⛔ Black, gray, white: разбираемся в методологиях пентеста

Пентесты помогают выявить и устранить слабые места в защите компании до того, как ими воспользуются злоумышленники

Но чтобы такая проверка действительно принесла пользу, важно понимать, зачем вы ее проводите, по какой методологии, и что будете делать с результатами

В этой статье мы разберемся:
🔵чем отличаются методологии «черного», «серого» и «белого ящика»;
🔵какую из них выбрать под конкретные риски;
🔵как подготовиться к тестированию, чтобы не тратить деньги впустую;
🔵и почему даже «зеленый» отчет сам по себе — не повод выдыхать.

⛓ https://habr.com/ru/companies/bastion/articles/939432/

#Info #Pentest ✈️ inf0

😁 Шпаргалка по командам Linux

Бывает, что некоторые команды терминала Linux сложно вспомнить, и сохранение их на компьютере или на бумаге в качестве шпаргалки является хорошей практикой

— Этот список не является полным, но он содержит наиболее часто используемые команды

⛓ https://serverspace.ru/support/help/shpargalka-po-komandam-linux

#CheatSheet #Linux ✈️ inf0

🦠 Живой репозиторий вредоносных программ

TheZoo — это база вредоносного ПО, которая включает в себя практически весь диапазон вредоносных программ и сопровождается простеньким скриптом на Python, позволяющим обновлять эту базу и декодировать ее содержимое.

— Несмотря на то, что малвари зашифрованы, крайне рекомендую запускать фрэймворк на виртуальной машине и без доступа в интернет, тем более в процессе дальнейшего анализа

Вредоносы находятся в состоянии боевой готовности и требуют принятия некоторых мер безопасности

⛓ https://github.com/ytisf/theZoo

#Virus #Malware✈️ inf0

📸 Места продажи сим-карт оборудуют видеокамерами

— C 1 сентября места продажи сим-карт в России должны быть оборудованы видеокамерами

Как указано в документе, все торговые точки, которые занимаются продажей сим-карт, должны не только установить видеокамеры, но и обеспечить сохранность видеозаписей в течение как минимум месяца

⚠️ Камеры должны фиксировать действия как сотрудника оператора связи, так и гражданина, заключающего договор

⛓ https://ria.ru/20250826/kamery-2037569279.html

#News #SIM ✈️ inf0

🖥 Инженерия данных в Python. Основы анализа данных с помощью Pandas, NumPy и Scikit-learn

Перед вами полноценный путеводитель в увлекательный мир обработки данных при помощи Pandas, NumPy и Scikit-learn

— Он содержит множество примеров, которые помогут вам научиться преобразовывать сырые крупицы данных в настоящий шедевр из ценной информации и аналитических выводов

Книга разбита на три части, каждая из которых посвящена отдельным аспектам работы с данными

⛓ https://t.me/tochkaseti/270

Гинько А.Ю. 2025

#Python #Book #DataEngineering ✈️ inf0

📱 Подмена местоположения на Android

Содержание статьи:
1. Подмена местоположения на Android
2. Включение режима «Для разработчиков»
3. Приложения для подмены местоположения
🔵Подмена местоположения в Fake GPS Location 
🔵Подмена GPS координат в Mock Locations
🔵Изменение местоположения в Fake GPS – Fake Location

Задумывались ли Вы о том, что при создании снимка в его метаданные записывается информация о Вашем местонахождении?

— Кроме этого есть огромное количество программ отслеживающие наше местоположение с помощью данных GPS

Среди них: социальные сети, различные шоусервисные программы, мессенджеры, навигаторы и т.п.

⛓ https://spy-soft.net/podmena-mestopolozheniya-android/

#Guide #Android #GPS #Surveillance ✈️ inf0

📄 Mindmap по HTTPX

HTTPX — библиотека для асинхронных HTTP-запросов в Python

— Она предназначена для создания надёжных и масштабируемых веб-приложений

Функции:
🔵Поддержка асинхронности (совместима с asyncio): позволяет обрабатывать несколько запросов одновременно;
🔵Пул соединений: эффективно управляет соединениями с серверами, не создавая новые соединения для каждого запроса;
🔵Потоковая обработка данных: для больших наборов или потоков данных в реальном времени данные обрабатываются по частям, не нужно загружать весь ответ сразу;
🔵Автоматическая декомпрессия: библиотека автоматически обрабатывает сжатые ответы (например, Gzip);
🔵Поддержка тайм-аутов: по умолчанию включает тайм-ауты, что обеспечивает более безопасное управление ресурсами и предотвращение потенциальных висячих запросов.

#HTTPX #CheatSheet #Mindmap ✈️ inf0

💳 Автоматический спуфинг Bluetooth-устройств

SpoofTooph — программа, предназначенная для автоматической подмены (спуфинга) или клонирования имён, класса и адреса Bluetooth-устройств

— Клонирование этой информации позволяет Bluetooth-устройству скрываться из вида: программы по сканированию Bluetooth отобразят только одно устройство, если в диапазоне в режиме обнаружения доступны несколько устройств с одинаковой информацией (особенно это касается одинакового адреса)

Некоторые возможности SpoofTooph:
🔵клонирование и ведение записи информации об устройствах Bluetooth;
🔵генерация случайных Bluetooth-профилей;
🔵изменение Bluetooth-профиля каждые X секунд;
🔵установка информации об устройстве для Bluetooth-интерфейса;
🔵выбор из журнала сканирования устройства для клонирования.

⛓ https://sourceforge.net/projects/spooftooph/

#SpoofTooph #Tools #Bluetooth #Spoofing ✈️ inf0

📖 Библия C#

— Книга посвящена программированию на языке C# для платформы Microsoft .NET, начиная с основ языка и разработки программ для работы в режиме командной строки и заканчивая созданием современных веб-приложений

🔵Материал сопровождается большим количеством практических примеров;
🔵Подробно описывается логика выполнения каждого участка программы;
🔵Уделено внимание вопросам повторного использования кода.
🔵Примеры переписаны с учетом современной платформы .NET 7;
🔵Большой упор сделан на веб-приложения и фреймворк доступа к данным Entity Framework.

Фленов М.Е. 2024

⛓ https://t.me/tochkaseti/272

#C #Book ✈️ inf0

🏠 Один GET и облака нет: роняем прод в надёжном облаке быстро и качественно

GET — это метод в протоколе HTTP, который используется для получения данных с веб-сервера

Всего за пять шагов мы разберемся, как строится атака на облачную инфраструктуру:
🔵Демонстрация: показываем последствия.
🔵База по облакам: здесь про облачную терминологию и сервис метаданных;
🔵Атаки с применением сервиса метаданных: разбор kill chain;
🔵Построение защиты — про превентивные и реактивные меры защиты;
🔵Заключение — чему мы сегодня научились.

⛓ https://habr.com/ru/companies/alfa/articles/941846/

#GET #Cloud #Guide ✈️ inf0

🖥 От CREATE до JOIN: введение в SQL + шпаргалка

Для решения многих стандартных задач достаточно изучить азы работы с базами:
🔵создание и редактирование таблиц;
🔵сохранение и обновление записей;
🔵выборка и фильтрация данных;
🔵индексирование полей.

— Этими азами мы и займемся: разберем синтаксис SQL-запросов в теории и на реальных примерах

⛓ https://proglib.io/p/sql-cheat-sheet?ysclid=mfbatqukzp211009142

#SQL #CheatSheet ✈️ inf0

💻 Поиск и анализ уязвимостей

Plecost — инструмент для дактилоскопии уязвимостей и поиска уязвимостей в блогах под управлением WordPress

— Он может анализировать один URL или проводить анализ на основе результатов, проиндексированных Google и отображать код CVE, связанный с каждым плагином, если таковой имеется

Программа помогает системным администраторам и владельцам блогов сделать их WordPress более безопасным

⛓ https://github.com/iniqua/plecost

#Plecost #Vulnerability #Analysis #WordPress ✈️ inf0

❗️ Атака s1ngularity затронула 2180 аккаунтов GitHub

— По данным специалистов компании Wiz, которые изучили недавнюю атаку s1ngularity, нацеленную на NX, инцидент привел к масштабным последствиям

⚠️ Взлом спровоцировал раскрытие данных 2180 учетных записей и затронул 7200 репозиториев

NX — популярная опенсорсная платформа для сборки, которая помогает управлять кодом в больших проектах

Она позиционируется как «платформа для сборки с приоритетом на ИИ, которая объединяет в себе все — от редактора до CI»

⛓ https://xakep.ru/2025/09/09/s1ngularitys-aftermath/

#News #Git #Attack ✈️ inf0

— Реальность сегодняшнего дня

#Meme #AI ✈️ inf0

⬛️ Настоящий SRE: инжиниринг надежности для специалистов и организаций

— Вы хотели бы, чтобы в книгах по обеспечению надежности систем изучение начиналось с азов? Мечтаете, чтобы кто-нибудь подробно разъяснил, как стать SR-инженером, научил мыслить как SR-инженер или подсказал, как создать отдел обеспечения надежности в вашей организации?

Книга решает все эти и другие задачи, в трех взаимосвязанных разделах приводятся:
🔵Важнейшие основы, необходимые для понимания идеи и культуры SRE;
🔵Советы отдельным людям, как стать настоящим SRE;
🔵И руководство для организаций по созданию и развитию успешной практики SRE.

Бланк-Эдельман Д. 2025

⛓ https://t.me/tochkaseti/274

#SRE #Book #Engineering ✈️ inf0

🛡 Как FreeIPA защищает SSH от MITM-атак

— Сегодня в статье мы погрузимся во внутреннюю кухню протокола SSH, заострив особое внимание на его интеграции с доменом FreeIPA

FreeIPA (Free Identity, Policy and Audit) — открытое программное обеспечение для управления идентификацией, аутентификацией и авторизацией в сетях

⛓ https://habr.com/ru/companies/astralinux/articles/946002/

#FreeIPA #MITM #Security ✈️ inf0

📄 Шпаргалка HashCat от Offensive Security

Hashcat — это свободная программа для восстановления паролей путём перебора хэшей

— Она поддерживает широкий спектр алгоритмов и может использовать как CPU, так и GPU, что делает инструмент одним из самых быстрых в своём классе

Hashcat работает по принципу: пользователь указывает хэш, метод атаки, словарь или маску, а программа начинает перебирать возможные варианты

⛓ https://cheatsheet.haax.fr/passcracking-hashfiles/hashcat_cheatsheet/

#Cheatsheet #HashCat #OffensiveSecurity ✈️ inf0

😟 Инструмент удалённого администрирования и последующей эксплуатации

Pupy — это инструмент с открытым исходным кодом для удалённого администрирования и последующей эксплуатации, работающий на различных платформах

— Его особенностями является выполнение только в памяти, благодаря чему остаётся очень мало следов

Pupy умеет общаться с удалённой машиной используя несколько транспортов, выполнять миграцию в процессы с помощью рефлексивного внедрения и загружать удалённый код Python, пакеты Python и C-расширения Python из памяти

⛓ https://github.com/n1nj4sec/pupy

#Tools #Exploitation #Python #OpenSource ✈️ inf0

☁️ В даркнете растет спрос на аккаунты в мессенджере Max

— Среди злоумышленников распространяется практика аренды пользовательских аккаунтов в мессенджере Max, ранее популярная у мошенников в WhatsApp

⚠️ На теневых форумах ежедневно публикуется до тысячи таких объявлений, такая «услуга» стоит от 10 до 250 долларов, а учетную запись можно взять в аренду на срок от одного часа

Злоумышленники предлагают своим жертвам передать номер телефона и код для авторизации в мессенджере, а потом они оплачивают почасовой холд

⛓ https://xakep.ru/2025/09/15/max-darkweb/

#News #SE ✈️ inf0