This media is not supported in your browser
VIEW IN TELEGRAM
🔥 Хочешь строить свои AI-модели, а не просто запускать чужие?
Proglib.academy открывает курс «Математика для разработки AI-моделей» — программу, которая превращает понимание ML из «черного ящика» в осознанную инженерную работу.
📌 Почему без математики в AI никуда:
→ Чтобы пройти собеседование. Это первый фильтр: линал, матстат, оптимизация — спрашивают везде.
→ Чтобы понимать процесс изнутри. Инженер AI должен понимать, почему и как работает модель, а не просто жать fit().
🎓 Что будет на курсе:
→ 3 практических задания на Python + финальный проект с разбором от специалистов;
→ программа обновлена в ноябре 2025;
→ за 2 месяца пройдёшь весь фундамент, нужный для работы с моделями;
→ преподаватели — гуру математики, методисты и исследователи из ВШЭ и индустрии.
🎁 Бонусы ноября:
— 40% скидка;
— получаешь курс «Школьная математика» в подарок;
— короткий тест и узнать свой уровень.
🔗 Подробнее о курсе
Proglib.academy открывает курс «Математика для разработки AI-моделей» — программу, которая превращает понимание ML из «черного ящика» в осознанную инженерную работу.
📌 Почему без математики в AI никуда:
→ Чтобы пройти собеседование. Это первый фильтр: линал, матстат, оптимизация — спрашивают везде.
→ Чтобы понимать процесс изнутри. Инженер AI должен понимать, почему и как работает модель, а не просто жать fit().
🎓 Что будет на курсе:
→ 3 практических задания на Python + финальный проект с разбором от специалистов;
→ программа обновлена в ноябре 2025;
→ за 2 месяца пройдёшь весь фундамент, нужный для работы с моделями;
→ преподаватели — гуру математики, методисты и исследователи из ВШЭ и индустрии.
🎁 Бонусы ноября:
— 40% скидка;
— получаешь курс «Школьная математика» в подарок;
— короткий тест и узнать свой уровень.
🔗 Подробнее о курсе
🥰3😁2😢1
Что внутри:
— Видеолекции о поиске уязвимостей и защите веб-приложений
— Практические руководства разного уровня сложности
— CTF-задачи — упражнения, где нужно взломать систему и найти спрятанный флаг
Отличный старт для тех, кто хочет освоить пентест и этичный хакинг!
— Скидка 40% на все курсы Академии
— Розыгрыш Apple MacBook
— Бесплатный тест на знание математики
#resourse_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4👍3🙏2
⚠️ GraphQL Security: атаки, которые работают прямо сейчас
GraphQL массово заменяет REST API, но его безопасность — слабое звено. Компании внедряют быстро, защищают медленно.
🔍 Почему GraphQL опаснее REST:
— один endpoint вместо множества → сложнее мониторить
— клиент сам формирует запрос → больше контроля атакующему
— introspection по умолчанию включен → полная карта API бесплатно
➡️ Как атакуют:
1. Introspection Mining
Запрос
2. Batching Attack
Один HTTP-запрос = 1000 GraphQL-операций. Rate limit обходится тривиально, можно брутить токены/пароли массово.
3. Alias Overloading
Запросить одно и то же поле 10000 раз под разными именами → DoS через CPU exhaustion.
4. Nested Query Bomb
Циклические зависимости в схеме (user→posts→author→posts...) → экспоненциальный рост запросов к БД.
5. Field Suggestions Leak
Опечатка в названии поля? GraphQL сам подскажет правильное — включая приватные поля, которые думали скрыть.
😵 Типичный сценарий атаки:
Пентестеры регулярно находят открытые GraphQL endpoints у SaaS-сервисов. Через introspection обнаруживают internal-запросы типа
🛡 Что делать defenders:
📎 Источники:
→ OWASP GraphQL Cheat Sheet
→ GraphQL Batching Attack
→ Exploiting GraphQL
🐸 Библиотека хакера
#breach_breakdown #graphql
GraphQL массово заменяет REST API, но его безопасность — слабое звено. Компании внедряют быстро, защищают медленно.
— один endpoint вместо множества → сложнее мониторить
— клиент сам формирует запрос → больше контроля атакующему
— introspection по умолчанию включен → полная карта API бесплатно
1. Introspection Mining
Запрос
__schema выдает всю структуру API: типы, поля, аргументы. Даже если endpoint не документирован — получишь full disclosure.
{__schema{types{name,fields{name}}}}
2. Batching Attack
Один HTTP-запрос = 1000 GraphQL-операций. Rate limit обходится тривиально, можно брутить токены/пароли массово.
3. Alias Overloading
Запросить одно и то же поле 10000 раз под разными именами → DoS через CPU exhaustion.
{
user1: user(id:1){name}
user2: user(id:1){name}
...
user9999: user(id:1){name}
}
4. Nested Query Bomb
Циклические зависимости в схеме (user→posts→author→posts...) → экспоненциальный рост запросов к БД.
5. Field Suggestions Leak
Опечатка в названии поля? GraphQL сам подскажет правильное — включая приватные поля, которые думали скрыть.
Пентестеры регулярно находят открытые GraphQL endpoints у SaaS-сервисов. Через introspection обнаруживают internal-запросы типа
adminQuery или internalUserData, которые не были в публичной документации. Результат: массовая утечка данных клиентов.—
отключить introspection в production
(если не нужен публично)
— лимиты на
query depth
(макс. 5-7 уровней) и
complexity
—
persisted queries
вместо arbitrary запросов
— мониторинг аномальных паттернов (>100 алиасов, батчинг >10 запросов)
—
field-level authorization
, а не только endpoint-level
→ OWASP GraphQL Cheat Sheet
→ GraphQL Batching Attack
→ Exploiting GraphQL
#breach_breakdown #graphql
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4❤3👍3
OSINT_Cheatsheet_2025.pdf
99.1 KB
Ваш карманный арсенал для Open Source Intelligence — все инструменты и команды в одном месте.
Что внутри:
— 43+ инструмента с ready-to-use командами
— От реконнесанса до dark web мониторинга
— SOCMINT, threat intelligence, AI-enhanced анализ
— OPSEC best practices и OSINTel-Dashboard v2.0
🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍1
⚠️ OpenPLC ScadaBR — XSS, подтверждённая эксплуатация
CISA официально добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV) — то есть хакеры уже используют её в реальных атаках на SCADA-системы.
Что важно знать:
➡️ Затрагиваемые версии:
— OpenPLC ScadaBR до 1.12.4 (Windows)
— ScadaBR до 0.9.1 (Linux)
➡️ Контекст: уязвимость эксплуатируется в среде ICS/OT — там, где каждая панель, насос или контроллер реально управляют физическими процессами.
➡️ Риски: XSS в SCADA — это не про всплывашку в браузере. Это про возможность подменить показания, внедрить вредоносный JS и получить точку входа в автоматизацию.
🔗 Читать подробнее
🐸 Библиотека хакера
#cve_bulletin
CISA официально добавила уязвимость в каталог Known Exploited Vulnerabilities (KEV) — то есть хакеры уже используют её в реальных атаках на SCADA-системы.
Что важно знать:
— OpenPLC ScadaBR до 1.12.4 (Windows)
— ScadaBR до 0.9.1 (Linux)
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🥰2
📘 4 декабря стартует набор на курс «Математика для разработки AI-моделей»
Если вы работаете с моделями или хотите перейти в DS/ML, декабрь — идеальный момент закрыть фундаментальные пробелы.
На курсе вы разберёте ключевые разделы, которые лежат в основе современных AI-моделей: линейная алгебра, анализ, оптимизация, математический анализ, вероятности, статистика. Всё через практику в Python.
В программе живые занятия с экспертами AI-индустрии (SberAI, ВШЭ, WB&Russ), разбор реальных задач, квизы и финальный проект.
🌐 Формат: онлайн + доступ к записям
🎁 Бонусы: курс «Школьная математика» в подарок, бесплатный тест по математике
После лекций будет разбор ваших решений и возможность задать вопросы преподавателям.
👉 Записаться на курс
Если вы работаете с моделями или хотите перейти в DS/ML, декабрь — идеальный момент закрыть фундаментальные пробелы.
На курсе вы разберёте ключевые разделы, которые лежат в основе современных AI-моделей: линейная алгебра, анализ, оптимизация, математический анализ, вероятности, статистика. Всё через практику в Python.
В программе живые занятия с экспертами AI-индустрии (SberAI, ВШЭ, WB&Russ), разбор реальных задач, квизы и финальный проект.
🌐 Формат: онлайн + доступ к записям
🎁 Бонусы: курс «Школьная математика» в подарок, бесплатный тест по математике
После лекций будет разбор ваших решений и возможность задать вопросы преподавателям.
👉 Записаться на курс