🛡️ vulnhuntr — LLM-инструмент для охоты на уязвимости в Python-проектах
Open-source тулза от Protect AI, которая с помощью LLM и статического анализа ищет сложные уязвимости в коде — от RCE и LFI до SSRF и SQLi.
💡 Как работает
— Анализирует код проекта и автоматически строит цепочку от пользовательского ввода до ответа сервера.
— Две модели (анализ + проверка) находят уязвимости без готовых датасетов.
— Выдаёт PoC, confidence score и ход рассуждений.
🔥 Что умеет находить
LFI, AFO, RCE, XSS, SQLi, SSRF, IDOR.
⚙️ Требования
— Python 3.10
— Поддержка только Python-репозиториев
— API-ключ для LLM (Claude, GPT, Ollama)
🚀 Запуск:
```
pipx install git+https://github.com/protectai/vulnhuntr.git —python python3.10
export ANTHROPIC_API_KEY="..."
vulnhuntr -r /path/to/project -a src/ -l claude
```
🔗 GitHub (https://github.com/protectai/vulnhuntr)
@linux_be1
Open-source тулза от Protect AI, которая с помощью LLM и статического анализа ищет сложные уязвимости в коде — от RCE и LFI до SSRF и SQLi.
💡 Как работает
— Анализирует код проекта и автоматически строит цепочку от пользовательского ввода до ответа сервера.
— Две модели (анализ + проверка) находят уязвимости без готовых датасетов.
— Выдаёт PoC, confidence score и ход рассуждений.
🔥 Что умеет находить
LFI, AFO, RCE, XSS, SQLi, SSRF, IDOR.
⚙️ Требования
— Python 3.10
— Поддержка только Python-репозиториев
— API-ключ для LLM (Claude, GPT, Ollama)
🚀 Запуск:
```
pipx install git+https://github.com/protectai/vulnhuntr.git —python python3.10
export ANTHROPIC_API_KEY="..."
vulnhuntr -r /path/to/project -a src/ -l claude
```
🔗 GitHub (https://github.com/protectai/vulnhuntr)
@linux_be1
💎Linux: c нуля до сертификата: https://stepik.org/a/240893
✅Этот курс станет отличным выбором для всех желающих начать знакомство с Linux, освежить уже имеющиеся знания или просто расширить кругозор. Простым языком и понятными примерами объясняются базовые принципы работы Linux, позволяющие быстро освоиться любому новичку. Много практики — более 500 тестовых заданий.
✅Помимо базовых тем рассматриваются и более продвинутые: работа с процессами, жёсткими дисками и сетевыми подключениями, чтение логов и основы регулярных выражений. В конце курса изучается межсетевой экран iptables и настройка нескольких серверов (DHCP, vsFTPd, Samba).
@linux_be1
✅Этот курс станет отличным выбором для всех желающих начать знакомство с Linux, освежить уже имеющиеся знания или просто расширить кругозор. Простым языком и понятными примерами объясняются базовые принципы работы Linux, позволяющие быстро освоиться любому новичку. Много практики — более 500 тестовых заданий.
✅Помимо базовых тем рассматриваются и более продвинутые: работа с процессами, жёсткими дисками и сетевыми подключениями, чтение логов и основы регулярных выражений. В конце курса изучается межсетевой экран iptables и настройка нескольких серверов (DHCP, vsFTPd, Samba).
@linux_be1
This media is not supported in your browser
VIEW IN TELEGRAM
🔥 Linux-оптимизация процессов: 9 команд, которые реально помогают в работе
Это утилиты для тонкой настройки процессов. Они фиксируют ядра/NUMA, задают политику планировщика и приоритеты I/O, управляют ресурсами (CPU/RAM/диск) и быстро показывают метрики. Результат — меньше миграций и задержек, стабильнее латентность, выше предсказуемость и проще найти узкое место.
@linux_be1
Это утилиты для тонкой настройки процессов. Они фиксируют ядра/NUMA, задают политику планировщика и приоритеты I/O, управляют ресурсами (CPU/RAM/диск) и быстро показывают метрики. Результат — меньше миграций и задержек, стабильнее латентность, выше предсказуемость и проще найти узкое место.
@linux_be1
Крутая заметка с всевозможными ресурсами (курсами, CTF, карьерными треками, документацией и всего прочего) для старта карьеры в ИБ.
• Заметка будет крайне полезна не только студентам, но и уже практикующим специалистам. Забирайте по ссылке ниже и добавляйте в закладки:
➡️ https://www.notion.so/ib (https://aleksei-pyrinov.notion.site/394700ff948d47afaa80af899e2b3548)
#ИБ
@linux_be1
• Заметка будет крайне полезна не только студентам, но и уже практикующим специалистам. Забирайте по ссылке ниже и добавляйте в закладки:
➡️ https://www.notion.so/ib (https://aleksei-pyrinov.notion.site/394700ff948d47afaa80af899e2b3548)
#ИБ
@linux_be1
💉 В ядре Linux обнаружена критическая уязвимость, ставящая под угрозу безопасность Chrome. Ошибка в реализации флага MSG_OOB для UNIX-сокетов позволяет обойти песочницу браузера и выполнить произвольный код на уровне ядра.
Проблема затрагивает версии ядра Linux начиная с 6.9. Google уже выпустила патчи, но пока неясно, сколько систем остаются незащищенными. При этом эксплойт использует легальные системные вызовы, разрешенные в песочнице Chrome.
🔗 Подробнее - *клик* (https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html?m=1)
@linux_be1
Проблема затрагивает версии ядра Linux начиная с 6.9. Google уже выпустила патчи, но пока неясно, сколько систем остаются незащищенными. При этом эксплойт использует легальные системные вызовы, разрешенные в песочнице Chrome.
🔗 Подробнее - *клик* (https://googleprojectzero.blogspot.com/2025/08/from-chrome-renderer-code-exec-to-kernel.html?m=1)
@linux_be1
🔍 Obsidian OSINT Templates (resistec) — шаблоны для структурирования OSINT-расследований в Obsidian
Репозиторий содержит готовые шаблоны для ведения OSINT-исследований в Obsidian (Obsidian — это приложение для ведения заметок и организации знаний, которое работает по принципу “второго мозга”) с продуманной структурой и связями между сущностями.
Что внутри:
- Шаблоны для разных типов данных: Account, Domain, Person, Organization, Event и др.
- Каждый шаблон имеет уникальные поля и рекомендации по заполнению.
- Возможность визуализировать расследование через граф знаний Obsidian.
- Лицензия MIT — свободное использование и модификация.
Как использовать:
1. Скачайте файлы в свой Vault Obsidian.
2. Включите плагин Templater и настройте папку с шаблонами.
3. При создании заметки выбирайте нужный шаблон и заполняйте поля, связывая записи через `[[ссылки]]`.
Почему полезно:
- Ускоряет структурирование данных.
- Облегчает переход между связанными объектами (methodical pivoting).
- Избавляет от ограничений папочной структуры, позволяя работать с графом связей.
⚡️ Ссылка: https://github.com/resistec/obsidian-osint-templates
@linux_be1
Репозиторий содержит готовые шаблоны для ведения OSINT-исследований в Obsidian (Obsidian — это приложение для ведения заметок и организации знаний, которое работает по принципу “второго мозга”) с продуманной структурой и связями между сущностями.
Что внутри:
- Шаблоны для разных типов данных: Account, Domain, Person, Organization, Event и др.
- Каждый шаблон имеет уникальные поля и рекомендации по заполнению.
- Возможность визуализировать расследование через граф знаний Obsidian.
- Лицензия MIT — свободное использование и модификация.
Как использовать:
1. Скачайте файлы в свой Vault Obsidian.
2. Включите плагин Templater и настройте папку с шаблонами.
3. При создании заметки выбирайте нужный шаблон и заполняйте поля, связывая записи через `[[ссылки]]`.
Почему полезно:
- Ускоряет структурирование данных.
- Облегчает переход между связанными объектами (methodical pivoting).
- Избавляет от ограничений папочной структуры, позволяя работать с графом связей.
⚡️ Ссылка: https://github.com/resistec/obsidian-osint-templates
@linux_be1
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️ Полезный совет для Linux-админов по работе с сетями.
Это команда, которая показывает все сетевые соединения и открытые порты на сервере, а также указывает, какой процесс их использует.
@linux_be1
Это команда, которая показывает все сетевые соединения и открытые порты на сервере, а также указывает, какой процесс их использует.
@linux_be1
Вот полезный совет для администраторов, работающих с системами на базе Linux: используйте 'systemd-analyze' для анализа загрузки системы. Эта команда предоставляет информацию о том, сколько времени занимает загрузка различных компонентов системы. Запустив 'systemd-analyze blame', вы увидите список служб, отсортированный по времени их загрузки. Это поможет вам выявить узкие места в процессе и оптимизировать время загрузки системы. Например, если вы заметите, что какая-то служба занимает слишком много времени, вы можете рассмотреть возможность ее отключения или перенастройки, что значительно повысит производительность ваших серверов.
@linux_be1
@linux_be1
⚡ Bcachefs исключают из ядра Linux — не из-за кода, а из-за конфликта
Перспективная файловая система с механизмом Copy-on-Write покинет основное дерево ядра, несмотря на технические преимущества. Причина — затяжной конфликт между автором Кентом Оверстритом и мэйнтейнерами подсистем VM/FS.
Линус Торвальдс прямо заявил: проблема не в коде, а в утрате доверия. Последней каплей стал спор о том, был ли патч исправлением бага или новой функциональностью. Теперь для возврата Bcachefs потребуются годы конструктивной работы вне основного дерева. Пользователям придётся полагаться на сторонние сборки, пока автор системы не наладит отношения с сообществом.
🔗 Ссылка - *клик* (https://bcachefs.org/)
@linux_be1
Перспективная файловая система с механизмом Copy-on-Write покинет основное дерево ядра, несмотря на технические преимущества. Причина — затяжной конфликт между автором Кентом Оверстритом и мэйнтейнерами подсистем VM/FS.
Линус Торвальдс прямо заявил: проблема не в коде, а в утрате доверия. Последней каплей стал спор о том, был ли патч исправлением бага или новой функциональностью. Теперь для возврата Bcachefs потребуются годы конструктивной работы вне основного дерева. Пользователям придётся полагаться на сторонние сборки, пока автор системы не наладит отношения с сообществом.
🔗 Ссылка - *клик* (https://bcachefs.org/)
@linux_be1
This media is not supported in your browser
VIEW IN TELEGRAM
🌍 Real-time map атак по всему миру
Сервис Cyber Threat Horizon в реальном времени показывает глобальную активность DDoS и кибератак.
Что видно на карте:
• Типы атак
• Источники
• Цели по всему миру
Посмотреть можно здесь: https://horizon.netscout.com
@linux_be1
Сервис Cyber Threat Horizon в реальном времени показывает глобальную активность DDoS и кибератак.
Что видно на карте:
• Типы атак
• Источники
• Цели по всему миру
Посмотреть можно здесь: https://horizon.netscout.com
@linux_be1
🌐 ТОП-6 OSINT-инструментов для начинающих.
Для начинающих специалистов в мире OSINT, важно выбрать правильные инструменты, которые будут просты и эффективны в использовании. Ниже рассмотрим несколько таких вариантов:
1️⃣ OSINT Framework — агрегатор всех ключевых инструментов разведки с удобным веб-интерфейсом. Идеальная отправная точка для новичков.
2️⃣ Shodan — поисковик для хакеров, сканирующий подключенные к сети устройства. Незаменим для поиска уязвимостей.
3️⃣ Maltego — профессиональный инструмент для визуализации связей между данными. Позволяет строить сложные графы расследований.
4️⃣ SpiderFoot — программа автоматизирует сбор данных из 100+ источников. Анализирует как людей, так и организации.
5️⃣ Searchcode — поисковик по исходному коду. Помогает находить уязвимости в открытых проектах.
6️⃣ ExifTool — работает с метаданными файлов. Выявляет скрытую информацию в фото, видео и аудио.
🔗 Подробнее в статье: *клик* (https://www.securitylab.ru/news/562052.php)
@linux_be1
Для начинающих специалистов в мире OSINT, важно выбрать правильные инструменты, которые будут просты и эффективны в использовании. Ниже рассмотрим несколько таких вариантов:
1️⃣ OSINT Framework — агрегатор всех ключевых инструментов разведки с удобным веб-интерфейсом. Идеальная отправная точка для новичков.
2️⃣ Shodan — поисковик для хакеров, сканирующий подключенные к сети устройства. Незаменим для поиска уязвимостей.
3️⃣ Maltego — профессиональный инструмент для визуализации связей между данными. Позволяет строить сложные графы расследований.
4️⃣ SpiderFoot — программа автоматизирует сбор данных из 100+ источников. Анализирует как людей, так и организации.
5️⃣ Searchcode — поисковик по исходному коду. Помогает находить уязвимости в открытых проектах.
6️⃣ ExifTool — работает с метаданными файлов. Выявляет скрытую информацию в фото, видео и аудио.
🔗 Подробнее в статье: *клик* (https://www.securitylab.ru/news/562052.php)
@linux_be1
🐧 XLibre меняет подход к драйверам — проект, развивающий альтернативную реализацию X-сервера, начал интеграцию драйверов прямо в основную ветку кода. Это решение вызвало споры в сообществе: одни видят в этом упрощение для пользователей, другие опасаются усложнения разработки новых драйверов.
Инициатор изменений Энрико Вайгельт приводит в пример ядро Linux, где подобная модель уже работает. Пока кодовая база XLibre находится в активном рефакторинге, но в будущем разработчики не исключают стабилизацию ABI.
🔗 Ссылка - *клик* (https://github.com/X11Libre/xserver/pull/449)
@linux_be1
Инициатор изменений Энрико Вайгельт приводит в пример ядро Linux, где подобная модель уже работает. Пока кодовая база XLibre находится в активном рефакторинге, но в будущем разработчики не исключают стабилизацию ABI.
🔗 Ссылка - *клик* (https://github.com/X11Libre/xserver/pull/449)
@linux_be1
This media is not supported in your browser
VIEW IN TELEGRAM
Прочувствуйте боль хакера: нашли игру, где нужно на скорость писать реальные системные команды.
Челлендж серьезный — надо игнорировать постоянные уведомления и писать максимально быстро, иначе «взлом» обнаружат. Не хватает только эпичной музыки.
Ломаем клавиатуру по ссылке (https://terminialtyping.site/).
@linux_be1
Челлендж серьезный — надо игнорировать постоянные уведомления и писать максимально быстро, иначе «взлом» обнаружат. Не хватает только эпичной музыки.
Ломаем клавиатуру по ссылке (https://terminialtyping.site/).
@linux_be1
🐉 Commix — автоматизированный инструмент для тестирования на уязвимости внедрения команд. Этот open-source проект, разработанный Анастасиосом Стасинопулосом, помогает пентестерам находить и эксплуатировать уязвимости типа command injection в веб-приложениях.
Инструмент умеет автоматически обходить различные фильтры и санитайзеры, которые разработчики используют для защиты от инъекций. Он поддерживает работу с Python 2.6+ и 3.x, а его функциональность можно расширять через систему модулей. Проект позиционируется как инструмент для этичного тестирования, но его возможности привлекают внимание не только специалистов по безопасности, но и злоумышленников. Поэтому разработчики подчеркивают важность ответственного использования и предлагают подробную документацию на вики-странице проекта.
🤖 GitHub (https://github.com/commixproject/commix)
@linux_be1
Инструмент умеет автоматически обходить различные фильтры и санитайзеры, которые разработчики используют для защиты от инъекций. Он поддерживает работу с Python 2.6+ и 3.x, а его функциональность можно расширять через систему модулей. Проект позиционируется как инструмент для этичного тестирования, но его возможности привлекают внимание не только специалистов по безопасности, но и злоумышленников. Поэтому разработчики подчеркивают важность ответственного использования и предлагают подробную документацию на вики-странице проекта.
🤖 GitHub (https://github.com/commixproject/commix)
@linux_be1
🚀 Нашли годный инструмент для терминала — doxx
Это бесплатный и сверх-быстрый TUI-вьювер .docx файлов прямо в консоли.
⚡ Открывает документ за ~50 мс против 8+ секунд у Word.
📑 Поддерживает таблицы, списки, навигацию по оглавлению и поиск.
🔄 Умеет экспортировать в Markdown, CSV, JSON или текст.
🎨 Красиво форматирует таблицы (текст слева, числа справа, рамки Unicode).
Установка через Cargo:
cargo install —git https://github.com/bgreenwell/doxx
📌Github (https://github.com/bgreenwell/doxx)
@linux_be1
Это бесплатный и сверх-быстрый TUI-вьювер .docx файлов прямо в консоли.
⚡ Открывает документ за ~50 мс против 8+ секунд у Word.
📑 Поддерживает таблицы, списки, навигацию по оглавлению и поиск.
🔄 Умеет экспортировать в Markdown, CSV, JSON или текст.
🎨 Красиво форматирует таблицы (текст слева, числа справа, рамки Unicode).
Установка через Cargo:
cargo install —git https://github.com/bgreenwell/doxx
📌Github (https://github.com/bgreenwell/doxx)
@linux_be1
Arkime (https://github.com/arkime/arkime) — это крупномасштабная система с открытым исходным кодом для полного захвата пакетов, индексирования и ведения баз данных.
Arkime дополняет вашу текущую инфраструктуру безопасности, позволяя хранить и индексировать сетевой трафик в стандартном формате PCAP и обеспечивая быстрый индексированный доступ.
Для просмотра, поиска и экспорта данных в формате PCAP предусмотрен интуитивно понятный и простой веб-интерфейс.
Arkime предоставляет API, которые позволяют напрямую загружать и использовать данные в формате PCAP и сеансовые данные в формате JSON.
🐱
@linux_be1
Arkime дополняет вашу текущую инфраструктуру безопасности, позволяя хранить и индексировать сетевой трафик в стандартном формате PCAP и обеспечивая быстрый индексированный доступ.
Для просмотра, поиска и экспорта данных в формате PCAP предусмотрен интуитивно понятный и простой веб-интерфейс.
Arkime предоставляет API, которые позволяют напрямую загружать и использовать данные в формате PCAP и сеансовые данные в формате JSON.
🐱
@linux_be1
🚀 Новый пост: Kali Vagrant Rebuilt — Out With Packer, In With DebOS
Kali Linux обновил процесс подготовки Vagrant-образов: теперь вместо Packer используется DebOS.
🗂️ Что такое Vagrant-образ?
Vagrant — это инструмент для удобного запуска виртуальных машин.
- Vagrant-образ (`.box`) — это готовая «упакованная» виртуальная машина с предустановленной системой и базовыми настройками.
- Он позволяет быстро поднять окружение одной командой (`vagrant up`), не тратя время на ручную установку ОС.
- Популярен у разработчиков и пентестеров, так как даёт воспроизводимую среду за секунды.
Что изменилось:
- Раньше `.box`-образы собирались через Packer, который требовал установленного гипервизора и не умел кросс-билд (например, нельзя было собрать Hyper-V образ с Linux).
- Теперь используется DebOS — единая система сборки для всех VM и Vagrant-образов, без ограничений на платформы.
Почему это круто:
- Не нужен гипервизор на хосте для сборки.
- Один стандартный инструмент для всех виртуалок.
- Проще поддержка и быстрее обновления.
⚠️ Важно для пользователей Windows (Hyper-V):
Начиная с Kali 2025.2, старые версии Vagrant (< 2.4.7) не работают с Hyper-V. Нужно обновиться до 2.4.8 (релиз 5 августа 2025) или выше.
Что делать:
1. Проверь, что у тебя Vagrant ≥ 2.4.8.
2. Установи образ:
```
vagrant box add kalilinux/rolling —box-version 2025.2.1
```
Создай VM и запусти:
```
vagrant init —force —minimal kalilinux/rolling
vagrant up —provider virtualbox
```
✅ Итог: Kali упростил и унифицировал сборку Vagrant-образов, сделав их удобнее и стабильнее. Теперь быстрее стартовать новые окружения для тестов и разработки.
📌 Подробнее (https://www.kali.org/blog/kali-vagrant-rebuilt/)
@linux_be1
Kali Linux обновил процесс подготовки Vagrant-образов: теперь вместо Packer используется DebOS.
🗂️ Что такое Vagrant-образ?
Vagrant — это инструмент для удобного запуска виртуальных машин.
- Vagrant-образ (`.box`) — это готовая «упакованная» виртуальная машина с предустановленной системой и базовыми настройками.
- Он позволяет быстро поднять окружение одной командой (`vagrant up`), не тратя время на ручную установку ОС.
- Популярен у разработчиков и пентестеров, так как даёт воспроизводимую среду за секунды.
Что изменилось:
- Раньше `.box`-образы собирались через Packer, который требовал установленного гипервизора и не умел кросс-билд (например, нельзя было собрать Hyper-V образ с Linux).
- Теперь используется DebOS — единая система сборки для всех VM и Vagrant-образов, без ограничений на платформы.
Почему это круто:
- Не нужен гипервизор на хосте для сборки.
- Один стандартный инструмент для всех виртуалок.
- Проще поддержка и быстрее обновления.
⚠️ Важно для пользователей Windows (Hyper-V):
Начиная с Kali 2025.2, старые версии Vagrant (< 2.4.7) не работают с Hyper-V. Нужно обновиться до 2.4.8 (релиз 5 августа 2025) или выше.
Что делать:
1. Проверь, что у тебя Vagrant ≥ 2.4.8.
2. Установи образ:
```
vagrant box add kalilinux/rolling —box-version 2025.2.1
```
Создай VM и запусти:
```
vagrant init —force —minimal kalilinux/rolling
vagrant up —provider virtualbox
```
✅ Итог: Kali упростил и унифицировал сборку Vagrant-образов, сделав их удобнее и стабильнее. Теперь быстрее стартовать новые окружения для тестов и разработки.
📌 Подробнее (https://www.kali.org/blog/kali-vagrant-rebuilt/)
@linux_be1
