😈 Дыра в щите Cloudflare: как атака на Jabber.ru вскрыла проблему, о которой молчат c 2023

Думаю, многие помнят позапрошлогодний инцидент с Man-in-the-Middle атакой на XMPP-сервис jabber.ru – эта атака вскрыла системную уязвимость в процессе выдачи TLS сертификатов, которая напрямую касается миллионов сайтов, особенно тех, кто доверяет свою безопасность Cloudflare

— В статье автор подробно разберет технические аспекты атаки и уделит особое внимание проблеме, связанной с автоматическим добавлением Cloudflare записей CAA в DNS зоны пользователей, что потенциально открывает возможности для аналогичных атак

⛓ https://habr.com/ru/articles/918570/

#Attack #Cloudflare ✈️ inf0

❗️ Как меняются и меняются ли DDoS-атаки

Формально первая DoS-атака произошла более 50 лет назад, когда 13-летний подросток смог «положить» тридцать один терминал Университета Иллинойса

— В 90-е злоумышленники уже проводили полноценные DoS-атаки на инфраструктуру интернет-провайдеров, а также приступили к DDoS-атакам на государственные организации

⚠️ И если 15 лет назад их пиковая мощность была на уровне 100 Гбит/сек, то сегодня она доходит до 4,2 Тбит/сек

⛓ https://habr.com/ru/companies/vasexperts/articles/877632/

#DDoS #Attack #Guide ✈️ inf0

😷 Платформа для тренировки навыков аудита

Mutillidae – уязвимое веб-приложение с открытым исходным кодом

— Оно предназначено для обучения веб-безопасности и тестирования инструментов, нацеленных на уязвимости

Особенности Mutillidae:
🔵Содержит более 40 уязвимостей и вызовов;
🔵Реализует уязвимости из OWASP Top 10 (ежегодно обновляемый список 10 уязвимостей);
🔵Позволяет переключаться между безопасным и небезопасным режимами;
🔵Содержит подсказки пользователю и пузырьковые подсказки для указания уязвимых локаций;
🔵Обеспечивает страницу захвата данных и сохранение захваченных данных в базе данных и файле.

⛓ https://github.com/webpwnized/mutillidae

#OWASP #Tools ✈️ inf0

🚰 Раскрыта структура 16-миллиардной утечки: 30 баз, крупнейшая — португальская, среди них — российская и Telegram

— Исследователи из Cybernews раскрыли дополнительные подробности о масштабной утечке, в рамках которой были скомпрометированы данные 16 миллиардов учётных записей

⚠️ По данным исследователей, утечка данных представляет собой не одну, а сразу 30 разрозненных баз данных

Самая крупная из них насчитывает более 3,5 миллиарда строк

— Особую тревогу вызывает свежесть записей: это не «археология» прошлых лет, а актуальные логи, собранные за последние месяцы

⛓ https://www.securitylab.ru/news/560622.php

#Leak #News ✈️ inf0

🌐 Партнёрство на опережение киберугроз

Забытые сервисы, открытые порты, теневые домены – всё это лазейки, через которые начинают атаки

— И бизнесу в таких ситуациях нужны решения, которые охватывают весь контур угроз

⚠️ 20 июня на ПМЭФ-2025 Innostage (провайдер киберустойчивости) и F6 (разработчик решений по борьбе с киберпреступностью), подписали соглашение о стратегическом сотрудничестве

Суть партнёрства – в объединении компетенций:
🔵F6 приносит экспертизу, сформированную на реальных расследованиях инцидентов
🔵Innostage – методологию, охватывающую архитектуру, процессы и подготовку команд

Цель – вместе разрабатывать реальные практики защиты, усиливать ИБ-компетенции на рынке, делиться аналитикой и обучать тех, кто в поле

«

В современных реалиях киберустойчивость становится не просто задачей информационной безопасности, а ключевым фактором стабильности и конкурентоспособности экономики.

Мы уверены: добиться этого можно только через стратегическое партнёрство, объединение передовой экспертизы и создание экосистемы, где решения усиливают друг друга и работают на общую цель

», — отметил Айдар Гузаиров, CЕО Innostage.

#News ✈️ inf0

❗️ Некоторые базовые примеры атаки на уязвимую машину Metasploitable2

Небольшая шпаргалка по Metasploit-Framework

— В сегодняшней статье автор поделится своей базовой практикой пентеста уязвимой машины Metasploitable2

В ней будет немного брутфорса и иных методов обнаружения и эксплуатации уязвимостей

А также мы рассмотрим как поднять машину

⛓ https://habr.com/ru/articles/900414/

#Info #Tools #CheatSheet #TryHackMe #Metasploit ✈️ inf0

😂 Как оценивают выплаты в баг баунти

#Info #Meme ✈️ inf0

🤨 Мои данные. Моя конфиденциальность. Мой выбор

— Книга дает наглядные практические советы по сохранению анонимности в Интернете, а также предотвращению утечки конфиденциальных данных

🔵Рассмотрены способы предотвратить «слежку» за пользователем со стороны различных веб-сайтов и сервисов
🔵Даны рекомендации по настройкам популярных ОС
🔵Приводится информация о безопасной работе в социальных сетях, программах и сервисах для повышения конфиденциальности и обеспечения анонимности в сети

Рохит Шриваства 2023

⛓ https://t.me/tochkaseti/249

#Book #Confidentiality ✈️ inf0

🔎 Пошаговое руководство по написанию эксплойта ядра iOS

За последние годы эксплуатация ядра стала значительно сложнее, и традиционные уязвимости (например, связанные с повреждением виртуальной памяти) стали встречаться реже

— В этой статье автор объяснит, как эксплуатировать уязвимость типа physical use-after-free на современных версиях iOS

⛓ https://habr.com/ru/companies/bastion/articles/920922/

#Exploit #iOS #Guide ✈️ inf0

❗️ Шпаргалка по MITM-атакам

— Авторы репозитория постарались собрать воедино все известные MITM-атаки и методы защиты от них

В нем вы также представлены инструменты для проведения MITM-атак, некоторые интересные примеры атак и некоторые приемы, связанные с ними

⛓ https://github.com/frostbits-security/MITM-cheatsheet?ysclid=m8fw9z6z4k409868049

#MITM #CheatSheet #Tools ✈️ inf0

👴 Использование Airgeddon для взлома Wi-Fi

— Сегодня в статье изучим интересный инструмент и рассмотрим использование Airgeddon для захвата и взлома файла рукопожатия (взлома Wi-Fi).

Airgeddon – это многофункциональный инструмент для взлома Wi-Fi с использованием различных методов взлома и аудита безопасности.

Airgeddon предоставляет широкий набор функций, включая сканирование сетей, подбор паролей, атаки с использованием словарей, атаки на перехват рукопожатий WPA/WPA2 и многое другое.

Возможности Airgeddon:
1. DoS через беспроводные сети разными методами (mdk3, mdk4, aireplay-ng).
2. Автономная расшифровка паролей в захваченных файлах WPA/WPA2 (Handshake и PMKID), с использованием словаря, брута и атак на основе правил, с помощью инструментов aircrack, crunch и hashcat.
3. Атаки Evil Twin (поддельная точка доступа)
4. WPS-функции
5. Атаки на корпоративные сети
6. Атака WEP All-in-One (сочетание различных техник: Chop-Chop, Caffe Latte, ARP Replay, Hirte, Fragmentation, Fake Association и т. д.).

⛓ https://spy-soft.net/airgeddon-wifi-hack-kali-linux/

#WiFi #Tor #EvilTwin #Airgeddon #WPA #WPS ✈️ inf0

💻 Что случилось с Cloudflare в России и почему об этом молчат?

С 9 июня 2025 года пользователи из России, подключающиеся к сайтам и сервисам, защищённым Cloudflare, начали сталкиваться с резким замедлением скорости загрузки

Согласно данным самой компании, ограничение доступа происходит на уровне российских интернет-провайдеров

— Cloudflare подчёркивает, что не имеет технической возможности законным образом обойти эти ограничения и восстановить стабильное соединение для пользователей из России

⛓ https://www.securitylab.ru/news/560818.php

#News #Cloudflare ✈️ inf0

📷 Прозрачное программное обеспечение: Безопасность цепочек поставок ПО

Вы познакомитесь со множеством тем: от истории движения за прозрачность ПО до подходов к спецификации и подтверждению достоверности в быстро меняющемся ландшафте программного обеспечения

— Авторы познакомят нас с основными векторами атак, такими как мобильные и социальные сети, банковские системы и системы розничной торговли и даже критически важные инфраструктуры, а также с системами защиты, на которые мы все полагаемся

Вы узнаете, как защититься от угроз, и познакомитесь с практическими рекомендациями как для потребителей, так и для поставщиков ПО

Крис Хьюз, Тони Тернер 2025

⛓ https://t.me/tochkaseti/250

#Book #DevOps ✈️ inf0

📄 Шпаргалка по John The Ripper

John The Ripper – свободная программа для восстановления паролей по их хешам

Основное назначение программы – аудит слабых паролей в UNIX-системах путём перебора возможных вариантов

Некоторые возможности John the Ripper:
🔵поддерживает множество форматов хешей: от старых Unix DES-хэшей до современных bcrypt, SHA-512 и даже NTLM от Windows
🔵работает на Windows, Linux, macOS, BSD и даже Solaris
🔵предлагает несколько режимов взлома, включая brute-force (полный перебор символов), dictionary (словарные атаки), инкрементальный режим и другие
🔵поддерживает плагины и модули, что позволяет расширять функциональность инструмента

#JohnTheRipper #CheatSheet ✈️ inf0

🔎 OSINT: Инструмент для поиска чувствительных данных

DumpsterDiver – это инструмент, используемый для анализа больших томов различных типов файлов для поиска записанных в исходном коде и просто в виде простого текста различных непубличных данных, таких как ключи (например, AWS Access Key, Azure Share Key или SSH ключи) или паролей

Главная идея этого инструмента – выявить любые потенциальные утечки секретных данных

Ключевые функции:
🔵использует Shannon Entropy для поиска приватных ключей
🔵может искать по логам git
🔵распаковывает сжатые архивы (например, zip, tar.gz и т.д.)
🔵поддерживает продвинутый поиск на основе простых правил (подробности ниже)
🔵ищет пароли, прописанные в исходном коде или обычных файлах
🔵полностью настраиваемая

⛓ https://github.com/securing/DumpsterDiver

#Tools #OSINT ✈️ inf0

😈 Нарушение контроля доступа (IDOR) в функционале «Забыли пароль» позволяет атакующему менять пароли всех пользователей

— В данной статье автор расскажет, как обнаружил уязвимость, которая позволяет злоумышленнику менять пароли других пользователей, что может привести к захвату аккаунтов

А также уязвимость касается токена восстановления – пароли не аннулируется после использования

⛓ https://habr.com/ru/articles/924206/

#IDOR #BugBounty #Password #Attack ✈️ inf0

😁 Полезные консольные Linux утилиты

— В этой подборке представлено много много полезных малоизвестных консольных Linux утилит

Сохраняем себе

⛓ https://habr.com/ru/articles/553000/

#Linux #Tools ✈️ inf0

Скрытые профили, поддомены, старые коммиты — как найти то, что спрятано?

В новой статье из цикла "ШХ" разбираем три мощных инструмента для сбора информации:

1⃣ Amass — ищем поддомены и точки входа (пассивно/активно).
2⃣ youtube-handles-fuzz — проверяем YouTube-каналы по имени.
3⃣ OSGINT — вытягиваем данные GitHub-профилей (репы, PGP, почты).

Зачем это нужно?
🔸Анализ инфраструктуры сайта.
🔸Поиск целевых аккаунтов.
🔸Проверка цифрового следа.

✅Все методы — на основе открытых данных.

🔴 Читайте статью и пробуйте инструменты
🔴 Прокачайте скиллы по OSINT со Академией Кодебай. Подробности здесь

📂 61 репозиторий для специалистов по безопасности на Github

— Огромная подборка полезных вещей, инструментов, книг и прочих источников для хакеров, тестировщиков на проникновение и исследователей в области информационной безопасности

⛓ https://proglib.io/p/hacking-repositories?ysclid=m9gxtflzrf14934209

#Tools ✈️ inf0