📅 Первый месяц в Bug Bounty: итоги, цифры и выученные уроки

— В данной статье автор расскажет о своем пути становления багхантором и какие результаты ему удалось достигнуть за месяц

Немного заспойлерю – за месяц активной работы получилось отправить 9 отчетов:
⏺3 выплаты на сумму ~$400: за одну уязвимость уровня High я получил ~$200, за Medium - ~$100, и еще одна High принесла ~$100. Понятие «нормальности» у всех разное, но для старта, для меня, это неплохой результат
⏺Остальное: 1 Low (не выплачивается), 1 Info (не выплачивается) и 1 отчет ушел в «вне скоупа»
⏺Дубликаты: 3 отчета были помечены как дубликаты. Поначалу это сильно демотивирует, главное не опускать руки и дальше продолжать “тыкать”)

🗄 Читать статью – линк.

// Не хакинг, а ИБ

👁‍🗨 Звуковой кейлоггер | Определяем нажатые клавиши по звуку

Звуковой кейлоггер – очень интересная задача с точки зрения безопасности

— Она близка к фингерпринтингу пользователя по клавиатурному почерку (включая скорость набора, опечатки, тайминги между сочетания клавиш и др.)

Теоретически, это даёт возможность:
⏺регистрировать нажатия клавиш по звуку;
⏺идентифицировать пользователя, который работает за клавиатурой.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

❗️ Google Dorks OSINT шпаргалка – 100+
запросов для поиска

В шпаргалке рассмотрено:

1. Что такое Google Dorks
2. Основы синтаксиса Google Dorks
3. Dorks для поиска файлов
4. Dorks для поиска директорий и путей
5. Dorks для поиска по сайтам
6. Dorks для поиска уязвимостей
7. Dorks для поиска конфиденциальной информации
8. Dorks для поиска по типам файлов
9. Dorks для поиска в кэше и архивах
10. Dorks для поиска по времени
11. Продвинутые комбинации Dorks
12. Инструменты для работы с Dorks
13. Безопасность и этика использования
14. Практические примеры использования
15. Часто задаваемые вопросы

Google Dorks – это специальные поисковые запросы, которые используют расширенные операторы Google для поиска информации, недоступной при обычном поиске

— Эти операторы позволяют фильтровать результаты по типу файлов, сайтам, датам и другим параметрам

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ

🧰 Сборник нструментов безопасности OSX и iOS

— В репозитории вы найдете инструменты: форензики, создания руткитов, сканеры безопасности, сбора данных, настройки конфигурации, обнаружения программ-вымогателей, мониторинга и много много других

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

👩‍💻 V2Ray и Xray: что это, установка, раз-личия, настройка в 2026

V2Ray и Хау – это современные прокси-протоколы нового поколения, разработанные для обеспечения безопасного и анонимного доступа в интернет, обхода блокировок и цензуры, и защиты приватности пользователей

— Они позволяют создавать защищенные туннели для передачи интернет-трафика через прокси-серверы, скрывая реальный IP-адрес пользователя, обходя блокировки сайтов и сервисов, и обеспечивая шифрование данных для защиты от перехвата и анализа трафика

🗄 Читать статью – линк.

// Не хакинг, а ИБ

😈 У компании Step Finance украли 40 млн долларов, взломав устройства руководителей

⚠️ DeFi-платформа Step Finance сообщила о потере 40 млн долларов в криптовалюте — хакеры проникли в системы компании через взломанные устройства руководителей

Step Finance работает на блокчейне Solana и представляет собой DeFi-платформу и аналитический инструмент для управления криптоактивами

Сервис позволяет визуализировать позиции, отслеживать их, проводить транзакции, свопы и стейкинг

Платформа считается одним из наиболее популярных дашбордов экосистемы Solana

Представители платформы сообщают о компрометации нескольких treasury-кошельков

— По их словам, неназванные «опытные злоумышленники» скомпрометировали устройства руководителей компании, использовав для взлома некий «известный вектор атаки»

🗄 Источник – линк.

// Не хакинг, а ИБ

☁️ Сценарий для взлома | Разбираем типовые сценарии атак на корпоративные сети

Содержание статьи:
⏺Преодоление периметра:
1. Можно без 0day:
Сценарий 1. Подбор учетных данных;
Сценарий 2. Эксплуатация веб-уязвимостей;
Сценарий 3. Эксплуатация известных уязвимостей;
Сценарий 4. Социальная инженерия;
Сценарий 5. Открытые данные;
Сценарий 6. Выход из песочницы;
⏺Получение контроля над КИС:
Сценарий 1. Подбор доменной учетной записи;
Сценарий 2. Атаки на протоколы сетевого и канального уровней;
Сценарий 3. Атака SMB Relay;
Сценарий 4. Чтение памяти процесса;
Сценарий 5. Групповые политики;
Сценарий 6. Золотой билет Kerberos;
Сценарий 7. Pass the hash и pass the ticket. Атака на двухфакторную аутентификацию.

Эта статья — подборка типовых сценариев атак, которые использовались при пентестах компаний и позволяли получить контроль над сетью заказчика в 80% случаев

🗄 Читать материал – линк.

// Не хакинг, а ИБ

🔸 Инструмент анализа веб-приложений

WhatWeb – это инструмент с открытым исходным кодом для идентификации веб-сайтов

— Он распознаёт веб-технологии, в том числе системы управления контентом, платформы для ведения блогов, пакеты статистики/аналитики, библиотеки JavaScript, веб-сервера и встроенные устройства

Также WhatWeb идентифицирует номера версий, адреса электронной почты, идентификаторы учётных записей, модули веб-платформ, ошибки SQL и прочее

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

😈 Камеры и микрофоны: как защитить себя от слежки через ноутбук и телефон

— Данная статья представляет полную инструкцию по настройке разрешений, защите от RAT-троянов и выбору шторки для веб-камеры

Мы разберём, насколько реальна угроза, как работают механизмы защиты и что конкретно нужно сделать, чтобы ваши камера и микрофон не превратились в окно в вашу частную жизнь

🗄 Читать статью – линк.

// Не хакинг, а ИБ

☁️ Хакеры используют артефакты Claude для распространения малвари для macOS

— Злоумышленники запустили ClickFix-кампанию, в которой используют публичные артефакты чат-бота Claude компании Anthropic и платную рекламу в поиске Google

Артефакты Claude – это публичный контент, созданный пользователем с помощью LLM

Это может быть некая инструкция, код, отрывок текста и так далее

Цель атакующих: обманом вынудить пользователей macOS выполнить команду в терминале, которая установит на устройство инфостилер

Гайд с вредоносной инструкцией уже просмотрели более 15 000 раз

🗄 Источник – линк.

// Не хакинг, а ИБ

Хочешь в хакинг? Тогда читай мой канал. В нём ты узнаешь с чего начать, увидишь интересные кейсы из социальной инженерии, прочувствуешь все прелести пентеста на себе прочитаешь про забавные случаи из мира ИБ и посмеёшься над тупыми инфоцыгами.

🐈‍⬛Дорожная карта со стажёра до мидла

🐈‍⬛ О важности методологии в ИБ

🐈‍⬛ Переиграли мошенника и угнали его акк

Сфинкс. Подписаться.

👩‍💻 Nginx: шпаргалка

— Представляю вашему вниманию шпаргалку по основным секциям Nginx, которые следует держать под рукой

Nginx ("engine x") – это HTTP-сервер, обратный прокси сервер с поддержкой кеширования и балансировки нагрузки, TCP/UDP прокси-сервер, а также почтовый прокси-сервер

В ней приведены самые частые функции: включение SSL, переадресация, раздача статики и т.д.

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ

❗️ OSINT: собираем досье на человека

Trape – это инструмент для OSINT-анализа, который позволяет отслеживать активность пользователей в интернете

Основные возможности:

⏺Может определять местоположение пользователя с точностью до 99%, обходя запросы на разрешение в браузере
⏺Позволяет проводить фишинговые атаки и внедрять вредоносные скрипты, что полезно для тестирования уязвимостей
⏺Можно получить информацию о скорости интернета пользователя и устройствах в его сети

 
— Он использует Python и Flask для создания сервера, который имитирует веб-сайт – когда пользователь заходит на этот сайт, инструмент собирает данные о его активности

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ