У нас через полторы недели стартуют 2 курса
🟢 Введение в кибербезопасность (10-15 часов) -
Цена 190 евро (12 евро 1 час урока)
Ссылка на вступление
https://t.me/+uF2z_EJ1NRNhNmNk
🟢 Инженер по тестированию безопасности OWASP TOP 10 2025 (30 часов) -
Старая цена 490 евро (16 евро 1 час урока)
Новая цена 290 евро (9.5 евро 1 час урока)
Ссылка на вступление
https://t.me/+kDobhda8l95hZjNk
Прошу, кому интересно зайти в чат и отписаться в чатике
Набор пока идет
🟢 Введение в кибербезопасность (10-15 часов) -
Цена 190 евро (12 евро 1 час урока)
Ссылка на вступление
https://t.me/+uF2z_EJ1NRNhNmNk
🟢 Инженер по тестированию безопасности OWASP TOP 10 2025 (30 часов) -
Старая цена 490 евро (16 евро 1 час урока)
Новая цена 290 евро (9.5 евро 1 час урока)
Ссылка на вступление
https://t.me/+kDobhda8l95hZjNk
Прошу, кому интересно зайти в чат и отписаться в чатике
Набор пока идет
Telegram
BRAINUP ACADEMY CYBERSECURITY ВВЕДЕНИЕ #1
Vitali B invites you to join this group on Telegram.
This media is not supported in your browser
VIEW IN TELEGRAM
Ребят, кто хоть немного в теме QA - скидываю вам папку с каналами по тематике тестирования. там найдете много полезного, это не реклама
Так что покопайтесь там и вступайте к ребятам
https://t.me/addlist/PNmSaWa9ktw2YjRi
Так что покопайтесь там и вступайте к ребятам
https://t.me/addlist/PNmSaWa9ktw2YjRi
❤5
This media is not supported in your browser
VIEW IN TELEGRAM
Голосуем! Что лучше подходит под картинку из предыдушего поста? :D
Anonymous Poll
19%
Сгрызинг
6%
RITM
24%
Ля ты крыса
22%
Mouse in the middle
25%
MICEQL Injection
4%
Mousejacking
❤1
❗️ Топ 11 сайтов, где можно учиться тестировать безопасность веб и api.
❗️ LabEx Cybersecurity Labs - https://labex.io/learn/cybersecurity
❗️ OWASP Juice Shop - https://owasp.org/www-project-juice-shop/
❗️ Gin and Juice Shop - https://ginandjuice.shop/
❗️ Gruyere - https://google-gruyere.appspot.com/
❗️ bWAPP - http://www.itsecgames.com/
❗️ Zero Bank - http://zero.webappsecurity.com/
❗️ tryhackme.com - https://tryhackme.com/
❗️ Damn Vulnerable GraphQL Application - https://github.com/.../Damn-Vulnerable-GraphQL-Application
❗️ VAmPI The Vulnerable API (Based on OpenAPI 3) -https://github.com/erev0s/VAmPI
❗️ Firing Range - https://public-firing-range.appspot.com/
❗️ OWASP Vulnerable Web Applications Directory - https://owasp.org/www-project-vulnerable-web.../
С вас лайчонок и поделиться с другом 😏😏😏
❗️ LabEx Cybersecurity Labs - https://labex.io/learn/cybersecurity
❗️ OWASP Juice Shop - https://owasp.org/www-project-juice-shop/
❗️ Gin and Juice Shop - https://ginandjuice.shop/
❗️ Gruyere - https://google-gruyere.appspot.com/
❗️ bWAPP - http://www.itsecgames.com/
❗️ Zero Bank - http://zero.webappsecurity.com/
❗️ tryhackme.com - https://tryhackme.com/
❗️ Damn Vulnerable GraphQL Application - https://github.com/.../Damn-Vulnerable-GraphQL-Application
❗️ VAmPI The Vulnerable API (Based on OpenAPI 3) -https://github.com/erev0s/VAmPI
❗️ Firing Range - https://public-firing-range.appspot.com/
❗️ OWASP Vulnerable Web Applications Directory - https://owasp.org/www-project-vulnerable-web.../
С вас лайчонок и поделиться с другом 😏😏😏
1❤22🔥13🥰2🙏1💯1
Итоги конкурса: победил вариант MICEQL INJECTION
Победил @usagittebaka
Скидка 25% на все мои курсы, действует 1 год
Поздравляю! Достойное первое место! Спасибо голосовавшим.
Победил @usagittebaka
Скидка 25% на все мои курсы, действует 1 год
Поздравляю! Достойное первое место! Спасибо голосовавшим.
🔥6👏3❤2
🔥 ТОП-10 самых опасных CVE за всю историю 🔥
1️⃣ CVE-2014-0160 (Heartbleed, 2014) — уязвимость в OpenSSL. Позволяла читать память сервера через TLS-запросы. Итог — утечки приватных ключей и паролей по всему миру.
2️⃣ CVE-2014-6271 (Shellshock, 2014) — баг в Bash. Любой мог выполнять команды на сервере через переменные окружения. Массовые атаки на Unix-системы.
3️⃣ CVE-2017-0144 (EternalBlue, 2017) — RCE в SMBv1. Использовалась в WannaCry и NotPetya. Миллионы заражённых машин, колоссальный ущерб.
4️⃣ CVE-2017-5638 (Apache Struts, 2017) — критическая RCE в Apache Struts. Привела к взлому Equifax — утечка данных 143 млн человек.
5️⃣ CVE-2021-44228 (Log4Shell, 2021) — уязвимость в Log4j. Один запрос — и удалённый код выполняется. Под угрозой тысячи Java-приложений по всему миру.
6️⃣ CVE-2020-1472 (ZeroLogon, 2020) — дыра в Netlogon. Позволяла мгновенно захватить контроллер домена и получить полный контроль над сетью Windows.
7️⃣ CVE-2019-0708 (BlueKeep, 2019) — RCE в RDP. «Червеобразная» уязвимость, способная распространяться без участия пользователя. Microsoft выпустила патч даже для старых Windows XP.
8️⃣ CVE-2021-34527 / CVE-2021-1675 (PrintNightmare, 2021) — уязвимость в Windows Print Spooler. Повышение привилегий и RCE на серверах и рабочих станциях.
9️⃣ CVE-2016-5195 (Dirty COW, 2016) — race-condition в ядре Linux. Позволяла любому локальному пользователю получить root-доступ.
🔟 CVE-2021-26855 (ProxyLogon, 2021) — уязвимость в Microsoft Exchange. Массовые атаки, веб-шеллы на серверах компаний по всему миру.
1️⃣ CVE-2014-0160 (Heartbleed, 2014) — уязвимость в OpenSSL. Позволяла читать память сервера через TLS-запросы. Итог — утечки приватных ключей и паролей по всему миру.
2️⃣ CVE-2014-6271 (Shellshock, 2014) — баг в Bash. Любой мог выполнять команды на сервере через переменные окружения. Массовые атаки на Unix-системы.
3️⃣ CVE-2017-0144 (EternalBlue, 2017) — RCE в SMBv1. Использовалась в WannaCry и NotPetya. Миллионы заражённых машин, колоссальный ущерб.
4️⃣ CVE-2017-5638 (Apache Struts, 2017) — критическая RCE в Apache Struts. Привела к взлому Equifax — утечка данных 143 млн человек.
5️⃣ CVE-2021-44228 (Log4Shell, 2021) — уязвимость в Log4j. Один запрос — и удалённый код выполняется. Под угрозой тысячи Java-приложений по всему миру.
6️⃣ CVE-2020-1472 (ZeroLogon, 2020) — дыра в Netlogon. Позволяла мгновенно захватить контроллер домена и получить полный контроль над сетью Windows.
7️⃣ CVE-2019-0708 (BlueKeep, 2019) — RCE в RDP. «Червеобразная» уязвимость, способная распространяться без участия пользователя. Microsoft выпустила патч даже для старых Windows XP.
8️⃣ CVE-2021-34527 / CVE-2021-1675 (PrintNightmare, 2021) — уязвимость в Windows Print Spooler. Повышение привилегий и RCE на серверах и рабочих станциях.
9️⃣ CVE-2016-5195 (Dirty COW, 2016) — race-condition в ядре Linux. Позволяла любому локальному пользователю получить root-доступ.
🔟 CVE-2021-26855 (ProxyLogon, 2021) — уязвимость в Microsoft Exchange. Массовые атаки, веб-шеллы на серверах компаний по всему миру.
💯3🔥1
Китайская госгруппа провела почти автономный кибершпионаж с помощью Claude
Anthropic вскрыла первую документированную кампанию, где 80–90% атаки выполнял ИИ, а не люди.
Цели - около 30 крупных организаций: технологии, финансы, критическая инфраструктура.
Что делал агент вокруг Claude:
— проводил разведку,
— обходил защиту,
— генерировал эксплойты,
— вытаскивал данные и сортировал полезное.
Люди вмешивались только в ключевые моменты.
Чтобы обойти политику модели, злоумышленники дробили запросы на десятки “безобидных” задач - Claude не видел общей картины.
Anthropic за 10 дней:
— задетектировала аномалии,
— заблокировала аккаунты,
— уведомила жертв,
— усилила фильтры и классификаторы.
Жесть)))
Anthropic вскрыла первую документированную кампанию, где 80–90% атаки выполнял ИИ, а не люди.
Цели - около 30 крупных организаций: технологии, финансы, критическая инфраструктура.
Что делал агент вокруг Claude:
— проводил разведку,
— обходил защиту,
— генерировал эксплойты,
— вытаскивал данные и сортировал полезное.
Люди вмешивались только в ключевые моменты.
Чтобы обойти политику модели, злоумышленники дробили запросы на десятки “безобидных” задач - Claude не видел общей картины.
Anthropic за 10 дней:
— задетектировала аномалии,
— заблокировала аккаунты,
— уведомила жертв,
— усилила фильтры и классификаторы.
Жесть)))
🔥5
Ребят, напоминаю, что у меня есть ТГ, где бесплатно можно размещать вакансии по кибербезу. Поделитесь, может кому полезно будет!
Если вы смотрите в сферу кибербеза - обратите внимание на канал, зарплаты очень хорошие!
@cybervacancies_channel
Если вы смотрите в сферу кибербеза - обратите внимание на канал, зарплаты очень хорошие!
@cybervacancies_channel
🔴 ХАКЕРЫ УНИЧТОЖИЛИ ОБОРУДОВАНИЕ НЕМЕЦКОЙ РАДИОСТАНЦИИ. ЭТО ТОЛЬКО НАЧАЛО?
Немецкую радиостанцию Radio Nordseewelle буквально вырубили из эфира - часть оборудования уничтожена без возможности восстановления. Следы ведут к профессионально организованной атаке. Личности и мотивы - неизвестны.
Это уже не единичный случай:
– Radio Geretsried требовали $300 млн в биткоинах.
– Energy Hamburg парализовали вирусом-вымогателем.
– Donau 3 FM пришлось вещать с CD-плееров и винила как в 90-х.
Теперь Nordseewelle строит инфраструктуру с нуля и усиливает защиту: современная архитектура, жёсткие правила безопасности, тотальный мониторинг.
Кто безобразничает признавайтесь)
Немецкую радиостанцию Radio Nordseewelle буквально вырубили из эфира - часть оборудования уничтожена без возможности восстановления. Следы ведут к профессионально организованной атаке. Личности и мотивы - неизвестны.
Это уже не единичный случай:
– Radio Geretsried требовали $300 млн в биткоинах.
– Energy Hamburg парализовали вирусом-вымогателем.
– Donau 3 FM пришлось вещать с CD-плееров и винила как в 90-х.
Теперь Nordseewelle строит инфраструктуру с нуля и усиливает защиту: современная архитектура, жёсткие правила безопасности, тотальный мониторинг.
Кто безобразничает признавайтесь)
🔥3👏1
Обучение! Ребят, напоминаю у нас идет набор на 2 курса
1) Введение в кибербезопасность
https://brainupacademy.com/cybersecurity-intro.html
Цель курса: Дать студентам базовое понимание принципов безопасности, не пугая их сложностью. Сделать акцент на мышлении "белого хакера" — того, кто ищет уязвимости, чтобы помочь, а не навредить.
2) Инженер по тестированию безопасности OWASP TOP 10
https://brainupacademy.com/security-testing.html
Цель курса
Научить студентов основам тестирования безопасности, работе с инструментами пентестинга и подготовить к работе Security Tester.
Лучшие цены на рынке, курс ведет специалист в области кибербезопасности, участник CTF,
Финалист кубка России и победитель региональных CTF
Пишите для записи мне лично @faroeman
1) Введение в кибербезопасность
https://brainupacademy.com/cybersecurity-intro.html
Цель курса: Дать студентам базовое понимание принципов безопасности, не пугая их сложностью. Сделать акцент на мышлении "белого хакера" — того, кто ищет уязвимости, чтобы помочь, а не навредить.
2) Инженер по тестированию безопасности OWASP TOP 10
https://brainupacademy.com/security-testing.html
Цель курса
Научить студентов основам тестирования безопасности, работе с инструментами пентестинга и подготовить к работе Security Tester.
Лучшие цены на рынке, курс ведет специалист в области кибербезопасности, участник CTF,
Финалист кубка России и победитель региональных CTF
Пишите для записи мне лично @faroeman
🔥2❤1
🚨 DoorDash: утечка данных через социнжиниринг
У DoorDash произошла утечка персональных данных. В сеть ушли имена, e-mail, номера телефонов и физические адреса - как клиентов, так и курьеров с продавцами.
Причина - успешная атака социальной инженерией на сотрудника компании. Доступ злоумышленников уже закрыт, расследование идёт, правоохранители уведомлены.
Компания заявляет, что критические данные (SSN, гос-ID, водительские права, банковские и платёжные данные) не затронуты.
Признаков мошенничества пока нет, но факт остаётся фактом - база уехала.
Инцидент напоминает историю 2022 года, когда утечки получили «Яндекс.Еда» и Delivery Club: там тоже пострадали контактные данные и информация о заказах.
Хорош развлекаться народ))
У DoorDash произошла утечка персональных данных. В сеть ушли имена, e-mail, номера телефонов и физические адреса - как клиентов, так и курьеров с продавцами.
Причина - успешная атака социальной инженерией на сотрудника компании. Доступ злоумышленников уже закрыт, расследование идёт, правоохранители уведомлены.
Компания заявляет, что критические данные (SSN, гос-ID, водительские права, банковские и платёжные данные) не затронуты.
Признаков мошенничества пока нет, но факт остаётся фактом - база уехала.
Инцидент напоминает историю 2022 года, когда утечки получили «Яндекс.Еда» и Delivery Club: там тоже пострадали контактные данные и информация о заказах.
Хорош развлекаться народ))
😁2
OWASP TOP 2025
• A01:2025 - Broken Access Control
• A02:2025 - Security Misconfiguration
• A03:2025 - Software Supply Chain Failures
• A04:2025 - Cryptographic Failures
• A05:2025 - Injection
• A06:2025 - Insecure Design
• A07:2025 - Authentication Failures
• A08:2025 - Software or Data Integrity Failures
• A09:2025 - Logging & Alerting Failures
• A10:2025 - Mishandling of Exceptional Conditions
Ну че скажете? Выкатили обновление
• A01:2025 - Broken Access Control
• A02:2025 - Security Misconfiguration
• A03:2025 - Software Supply Chain Failures
• A04:2025 - Cryptographic Failures
• A05:2025 - Injection
• A06:2025 - Insecure Design
• A07:2025 - Authentication Failures
• A08:2025 - Software or Data Integrity Failures
• A09:2025 - Logging & Alerting Failures
• A10:2025 - Mishandling of Exceptional Conditions
Ну че скажете? Выкатили обновление
1🔥8❤2
Осталось одно место на «Введение в кибербезопасность» и одно на «Нагрузочное тестирование» - оба направления сейчас в топе. Компании активно ищут специалистов, а зарплаты растут быстрее рынка.
Эти курсы - простой способ укрепить свою позицию в профессии или перейти в более оплачиваемую роль. Многие работодатели готовы оплачивать обучение, если объяснить, как это улучшит вашу работу.
Если хотите забрать последнее место - пишите в Telegram: @faroeman
Эти курсы - простой способ укрепить свою позицию в профессии или перейти в более оплачиваемую роль. Многие работодатели готовы оплачивать обучение, если объяснить, как это улучшит вашу работу.
Если хотите забрать последнее место - пишите в Telegram: @faroeman
👌1
Откуда в OWASP инъекции в 2025 году? Давайте разберемся.
Инъекции никуда не исчезли и в ближайшие годы не исчезнут. Причина проста - бизнесу важнее скорость, чем безопасность, а разработчики продолжают допускать одни и те же ошибки.
Коротко по фактам:
1. Люди пишут код в спешке.
Когда сроки горят, проверки входных данных летят в мусорку. Отсюда появляются уязвимости, которые можно было закрыть одной нормальной валидацией.
2. Старый код живёт годами.
Многие системы работают на устаревших фреймворках и кривых костылях. Никто не трогает их, пока всё «работает». А инъекции там сидят десятилетиями.
3. Разработчики не знают базовой безопасности.
Большинство учат фреймворки и библиотеки, но не понимают фундаментальных принципов. Отсюда - SQL-инъекции, XSS, LDAP-инъекции и прочий классический набор.
4. OWASP фиксирует не хайп, а реальность.
В топ попадает то, что реально эксплуатируют. Если инъекции там до сих пор - значит, их всё ещё находят в проде и всё ещё используют для взломов.
5. Автоматизация не спасает.
Даже лучшие сканеры пропускают уязвимости. А ручного анализа никто не делает, потому что «нет времени». Итог - очередной публичный слив.
Напоминаю, на следующей неделе стартует курс Введение в кибербезопасность, еще есть места
Пишите @faroeman
Инъекции никуда не исчезли и в ближайшие годы не исчезнут. Причина проста - бизнесу важнее скорость, чем безопасность, а разработчики продолжают допускать одни и те же ошибки.
Коротко по фактам:
1. Люди пишут код в спешке.
Когда сроки горят, проверки входных данных летят в мусорку. Отсюда появляются уязвимости, которые можно было закрыть одной нормальной валидацией.
2. Старый код живёт годами.
Многие системы работают на устаревших фреймворках и кривых костылях. Никто не трогает их, пока всё «работает». А инъекции там сидят десятилетиями.
3. Разработчики не знают базовой безопасности.
Большинство учат фреймворки и библиотеки, но не понимают фундаментальных принципов. Отсюда - SQL-инъекции, XSS, LDAP-инъекции и прочий классический набор.
4. OWASP фиксирует не хайп, а реальность.
В топ попадает то, что реально эксплуатируют. Если инъекции там до сих пор - значит, их всё ещё находят в проде и всё ещё используют для взломов.
5. Автоматизация не спасает.
Даже лучшие сканеры пропускают уязвимости. А ручного анализа никто не делает, потому что «нет времени». Итог - очередной публичный слив.
Напоминаю, на следующей неделе стартует курс Введение в кибербезопасность, еще есть места
Пишите @faroeman
❤5🔥2👏1
«Уиткофф-гейт» становится всё интереснее: Ушаков заявил, что слив разговора якобы произошёл из-за WhatsApp.
Помощник Путина рассказал, что иногда ведёт рабочие беседы через WhatsApp, и их «могли послушать».
Ушаков заявил, что закрытые линии связи почти не дают утечек, а вот WhatsApp — другое дело, поэтому «вряд ли» слив произошёл от участников разговора.
Ирония в том, что представитель Кремля общался с Уиткоффом через приложение, которое официально запрещено в России.
Как пишут «Важные истории», если разговор действительно был в WhatsApp и его смогли перехватить, то возможны только три варианта:
в приложении есть бэкдор (что Meta отрицает),
устройство Ушакова заражено шпионским ПО
или же он говорил по незащищённой связи и сейчас лукавит.
Итак вопрос, есть в Мета бекдор? :D
Помощник Путина рассказал, что иногда ведёт рабочие беседы через WhatsApp, и их «могли послушать».
Ушаков заявил, что закрытые линии связи почти не дают утечек, а вот WhatsApp — другое дело, поэтому «вряд ли» слив произошёл от участников разговора.
Ирония в том, что представитель Кремля общался с Уиткоффом через приложение, которое официально запрещено в России.
Как пишут «Важные истории», если разговор действительно был в WhatsApp и его смогли перехватить, то возможны только три варианта:
в приложении есть бэкдор (что Meta отрицает),
устройство Ушакова заражено шпионским ПО
или же он говорил по незащищённой связи и сейчас лукавит.
Итак вопрос, есть в Мета бекдор? :D
🌚4👏2🤷2❤1