tgoop.com »
United States »
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram Web
🥷🏿 Эксплуатация сокета containerd: серия статей для этичного хакера
Один из примеров исследований о том, как эксплуатировать сокет Docker с помощью Docker Engine API , описан здесь. Но что, если перед вами рантайм containerd, который получает все большее распространение и у которого другой и более сложный API, чем у Docker?
В первой части исследования объясняется, как использовать сокет containerd с помощью CLI-инструмента ctr для горизонтального перемещения или повышения привилегий в контейнерных средах, во второй рассматриваются более сложные методы с использованием curl, когда инструмент ctr недоступен.
#pentest #redteam
Один из примеров исследований о том, как эксплуатировать сокет Docker с помощью Docker Engine API , описан здесь. Но что, если перед вами рантайм containerd, который получает все большее распространение и у которого другой и более сложный API, чем у Docker?
В первой части исследования объясняется, как использовать сокет containerd с помощью CLI-инструмента ctr для горизонтального перемещения или повышения привилегий в контейнерных средах, во второй рассматриваются более сложные методы с использованием curl, когда инструмент ctr недоступен.
#pentest #redteam
👍3
Технологию Anti-Malware Scan Interface Microsoft разработала в качестве метода защиты пользователей от малвари и впервые внедрила в Windows 10.
AMSI в реальном времени перехватывает скрипты и команды PowerShell, JavaScript, VBScript, VBA или .NET и отправляет на проверку антивирусу.
В 2025 году еще существуют способы обхода AMSI. Они не так сильно отличаются от описанных ранее, но различия все равно присутствуют. О них и пойдет речь в статье
🔗 Читать
#redteam #guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Совет на 2025-й — будьте осторожнее с выбором работы.
IT-рынок штормит: массовые сокращения, заморозка найма, снижение зарплат. В такое время особенно важно отличать стоящие офферы от проходных.
Знакомо? Открываешь вакансию, а там: «Ищем middle-разработчика с опытом 10 лет, знанием 15 языков и готовностью работать за печеньки. Офис в Челябинске, релокация за ваш счет» 🤦♂️
Чтобы не тратить время на сотни сомнительных предложений, подпишитесь на IT Job Hub. Там мы отфильтровываем весь мусор и публикуем только избранные вакансии в стабильных компаниях:
— Зарплаты на уровне рынка, а не на уровне голодного студента
— Никаких «мы молодая и дружная семья» — только адекватные условия
— Проверенные работодатели, а не стартапы из сомнительных сфер
Вакансии удобно разбиты по тегам: #python #java #go #data #devops и по другим направлениям. Без воды и лишнего спама — только проверенные вакансии в знакомых компаниях.
Подписывайтесь, если не хотите упустить работу мечты → @proglib_jobs
IT-рынок штормит: массовые сокращения, заморозка найма, снижение зарплат. В такое время особенно важно отличать стоящие офферы от проходных.
Знакомо? Открываешь вакансию, а там: «Ищем middle-разработчика с опытом 10 лет, знанием 15 языков и готовностью работать за печеньки. Офис в Челябинске, релокация за ваш счет» 🤦♂️
Чтобы не тратить время на сотни сомнительных предложений, подпишитесь на IT Job Hub. Там мы отфильтровываем весь мусор и публикуем только избранные вакансии в стабильных компаниях:
— Зарплаты на уровне рынка, а не на уровне голодного студента
— Никаких «мы молодая и дружная семья» — только адекватные условия
— Проверенные работодатели, а не стартапы из сомнительных сфер
Вакансии удобно разбиты по тегам: #python #java #go #data #devops и по другим направлениям. Без воды и лишнего спама — только проверенные вакансии в знакомых компаниях.
Подписывайтесь, если не хотите упустить работу мечты → @proglib_jobs
👍2
Дмитрий Лукьяненко является белорусским багхантером и экс-Android-разработчиком, известным своими достижениями в области кибербезопасности. На данный момент он единственный исследователь в СНГ, обладающий HackerOne MVH (Most Valuable Hacker) Belt!
В 2019 году ему удалось занять второе место в рейтинге «белых хакеров» Facebook*. На протяжении многих лет он демонстрировал выдающиеся знания экосистемы Android и находил серьезные баги в продуктах многих крупных компаний.
В подкасте Дмитрий рассказывает о своем пути, о том, на что он обращает внимание больше всего, и как сохраняет навык и интерес после стольких лет работы в этой сфере.
⏳ Таймкоды:
00:00:43 – Приветствие и начало подкаста
00:01:31 – Первые шаги в карьере
00:04:21 – Работа в Яндексе
00:05:49 – Первая уязвимость и награда
00:07:44 – Вдохновение и первые атаки
00:10:19 – Переход из android разработки в безопасность
00:11:54 – Жизнь на bug bounty full time
00:13:26 – Гранты от Google
00:14:23 – Фокус на уязвимости
00:17:38 – Взаимодействие с мобильными приложениями
00:21:29 – Подход к поиску багов
00:25:07 – Пример уязвимости
00:29:53 – Ошибки в безопасности
00:31:41 – Переход к веб-уязвимостям
00:33:26 – Вдохновляющие примеры
00:34:21 – Уязвимости без технических навыков
00:35:11 – Уязвимость в Facebook
00:36:11 – Баг на мероприятии в Сингапуре
00:38:05 – Стратегия раскрытия уязвимостей
00:39:50 – Уязвимость в Windows Messenger
00:43:27 – Статус “Most Valuable Hacker”
00:46:09 – Санкции со стороны платформ
00:48:03 – Бонусы и мотивация
00:49:51 – Инвестиции в оборудование
00:53:46 – Важность образования
00:54:45 – Советы новичкам
00:55:31 – Безопасность Android
00:55:53 – Курсы по программированию устройств
00:56:50 – Автоматизация и инструменты
⏯️ Смотреть или слушать полностью
#podcasts #bugbounty #infosec #mobile
* Организация Meta запрещена на территории РФ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2
Forwarded from Proglib.academy | IT-курсы
🧮🔠 Математика в действии: решаем хитрые задачи по прогнозированию, оптимизации и логике
Статья, которая поможет развить навыки решения задач с помощью математики.
➡️ Вот что вас ждет
1️⃣ Прогнозирование численности населения — используем цепи Маркова для предсказания миграций между городом и пригородами.
2️⃣ Минимизация затрат — находим минимальное скалярное произведение векторов для оптимального распределения задач между работниками.
3️⃣ Машина времени — решаем задачу максимального числа пересекающихся временных интервалов с помощью заметающей прямой.
4️⃣ Алгоритм Целлера — вычисляем день недели по дате. Проверка на практике.
🔵 Хочешь прокачаться в математике для ML? Тогда разбирайся с этими задачами и не упусти вебинар: «Математика для ML: от теории к практике».
👉 Читать статью
Статья, которая поможет развить навыки решения задач с помощью математики.
👉 Читать статью
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🥰1
🥷 Основные атаки на приложения Node.js и как от них защититься
Node.js с его асинхронной и событийно-управляемой архитектурой обеспечивает большую производительность и масштабируемость, но также вносит уникальные проблемы безопасности. О них и идет речь в руководстве. Узнайте, как защитить свое приложение на современном стеке с Node.js.
👉 Читать гайд
#guide #security #pentest #bugbounty
Node.js с его асинхронной и событийно-управляемой архитектурой обеспечивает большую производительность и масштабируемость, но также вносит уникальные проблемы безопасности. О них и идет речь в руководстве. Узнайте, как защитить свое приложение на современном стеке с Node.js.
👉 Читать гайд
#guide #security #pentest #bugbounty
👍3
📝 Промпт для поиска уязвимостей в JavaScript-коде
Чтобы искать баги быстрее и эффективнее, используйте этот промпт для ChatGPT или Claude:
⚡️Какие промпты вы обычно используете ? Делитесь в комментариях👇
🐸 Библиотека хакера #буст
Чтобы искать баги быстрее и эффективнее, используйте этот промпт для ChatGPT или Claude:
Parse this javascript for vulnerabilities, hardcoded secrets, XSS, open redirect, and list any files and paths referenced. Be specific with where the vulnerability is and a PoC for each. Use rich text formatting to make it easier to read:
Code:
вставляем JS-код сюда
⚡️Какие промпты вы обычно используете ? Делитесь в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤1
Дубликат — это валидный баг. Не опускайте руки, если вдруг на него наткнулись. Вы движетесь в правильном направлении.
А все остальное расскажет DevSecOps с 9-летним стажем Анна Куренова (презентация доклада — в комментариях):
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Отобрали для вас полезные и проверенные каналы для программистов — в них вы найдете все самое интересное, от технических новостей до практических гайдов.
IT Job Hub | Работа и вакансии в IT — избранные IT-вакансии
Библиотека программиста — новости из мира IT и технологий
Книги для программистов — самые годные книги по любым языкам и стекам
IT-мемы — мемы про жизу айтишника
Proglib Academy — обучение и курсы, чтобы стать топовым специалистом
Азбука айтишника — азы из мира разработки
Библиотека нейросетей — лайфхаки и промпты для разных задач, баттлы нейронок и новости из мира ИИ
Библиотека фронтендера — все о JS, React, Angular и не только
Библиотека мобильного разработчика — лайфхаки и новости из мира Swift и Kotlin
Библиотека хакера — уязвимости, атаки, бэкдоры и как от них защититься
Библиотека тестировщика — самое интересное о том, как крашить код
🦫 Go
Библиотека Go-разработчика
Библиотека задач по Go
Библиотека Go для собеса
Вакансии по Go
#️⃣ C#
Библиотека шарписта
Библиотека задач по C#
Библиотека собеса по C#
Вакансии по C#
🔧 DevOps
Библиотека devops’а
Библиотека задач по DevOps
Библиотека собеса по DevOps
Вакансии по DevOps & SRE
🐘 PHP
Библиотека пхпшника
Библиотека задач по PHP
Библиотека PHP для собеса
Вакансии по PHP, Symfony, Laravel
🐍 Python
Библиотека питониста
Библиотека Python для собеса
Библиотека задач по Python
Вакансии по питону, Django, Flask
☕️ Java
Библиотека джависта
Библиотека задач по Java
Библиотека Java для собеса
Вакансии по Java
📊 Data Science
Библиотека дата-сайентиста
Библиотека задач по Data Science
Библиотека Data Science для собеса
Вакансии по Data Science
🎮 C++
Библиотека C/C++ разработчика
Библиотека задач по C++
Библиотека C++ для собеса
Вакансии по C++
Подписывайтесь на интересные вам каналы и сохраняйте пост в закладки, чтобы не потерять 🔑
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👾1
🥷 Первый баг — самый важный. Но как его найти, если вы совсем новичок? Поделитесь мнением 👇
🐸 Библиотека хакера #междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4👾3
🧙 Трояны под видом ИИ: злоумышленники используют популярность DeepSeek
Поскольку DeepSeek стал первым сервисом, который предоставил доступ к рассуждающей LLM для широкого круга людей, он достаточно быстро обрел популярность и во многом повторил успех ChatGPT. И, конечно, повышенный интерес к этому инструменту привлек злоумышленников.
Исследуя внутренние данные об угрозах, команда Kaspersky обнаружила несколько различных групп сайтов, копирующих официальный сайт чат-бота DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса. Под катом — обзор нескольких схем:
🤖 Схема 1: Python-стилер и несуществующий клиент DeepSeek
🤖 Схема 2: вредоносный скрипт и миллион просмотров
🤖 Схема 3: бэкдоры и атаки на китайских пользователей
🐸 Библиотека хакера #свежак
Поскольку DeepSeek стал первым сервисом, который предоставил доступ к рассуждающей LLM для широкого круга людей, он достаточно быстро обрел популярность и во многом повторил успех ChatGPT. И, конечно, повышенный интерес к этому инструменту привлек злоумышленников.
Исследуя внутренние данные об угрозах, команда Kaspersky обнаружила несколько различных групп сайтов, копирующих официальный сайт чат-бота DeepSeek и распространяющих вредоносный код под видом клиента для популярного сервиса. Под катом — обзор нескольких схем:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🤩2
Forwarded from Библиотека шарписта | C#, F#, .NET, ASP.NET
😧 58% IT-специалистов страдают: психология успеха и борьба с синдромом самозванца
Синдром самозванца — не просто модный термин, а реальная проблема, с которой сталкиваются даже опытные разработчики. Почему так происходит и как с этим бороться? Разбираемся в причинах «стандартной болезни айтишников»
➡️ Читайте в статье
Спойлер:дело не в навыках, а в психологии успеха
🐸 Библиотека шарписта
Синдром самозванца — не просто модный термин, а реальная проблема, с которой сталкиваются даже опытные разработчики. Почему так происходит и как с этим бороться? Разбираемся в причинах «стандартной болезни айтишников»
Спойлер:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Если в ходе анализа веб-приложения вы обнаружили, что чувствительные данные кэшируются, обратите внимание на синтаксический анализ URL-адресов для эксплуатации path traversal. ChatGPT CDN (Cloudflare) и веб-сервер, например, по-разному обрабатывали пути URL:
⭕️ CDN не декодировал и не нормализовал
⭕️ Веб-сервер, напротив, распознавал
Используя этот обход, злоумышленник мог запросить чувствительные API-эндпоинты, содержащие токены аутентификации:
✔️ CDN видел это как обычный кэшируемый путь.
✔️ Веб-сервер обрабатывал его как запрос к API
✔️ Токен кешировался и становился доступным злоумышленнику.
➡️ Подробнее
🐸 Библиотека хакера #буст
%2F
(закодированный /
).%2F..%2F
как ../
, что приводило к path traversal.Используя этот обход, злоумышленник мог запросить чувствительные API-эндпоинты, содержащие токены аутентификации:
https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123
/api/auth/session
, содержащему токен авторизации.Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤1
This media is not supported in your browser
VIEW IN TELEGRAM
Сканер уязвимостей nuclei умеет генерировать отчеты Markdown, позволяя копировать и вставлять отправленные вами результаты в удобном формате. Смотрите сами 👇
$ nuclei -u https://www.google.com -t http/miscellaneous/robots -txt.yaml-include-rr -markdown-export ./
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
🐧 Пингвин, покоривший мир: история взлета Linux – ОС, управляющей 96% серверов
В 1991 году на компьютере с 4 мегабайтами памяти родилась программа, которая сегодня управляет большей частью интернета, смартфонами и даже космическими аппаратами. Это история Linux, рассказанная одним из первых свидетелей.
➡️ Читать статью
➡️ Зеркало
В 1991 году на компьютере с 4 мегабайтами памяти родилась программа, которая сегодня управляет большей частью интернета, смартфонами и даже космическими аппаратами. Это история Linux, рассказанная одним из первых свидетелей.
➡️ Читать статью
➡️ Зеркало
❤3👾1
👨🎓 Как начать карьеру в инфобезе
Аналитик, архитектор, пентестер, форензик, багхантер, специалист SOC, ... Этот список можно продолжать очень долго. Но ключевой вопрос — «Как начать карьеру в ИБ?».
💭 Многие приходит в безопасность, когда выгорают в разработке, некоторые — сразу после вуза. А каким был ваш путь?
🐸 Библиотека хакера #междусобойчик
Аналитик, архитектор, пентестер, форензик, багхантер, специалист SOC, ... Этот список можно продолжать очень долго. Но ключевой вопрос — «Как начать карьеру в ИБ?».
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔3👍2
🥷🏿 Как ломать приложения с 2FA
Тестирование веб-приложений, защищенных двухфакторкой, — не самая тривиальная задача. Burp Suite поможет автоматизировать монотонную работу и упростить поиск багов.
Вам понадобятся расширения Stepper и Google Authenticator. Пошаговый процесс описали выше, а полный гайд читайте в статье(PDF-файл в комментариях) .
🐸 Библиотека хакера #буст
Тестирование веб-приложений, защищенных двухфакторкой, — не самая тривиальная задача. Burp Suite поможет автоматизировать монотонную работу и упростить поиск багов.
Вам понадобятся расширения Stepper и Google Authenticator. Пошаговый процесс описали выше, а полный гайд читайте в статье
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤🔥2