⚠️ Шпаргалка по разработке эксплойтов

Разработка эксплойтов — это процесс создания кода, который использует уязвимости в приложениях или системах для выполнения произвольных действий, таких как запуск вредоносного кода, получение доступа к конфиденциальным данным или повышение привилегий

Инструменты для разработки эксплойтов:
1. pwntools — Python-библиотека, облегчающая процесс разработки эксплойтов;
2. gdb — GNU отладчик для пошагового анализа программы и нахождения уязвимостей;
3. radare2 — отладчик и инструмент для реверс-инжиниринга, полезный для анализа и эксплуатации уязвимостей;
4. ROPgadget — инструмент для поиска ROP-гаджетов в бинарных файлах, что упрощает создание ROP-цепочек для эксплуатации переполнений буфера.

#CheatSheet #Exploit ✈️ inf0

😟 Инструмент удалённого администрирования и последующей эксплуатации

Pupy — это инструмент с открытым исходным кодом для удалённого администрирования и последующей эксплуатации, работающий на различных платформах

— Его особенностями является выполнение только в памяти, благодаря чему остаётся очень мало следов

Pupy умеет общаться с удалённой машиной используя несколько транспортов, выполнять миграцию в процессы с помощью рефлексивного внедрения и загружать удалённый код Python, пакеты Python и C-расширения Python из памяти

⛓ https://github.com/n1nj4sec/pupy

#Tools #Exploitation #Python #OpenSource ✈️ inf0

📖 Программирование Cloud Native. Микросервисы, Docker и Kubernetes

Программирование всегда доступных, распределенных, обслуживающих миллионы запросов систем основано на возможностях облаков Cloud

— Книга расскажет, как создавать приложения согласно концепции Cloud Native, рожденные жить и работать в облаке, а именно видеть их как набор микросервисов, упаковывать в образы Docker, и управлять ими в Kubernetes

🔵Взглянем на концепцию Cloud Native — создание приложений, «рожденных» для облака,
🔵Узнаем о 12 факторах,
🔵Вспомним как появились технологии виртуализации и масштабирования,
🔵Разберем что именно принесут нам контейнеры Docker и микросервисы,
🔵Увидим, как настройка и оркестровка Kubernetes позволяет развернуть систему любой сложности в любом облаке и мгновенно приспособить ее к растущим нагрузкам.

Иван Портянкин 2020

⛓ https://t.me/tochkaseti/322

#Cloud #Kubernetes #Docker ✈️ inf0

😟 20 лучших ресурсов для обучения этичному хакингу

Веб-сайты для изучения взлома – идеальное место для начинающих, поскольку у вас не будет временных ограничений и вы сможете заниматься самообразованием в любое время и на любом устройстве

— В статье приведены виртуальные машины для практики взлома, различные ресурсы по ИБ, книги и программы Bug Bounty

⛓ https://proglib.io/p/20-luchshih-resursov-dlya-obucheniya-etichnomu-hakingu-v-2021-godu-2021-08-24?ysclid=lzwl06o62t779091641

#Tools ✈️ inf0

😈 Cisco устранила уязвимость, через которую хакеры месяц «рутили» почтовые шлюзы

— Cisco устранила уязвимость максимальной степени критичности в AsyncOS, которая находилась под атакой как минимум месяц

Компания раскрыла информацию об уязвимости CVE-2025-20393 ещё 17 декабря — она затрагивает некоторые устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM)

⚠️ Согласно бюллетеню безопасности компании, атака позволяет выполнять произвольные команды с правами root на базовой операционной системе уязвимого устройства

О том, что злоумышленники атакуют эти устройства, Cisco стало известно 10 декабря

⛓ https://www.securitylab.ru/news/568252.php

#Cisco #Vulnerability #News ✈️ inf0

🟦 Почему все сканеры и IDS не заменят понимания сети

— Эта статья о том, почему в реальной инфраструктуре знание сетей даёт больше, чем любой набор инструментов безопасности

А также рассмотрим:
🔵Сегментацию
🔵Реальные потоки данных
🔵И то, почему инструменты часто показывают последствия, а не причины

⛓ https://habr.com/ru/articles/984604/

#News #IDS #Scanner ✈️ inf0

🧰 Набор инструментов для тестирования на проникновение

badKarma — это набор инструментов на python3 с графическим интерфейсом GTK+ для ассистирования тестерам на проникновения во время всех фаз активности при тестировании на проникновение сетевой инфраструктуры

— Он позволяет тестерам сберечь время, собрав их инструменты в одном месте и сделав их доступными по одному щелчку мыши

А также ведётся журнал вывода каждой задачи в файле сессии, чтобы помочь во время стадии составления отчёта или в сценарии возможного реагирования на инциденты

⛓ https://github.com/r3vn/badKarma

#Tools #Python ✈️ inf0

📂 100 ошибок Go и как их избежать

Лучший способ улучшить код — понять и исправить ошибки, сделанные при его написании

— В этой уникальной книге проанализированы 100 типичных ошибок и неэффективных приемов в Go-приложениях

🔵Научитесь писать идиоматичный и выразительный код на Go
🔵Разберете десятки интересных примеров и сценариев
🔵Поймете, как обнаружить ошибки и потенциальные ошибки в своих приложениях

Чтобы вам было удобнее работать с книгой, автор разделил методы предотвращения ошибок на несколько категорий, начиная от типов данных и работы со строками и заканчивая конкурентным программированием и тестированием

Харшани Тейва 2024

⛓ https://t.me/tochkaseti/324

#Go #Book ✈️ inf0

🔵 Реализуем задачи на Go: подробная шпаргалка

Разбиремся:
🔵Как четко оценивать задачи
🔵Как использовать инструменты для повышения точности планирования
🔵И на что обращать внимание в коде и архитектуре, чтобы не допустить скрытых ошибок

⛓ https://tproger.ru/articles/realizuem-zadachi-na-go--i-ne-tolko---samaya-podrobnaya-wpargalka

#CheatSheet #Go #Programming ✈️ inf0

🔵 Пишем шеллкод под Windows на ассемблере

— В этой статье автор покажет и подробно объяснит пример создания шеллкода на ассемблере в ОС Windows 7 x86

Не смотря на солидный возраст данной темы, она остаётся актуальной и по сей день: это стартовая точка в написании своих шеллкодов, эксплуатации переполнений буферов, обфускации шеллкодов для сокрытия их от антивирусов, внедрения кода в исполняемый файл (PE Backdooring)

⛓ https://habr.com/ru/articles/522966/?ysclid=mkoei2gyj7311991039

#Guide #Shell ✈️ inf0

🧰 Mindmap по инструментам для OSCP

OSCP (Offensive Security Certified Professional) — сертификат в области кибербезопасности, который ориентирован на практическое применение навыков в области этичного хакинга

— Экзамен длится 24 часа и включает испытание, имитирующее пентест: кандидату нужно взломать несколько машин в сети и подготовить отчёт о найденных уязвимостях и шагах эксплуатации

#OSCP #Mindmap #Tools ✈️ inf0

👩‍💻 Шпаргалка по Ansible

Ansible – это инструмент для автоматизации, который позволяет управлять конфигурацией систем, развёртывать приложения и выполнять различные задачи в ИТ-инфраструктуре

Основные функции:
🔵Управление конфигурацией. Например, централизованное управление настройками серверов, управление файлами конфигурации;
🔵Развёртывание приложений. Автоматизация процесса развёртывания программного обеспечения, включая установку зависимостей, копирование файлов и настройку серверов;
🔵Оркестрация. Координация выполнения задач на нескольких серверах или системах, например, при обновлении кластеров;
🔵Автоматизация рутинных задач. Выполнение задач, которые выполняются регулярно, например, управление резервными копиями, мониторинг.

⛓ https://docs.ansible.com/ansible/latest/getting_started/introduction.html

#Ansible #Tools #CheatSheet ✈️ inf0

🐐 Изучение безопасности Kubernetes

Kubernetes Goat — это умышленно уязвимая среда кластера для изучения и практики безопасности Kubernetes с помощью интерактивной практической площадки.

— Данный инструмент:

1. Представляет собой безопасную среду с преднамеренно встроенными уязвимостями в кластере Kubernetes.
2. Позволяет пользователям практиковаться в выявлении и эксплуатации типичных проблем безопасности.
3. Включает различные сценарии атак, например, неправильные настройки RBAC, уязвимости в контейнерах, ошибки конфигурации и другие.
4. Отличный инструмент для обучения специалистов по безопасности и разработчиков, желающих понять риски Kubernetes.

⛓ https://github.com/madhuakula/kubernetes-goat

#Kubernetes #Docker #Hacking #RedTeam #BlueTeam ✈️ inf0

💻 Паттерны Kubernetes: Шаблоны разработки облачных приложений 2-е изд

Паттерны Kubernetes — это не очередное справочное руководство по настройке кластеров или описанию API

Это фундаментальный труд, который отвечает на самый главный вопрос: «Как эффективно проектировать и строить приложения, предназначенные для работы в Kubernetes?»

— Билджин Ибрам и Роланд Хасс систематизировали лучшие практики сообщества, преобразовав их в паттерны

Книга учит не просто использовать Kubernetes, а мыслить категориями платформы, правильно комбинируя примитивы для создания отказоустойчивых, масштабируемых и удобных в эксплуатации систем

Это must-read для любого разработчика, который хочет выйти за рамки простого деплоя контейнеров и овладеть всеми возможностями Kubernetes

Ибрам Б., Хасс Р. 2025

⛓ https://t.me/tochkaseti/326

#Kubernetes #Book ✈️ inf0

📱 Руководство по безопасности Android

Android Security Reference — репозиторий, который представляет собой справочное руководство по безопасности Android

Репозиторий часто обновляется и пополняется автором

⛓ https://github.com/doridori/Android-Security-Reference

#Android #Tools #Guide ✈️ inf0

🌐 EDR: как работает защита конечных точек

Защита конечных точек — это комплексный подход к обеспечению безопасности этих устройств, который включает в себя как технические, так и организационные меры

— В этой статье мы подробно рассмотрим современные методы и технологии защиты конечных точек, а также юридические и нормативные аспекты, актуальные для российских реалий

⛓ https://www.securitylab.ru/analytics/556030.php

#EDR #Security #Guide ✈️ inf0

☁️ 90 миллионов из федерального сейфа

— Американские власти проверяют возможную кражу десятков миллионов долларов в криптовалюте с цифровых кошельков, где хранятся активы, изъятые у преступников

🔵По данным расследователей в блокчейн-сообществе, с одного из таких кошельков в конце 2025 года могли вывести более 60 миллионов долларов
🔵Еще одна подозрительная транзакция на сумму около 24 миллионов долларов была зафиксирована осенью 2024 года

История всплыла после того, как независимый цифровой исследователь под псевдонимом ZachXBT заметил адреса государственных кошельков во время онлайн-ссоры двух хакеров

Они демонстрировали друг другу свои криптоактивы в чате, пытаясь доказать, у кого больше средств

В процессе демонстрации экрана исследователь узнал кошельки, связанные с государственными структурами, и начал отслеживать происхождение средств

Так и выяснилось, что деньги, по всей вероятности, были выведены с адресов, связанных со Службой маршалов США

⛓ https://www.securitylab.ru/news/568720.php

#News ✈️ inf0

💻 Инструент поиска уязвимостей и эксплойтов

Findsploit — это скрипт, написанный на bash, который предназначен для быстрого поиска эксплойтов в локальных и онлайн-базах данных

— Инструмент помогает анализировать слабые места в операционных системах, приложениях и сетевых сервисах

Главная задача Findsploit — обеспечить пользователей возможностью быстро находить эксплойты, доступные в таких известных базах данных, как Exploit Database, Metasploit Framework и NMap

⛓ https://github.com/1N3/Findsploit
⛓ Findsploit: революционный инструмент для поиска уязвимостей и эксплойтов

#Exploit #Vulnerability #Bash #Tools #Findsploit ✈️ inf0

✔️ Сетевое программирование на Python

— Книга посвящена разработке серверных приложений и клиент-серверных архитектур на Python

🔵Рассказано о поддержке SSL в Python 3, представлены примеры работы с протоколами TCP, UDP, HTTP, SMTP, IMAP, FTP, RPC, взаимодействия c сервисами DNS
🔵Освещена работа с электронной почтой в приложениях
🔵Описаны цели протокола TLS и методы их достижения на Python
🔵Подробно описаны возможности модуля asyncio, входящего в состав Python 3.4
🔵Даны рекомендации по разработке сетевых приложений с использованием веб-фреймворков Flask и Django

Джон Галбрейт 2024

⛓ https://t.me/tochkaseti/328

#Book #Python #Network #Programming ✈️ inf0