🔐 Кибербезопасность без воды — практика пентеста и подходы из red team.
Здесь ты не просто читаешь — ты начинаешь думать как пентестер.
📚 Что есть на канале:
— простое объяснение сложных тем (XSS, IDOR, CSRF, AD)
— реальные кейсы из bug bounty
— чек-листы и практические разборы
— викторины и задачи для прокачки мышления
— вакансии
— чат пентестеров
🧠 Формируем не просто знания, а подход к пентесту
Подойдёт если ты:
— только начинаешь
— уже в теме и хочешь системности
— интересуешься кибербезопасностью
👉 Подписывайся и прокачивайся вместе с нами
Здесь ты не просто читаешь — ты начинаешь думать как пентестер.
📚 Что есть на канале:
— простое объяснение сложных тем (XSS, IDOR, CSRF, AD)
— реальные кейсы из bug bounty
— чек-листы и практические разборы
— викторины и задачи для прокачки мышления
— вакансии
— чат пентестеров
🧠 Формируем не просто знания, а подход к пентесту
Подойдёт если ты:
— только начинаешь
— уже в теме и хочешь системности
— интересуешься кибербезопасностью
👉 Подписывайся и прокачивайся вместе с нами
👍8🔥4👌2❤1
🔓 Что такое IDOR (Insecure Direct Object Reference)
Мы уже много раз упоминали IDOR в постах и разборах,
но полного объяснения этой уязвимости в нашей базе знаний пока не было. Исправляем!😄
IDOR — это уязвимость контроля доступа, при которой пользователь может получить доступ к чужим данным, просто изменив идентификатор объекта.
Проще говоря:
🔎 Как это выглядит на практике
Представим URL:
Сервер показывает профиль пользователя 1001.
Но если изменить ID:
и сервер всё равно возвращает данные —
значит присутствует IDOR.
Потому что приложение не проверяет:
👉 принадлежит ли этот профиль текущему пользователю.
🧠 Такая уязвимость часто появляется в:
— профилях пользователей
— заказах
— документах
— сообщениях
— API запросах
🧪 Как пентестеры ищут IDOR
Обычно проверяют:
— параметры id
— user_id
— account_id
— order_id
— document_id
Просто меняют значение и смотрят:
👉 изменится ли ответ сервера.
Хештеги: #web #owasp
но полного объяснения этой уязвимости в нашей
IDOR — это уязвимость контроля доступа, при которой пользователь может получить доступ к чужим данным, просто изменив идентификатор объекта.
Проще говоря:
приложение использует ID объекта, но не проверяет, имеет ли пользователь право к нему обращаться.
🔎 Как это выглядит на практике
Представим URL:
https://site.com/profile?id=1001
Сервер показывает профиль пользователя 1001.
Но если изменить ID:
https://site.com/profile?id=1002
и сервер всё равно возвращает данные —
значит присутствует IDOR.
Потому что приложение не проверяет:
👉 принадлежит ли этот профиль текущему пользователю.
🧠 Такая уязвимость часто появляется в:
— профилях пользователей
— заказах
— документах
— сообщениях
— API запросах
🧪 Как пентестеры ищут IDOR
Обычно проверяют:
— параметры id
— user_id
— account_id
— order_id
— document_id
Просто меняют значение и смотрят:
👉 изменится ли ответ сервера.
Хештеги: #web #owasp
👍13❤3🔥1
На прошлой неделе принимал участие в bug bounty по одному из сервисов российского региона.
И, как оказалось, далеко ходить не пришлось 🙂
Одной из первых вещей, которые мы начали проверять — наличие IDOR.
И тут обнаружилась довольно интересная ситуация.
На сайте была найдена уязвимость, которая позволяла скачивать платные архивные документы бесплатно и без регистрации.
Фактически IDOR полностью обходил механизм оплаты.
То есть достаточно было изменить идентификатор запроса — и можно было получать доступ к документам, которые должны были быть доступны только после покупки.
За данный IDOR мы получили награду в размере 15 000 ₽. Еще правда не зачислили, но пообещали, что процедура много времени не займет.Если кому интересно, подкиньте реакций, чуть позже опубликую отчет (частичный).
Не могу сказать, что это какие-то огромные деньги…
но, согласитесь, всё равно приятно 🙂
💬 Кстати, интересно узнать:
— Кто из вас уже участвует в bug bounty программах?
— Какие выплаты вам удавалось получать?
— Есть ли желание объединяться в небольшие команды для поиска багов?
И, как оказалось, далеко ходить не пришлось 🙂
Одной из первых вещей, которые мы начали проверять — наличие IDOR.
И тут обнаружилась довольно интересная ситуация.
На сайте была найдена уязвимость, которая позволяла скачивать платные архивные документы бесплатно и без регистрации.
Фактически IDOR полностью обходил механизм оплаты.
То есть достаточно было изменить идентификатор запроса — и можно было получать доступ к документам, которые должны были быть доступны только после покупки.
За данный IDOR мы получили награду в размере 15 000 ₽. Еще правда не зачислили, но пообещали, что процедура много времени не займет.
Не могу сказать, что это какие-то огромные деньги…
но, согласитесь, всё равно приятно 🙂
💬 Кстати, интересно узнать:
— Кто из вас уже участвует в bug bounty программах?
— Какие выплаты вам удавалось получать?
— Есть ли желание объединяться в небольшие команды для поиска багов?
1👏29🔥11👍2🙏2😁1
Всем спасибо за активность под постом 🙌
Сейчас во многих пабликах поднимается эта тема — решил тоже узнать ваше мнение.
Как вы сами видите, большинство выбирает оставаться в Telegram 👍
Особенно зашёл комментарий:
(это я вкратце пересказал мысль)
И с этим сложно не согласиться.
Опытного пентестера вряд ли напугают какие-то блокировки. Но уже сейчас мы должны быть на шаг впереди:
— настроить VPN на роутере
— иметь запасные прокси / конфиги
— держать альтернативные способы доступа под рукой
Но при этом нельзя игнорировать и тех, кто написал про “запасной аэродром” — таких тоже немало.
Мы с командой подумаем над этим вопросом.
Нам важно не просто оставаться на связи, но и развиваться дальше:
проводить стримы, делать розыгрыши, давать полезные плюшки, объединяться в АПТ группировки — а у разных платформ есть свои возможности.
В любом случае — мы не уходим из Telegram.
Мы здесь. С вами 🤝
И как всегда — рады вашим идеям, предложениям идаже критике😁.
Сейчас во многих пабликах поднимается эта тема — решил тоже узнать ваше мнение.
Как вы сами видите, большинство выбирает оставаться в Telegram 👍
Особенно зашёл комментарий:
“Мы же пентестеры — включить VPN и зайти в телегу сможем. Иначе зачем всё это?” 😄И с этим сложно не согласиться.
Опытного пентестера вряд ли напугают какие-то блокировки. Но уже сейчас мы должны быть на шаг впереди:
— настроить VPN на роутере
— иметь запасные прокси / конфиги
— держать альтернативные способы доступа под рукой
Но при этом нельзя игнорировать и тех, кто написал про “запасной аэродром” — таких тоже немало.
Мы с командой подумаем над этим вопросом.
Нам важно не просто оставаться на связи, но и развиваться дальше:
проводить стримы, делать розыгрыши, давать полезные плюшки, объединяться в АПТ группировки — а у разных платформ есть свои возможности.
В любом случае — мы не уходим из Telegram.
Мы здесь. С вами 🤝
И как всегда — рады вашим идеям, предложениям и
👍14🔥2🙏2❤1
Forwarded from Мыслить как безопасник
Жена на днях наткнулась на вот такую штуку в Озоне. Это брелок для ключей с номером телефона. Предполагается, что если ключи потеряются, то человек, который найдет их, позвонит по этому номеру и вернет. Почти 13 тысяч отзывов, средняя оценка - 4,8. Иными словами, покупают и очень активно! И вот примеры комментов:
💬 "Нужная штука , уже пригодилась, человек с него позвонил в нужный момент"
💬 "Дочь систематически теряла ключи. Купил этот брелок, повели на связку поючей, установив на нем номер моего сотового телефона. Сейчас есть надежда, что при очередной утере, нашедший позвонит и вернёт ключи"
💬 "Немножко помучилась,но все получилось.Брелочек понравился,теперь даже если потеряю ключи,то нашедший позвонит."
А теперь, давайте на секунду представим, что в мире есть плохие люди. Так уж вышло, что их не мало. Плохой человек с минимальным знанием того, что такое утечки данных и в каких ботах есть вся информация о нас, не будет возвращать вам ключи. С большой долей вероятности, он посмотрит связанные с номером адреса и идентифицирует ваше фактическое место жительства. Это делается примерно в 1-2 нажатия. Ну а дальше - только вопрос фантазии.
Один из самых очевидных сценариев, покараулить у подъезда и понять, когда никого из вас не будет дома, спокойно зайти, взять ценные вещи и вуаля. У некоторых возникнет вопрос: "А как же умный город? Все же под камерами!" Ну да, но балаклаву или шарф на пол лица никто не отменял. Ну и умные преступники, естественно, заранее знают о подъездных камерах и об остальных в районе, чтобы спокойно уйти.
Ну и для общего понимания состояния цифровой гигиены, мне стало интересно и я отсмотрел первые 500 комментариев под товаром. Нашел несколько не замазанных на скринах телефонов, которые принадлежат реальным людям со всеми вытекающими.
Делайте выводы и думайте о рисках.
#asc_security #asc_цифровая_гигиена
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12🔥5👍3
💬 Напоминаю, что у нас есть свой чат в котором больше 700 человек.
Там мы не просто сидим — это место, где можно пообщаться с единомышленниками, задать вопросы, обсудить практику и просто быть в своей среде.
Мы специально разделили чат на подтемы, чтобы вам было удобнее ориентироваться и не теряться в общем потоке:
— общение
— обучение и материалы
— разборы
— работа и стажировки
— и другие
📌 Особое внимание хочу обратить на раздел «Работа / стажировки»
Не стесняйтесь — оставляйте свои резюме, пишите о себе, своих навыках и целях.
Возможно, именно это сообщение станет для вас первым шагом к новой работе или проекту.
Там мы не просто сидим — это место, где можно пообщаться с единомышленниками, задать вопросы, обсудить практику и просто быть в своей среде.
Мы специально разделили чат на подтемы, чтобы вам было удобнее ориентироваться и не теряться в общем потоке:
— общение
— обучение и материалы
— разборы
— работа и стажировки
— и другие
📌 Особое внимание хочу обратить на раздел «Работа / стажировки»
Не стесняйтесь — оставляйте свои резюме, пишите о себе, своих навыках и целях.
Возможно, именно это сообщение станет для вас первым шагом к новой работе или проекту.
🔥9❤1
🔥 В понедельник в 21:00 (МСК) стартует обучение
«Введение в кибербезопасность»
Если ты думаешь «потом начну» — не начнешь.
Это короткий, практический вход в профессию
Что ты получишь за 12 часов
✔️ Поймешь, как реально ломают системы
✔️ Научишься находить уязвимости, а не просто читать про них
✔️ Соберешь свою лабораторию и начнешь практику сразу
✔️ Получишь базу для старта в pentest / bug bounty / security
Кто тебя будет учить
Не теоретик. Практик!
У нас крутой препод!
— 4+ года в Offensive Security
— Реальный опыт пентестов и поиска критических уязвимостей
— Победитель и финалист CTF соревнований
— Делает собственные CTF и обучает команды
Это уровень, где люди не объясняют, а показывают как делать
Программа (без мусора)
Модуль 1 — Лаборатория хакера
→ Развернешь свою среду и начнешь практиковаться безопасно
Модуль 2 — Сети
→ Поймешь, как реально ходят данные и где их ловят
Модуль 3 — OSINT
→ Научишься собирать информацию без контакта с целью
Модуль 4 — Nmap и аудит
→ Освоишь ключевой инструмент любого пентестера
Формат
— 12 часов практики
— Без лишней теории
— Сразу работа руками
Участие платное
Кому это нужно
— Новичкам, кто хочет зайти в кибербезопасность
— Тестировщикам, кто хочет расти в security
— Тем, кто устал «смотреть видео» и хочет делать
📩 Запись: @faroeman
Мест немного.
Группа стартует в понедельник — дальше только следующий поток.
«Введение в кибербезопасность»
Если ты думаешь «потом начну» — не начнешь.
Это короткий, практический вход в профессию
Что ты получишь за 12 часов
✔️ Поймешь, как реально ломают системы
✔️ Научишься находить уязвимости, а не просто читать про них
✔️ Соберешь свою лабораторию и начнешь практику сразу
✔️ Получишь базу для старта в pentest / bug bounty / security
Кто тебя будет учить
Не теоретик. Практик!
У нас крутой препод!
— 4+ года в Offensive Security
— Реальный опыт пентестов и поиска критических уязвимостей
— Победитель и финалист CTF соревнований
— Делает собственные CTF и обучает команды
Это уровень, где люди не объясняют, а показывают как делать
Программа (без мусора)
Модуль 1 — Лаборатория хакера
→ Развернешь свою среду и начнешь практиковаться безопасно
Модуль 2 — Сети
→ Поймешь, как реально ходят данные и где их ловят
Модуль 3 — OSINT
→ Научишься собирать информацию без контакта с целью
Модуль 4 — Nmap и аудит
→ Освоишь ключевой инструмент любого пентестера
Формат
— 12 часов практики
— Без лишней теории
— Сразу работа руками
Участие платное
Кому это нужно
— Новичкам, кто хочет зайти в кибербезопасность
— Тестировщикам, кто хочет расти в security
— Тем, кто устал «смотреть видео» и хочет делать
📩 Запись: @faroeman
Мест немного.
Группа стартует в понедельник — дальше только следующий поток.
🔥5❤1👍1🙏1👌1
🔐 Что такое CSRF (Cross-Site Request Forgery)
CSRF (Cross-Site Request Forgery) — это уязвимость, при которой злоумышленник заставляет браузер пользователя выполнить действие на сайте от его имени, без его ведома.
Проще говоря:
Сервер считает, что действие выполняет сам пользователь.
🔎 Как это выглядит на практике
Пользователь авторизован в интернет-банке.
Есть запрос для перевода денег:
Если пользователь отправит такой запрос — деньги переведутся.
Но злоумышленник может разместить на своём сайте такую страницу:
Когда пользователь откроет эту страницу —
его браузер автоматически отправит запрос.
И вместе с ним отправятся cookies сессии. А мы же помним, что можно с ними делать?🤫
Хештеги: #web #owasp
CSRF (Cross-Site Request Forgery) — это уязвимость, при которой злоумышленник заставляет браузер пользователя выполнить действие на сайте от его имени, без его ведома.
Проще говоря:
пользователь уже авторизован на сайте,
а злоумышленник заставляет его браузер отправить вредоносный запрос.
Сервер считает, что действие выполняет сам пользователь.
🔎 Как это выглядит на практике
Пользователь авторизован в интернет-банке.
Есть запрос для перевода денег:
POST /transfer
amount=1000&to=attacker
Если пользователь отправит такой запрос — деньги переведутся.
Но злоумышленник может разместить на своём сайте такую страницу:
<form action="https://bank.com/transfer" method="POST">
<input type="hidden" name="amount" value="1000">
<input type="hidden" name="to" value="attacker">
</form>
<script>
document.forms[0].submit();
</script>
Когда пользователь откроет эту страницу —
его браузер автоматически отправит запрос.
И вместе с ним отправятся cookies сессии. А мы же помним, что можно с ними делать?🤫
Хештеги: #web #owasp
🔥5❤2
Что точно полезно знать для QA инженера в рамках безопасности это то, как данные сливаются через неправильную конфигурацию.
Почему твой идеальный автотест не спасет от слива данных
Как QA, ты можешь выстроить идеальную пирамиду тестирования, покрыть всё unit-тестами и гонять регресс 24/7. Но если в конфигурации сервера дыра - все эти проверки бесполезны.
Большинство громких утечек случаются не потому, что х@керы - гении, а потому, что кто-то в команде забыл нажать ту самую галку перед деплоем в прод. Это называется Security Misconfiguration.
Вот 3 реальных сценария, которые ты можешь проверить прямо сейчас, просто открыв браузер:
1. Избыточные сообщения об ошибках (Verbose Errors) Попробуй ввести в URL или в поле поиска спецсимволы вроде ' или " или заведомо ложный путь.
Плохо: Сервер выдает "Internal Server Error" и следом - 50 lines стектрейса с путями к файлам, версиями библиотек и названиями таблиц в БД.
Почему это баг: Это готовая дорожная карта для атаки. Х@кер сразу видит, какие уязвимости искать под твой конкретный стек.
2. Раскрытие версий в заголовках (Banner Grabbing) Открой вкладку Network в DevTools (F12), кликни на любой запрос к твоему домену и посмотри раздел Response Headers.
Что искать: Заголовки типа Server: Apache/2.4.1 или X-Powered-By: PHP/5.4.
В чем риск: Если твоя компания использует старую версию софта, злоумышленнику достаточно загуглить CVE [название версии], чтобы найти готовый эксплоит. Конфигурация должна скрывать эти данные.
3. Индексация директорий (Directory Browsing) Попробуй в адресной строке перейти не в конкретный файл, а в папку (например, mysite.com/images/ или mysite.com/uploads/).
Критический баг: Если вместо 403 ошибки ты видишь список всех файлов в папке.
Последствия: Так часто находят бэкапы БД, забытые конфиги .env с паролями или личные документы пользователей, которые просто лежали в этой папке.
Что имеем?: Безопасность - это не только код. Это то, как этот код лежит на сервере. QA-инженер, который понимает эти нюансы, перестает быть просто тестировщиком кнопок и становится полноценным AppSec-специалистом или близко к этому.
#web #owasp
Почему твой идеальный автотест не спасет от слива данных
Как QA, ты можешь выстроить идеальную пирамиду тестирования, покрыть всё unit-тестами и гонять регресс 24/7. Но если в конфигурации сервера дыра - все эти проверки бесполезны.
Большинство громких утечек случаются не потому, что х@керы - гении, а потому, что кто-то в команде забыл нажать ту самую галку перед деплоем в прод. Это называется Security Misconfiguration.
Вот 3 реальных сценария, которые ты можешь проверить прямо сейчас, просто открыв браузер:
1. Избыточные сообщения об ошибках (Verbose Errors) Попробуй ввести в URL или в поле поиска спецсимволы вроде ' или " или заведомо ложный путь.
Плохо: Сервер выдает "Internal Server Error" и следом - 50 lines стектрейса с путями к файлам, версиями библиотек и названиями таблиц в БД.
Почему это баг: Это готовая дорожная карта для атаки. Х@кер сразу видит, какие уязвимости искать под твой конкретный стек.
2. Раскрытие версий в заголовках (Banner Grabbing) Открой вкладку Network в DevTools (F12), кликни на любой запрос к твоему домену и посмотри раздел Response Headers.
Что искать: Заголовки типа Server: Apache/2.4.1 или X-Powered-By: PHP/5.4.
В чем риск: Если твоя компания использует старую версию софта, злоумышленнику достаточно загуглить CVE [название версии], чтобы найти готовый эксплоит. Конфигурация должна скрывать эти данные.
3. Индексация директорий (Directory Browsing) Попробуй в адресной строке перейти не в конкретный файл, а в папку (например, mysite.com/images/ или mysite.com/uploads/).
Критический баг: Если вместо 403 ошибки ты видишь список всех файлов в папке.
Последствия: Так часто находят бэкапы БД, забытые конфиги .env с паролями или личные документы пользователей, которые просто лежали в этой папке.
Что имеем?: Безопасность - это не только код. Это то, как этот код лежит на сервере. QA-инженер, который понимает эти нюансы, перестает быть просто тестировщиком кнопок и становится полноценным AppSec-специалистом или близко к этому.
#web #owasp
❤6👍4🔥3🙏1
Недавно в чате (в котором, кстати, состоят не все 😏) поднялась интересная тема про нагрузки.
Мне в личку скинули фото кабеля и задали вопрос:
Сначала я ответил честно:
Но вопрос зацепил — решил копнуть глубже.
Я много лет работал в сфере цифровой криминалистики и извлечения данных.
И, поверьте, с кабелями за это время сталкивался регулярно.
Даже обычный USB-кабель — это не просто «провод».
Они бывают разными:
— по скорости передачи
— по типу контактов
— по поддержке питания
Вы сами наверняка замечали:
🔋 один кабель заряжает быстро, другой — еле тянет.
Но вот чтобы через кабель получить удалённый доступ к устройству…🤔
с таким я не сталкивался.
Более того:
даже если вы:
— подключили устройство
— разблокировали его
— включили режим разработчика
👉 это ещё НЕ означает полный доступ к данным.
Однажды мне нужно было извлечь данные так,
чтобы устройство не получало питание.
Звучит просто? На деле — нет.
Пришлось:
— дорабатывать кабель
— встраивать нагрузку
— искать специалистов которые меня могли бы проконсультировать почти месяц
И это — ради одной задачи.
Поэтому идея «магического кабеля»,
который сам по себе даёт удалённый доступ — звучит сомнительно.
Но…
🧠 Тема интересная.
Возможно, есть решения, о которых я не знаю. С удовольствием почитаю от вас в комментах.Алиэкспрес спасет мир.
PS. Много гуглил в интернете по данной теме и на данный момент нашел только вот что:
https://www.kickstarter.com/projects/geeky-labs/hackcable-built-in-wi-fi-usb-c-keystroke-injection-cable
Интересное решение, нонедоработанное
Об этом сами разработчики и пишут.
Идея в том, что в кабель зашили микроконтроллер, который определяется как клава, но он способен:
— воровать пароли
— запускать вредоносные программы
— получать удалённый доступ
Звучит как-будто бы круто...но я им не пользовался поэтому объективно высказать свое мнение не могу. Чем то похожим пользовался когда тестировал Raspberry Pi, но там был полноцненный мини-компьютер, а данный кабель заточен под одну задачу.
#analysis #chat
Мне в личку скинули фото кабеля и задали вопрос:
Можно ли через данный кабель получить удалённый доступ к устройству?
Сначала я ответил честно:
Нет, про такие методы я не слышал.
Но вопрос зацепил — решил копнуть глубже.
Я много лет работал в сфере цифровой криминалистики и извлечения данных.
И, поверьте, с кабелями за это время сталкивался регулярно.
Даже обычный USB-кабель — это не просто «провод».
Они бывают разными:
— по скорости передачи
— по типу контактов
— по поддержке питания
Вы сами наверняка замечали:
🔋 один кабель заряжает быстро, другой — еле тянет.
Но вот чтобы через кабель получить удалённый доступ к устройству…🤔
с таким я не сталкивался.
Более того:
даже если вы:
— подключили устройство
— разблокировали его
— включили режим разработчика
👉 это ещё НЕ означает полный доступ к данным.
Однажды мне нужно было извлечь данные так,
чтобы устройство не получало питание.
Звучит просто? На деле — нет.
Пришлось:
— дорабатывать кабель
— встраивать нагрузку
— искать специалистов которые меня могли бы проконсультировать почти месяц
И это — ради одной задачи.
Поэтому идея «магического кабеля»,
который сам по себе даёт удалённый доступ — звучит сомнительно.
Но…
🧠 Тема интересная.
Возможно, есть решения, о которых я не знаю. С удовольствием почитаю от вас в комментах.
PS. Много гуглил в интернете по данной теме и на данный момент нашел только вот что:
https://www.kickstarter.com/projects/geeky-labs/hackcable-built-in-wi-fi-usb-c-keystroke-injection-cable
Интересное решение, но
Об этом сами разработчики и пишут.
Идея в том, что в кабель зашили микроконтроллер, который определяется как клава, но он способен:
— воровать пароли
— запускать вредоносные программы
— получать удалённый доступ
Звучит как-будто бы круто...но я им не пользовался поэтому объективно высказать свое мнение не могу. Чем то похожим пользовался когда тестировал Raspberry Pi, но там был полноцненный мини-компьютер, а данный кабель заточен под одну задачу.
#analysis #chat
❤5🤔3👍1🔥1
ИИ заменит кибербезопасников? Ну-ну. Посмотрите на OWASP Top 10 для LLM
Пока диванные эксперты рассуждают о том, как нейросети уволят всех пентестеров, реальность такова...: внедрение больших языковых моделей (LLM) создало такое количество дыр, что работы в AppSec стало в два раза больше.
Если вы думали, что LLM - это просто чат в браузере, поздравляю: вы только что открыли огромную дверь для атак.
OWASP уже выпустил отдельный топ уязвимостей специально для этих моделей.
Вот список того, на чем сейчас ломают системы с ИИ:
- Prompt Injection (LLM01): Прямая или непрямая манипуляция моделью через хитрые промпты. Вы заставляете ИИ игнорировать системные инструкции и выполнять ваши.
- Insecure Output Handling (LLM02): Когда приложение слепо доверяет тому, что сгенерировал ИИ. Результат - XSS, CSRF или даже SSRF через ответы бота.
- Training Data Poisoning (LLM03): Засорение обучающей выборки. Если хакер подсунет свои данные на этапе обучения, модель будет выдавать предвзятые или опасные ответы.
- Model Denial of Service (LLM04): Отправка таких запросов, которые вызывают аномальное потребление ресурсов. Дорого, долго, и ваш сервис ложится под счетами от провайдера ИИ.
- Supply Chain Vulnerabilities (LLM05): Уязвимости в сторонних библиотеках, датасетах и плагинах. Весь стек ИИ сейчас - это одна большая цепочка поставок.
- Sensitive Information Disclosure (LLM06): Модель случайно отдает конфиденциальные данные, на которых её обучали или которые ей дали в контексте.
- Insecure Plugin Design (LLM07): Плагины для LLM часто имеют избыточные права и не проверяют ввод. Идеальный путь для выполнения команд на сервере.
- Excessive Agency (LLM08): Когда модели дают слишком много власти (например, право удалять письма или менять пароли) без подтверждения человеком.
- Overreliance (LLM09): Чрезмерное доверие. Разработчики не проверяют код, написанный ИИ, и деплоят уязвимости прямо в прод.
- Model Theft (LLM10): Кража самой модели или её параметров через API. Интеллектуальная собственность улетает конкурентам.
Итог прост: ИИ не заменяет кибербезопасность. Он расширяет поверхность атаки до невероятных масштабов. Чтобы защищать современные приложения, вам уже мало знать SQL инъекции. Вам нужно понимать, как думает модель и где она ошибается.
В 2026 году специалист, который умеет проводить аудит LLM-решений - это самый высокооплачиваемый игрок на рынке. Пока остальные боятся автоматизации, мы изучаем новые векторы.
Вопрос к коллегам: Кто уже сталкивался с Prompt Injection на реальных проектах? 👇
По обучению безопасности пишите в Телеграм @faroeman
Пока диванные эксперты рассуждают о том, как нейросети уволят всех пентестеров, реальность такова...: внедрение больших языковых моделей (LLM) создало такое количество дыр, что работы в AppSec стало в два раза больше.
Если вы думали, что LLM - это просто чат в браузере, поздравляю: вы только что открыли огромную дверь для атак.
OWASP уже выпустил отдельный топ уязвимостей специально для этих моделей.
Вот список того, на чем сейчас ломают системы с ИИ:
- Prompt Injection (LLM01): Прямая или непрямая манипуляция моделью через хитрые промпты. Вы заставляете ИИ игнорировать системные инструкции и выполнять ваши.
- Insecure Output Handling (LLM02): Когда приложение слепо доверяет тому, что сгенерировал ИИ. Результат - XSS, CSRF или даже SSRF через ответы бота.
- Training Data Poisoning (LLM03): Засорение обучающей выборки. Если хакер подсунет свои данные на этапе обучения, модель будет выдавать предвзятые или опасные ответы.
- Model Denial of Service (LLM04): Отправка таких запросов, которые вызывают аномальное потребление ресурсов. Дорого, долго, и ваш сервис ложится под счетами от провайдера ИИ.
- Supply Chain Vulnerabilities (LLM05): Уязвимости в сторонних библиотеках, датасетах и плагинах. Весь стек ИИ сейчас - это одна большая цепочка поставок.
- Sensitive Information Disclosure (LLM06): Модель случайно отдает конфиденциальные данные, на которых её обучали или которые ей дали в контексте.
- Insecure Plugin Design (LLM07): Плагины для LLM часто имеют избыточные права и не проверяют ввод. Идеальный путь для выполнения команд на сервере.
- Excessive Agency (LLM08): Когда модели дают слишком много власти (например, право удалять письма или менять пароли) без подтверждения человеком.
- Overreliance (LLM09): Чрезмерное доверие. Разработчики не проверяют код, написанный ИИ, и деплоят уязвимости прямо в прод.
- Model Theft (LLM10): Кража самой модели или её параметров через API. Интеллектуальная собственность улетает конкурентам.
Итог прост: ИИ не заменяет кибербезопасность. Он расширяет поверхность атаки до невероятных масштабов. Чтобы защищать современные приложения, вам уже мало знать SQL инъекции. Вам нужно понимать, как думает модель и где она ошибается.
В 2026 году специалист, который умеет проводить аудит LLM-решений - это самый высокооплачиваемый игрок на рынке. Пока остальные боятся автоматизации, мы изучаем новые векторы.
Вопрос к коллегам: Кто уже сталкивался с Prompt Injection на реальных проектах? 👇
По обучению безопасности пишите в Телеграм @faroeman
❤9👌3👍2🔥2🙏1
Всем хорошего вечера 👋
Напоминаю про наш чат — там периодически поднимаем действительно острые и интересные темы.
Сейчас как раз обсуждаем неприятную, но важную ситуацию
Буллинг через опубликованное видео в TikTok.
Мы всё-таки про этичный хакинг и «светлую сторону», поэтому хочется не просто обсуждать, а реально помогать и убирать подобный трэш из сети.
❗️ Ситуация:
⚠️ Важно:
Ломать аккаунт — не вариант (и не наш путь).
📌 Что уже пробовали:
— на видео жаловались уже ~20–30 аккаунтов
— отправляли репорты
— указывали, что используется фото человека без его разрешения
👉 Ответ от TikTok один и тот же:
💭 Вопрос к вам:
Кто сталкивался с подобным?
Работают ли:
— жалобы на видео?
— массовые репорты?
— обращения в поддержку?
— может есть более эффективные способы повлиять на удаление?
👇 Напишите, плис, в комментах.
Нужно понять, как в таких ситуациях реально добиваться результата
Напоминаю про наш чат — там периодически поднимаем действительно острые и интересные темы.
Сейчас как раз обсуждаем неприятную, но важную ситуацию
Мы всё-таки про этичный хакинг и «светлую сторону», поэтому хочется не просто обсуждать, а реально помогать и убирать подобный трэш из сети.
❗️ Ситуация:
В TikTok выложено видео с использованием чужого фото, и по сути это форма травли.
⚠️ Важно:
Ломать аккаунт — не вариант (и не наш путь).
📌 Что уже пробовали:
— на видео жаловались уже ~20–30 аккаунтов
— отправляли репорты
— указывали, что используется фото человека без его разрешения
👉 Ответ от TikTok один и тот же:
«Нарушений не обнаружено»
💭 Вопрос к вам:
Кто сталкивался с подобным?
Работают ли:
— жалобы на видео?
— массовые репорты?
— обращения в поддержку?
— может есть более эффективные способы повлиять на удаление?
👇 Напишите, плис, в комментах.
Нужно понять, как в таких ситуациях реально добиваться результата
🙏3❤1🔥1
Периодически в личку прилетают запросы:
И кажется что у нас уже накопилось достаточно опыта, который можно было бы систематизировать и упаковать в что-то полезное для всех, а не раздавать точечно.
📌 Мы уже пробовали делать закрытое сообщество с эксклюзивными материалами,
но честно — не получили того эффекта, на который рассчитывали.
Поэтому пока поставили эту историю на паузу.
💡 Сейчас думаем:
Не просто «контент ради контента»,
а то, что действительно помогает расти и решать задачи.
❓Что бы вам было интересно внутри сообщества?
И за что выреально были бы готовы заплатить , если это даёт ценность?
Например:
— чек-листы (разведка, тестирование, методология)
— разборы кейсов
— еженедельные стримы / Q&A
— помощь с обучением / входом в профессию
— юридические консультации в сфере ИБ
👇 Напишите в коментах или сразу в лс
PS Хочется собрать что-то действительно сильное, а не «очередной инфо-продукт»
«проконсультируйте», «подскажите», «помогите разобраться» и т.д.
И кажется что у нас уже накопилось достаточно опыта, который можно было бы систематизировать и упаковать в что-то полезное для всех, а не раздавать точечно.
📌 Мы уже пробовали делать закрытое сообщество с эксклюзивными материалами,
но честно —
Поэтому пока поставили эту историю на паузу.
💡 Сейчас думаем:
чем мы реально можем быть вам полезны?
Не просто «контент ради контента»,
а то, что действительно помогает расти и решать задачи.
❓Что бы вам было интересно внутри сообщества?
И за что вы
Например:
— чек-листы (разведка, тестирование, методология)
— разборы кейсов
— еженедельные стримы / Q&A
— помощь с обучением / входом в профессию
— юридические консультации в сфере ИБ
👇 Напишите в коментах или сразу в лс
PS Хочется собрать что-то действительно сильное, а не «очередной инфо-продукт»
❤4🔥2🙏1
🔥 Пятничная викторина по пентесту
1. Что делает nmap -sS?
1. Что делает nmap -sS?
Anonymous Quiz
19%
A) Полный TCP connect
61%
B) SYN-сканирование (half-open)
11%
C) UDP-сканирование
8%
D) OS detection
❓ 2. Какой инструмент чаще всего используют для перебора директорий?
Anonymous Quiz
7%
A) Wireshark
29%
B) Burp Suite
53%
C) Gobuster
11%
D) Metasploit
❓ 3. Что означает статус HTTP 403?
Anonymous Quiz
9%
A) Не найдено
18%
B) Ошибка сервера
56%
C) Доступ запрещён
17%
D) Требуется авторизация
❓ 4. Что такое XSS?
Anonymous Quiz
11%
A) SQL-инъекция
83%
B) Выполнение JS-кода на стороне клиента
3%
C) Переполнение буфера
3%
D) DDoS-атака
❓ 5. Что делает whoami в Linux?
Anonymous Quiz
8%
A) Показывает IP
81%
B) Показывает текущего пользователя
5%
C) Показывает процессы
5%
D) Показывает права файлов
Завтра утром будет разбор с пояснениями!
А пока можешь написать в комментариях свой результат и выбрать смайлик к посту)
5/5 — уже опасный 😎
3–4 — уверенно идешь😄
0–2 — есть куда расти (и это нормально)🤔
А пока можешь написать в комментариях свой результат и выбрать смайлик к посту)
5/5 — уже опасный 😎
3–4 — уверенно идешь😄
0–2 — есть куда расти (и это нормально)🤔
😎9😁7🤔6🔥1
Делам разбор прошлого поста. Всем спасибо за активность. Так мы понимаем уровень нашего сообщества и в каком направлении нам развиваться😎
1 — B
👉 -sS — это SYN scan (полуоткрытое сканирование).
Отправляется SYN → если приходит SYN-ACK, порт открыт, но соединение не завершается. Менее заметно, чем полный connect.
2 — C
👉 Gobuster — классика для brute-force директорий и файлов.
Burp больше про проксирование и анализ, Wireshark — про трафик, Metasploit — эксплуатация.
3 — C
👉 403 = доступ запрещён.
Сервер понял запрос, но не даёт доступ (в отличие от 401 — там нужна авторизация).
4 — B
👉 XSS (Cross-Site Scripting) — это выполнение JS-кода в браузере жертвы.
Часто используется для кражи cookies, сессий и т.д.
5 — B
👉 whoami показывает текущего пользователя.
Часто используется при повышении привилегий, чтобы понять, под кем ты сейчас.
1 — B
👉 -sS — это SYN scan (полуоткрытое сканирование).
Отправляется SYN → если приходит SYN-ACK, порт открыт, но соединение не завершается. Менее заметно, чем полный connect.
2 — C
👉 Gobuster — классика для brute-force директорий и файлов.
Burp больше про проксирование и анализ, Wireshark — про трафик, Metasploit — эксплуатация.
3 — C
👉 403 = доступ запрещён.
Сервер понял запрос, но не даёт доступ (в отличие от 401 — там нужна авторизация).
4 — B
👉 XSS (Cross-Site Scripting) — это выполнение JS-кода в браузере жертвы.
Часто используется для кражи cookies, сессий и т.д.
5 — B
👉 whoami показывает текущего пользователя.
Часто используется при повышении привилегий, чтобы понять, под кем ты сейчас.
👍5❤3🔥1