👩‍💻 Nginx: шпаргалка

— Представляю вашему вниманию шпаргалку по основным секциям Nginx, которые следует держать под рукой

Nginx ("engine x") – это HTTP-сервер, обратный прокси сервер с поддержкой кеширования и балансировки нагрузки, TCP/UDP прокси-сервер, а также почтовый прокси-сервер

В ней приведены самые частые функции: включение SSL, переадресация, раздача статики и т.д.

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ

❗️ OSINT: собираем досье на человека

Trape – это инструмент для OSINT-анализа, который позволяет отслеживать активность пользователей в интернете

Основные возможности:

⏺Может определять местоположение пользователя с точностью до 99%, обходя запросы на разрешение в браузере
⏺Позволяет проводить фишинговые атаки и внедрять вредоносные скрипты, что полезно для тестирования уязвимостей
⏺Можно получить информацию о скорости интернета пользователя и устройствах в его сети

 
— Он использует Python и Flask для создания сервера, который имитирует веб-сайт – когда пользователь заходит на этот сайт, инструмент собирает данные о его активности

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🛡 Чем занимается DevSecOps? Обзор инструментов

— В материале мы разберемся, чем на практике занимается DevSecOps и какие инструменты используются в повседневной работе

⏺Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки;
⏺Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости;
⏺Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🦣 Банкер Mamont атакует пользователей через Telegram

Исследователи зафиксировали новую волну распространения банковского трояна Mamont, нацеленного на Android-устройства

— Злоумышленники эксплуатируют актуальную повестку и маскируют вредонос под приложение для ускорения Telegram и обхода ограничений

Механика атаки проста: злоумышленники оставляют комментарии под публикациями в популярных Telegram-каналах и предлагают скачать APK, который якобы ускоряет работу замедленного мессенджера

Для этого жертву направляют в отдельный канал, откуда и предлагается загрузить файл, но вместо заявленной утилиты на устройство попадает вредонос

⚠️ Вредоносная кампания стартовала 14 февраля и уже успела затронуть тысячи российских пользователей

🗄 Источник – линк.

// Не хакинг, а ИБ

☁️ Phishing: инструмент захвата камеры с помощью фишинга

WishFish – это инструмент для взлома веб-камер или фронтальных камер с чужих компьютеров и телефонов

— Он позволяет генерировать различные фишинговые веб-ссылки, которые могут сфотографировать фронтальную камеру жертвы и дать целевой IP-адрес

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🐕 BloodHound — как увидеть скрытые угрозы в вашей Active Directory

Представьте, что вы администратор безопасности в крупной компании

В вашей Active Directory сотни пользователей, групп и компьютеров, связанных сложными отношениями

— Как найти уязвимости в этом лабиринте? Вот где на помощь приходит BloodHound – инструмент, который превращает хаос разрешений в понятную карту угроз

🗄 Читать статью – линк.

// Не хакинг, а ИБ

✋ Шифрование метаданных в мессенджере: HMAC-SHA256 анонимные пары, timing obfuscation и отравление собственных логов

— В этой статье автор подробно объяснит инженерные решения, к которым пришёл в ходе защиты метаданных: от криптографических примитивов до С++ кода и SQL-схемы

А также рассмотрим, где подход имеет ограничения и чем отличается от того, что делают Signal и Tor

Содержание статьи:

1. Зачем вообще шифровать метаданные?
2. Модель угроз: что знает сервер
3. Архитектура: четыре уровня скрытности
4. HMAC-SHA256 Anonymous Pairs — ядро системы
5. Отравление собственных логов
6. Push-уведомления как канал утечки
7. Timing Obfuscation: случайные задержки против корреляционного анализа
8. Мердж настроек: дипломатия приватности
9. Хранение и production-реалии
10. Полная картина: что видит атакующий с root-доступом к серверу
11. Сравнение с аналогами: Signal, Tor, Matrix
12. Честные ограничения и что не работает
13. Заключение и ссылки

🗄 Читать статью – линк.

// Не хакинг, а ИБ

📝 Шпаргалка по Web Security

Awesome OSCP – это тщательно подобранная коллекция ресурсов, инструментов, руководств и шпаргалок, специально созданная для помощи в подготовке к экзамену Offensive Security Certified Professional, но невероятно полезная и для любого пентестера.

Ключевые разделы:
— Подготовка и основы;
— Фундаментальные навыки;
— Enumeration и разведка;
— Эксплуатация;
— Пост-эксплуатация.

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🦺 В 2025 году из банкоматов похитили более 20 млн долларов

ФБР опубликовало бюллетень, в котором предупреждает о резком росте атак типа джекпоттинг (jackpotting) на банкоматы в США

⚠️ Только в 2025 году зафиксировано более 700 подобных инцидентов, а суммарный ущерб превысил 20 млн долларов

Суть джекпоттинга: злоумышленники получают физический доступ к банкомату, устанавливают на него вредоносное ПО, и малварь напрямую отдает команды модулю выдачи наличных

Обычно вся операция занимает считанные минуты, а финансовые организации и операторы банкоматов узнают о произошедшем, когда деньги уже похищены

— Главным инструментом атакующих правоохранители считают малварь Ploutus, которая существует уже более 10 лет

🗄 Источник – линк.

// Не хакинг, а ИБ

🧰 Набор инструментов для тестирования на проникновение

В данном репозитории собрали:
– Анонимное сокрытие инструментов
– Инструменты сбора информации
– Генераторы списков слов
– Инструменты беспроводной атаки
– Инструменты для внедрения SQL-запросов
– Инструменты фишинговой атаки
– Инструменты веб-атак
– Инструменты для последующей эксплуатации
– Инструменты судебной экспертизы
– Инструменты для создания полезной нагрузки
– Платформы для использования эксплойтов
– Обратный инжиниринг
– Сканирование веб-страниц
– Инструменты для проведения DDOS-атак
– Инструменты удаленного администратора
(RAT)
– Инструменты XSS-атаки
– Инструменты для стеганографии

Репозиторий постоянно обновляется!

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

😈 Хакинг бытовой техники: от реверса стиралки к созданию открытого сервисного ПО

— Сегодня разберем доклад Hacking Washing Machines с конференции 39C3 и посмотрим, как мелкая бытовая неисправность привела к полноценному реверсу стиралки, а затем – к созданию свободной утилиты, которая заменяет закрытый фирменный софт для ремонта техники Miele

Доклад получился объемным, поэтому для удобства читателей он разделен на две части:
1. Первая про опыт исследования техники Miele
2. Второй про шину D-Bus как универсальную отмычку к экосистеме бренда BSH

🗄 Читать статью – линк.
🗄 Хакинг бытовой техники: одна шина, чтобы управлять всеми – линк.

// Не хакинг, а ИБ

🖥 Ваша повседневная шпаргалка по Matplotlib

— Предлагаем вашему вниманию полное руководство по визуализации на Python

Matplotlib – библиотека на Python для визуализации данных двумерной и трёхмерной графикой

Он имеет отличную поддержку множеством сред, таких, как веб-серверы приложений, графические библиотеки пользовательского интерфейса, Jupiter Notebook, iPython Notebook и оболочка iPython

Выкладывать еще материалы по программированию?
💊 – да
🗿 – не стоит

🗄 Шпаргалка – линк.

// Не хакинг, а ИБ

❗️ Веб-шелл для автоматического заражения сети

Weevely – это веб-шелл командной строки, динамически распространяемый по сети во время выполнения

Просто закиньте PHP скрипт, и программа обеспечит похожий на ssh терминал даже в ограниченном окружении

— Оставляющий мало следов агент и более 30 модулей формируют расширяемый фреймворк для:
⏺администрирования веб-аккаунтов;
⏺постэксплуатационного повышения привилегий веб-серверов;
⏺и латерального продвижения по сети.

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

😂 Налоговая служба Южной Кореи случайно раскрыла seed-фразу для изъятого криптокошелька

Национальная налоговая служба Южной Кореи (National Tax Service, NTS) отчиталась о результатах операции против 124 крупных неплательщиков налогов

⚠️ В ходе рейдов удалось конфисковать активы на общую сумму 8,1 млрд вон (~5,6 млн $), включая наличные, предметы роскоши и криптовалюту

— Для наглядности они решили приложить к своему пресс-релизу фотографии изъятого у неплательщиков имущества

Среди них оказался снимок аппаратного кошелька Ledger, а также на фото попала и рукописная заметка с seed-фразой от него

Результат не заставил себя ждать: спустя пару часасов неизвестные вывели с конфискованного кошелька 4 млн токенов Pre-Retogeum (PRTG), оценивавшихся примерно в 4,8 млн $ на момент кражи

🗄 Источник – линк.

// Не хакинг, а ИБ