В 2025 году хакеры из КНДР похитили криптовалюту на рекордные 2 миллиарда долларов – на 51% больше, чем годом ранее
Самым разрушительным эпизодом стал взлом Bybit в феврале – один инцидент, полтора миллиарда ущерба
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👏5💊2
— В этой статье специалисты собрали десятку инструментов, без которых сегодня трудно представить жизнь профессионального багбаунтера
Все программы бесплатны или условно бесплатны, активно поддерживаются и подходят для легального ресёрча
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9
— Исследователи обнаружили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые перехватывают интернет-трафик и крадут пользовательские данные
Phantom Shuttle рекламируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле
«Расширения перехватывают весь трафик, работают как прокси с функцией “Человек посередине“ (MitM) и постоянно отправляют данные пользователей на управляющий сервер злоумышленников» — сообщает исследователь Socket Куш Пандья
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊4
Buggy Web Application – сайт с открытым исходным кодом, что предоставляет возможность проанализировать, как именно выглядит веб-ресурс, лишенный всяческой безопасности
— На нем спрятано свыше 100 наиболее распространенных проблем
Найдете?
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊5👍1🤔1
Nessus – сканер уязвимостей, разработанный компанией Tenable Network Security
Он используется для автоматического поиска известных уязвимостей в защите информационных систем
— В шпаргалке рассмотрим установку, настройку, основные команды, сканирование и общие советы
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊4
Cloak – это подключаемый транспорт, который расширяет возможности традиционных прокси-инструментов, таких как OpenVPN, для обхода сложной цензуры и дискриминации данных
Cloak можно использовать в сочетании с любой прокси-программой, которая туннелирует трафик через TCP или UDP, например Shadowsocks, OpenVPN и Tor
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Материал представляет собой краткий мануал, который поясняет:
BO Team (также известная как Black Owl, Lifting Zmiy и Hoody Hyena) – хакерская группа, которая атакует российские государственные и коммерческие организации
— Главный метод проникновения BO Team фишинговые письма с вложениями, запускающими вредоносное ПО
В арсенале группировки: такие инструменты, как DarkGate, BrockenDoor и Remcos, с помощью которых злоумышленники получают удалённый доступ к заражённым системам
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
💊3
WAF (Web Application Firewall) – это межсетевой экран, который контролирует и фильтрует HTTP-трафик между приложением и интернетом
RASP (Runtime Application Self-Protection) – это технология, которая работает по принципу «защиты изнутри»
Вместо того чтобы находиться между приложением и интернетом, RASP интегрируется прямо в само приложение
— В статье мы рассмотрим в чем между ними разница и что лучше для безопасности веб-приложений
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Как хакнуть фокус за 300 секунд? (Протокол защиты от выгорания)
Это не прокрастинация.
Это сбитая система дофамина.
Reels, уведомления, новости сделали мозг зависимым от мгновенных стимулов.
На их фоне любая работа мозга ощущается как пытка — твое сознание саботирует.
Но есть способ обойти этот саботаж.
Я нашёл метод, который за 300 секунд переводит мозг из режима «бунт» в режим «атака».
Называется протокол «Стена».
Это не медитация.
Не мотивация.
Это инженерный сброс дофамина до заводских настроек.
- 5 минут твоего времени
- 0 рублей затрат
⚡️ Эффект: резкий всплеск концентрации и желание делать, а не залипать
Я подробно и без воды расписал этот протокол в канале SAF SYSTEM.
Там нет философии — только инструкции по управлению энергией и вниманием.
Если ты читаешь это и всё ещё откладываешь задачи —
значит, тебе туда.
👉 Забрать протокол «Стена»:
https://t.me/saf_system
Это не прокрастинация.
Reels, уведомления, новости сделали мозг зависимым от мгновенных стимулов.
На их фоне любая работа мозга ощущается как пытка — твое сознание саботирует.
Но есть способ обойти этот саботаж.
Я нашёл метод, который за 300 секунд переводит мозг из режима «бунт» в режим «атака».
Называется протокол «Стена».
Это не медитация.
Не мотивация.
Это инженерный сброс дофамина до заводских настроек.
- 5 минут твоего времени
- 0 рублей затрат
⚡️ Эффект: резкий всплеск концентрации и желание делать, а не залипать
Я подробно и без воды расписал этот протокол в канале SAF SYSTEM.
Там нет философии — только инструкции по управлению энергией и вниманием.
Если ты читаешь это и всё ещё откладываешь задачи —
значит, тебе туда.
👉 Забрать протокол «Стена»:
https://t.me/saf_system
❤2👍1🔥1🤬1
— Исследователи опубликовали отчёт, в котором описали сразу несколько критических уязвимостей в Bluetooth-чипах Airoha – именно они используются в миллионах TWS-наушников известных брендов, включая Sony, JBL, Marshall и Jabra
В отчёте утчерждается, что они смогли читать и изменять содержимое памяти и флеш-хранилища наушников, а также получать информацию о воспроизводимом контенте
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔6😈4👀3
Git – это система для управления версиями исходного кода программ.
— Она позволяет отслеживать любые изменения в файлах, хранить их версии и оперативно возвращаться в любое сохранённое состояние
Дополнительный материал:
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
EggShell – это инструмент наблюдения после эксплуатации, написанный на Python
— Он предоставляет сеанс командной строки с дополнительной функциональностью между пользователем и целевой машиной
Основные функции:
⏺ загрузка и выгрузка файлов;
⏺ завершение работы с вкладками;
⏺ создание снимков;
отслеживание местоположения;
⏺ выполнение команд оболочки;
⏺ сохранение данных;
⏺ повышение привилегий;
⏺ поиск пароля.
Также EggShell может использоваться как macOS-бэкдор – он обладает функциями записи аудио через микрофон устройства жертвы, а также записи видео и набранного текста на клавиатуре
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4😱1
1. MITRE CVE – поисковик, база данных и общепринятый классификатор уязвимостей.
2. NIST NVD – поиск по официальной американской правительственной базе данных об уязвимостях.
3. GitHub Advisory Database – база данных уязвимостей, включающая CVE и рекомендации по безопасности.
4. CVEDetails, osv.dev, VulDB, maltiverse – еще ряд источников данных об уязвимостях и индикаторах компрометации.
5. opencve.io – поисковик CVE со встроенными оповещениями о новых угрозах.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Взлом всегда начинается с OSINT или сбора данных о цели, от качества найденной информации зависит успех в поиске бага
SecLists – это целая коллекция словарей, которые очень пригодятся не только в багбаунти, но и при пентесте во время оценки безопасности
— Словари включают в себя юзернеймы, пароли, параметры URL, поддомены, шаблоны конфиденциальных данных, полезные нагрузки, веб‑шеллы и многое другое
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🐳2
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Более 100 ГБ данных пользователей ультраправых онлайн-платформ оказались в открытом доступе после разоблачения, проведённого независимой исследовательницей, выступающей под псевдонимом Марта Рут.
— Она внедрилась в закрытые сообщества, включая платформу WhiteDate, позиционируемую как сайт знакомств для сторонников расистской идеологии, а также связанные с ней WhiteChild и WhiteDeal.
В результате утечки были раскрыты более 8000 анкет, включая фотографии и чувствительную персональную информацию.
// Не хакинг, а иб
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10👎3🐳2
В этом репозитории вы найдете:
Внешняя инъекция XML (также известная как XXE) – это уязвимость веб-безопасности, которая позволяет злоумышленнику вмешиваться в обработку XML-данных приложения.
— Это позволяет злоумышленнику просматривать файлы в файловой системе сервера приложений и взаимодействовать с любыми серверными или внешними системами, к которым может получить доступ само приложение.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👎4👍2
CyberED вместе с Standoff 365 запускает новогоднюю активность для начинающих исследователей и новичков.
Что
⚔️CTF-турнир с призами для победителей
⚔️Прямые включения из студии с райтапами на некоторые задачи и демонстрацией подходов
⚔️Воркшопы и интервью с практиками
⚔️10 дней бесплатного доступа к учебному контенту CyberED
⚔️Розыгрыш с ценными призами для участников программы
Сам выбирай свой уровень вовлеченности — смотри эфиры под оливье или решай таски, проходи курсы, которые впервые окажутся в открытом доступе.
Дедлайн:
Зарегистрироваться
Please open Telegram to view this post
VIEW IN TELEGRAM
👻5❤2🔥2
DNSSEC (Domain Name System Security Extensions) – это набор расширений протокола DNS, предназначенный для повышения безопасности системы доменных имён
Он минимизирует риски атак, таких как подмена IP-адресов, и обеспечивает достоверность и целостность данных, передаваемых через DNS
— В этой статье мы разберём не только как работает DNSSEC, но и типичные «косяки» внедрения, посмотрим на реальные атаки и предложим практические методы усиления защиты DNS
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2