым в инструменте, а также включить режим презентации и показать свою работу руководству.
🚀Одним словом, лучше и нагляднее относительно обычных текстовых документов или других способов агрегации данных.
😎Руку приложили: CISA и DOE’s Pacific Northwest National Laboratory.
🔗GitHub
⚒️RedEye — это аналитический инструмент с открытым исходным кодом, предназначенный для помощи пентестерам и Red Team специалистам в визуализации и составлении отчетов о своей работе.
Инструмент позволяет анализировать и отображать сложные данные, оценивать стратегии и строить планы дальнейшей работы. RedEye анализирует логи (например, Cobalt Strike) и представляет данные в легко усваиваемом формате.
Вы можете помечать и добавлять комментарии к действиям, отображаемым в инструменте, а также включить режим презентации и показать свою работу руководству.
🚀Одним словом, лучше и нагляднее относительно обычных текстовых документов или других способов агрегации данных.
😎Руку приложили: CISA и DOE’s Pacific Northwest National Laboratory.
🔗GitHub
👍3🔥3❤1
#redteam #pentest #security
В какой отрасли ИБ вы бы не работали, вы всегда будете иметь дело с безопасностью ОС Windows и Active Directory (AD). Проблема в том, что ресурсов по теме безопасности AD накопилось настолько много, что хочется под рукой иметь один ресурс.
Встречайте: Active Directory Security — онлайн-ресурс, который охватывает вопросы защиты AD и атак на AD, PowerShell, полезные технические заметки и многое другое.
👀 Active Directory Security
В какой отрасли ИБ вы бы не работали, вы всегда будете иметь дело с безопасностью ОС Windows и Active Directory (AD). Проблема в том, что ресурсов по теме безопасности AD накопилось настолько много, что хочется под рукой иметь один ресурс.
Встречайте: Active Directory Security — онлайн-ресурс, который охватывает вопросы защиты AD и атак на AD, PowerShell, полезные технические заметки и многое другое.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
#tips #bugbounty #pentest
💊Broken Access Control (BAC): базовый тест
1⃣Логинимся под одним пользователем (User A)
2⃣Выполняем какие-нибудь действия
3⃣В истории Burp Suite ищем наш запрос
4⃣Отправляем его в Burp Repeater
5⃣Логинимся под другим пользователем (User 😎
6⃣Используем cookie User B для повторения запроса User A
🍪 🚀 Если получилось выполнить, у вас есть баг Broken Access Control.
💊Broken Access Control (BAC): базовый тест
1⃣Логинимся под одним пользователем (User A)
2⃣Выполняем какие-нибудь действия
3⃣В истории Burp Suite ищем наш запрос
4⃣Отправляем его в Burp Repeater
5⃣Логинимся под другим пользователем (User 😎
6⃣Используем cookie User B для повторения запроса User A
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍1
#writeup #pentest #redteam
От Domain User к Domain Admin (DA), от DA к Global Admin (GA)
В продолжение темы безопасности Active Directory, не стоит забывать и о современных трендах. Речь идет об Azure Active Directory (Azure AD). Azure AD предоставляет сервис «Идентификация как услуга» для всех приложений Microsoft в облаке и локально.
В чем весь сыр-бор? Когда локальный домен синхронизируется в облачный, это происходит по одному из нескольких сценариев:
1⃣Сценарий синхронизации каталога
2⃣Сценарий синхронизации паролей
3⃣Сценарий единого входа
Во втором случае у пентестера появляется возможности, которые могут привести к повышению привилегий до глобального администратора (GA). Пошаговый райтап — под катом👇
🔗 Читать
От Domain User к Domain Admin (DA), от DA к Global Admin (GA)
В продолжение темы безопасности Active Directory, не стоит забывать и о современных трендах. Речь идет об Azure Active Directory (Azure AD). Azure AD предоставляет сервис «Идентификация как услуга» для всех приложений Microsoft в облаке и локально.
В чем весь сыр-бор? Когда локальный домен синхронизируется в облачный, это происходит по одному из нескольких сценариев:
1⃣Сценарий синхронизации каталога
2⃣Сценарий синхронизации паролей
3⃣Сценарий единого входа
Во втором случае у пентестера появляется возможности, которые могут привести к повышению привилегий до глобального администратора (GA). Пошаговый райтап — под катом👇
🔗 Читать
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#redteam #pentest #security
В какой отрасли ИБ вы бы не работали, вы всегда будете иметь дело с безопасностью ОС Windows и Active Directory (AD). Проблема в том, что ресурсов по теме безопасности AD накопилось настолько много, что хочется под рукой иметь…
В какой отрасли ИБ вы бы не работали, вы всегда будете иметь дело с безопасностью ОС Windows и Active Directory (AD). Проблема в том, что ресурсов по теме безопасности AD накопилось настолько много, что хочется под рукой иметь…
🔥3👍2
Forwarded from InfoSec Jobs — вакансии по информационной безопасности, infosec, pentesting, пентестингу, security engineer, инфобезу, DevSecOps
#дайджест #InfoSecJobs
Вакансии специалистам по информационной безопасности уровня Junior
▪️Младший специалист по информационной безопасности
Офис (Москва), ITERANET — системный и сервис интегратор в области информационной безопасности
Подробнее
▪️Младший аналитик по информационной безопасности (кибермошенничество)
Офис (Москва, Санкт-Петербург, Новосибирск), Совкомбанк Технологии
Подробнее
Вакансии специалистам по информационной безопасности уровня Middle
▪️Специалист по информационной безопасности
Офис (Москва), МТС Digital
Подробнее
▪️Специалист по анализу защищенности ОС (управление уязвимостями)
Удалёнка/Офис (Москва), ГК Астра — разработчик программного обеспечения
Подробнее
▪️Специалист информационной безопасности
Офис (Москва), РОСГОССТРАХ
Подробнее
▪️Эксперт по кибербезопасности (Linux)
Офис (Москва), Сбер
Подробнее
Вакансии специалистам по информационной безопасности уровня Senior
▪️Инженер информационной безопасности (Application Security)
Офис (Москва)/Гибрид, Ozon Fintech — команда информационной безопасности Банка Ozon
Подробнее
▪️Application Security Expert
Офис (Москва, Санкт-Петербург, Астана)/Удалёнка, Тинькофф
Подробнее
▪️Ведущий эксперт по информационной безопасности
Удалёнка/Офис(Москва, Краснодар, Санкт-Петербург), МагнитTech — IT подразделение розничного ритейлера Магнит
Подробнее
▪️Руководитель направления службы мониторинга и реагирования на инциденты (SOC)
Офис (Москва), банк «Открытие»
Подробнее
Понравились вакансии?
❤️ — да
🤔 — нет
Вакансии специалистам по информационной безопасности уровня Junior
▪️Младший специалист по информационной безопасности
Офис (Москва), ITERANET — системный и сервис интегратор в области информационной безопасности
Подробнее
▪️Младший аналитик по информационной безопасности (кибермошенничество)
Офис (Москва, Санкт-Петербург, Новосибирск), Совкомбанк Технологии
Подробнее
Вакансии специалистам по информационной безопасности уровня Middle
▪️Специалист по информационной безопасности
Офис (Москва), МТС Digital
Подробнее
▪️Специалист по анализу защищенности ОС (управление уязвимостями)
Удалёнка/Офис (Москва), ГК Астра — разработчик программного обеспечения
Подробнее
▪️Специалист информационной безопасности
Офис (Москва), РОСГОССТРАХ
Подробнее
▪️Эксперт по кибербезопасности (Linux)
Офис (Москва), Сбер
Подробнее
Вакансии специалистам по информационной безопасности уровня Senior
▪️Инженер информационной безопасности (Application Security)
Офис (Москва)/Гибрид, Ozon Fintech — команда информационной безопасности Банка Ozon
Подробнее
▪️Application Security Expert
Офис (Москва, Санкт-Петербург, Астана)/Удалёнка, Тинькофф
Подробнее
▪️Ведущий эксперт по информационной безопасности
Удалёнка/Офис(Москва, Краснодар, Санкт-Петербург), МагнитTech — IT подразделение розничного ритейлера Магнит
Подробнее
▪️Руководитель направления службы мониторинга и реагирования на инциденты (SOC)
Офис (Москва), банк «Открытие»
Подробнее
Понравились вакансии?
❤️ — да
🤔 — нет
❤4🥱2🤔1
#pentest #bugbounty
Недавно мы затрагивали базовые основы SQL-инъекций. Сегодня продолжим эту тему и разберем более практические аспекты.
1⃣Как и где проверять наличие SQL-инъекций:
🔹 URL-запрос
🔹 Тело поста
🔹 Заголовки
🔹 Cookie
2⃣Выполните математические действия, если тестируемое поле является целым числом:
🔹user_id=1338-1
Если есть SQL-инъекция, вы увидите результат с user_id=1337.
3⃣Попробуйте добавить символы в конце параметра:
🔹 ', ", ; и другие
4⃣Попробуйте добавить еще один символ и посмотрите, исчезнет ли ошибка.
🔹 login =admin (status: 200)
🔹 login =admin' (status: 500)
🔹 login =admin'' (status: 200)
В SQL escape-символом для одинарной кавычки является еще одна одинарная кавычка, а для двойной кавычки — еще одна двойная кавычка.
5⃣Выполните функции SQL-запросов:
Int
🔹 user_id=1337 AND 1=1 (status: 200)
🔹 user_id=1337 AND 2=1 (status: 500)
Text
🔹 login=admin' AND 'A'='A (status: 200)
🔹 login=admin' AND 'A'='B (status: 500)
JSON int
🔹{"user_id":"1337 AND 1=1"} (status: 200)
6⃣Объедините функции SQL-запросов с комментариями:
Int
🔹 user_id=1337 AND 1=1 -- (status: 200)
Text
🔹 login=admin' AND 'A'='A' -- (status: 200)
JSON int
🔹{"user_id":"1337 AND 1=1 --"} (status: 200)
JSON text
🔹{"login":"admin' AND 'A'='A' --"} (status: 200)
7⃣Используйте инструменты для дальнейшего тестирования уязвимых параметров:
🔹 sqlmap
🔹 ghauri
Помните, что вам нужно получить только версию базы данных для проверки концепции (Proof of Concept). Дальнейшее использование должно тестироваться только с разрешения программы/компании.
8⃣Вы можете использовать данный скрипт БД, чтобы экспериментировать с SQL-запросами.
Отредактируйте SQL-запросы справа, а затем нажмите «Выполнить», чтобы увидеть, как выполняются SQL-запросы и какие результаты отображаются.
Недавно мы затрагивали базовые основы SQL-инъекций. Сегодня продолжим эту тему и разберем более практические аспекты.
1⃣Как и где проверять наличие SQL-инъекций:
🔹 URL-запрос
🔹 Тело поста
🔹 Заголовки
🔹 Cookie
2⃣Выполните математические действия, если тестируемое поле является целым числом:
🔹user_id=1338-1
Если есть SQL-инъекция, вы увидите результат с user_id=1337.
3⃣Попробуйте добавить символы в конце параметра:
🔹 ', ", ; и другие
4⃣Попробуйте добавить еще один символ и посмотрите, исчезнет ли ошибка.
🔹 login =admin (status: 200)
🔹 login =admin' (status: 500)
🔹 login =admin'' (status: 200)
В SQL escape-символом для одинарной кавычки является еще одна одинарная кавычка, а для двойной кавычки — еще одна двойная кавычка.
5⃣Выполните функции SQL-запросов:
Int
🔹 user_id=1337 AND 1=1 (status: 200)
🔹 user_id=1337 AND 2=1 (status: 500)
Text
🔹 login=admin' AND 'A'='A (status: 200)
🔹 login=admin' AND 'A'='B (status: 500)
JSON int
🔹{"user_id":"1337 AND 1=1"} (status: 200)
6⃣Объедините функции SQL-запросов с комментариями:
Int
🔹 user_id=1337 AND 1=1 -- (status: 200)
Text
🔹 login=admin' AND 'A'='A' -- (status: 200)
JSON int
🔹{"user_id":"1337 AND 1=1 --"} (status: 200)
JSON text
🔹{"login":"admin' AND 'A'='A' --"} (status: 200)
7⃣Используйте инструменты для дальнейшего тестирования уязвимых параметров:
🔹 sqlmap
🔹 ghauri
Помните, что вам нужно получить только версию базы данных для проверки концепции (Proof of Concept). Дальнейшее использование должно тестироваться только с разрешения программы/компании.
8⃣Вы можете использовать данный скрипт БД, чтобы экспериментировать с SQL-запросами.
Отредактируйте SQL-запросы справа, а затем нажмите «Выполнить», чтобы увидеть, как выполняются SQL-запросы и какие результаты отображаются.
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#tips #bugbounty #pentest
Введение в SQL-инъекции для начинающих этичных хакеров
📌SQL — язык структурированных запросов, используемый для выполнения CRUD-операций в SQL-подобных базах данных.
🔸Предположим, вам нужно получить запись из базы данных. Вы…
Введение в SQL-инъекции для начинающих этичных хакеров
📌SQL — язык структурированных запросов, используемый для выполнения CRUD-операций в SQL-подобных базах данных.
🔸Предположим, вам нужно получить запись из базы данных. Вы…
👍4❤2
#tools #pentest #bugbounty #recon
🛠ffuf — инструмент для фаззинга, который значительно отличается от своих предшественников.
Аналоги инструмента брутят только URL-адрес веб-ресурса, тогда как ffuf позволяет фаззить что угодно (URL-адрес, GET- или POST-параметры, HTTP-заголовки и т. д.), а также искать виртуальные хосты и поддомены.
Все просто: поместите ключевое слово FUZZ в то место, которое хотите фаззить.
😎А теперь практика:
1⃣Разбираем основы работы с ffuf в бесплатной комнате TryHackMe
2⃣Более продвинутые концепции работы с ffuf
🛠ffuf — инструмент для фаззинга, который значительно отличается от своих предшественников.
Аналоги инструмента брутят только URL-адрес веб-ресурса, тогда как ffuf позволяет фаззить что угодно (URL-адрес, GET- или POST-параметры, HTTP-заголовки и т. д.), а также искать виртуальные хосты и поддомены.
Все просто: поместите ключевое слово FUZZ в то место, которое хотите фаззить.
😎А теперь практика:
1⃣Разбираем основы работы с ffuf в бесплатной комнате TryHackMe
2⃣Более продвинутые концепции работы с ffuf
👍2❤1
#bugbounty #learning #guide
Как прокачаться в багхантинге веб- и мобильных приложений: полная серия статей от команды Positive Technologies
Естественно, все разобрано на типичных примерах. Но не обошлось и без вопросов со звездочкой. Одним словом, маст хэв для любого новичка и не только.
🔹Часть 1
• Что такое платформы и программы багбаунти?
• Какой базовый инструментарий может использовать багхантер, чтобы облегчить или автоматизировать поиск?
• Реальные примеры уязвимостей из старых версий приложений с открытым исходным кодом
• Литература для самостоятельного изучения
🔹Часть 2
• Что такое скоуп (scope)
• Как работать со скоупом и какие инструменты могут быть полезны
• Другие классы уязвимостей
🔹Часть 3
• Разбор уязвимостей и советы для багхантеров
Как прокачаться в багхантинге веб- и мобильных приложений: полная серия статей от команды Positive Technologies
Естественно, все разобрано на типичных примерах. Но не обошлось и без вопросов со звездочкой. Одним словом, маст хэв для любого новичка и не только.
🔹Часть 1
• Что такое платформы и программы багбаунти?
• Какой базовый инструментарий может использовать багхантер, чтобы облегчить или автоматизировать поиск?
• Реальные примеры уязвимостей из старых версий приложений с открытым исходным кодом
• Литература для самостоятельного изучения
🔹Часть 2
• Что такое скоуп (scope)
• Как работать со скоупом и какие инструменты могут быть полезны
• Другие классы уязвимостей
🔹Часть 3
• Разбор уязвимостей и советы для багхантеров
Хабр
Как начать заниматься багхантингом веб-приложений
Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест (тестирование на проникновение), и редтиминг (Red Team, проверка возможностей...
👍5🥱1
#mindmap
Все необходимые команды Linux на одной схеме у вас под рукой
🔹 Управление процессами
🔹 Планирование задач
🔹 Работа с другими хостами
🔹 Сетевые соединения
🔹 Вывод на экран
🔹 Просмотр процессов
🔹 И многое другое
👀 Посмотреть & Скачать полную схему
Все необходимые команды Linux на одной схеме у вас под рукой
🔹 Управление процессами
🔹 Планирование задач
🔹 Работа с другими хостами
🔹 Сетевые соединения
🔹 Вывод на экран
🔹 Просмотр процессов
🔹 И многое другое
Please open Telegram to view this post
VIEW IN TELEGRAM
👏10🔥2
#холивар
🌟❓Привет, подписчики! Вспомните свой профессиональный путь и ответьте на пару вопросов:
💬На какой стадии вашей жизни вы приобрели самые ценные знания и навыки, которые стали ключевыми для карьеры в IT?
💬Было ли это ещё в школьные годы, во времена колледжа/университета/института, в процессе самообразования или уже прямо на рабочем месте?
📌И самое главное — какие это были знания и навыки?
Делитесь опытом в комментариях👇
🌟❓Привет, подписчики! Вспомните свой профессиональный путь и ответьте на пару вопросов:
💬На какой стадии вашей жизни вы приобрели самые ценные знания и навыки, которые стали ключевыми для карьеры в IT?
💬Было ли это ещё в школьные годы, во времена колледжа/университета/института, в процессе самообразования или уже прямо на рабочем месте?
📌И самое главное — какие это были знания и навыки?
Делитесь опытом в комментариях👇
👍4