Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
12.6K subscribers
1.88K photos
98 videos
166 files
2.91K links
Все самое полезное по инфобезу в одном канале.

Список наших каналов: https://t.me/proglibrary/9197

Для обратной связи: @proglibrary_feeedback_bot

По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
Download Telegram
🎙 Новый выпуск Responsible Disclosure Podcast: Сергей Белов — Digital Nomad, директор ИБ и секреты баланса жизни и карьеры

В гостях человек, чья жизнь — это сочетание профессионального роста и постоянных путешествий. Сергей за свою карьеру прошел путь от первых шагов в хакинге до руководителя отделов безопасности в Mail.Ru Group и Acronis.

Вы узнаете о его первых шагах в багбаунти, забавных и удивительных историях из ранних лет, поиске баланса между карьерой и страстью к путешествиям, а также жизни digital nomad: как жить без постоянного дома, не устать от переездов и сохранить личную гармонию.

Без серьезных тем тоже не обошлось. Сергей рассказал о роли директора в области безопасности, о том, как объяснить бизнесу важность инвестиций в секьюрити, и как избежать критических ошибок, которые могут стоить бизнесу миллионы. А в финале Сергей поделился своими мыслями о будущем IT Security в эпоху AI, а также полезными советами и ресурсами для зрителей.

Таймкоды:

00:00:00 — Введение, приветствие и представление Сергея Белова.
00:01:38 — Откуда начался интерес к хакингу и первые эксперименты.
00:02:35 — Первые успехи: взлом сетевой шары, использование диалапа и обучение через форумы.
00:05:25 — Переход к багбаунти: первые скрипты, зарплата в $15 и курьезы того времени.
00:07:20 — Первый крупный успех: выступление на ZeroNights и переход в консалтинг.
00:09:05 — Почему Сергей ушел из багбаунти и начал работать над защитой.
00:11:33 — Личная жизнь и путешествия: посещение Антарктиды и цель — все континенты до 30 лет.
00:16:05 — Жизнь digital nomad: усталость от переездов и поиск “дома”.
00:18:56 — Работа директора ИБ: как выглядят будни, стресс и уровень ответственности.
00:33:09 — Инциденты в безопасности: как их минимизировать и использовать плейбуки.
00:40:50 — Взаимодействие с бизнесом: как правильно объяснять важность безопасности.
00:44:17 — Комплаенс и безопасность в бизнесе: баланс между требованиями и реальной защитой.
00:46:14 — Будущее ИИ в безопасности: как трансформируется индустрия.
00:55:25 — Новые технологии и вызовы: квантовые компьютеры, обучение и адаптация.
01:00:44 — Заключение: пожелания зрителям и советы по карьере в ИБ.

⏯️ Смотреть или слушать полностью

#podcasts #bugbounty #infosec
3
🔐 Как взломать 512-битный ключ DKIM менее чем за 8 долларов в облаке

RSA-ключи длиной менее 1024 бит уже некоторое время считаются небезопасными, но в некоторых местах они всё ещё используются.

В 2025 году для взлома 512-битного RSA с помощью 8 ядер потребуется всего 86 часов 🤷‍♂️

👉 Пошаговый процесс описан здесь

#hacking #redteam #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
👋 Всем привет!

Мы ищем участников для интервью на тему «Обучение навыкам в IT»!

Кто нам нужен?
— Вы недавно (в последние 6 месяцев) проходили курсы по техническим специальностям или математике.
— Вы разработчик, стремящийся освоить Data Science или Machine Learning.

Что нужно сделать?
— Участвовать в небольшом интервью по Zoom (не больше 45 минут).
— Вознаграждение: 1500 рублей на карту за участие + уникальный шанс пообщаться с нашим CEO!

Как откликнуться?
Напишите в личные сообщения @artem_ceo
🤠 Погружение в безопасность Windows: подборка инфографики

Полезно знать при поиске угроз и проведении мероприятий по цифровой криминалистике и реагировании на инциденты.

👉 Источник

#dfir #windows #security
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍81
👨‍💻 Погружение в коды состояния HTTP-ответов: пятиминутный гайд для новичков

Если вы проводили сетевое сканирование или тестирование приложений, вы сталкивались с изрядной долей кодов HTTP-ответов.

Если нет, они встречаются везде: от curl, Shodan или Nessus до Burp Suite и ZAP. Хоть это и простая тема, важно понимать различия👇

🔗 Читать гайд

#guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Вакансии «Библиотеки программиста» — ждем вас в команде!

Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов

Подробности тут

Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴

Ждем ваших откликов 👾
👍3
🔐 HTTP -> HTTPS

Если у вас есть внутренний сервис HTTPS, но ваш балансировщик нагрузки, входной шлюз или что-то подобное разрешает только HTTP-адреса, вы можете обойти это с помощью простой команды socat. Не долгосрочное решение, а быстрый и временный кейс.

#tips #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
👀 Открытая редакция: ищем авторов для рубрики DevLife

Друзья, нас часто спрашивают про публикацию материалов о личном опыте и знаниях в IT. Пора это систематизировать!

Если у вас есть история о том, как вы:
• выросли в профессии,
• освоили новые технологии,
• сделали крутой карьерный скачок,
• эпично лажанулись,
• создали интересные проекты,
— присылайте свои статьи на почту hello@proglib.io с темой DevLife.

Требования простые:
• реальный опыт,
• конкретные шаги,
• от 5000 знаков,
• ссылка на Google Docs.

Лучшие истории опубликуем на сайте и в наших соцсетях с общим охватом 1 млн + человек.
11
👩‍💻 Chrome Extension Security — база знаний о безопасности расширений Chromium багхантера slonser

На данный момент не существует единого ресурса, который бы подробно освещал эту важную тему, несмотря на широкое распространение расширений, взаимодействующих с конфиденциальными данными и операциями.

В частности, расширения для криптовалютных кошельков и менеджеров паролей демонстрируют необходимость в повышении осведомлённости о безопасности.

👉 Этот туториал восполняет все пробелы, освещая вопросы создания собственного расширения, структуры расширения, хранения данных и многого другого

#tutorial #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🤔 Преимущества использования PASETO (Platform-Agnostic Security Token) вместо JWT (JSON Web Token) для аутентификации в веб-разработке
 
Что такое PASETO?
• Это токен, разработанный как более безопасная и простая альтернатива JWT.
• Основное внимание уделяется шифрованию и цифровым подписям для обеспечения безопасности.
• В отличие от JWT, PASETO изначально безопасен и защищен от большинства уязвимостей.

👉 Преимущества перед JWT
1. Безопасность по умолчанию:
• PASETO использует только современные и стойкие алгоритмы шифрования.
• Исключает распространённые проблемы JWT.

2. Простота использования:
• В PASETO легко определить его назначение (local или public) по структуре токена.
• Меньше шансов допустить ошибки при настройке, чем с JWT.

3. Производительность: PASETO быстрее шифруется и расшифровывается, что снижает нагрузку на сервер.

👉 Недостатки
• Отсутствие RFC: на данный момент доступен только черновик спецификации.
• Реализации PASETO есть не для всех языков программирования.

👉 Когда использовать PASETO?
• Локальные токены: для защиты данных в cookies или параметрах HTTP-запросов.
• Публичные токены: для одноразовой аутентификации, например, в OpenID.

🔗 Источник иллюстрации
🤑 7 неочевидных методов разведки для поиска новых уязвимостей

Гайд от Intigriti, из которого вы узнаете про:

— целевые словари;
— перебор виртуальных хостов (VHost);
— forced browsing с использованием различных HTTP-методов;
— мониторинг JavaScript-файлов;
— обход с разными заголовками user-agent;
— поиск связанных ресурсов с помощью хэшей иконок;
— поиск устаревших версий JavaScript-файлов.

#bugbounty #recon
😁4👍21
🤖 AIGoat — намеренно уязвимая инфраструктура ИИ, предназначенная для имитации OWASP ML Top 10

AI-Goat воспроизводит реальные окружения ИИ в облаке, но намеренно имеет баги для обеспечения реалистичной обучающей платформы. Внутри вас ждет несколько векторов атак, ориентированных на подход к тестированию методом чёрного ящика.

👉 GitHub

#pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
11👍5
This media is not supported in your browser
VIEW IN TELEGRAM
🔐 Как работает аутентификация в Kerberos при доверительных отношениях между доменами Active Directory

👉 Источник

#basics #security #windows
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
🌵🕵️‍♂️ Git-квест: 10 испытаний для повелителя репозиториев

От простого push до таинственного cherry-pick – пройдите все уровни нашего Git-квеста и докажите, что достойны звания Git-мастера.

🔗 Пройти тест
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7👍1
⤵️ Open URL redirect: полное руководство по эксплуатации

Этот тип багов часто относится к «низко висящим фруктам». Однако по мере усложнения современных приложений усложняются и баги.

Это также позволяет превратить «низко висящие фрукты» в более серьёзные проблемы с безопасностью, например, в полный захват учётной записи.

Гайд от Intigriti погружается в тему и разбирает: что это за уязвимость, как ее найти, проэксплуатировать и повысить импакт.

👉 Читать гайд

#guide #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🔑 Как хакеры взломали систему Subaru STARLINK

Исследователи нашли уязвимость в системе Subaru STARLINK, которая дала полный доступ к автомобилям через admin-панель.

Через уязвимость можно было удалённо запускать и останавливать двигатель автомобиля, блокировать или разблокировать двери. Хакеры также могли получить историю местоположений за год с точностью до 5 метров и извлечь данные владельцев, включая адреса, телефоны, e-mail, данные карт и PIN-коды.

➡️ Как это нашли:

▪️ Использовали Burp Suite для анализа запросов в мобильном приложении Subaru.

▪️ Переключились на админ-панель STARLINK, проанализировали JS-код и нашли дырявый эндпоинт для сброса пароля.

▪️ Через brute-force подобрали учётные данные сотрудников, получили доступ и обошли 2FA, просто удалив client-side проверку.

📎 Внутри пошаговый разбор взлома
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9😁7