📎 Инструмент недели: Nuclei

Высокопроизводительный шаблонный сканер для быстрого поиска уязвимостей по шаблонам (YAML). Отлично подходит для массового сканирования и интеграции в pipeline.

➡️ Что он делает:

— Быстрый запуск массовых проверок по сообществу шаблонов;
— поддержка HTTP, DNS, TCP, cloud-checks и пр.;
— лёгкая кастомизация шаблонов (YAML).

➡️ Как запустить (пример):

# простая проверка хоста по шаблону
nuclei -u https://target.example -t cves/ -o results.txt

# запустить с набором шаблонов из репозитория
nuclei -u urls.txt -t ~/nuclei-templates/ -o out.csv

💡 Практические советы:

— Поддерживай локальную копию nuclei-templates и обновляй их часто;

— в CI запускай сначала «quiet» режим и настраивай rate-limits, чтобы не утонуть в false-positives;

— комбинируй с fingerprinting (httpx) и предварительной фильтрацией.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

⚠️ Supply-chain под прицелом: GitHub усиливает защиту npm

После атаки Shai-Hulud, которая затронула экосистему npm, GitHub анонсировал новые правила безопасности для публикации пакетов:

— локальная публикация теперь только с 2FA;

— lifetime токенов сокращён до 7 дней;

— вводится модель **trusted publishing.

Это шаг к тому, чтобы снизить риск массовых компрометаций в цепочке поставок.

📎 Читать подробнее

🐸 Библиотека хакера

#patch_notes

🔍 Как простой файл в приложении привёл к краже сессий

Разработчик хранил access/refresh токены в SharedPreferences/NSUserDefaults. Исследователь распаковал сборку → нашёл токен → подставил Authorization: Bearer <token> — и вошёл в аккаунт жертвы.

➡️ Что произошло:

— быстрое считывание токенов с устройства
— захват сессий — личные данные и действия от имени пользователя
— массовый фишинг по похищенным контактам
— срочный хотфикс, репутационный и юридический урон

➡️ Починили так:

— перевели секреты в Keychain / Android Keystore
— сделали короткие access-токены + одноразовые refresh
— привязали токен к устройству и детект reuse
— добавили сканы сборок и security-tests в CI

💡 Не храните токены в plain files — мобильный клиент не место для секретов.

🐸 Библиотека хакера

#breach_breakdown

📌 Cybersecurity 101 — визуальная шпаргалка

На одной схеме собраны ключевые элементы отрасли:

— топ-15 киберугроз,
— базовые механизмы защиты,
— модель CIA-триады,
— фреймворки (NIST, Zero Trust, Mesh),
— экосистема вендоров и решений.

➡️ Полезно как для систематизации, так и для быстрого ориентира в ключевых темах.

🐸 Библиотека хакера

#cheat_sheet

📢 Навигация по каналу

Чтобы не теряться в потоке постов, мы собрали удобную навигацию по тегам. Теперь всё нужное можно найти в пару кликов:

#cve_bulletin — свежие уязвимости (CVE, 0-day), крупные утечки и эксплойты.

#cheat_sheet — короткие и полезные шпаргалки: однострочники, Nmap/SQLmap/Bash-команды, готовые сниппеты.

#ctf_challenge — интерактивные задачи: найдите баг, разгадайте шифр или проанализируйте лог.

#tool_of_the_week — глубокие разборы инструментов и репозиториев с GitHub: возможности, плюсы и минусы.

#patch_notes — краткие сводки обновлений ключевых хакерских тулзов (Burp, Metasploit и др.).

#breach_breakdown — реальные кейсы: баг-баунти находки, пентесты и громкие атаки. От вектора до последствий.

#zero_day_legends — истории о культовых хакерах, легендарных вирусах и знаковых событиях ИБ.

#tool_vs_tool — голосования и сравнения конкурирующих инструментов: чьи фичи круче.

#hollywood_hack — разбор сцен взлома из фильмов и сериалов: где правда, а где фантазия.

#hack_humor — мемы, шутки и забавные инсайды из мира хакинга и IT-быта.

#resource_drop — еженедельные подборки топ-статей, докладов, курсов и видео.

#ask_the_community — площадка для ваших вопросов и советов от комьюнити.

🔈 Мы — ваш бэкдор в мир кибербезопасности. Не пропустите доступ к главному.

🐸 Библиотека хакера