🌐 Дайджест уязвимостей за сентябрь: хакеры обходят защиту через WinRAR, 7-Zip, SAP NetWeaver и TrueConf

— Специалисты представили обзор 8 трендовых уязвимостей в популярном ПО с подробностями об эксплойтах и исправлениях

В статье подробно рассмотрим:
⏺WinRAR: PT-2025-26225 (CVE-2025-6218), PT-2025-32352 (CVE-2025-8088);
⏺SAP NetWeaver Visual Composer: PT-2025-20812 (CVE-2025-42999), PT-2025-17845 (CVE-2025-31324)
7-Zip: PT-2025-32410 (CVE-2025-55188);
⏺TrueConf Server: BDU:2025-10116, BDU:2025-10115, BDU:2025-10114.

👀 Источник

✋ Secure Books

🎃 Методы моделирования атак на основе сценариев использования

В этой статье рассмотрим первую из трех категорий – методы, основанные на диаграммах сценариев использования

Методы этой категории основаны на языке UML (Unified Modeling Language – унифицированный язык моделирования) — язык, созданный с целью графического моделирования процессов разработки ПО, бизнес-процессов и т.д.

Диаграмма сценариев использования – диаграмма, которая является частью языка UML и отражает отношения между акторами и сценариями использования, где:
1. актор – набор ролей пользователя, взаимодействующего с некоторой сущностью (системой, подсистемой, классом). Обозначается на диаграмме фигуркой человечка;
2. сценарий использования – выполняемые системой действия, приводящие к наблюдаемым акторами результатам. Обозначается на диаграмме красным прямоугольником с надписью. Надпись может быть именем или описанием того, что делает система

👀 Источник

✋ Secure Books

📝 20 бесплатных утилит и 89 скриптов для мониторинга и управления базами данных

— В статье автор собрал 20 бесплатных утилит от компании IDERA (и не только), которые могут некисло помочь закрыть некоторые вопросы с мониторингом и управлением MS SQL, MySQL и Oracle

👀 Источник

✋ Secure Books

🚠 Прокачай свой Nmap! Расширяем возможности культового сканера при помощи NSE-скриптинга

Содержание статьи:
➡️ Постановка задачи;
➡️ Структура NSE-скрипта;
➡️ Описание скрипта (description);
➡️ Категории, в которых находится скрипт (categories);
➡️ Информация об авторе (author);
➡️ Информация об использующейся лицензии (license);
➡️ Зависимости от других скриптов (dependencies);
➡️ Хост и порт (host & port);
➡️ Подключение библиотек;
➡️ Инструкции скрипта (action);
➡️ Настройка PostgreSQL;
➡️ Запуск скрипта;
➡️ Аргументы;
➡️ Расширение;
➡️ Отладка скриптов.

Nmap – культовый сканер, без которого не может обойтись практически ни один хакер, поэтому тема расширения его возможностей, я думаю, интересует многих

— В статье речь пойдет о том, как легко автоматизировать работу Nmap со своими любимыми инструментами

Удобнее же «нажать одну кнопку» и получить результат, чем постоянно проделывать одну и ту же последовательность действий

👀 Источник

✋ Secure Books

💻 Скрипты Nmap

Сетевое взаимодействие – достаточно сложный процесс и порой, чтобы разобраться в том, как он работает, приходится пользоваться абстракциями и дополнительными инструментами, которые позволяют получить информацию об этом взаимодействии

— Сегодня продолжим тему Nmap и рассмотрим, как писать скрипты для инструмента, и из чего они состоят

👀 Источник

✋ Secure Books

— Коротко о состоянии этой самой кибербезопасности

✋ Secure Books

📰 Подборка полезных статей по информационной безопасности

Содержание:
⏺ DLP: предотвращаем утечки
⏺ Open Canary - приманка для хакера
⏺ Использование РКІ для безопасности IOT
⏺ SQL инъекции для продолжающих: ломаем настоящий сайт
⏺ Истории из жизни вредоносов: инъекция кода в Windows
⏺ Истории из жизни вредоносов: DLL иньекция кода
⏺ Истории из жизни вредоносов: Отражающая DLL инъекция
⏺ Истории из жизни вредоносов: прячемся в автозагрузку ОС Windows
⏺ Атакуем WiFi или NodeMCU на службе сил зла
⏺ Совмещаем социнженерию и техни-ческий пентест
⏺ Истории из жизни вредоносов: знакомимся с Remnux
⏺ И снова про SIEM
⏺ Реагирование на инциденты
⏺ Основы Identity and Access Management (IAM) в архитектуре приложений
⏺ Защищено ли ваше программное обеспечение?
⏺ NET+Safeguard: Реверсинг без ассемблера

👀 Источник

✋ Secure Books

📍 Базы данных IP адресов организаций и географических мест

Кроме провайдеров интернет услуг, диапазоны IP адресов выделяются самым разным организациям, чья деятельность как связана с интернет сервисами

— С полным списком организаций, кому выделен хотя бы один диапазон IP адресов, вы можете ознакомиться на этой странице suIP.biz: всего в списке 54963 организации

Перейдя на страницу, в веб-браузере нажмите Ctrl+f и найдите интересующего вас Интернет-провайдера или любого другого владельца IP адресов

👀 Источник

✋ Secure Books

☁️ Использование ротации IP адресов для обхода лимитов отправки одноразовых паролей (OTP) в приложении на Flutter

Исследователи информационной безопасности и охотники за багами часто сталкиваются с трудностью перехвата трафика приложений на Flutter, поскольку эта технология не поддерживает системные настройки прокси

— В данном материале автор расскажем, каким образом обошел данное ограничение

👀 Источник

✋ Secure Books

🦠 База данных эксплойтов

Exploit Database (Exploit-DB) – это онлайн-репозиторий, который содержит коллекцию уязвимостей безопасности, эксплойтов и связанных инструментов для различных программных приложений, операционных систем и устройств

Некоторые особенности Exploit Database:
⏺Возможность поиска и фильтрации: пользователи могут искать конкретные эксплойты с помощью ключевых слов, фильтров и категорий;
⏺Код эксплойта: многие записи включают фактический код эксплойта, который демонстрирует, как можно использовать уязвимость;
⏺Детальное описание уязвимостей: записи содержат подробное описание уязвимостей, включая затронутые версии и потенциальные последствия;
⏺Образовательные ресурсы: ExploitDB включает статьи, документы и руководства, которые дают более глубокое понимание различных тем и методов безопасности.

👀 Источник

✋ Secure Books

📝 Сборник материалов по PHP

PHP (Hypertext PreProcessor, «препроцессор гипертекста») – скриптовый язык программирования с открытым исходным кодом

Изначально создавался для разработки веб-приложений, но в процессе обновлений стал языком общего назначения

— Обновляемый репозиторий насчитывает 32к звезд и включает в себя множество материалов по PHP

👀 Источник

✋ Secure Books

🥷 Обзор анонимных браузеров для приватного серфинга

В сегодняшней статье мы протестируем 6 лучших анонимных браузеров – Dooble, Epic, Brave, Iron, Waterfox, Comodo Dragon, выясним какой уровень приватности они могут обеспечить и каким из них можно доверять и использовать

Заранее оговоримся:

под словом анонимный браузер мы будем подразумевать браузер который был разработан для приватного серфинга и который не должен оставляет следов. Если вы хотите по настоящему анонимный браузер,

используйте Tor

!

👀 Источник

✋ Secure Books

◼️ Подборка утилит для шифрования

⏺ GPG (Gnu Privacy Guard). Бесплатная и открытая программа для шифрования данных и электронной подписи. Позволяет защитить спектр данных от файлов до электронной почты;
⏺ ZuluCrypt. Позволяет шифровать диски и устройства под Linux, BSD и другими UNIX-системами. В ZuluCrypt можно создавать и монтировать зашифрованные тома;
⏺ Dexios. Быстрый, безопасный и открытый инструмент шифрования при помощи командной строки. Написан на языке Rust и обеспечивает безопасность, производительность и удобство;
⏺ AxCrypt. Платная программа для шифрования файлов на компьютере. Использует симметричное шифрование с использованием алгоритма AES и обеспечивает высокий уровень защиты данных;
⏺ VeraCrypt. Инструмент с открытым исходным кодом для шифрования файлов. Построен на коде Truecrypt, но включает улучшения для усиленной безопасности данных. Программа предназначена для шифрования файлов, папок или целых дисков;
⏺ DiskCryptor. Решение с открытым исходным кодом, которое предлагает шифрование всех разделов дисков, включая системный раздел. Доступна поддержка алгоритмов шифрования AES, Twofish, Serpent, а также их комбинаций. 

✋ Secure Books

❗️ Атаки на JSON Web Tokens

Содержание статьи:
⏺Что такое JWT?
◦ Заголовок
◦ Полезная нагрузка
◦ Подпись
◦ Что такое SECRET_KEY?
⏺Атаки на JWT:
◦ Базовые атаки:
1. Нет алгоритма
2. Изменяем алгоритм с RS256 на HS256
3. Без проверки подписи
4. Взлом секретного ключа
5. Использование произвольных файлов для проверки
◦ Продвинутые атаки:
1. SQL-инъекция
2. Параметр поддельного заголовка
3. Внедрение заголовка ответа HTTP
4. Прочие уязвимости

JSON Web Tokens (JWT) – это открытый стандарт (RFC 7519) для создания токенов доступа, основанный на формате JSON

Цель – безопасная передача информации между клиентом и сервером с помощью цифровой подписи

JWT состоит из трёх частей, разделённых точкой: 
1. Заголовок (header): указывает тип токена и алгоритм подписи (например, HS256 или RS256);
2. Полезная нагрузка (payload): содержит данные, которые нужно передать в токене: идентификаторы, роли, срок действия и прочие данные;
3. Подпись (signature): создаётся на основе первых двух частей и секретного ключа.

👀 Источник

✋ Secure Books

📂 Книга: «Learning Metasploit Exploitation
and Development»

— Разрабатывайте продвинутые эксплойты и модули с
помощью практического руководства и Metasploit Framework

Aditya Balapure 2013

👀 Источник

✋ Secure Books

📺 Подборка фильмов и сериалов об OSINT

— В этом обзорном посте автор собрал для вас подборку всевозможных произведений кинематографа, так или иначе затрагивающих тему OSINT-исследований

Среди почти 20 вариантов найдутся кинокартины на любой вкус: от документалок по следам громких расследований и скандалов в информационную эпоху до художественных сериалов, по-разному обыгрывающих заданную тему.

👀 Источник

✋ Secure Books

📝 Список ресурсов и инструментов OSINT

— Этот список поможет всем, кто увлекается Cyber Threat Intellience (CTI), Threat hunting или OSINT

Репозиторий насчитывает 23,2к звезд

👀 Источник

✋ Secure Books

💻 Трассировка сетей со сложной топологией. Выявление NAT

NAT (Network Address Translation) – это технология, которая позволяет преобразовывать локальные IP-адреса внутренней сети в один или несколько глобальных IP-адресов и обратно

👀 Источник

✋ Secure Books

😵‍💫 Как остановить утечку данных Android в 2025 | Полное руководство

Большинство Android-пользователей думают, что отключили телеметрию через настройки приватности.

На самом деле ваше устройство продолжает сливать данные через 15+ скрытых каналов, о которых Google предпочитает молчать.

— В данной статье мы разберем, как Android реально шпионит за тобой в 2025 году и что с этим делать.

👀 Источник

✋ Secure Books

📄 Полная шпаргалка по HTML

Содержание:
➡️Введение в HTML
➡️Структура HTML-документа
➡️Элементы и теги HTML
➡️Атрибуты HTML
➡️Текстовые элементы
➡️Списки
➡️Ссылки
➡️Изображения
➡️Таблицы
➡️Формы
➡️Семантические элементы HTML5
➡️Мультимедиа
➡️Метаданные
➡️API HTML5
➡️Валидация и доступность

HTML (HyperText Markup Language) – это стандартизированный язык разметки для создания веб-страниц

Основные характеристики:
⏺Описывает структуру веб-страницы;
⏺Состоит из элементов, обозначенных тегами;
⏺Интерпретируется браузерами для отображения содержимого;
⏺Работает вместе с CSS (для стилей) и JavaScript (для интерактивности).

👀 Источник

✋ Secure Books