🏗 7 основных стратегий обеспечения устойчивости распределенных систем

Высоконагруженные распределенные системы должны справляться с миллионами запросов в секунду, оставаясь стабильными даже при сбоях в базах данных или внешних API. Это возможно только при условии, что в основе системы заложены проверенные стратегии обеспечения устойчивости.

В этой статье мы подробно рассмотрим, как нисходящие и восходящие шаблоны помогают минимизировать влияние отказов и эффективно управлять нагрузкой, обеспечивая стабильность и бесперебойную работу популярных приложений.

🔗 Читать статью
🔗 Зеркало

🐸 Библиотека хакера

💬 Как оставлять комментарии в чате нашего канала

В нашем чате работает бот Shieldy — он защищает от спама, запрашивая у новых участников решение простой капчи.

⚠️ Проблема, с которой сталкиваются многие: вы нажимаете под постом «Прокомментировать», пишете что-то, а потом получаете бан и не можете писать комментарии.

❓Почему так: Shieldy отправляет капчу в сам чат, а не в комментарии под конкретный пост. Из-за этого капчу можно не увидеть, не отправить ответ на нее, и бот автоматически заблокирует вас.

✅ Как присоединиться к чату, чтобы бот вас не забанил

— Зайдите в описание канала с телефона и нажмите кнопку Discuss / Чат
— Нажмите Join / Присоединиться
— Сразу обратите внимание на сообщение от бота Shieldy
— Решите простой пример и отправьте ответ в чат

После этого бот отправит приветственное сообщение и вы сможете оставлять комментарии. Эту проверку нужно пройти только один раз при вступлении в чат.

❗️ Если вас все-таки забанили

— Это временная блокировка на несколько минут
— Подождите и попробуйте зайти позже, бот снова отправит вам капчу

Админы канала никак не могут ускорить процесс, бот автоматически снимает с вас блокировку через пару минут. Мы понимаем, что эта система неидеальна, и ищем более удобное решение.

👾 Спасибо, что активно участвуете в обсуждении наших постов!

🚪 Войти как любой пользователь: обход аутентификации SAML SSO с помощью parser differentials

SAML используется для единого входа (SSO) и передачи информации об учетных записях через XML. Когда пользователь входит в систему через SAML, сервис-провайдер проверяет, действительно ли переданный идентификатор пользователя подписан доверенным удостоверяющим центром.

Основные проверки:

— SignatureValue: убедиться, что сообщение подписано доверенным ключом.
— DigestValue: убедиться, что данные не были изменены.

Именно с SAML связаны две последние критические уязвимости обхода аутентификации (CVE-2025-25291 + CVE-2025-25292). Они были обнаружены в ruby-saml до версии 1.17.0. Ruby-saml использует два разных XML-парсера — REXML и Nokogiri — в одном и том же процессе проверки подписи.

Это привело к разнице в интерпретации XML-документов. Можно было создать SAML-ответ, в котором:

— REXML видит одну подпись, которая соответствует действительному ключу.
— Nokogiri видит другую подпись, привязанную к поддельным данным.

Таким образом, проверка подписи проходит, но на самом деле подписанные данные не соответствуют исходному документу. Это позволяет подделать сигнатуру SAML и войти под чужой учетной записью.

➡️ Читать подробнее

🐸 Библиотека хакера #буст

💬 Хакеры, мы?

🐸 Библиотека хакера #развлекалово

📝 Промпт для эксплутации SSRF-уязвимости

Чтобы эксплуатировать SSRF быстрее и эффективнее, используйте этот промпт для ChatGPT, Claude, Gemini или Grok:

I'm conducting an authorized penetration test focused on identifying and exploiting Server-Side Request Forgery (SSRF) vulnerabilities in a client's web application. Generate 5 advanced SSRF payloads capable of bypassing
common SSRF protections. The web app has basic SSRF mitigations like IP blacklisting, URL filtering (blocking keywords such as "localhost., "127.0.0.1", and internal IP ranges), and strict URL parsing. Basic payloads (e.g., http: //127.0.0.1) have already failed. Clearly list each payload on a single line. Immediately afterward, provide a brief explanation of the specific protection the payload aims to bypass. I am already familiar with the basics of SSRF
attacks, so please avoid generic explanations. Focus strictly on creative payload crafting. Payloads should cleverly leverage URL obfuscation techniques, DNS rebinding methods, or URL parsing anomalies to maximize the chance of bypassing security controls.

⚡️ Используете ли вы AI-модели в работе? Поделитесь в комментариях 👇

🐸Библиотека хакера #буст

🧑‍💻 Какие знания, по вашему мнению, наиболее востребованы для формирования базы в инфосеке в 2025 году?

❤️ — операционные системы
🔥 — сети и системы передачи информации
🥰 — администрирование систем
👾 — основы программирования
👍 — веб-технологии
🤔 — свой вариант (напишу в комментариях)

🐸 Библиотека хакера #междусобойчик

👩‍💻 Расширяем границы инструмента httpx

httpx не просто проверяет активность хоста, он также может дать вам:

✅ timestamp
✅ port
✅ url
✅ input
✅ title
✅ scheme
✅ webserver
✅ content_type
✅ method
✅ host
✅ path
✅ time
✅ tech
✅ words
✅ lines
✅ status_code
✅ content_length
✅ PageType
✅ resolvers

Но подождите. Это только с флагом -j. Вы можете получить еще больше информации с флагами -irh (headers), -irr (headers + body), -irrb (base64 encoded request/response) и -include-chain (redirect chain)!

🐸 Библиотека хакера #буст

🧩💊 Алгоритмическая самоуспокоенность: как мы разучились думать своей головой

Каждый день мы сталкиваемся с бесконечным потоком информации, которая не просто наполняет наш день, а управляет нашими мыслями. Социальные сети, алгоритмы и вечная гонка за вниманием приводят к тому, что мы забываем, как думать собственной головой.

Это не просто влияет на настроение, но и на способность анализировать информацию, принимать решения и, главное, не становиться частью системы манипуляций.

Если вы хотите вернуться к осознанному подходу в восприятии мира и научиться фильтровать контент, то эта тема точно для вас.

🔗 Подробнее в статье

🐸 Библиотека джависта

😎 Считай, сдал экзамен...

🐸 Библиотека хакера #развлекалово

🥷🏿 5 слов, которые знакомы каждому этичному хакеру

➡️ По горизонтали:
1. Инструмент для анализа сетевого трафика и перехвата пакетов.

5. Инструмент для обнаружения устройств и определения открытых портов.

➡️ По вертикали:
2. Полный набор инструментов для оценки безопасности WiFi-сетей.

3. Поисковик по IoT, камеркам и случайно выставленным устройствам. Гугл для хакеров.

4. Дистрибутив Linux, напичканный инструментами для пентеста.

Делитесь своими ответами в комментариях, скрывая их под спойлер 👇

🐸 Библиотека хакера #междусобойчик

👨‍💻 Подборка райтапов лабораторных работ HTB Sherlock

Не все лабы от Hack The Box рассчитаны на взлом инфраструктуры, некоторые позволяют прокачаться в практике расследования инцидентов (DFIR, SOC, Malware Analysis, Threat Hunting, Threat Intelligence, Cloud).

👉Собрали полный список райтапов в подборку:

🔍 HTB Sherlock: Pikaptcha
🔍 HTB Sherlock: Noxious
🔍 HTB Sherlock: Reaper
🔍 HTB Sherlock: Campfire-2
🔍 HTB Sherlock: Tracer
🔍 HTB Sherlock: Campfire-1
🔍 HTB Sherlock: Noted
🔍 HTB Sherlock: Constellation
🔍 HTB Sherlock: Nubilum-1
🔍 HTB Sherlock: Bumblebee
🔍 HTB Sherlock: Logjammer
🔍 HTB Sherlock: Einladen
🔍 HTB Sherlock: Meerkat
🔍 HTB Sherlock: Subatomic
🔍 HTB Sherlock: BFT
🔍 HTB Sherlock: Unit42
🔍 HTB Sherlock: Brutus
🔍 HTB Sherlock: Tick Tock
🔍 HTB Sherlock: Knock Knock
🔍 HTB Sherlock: i-like-to

🐸 Библиотека хакера #свежак

⌨️ Должны ли безопасники быть программистами?

Наш подписчик в комментариях задал насущный вопрос:

Какой язык программирования должен знать специалист по ИБ? И должен ли вообще?

💬 А вы как думаете?

👍 — не важно, на каком языке ты пишешь эксплойт — важно, понимаешь ли ты, что именно эксплуатируешь.
🔥 — язык — это просто инструмент. Главное — знать, где и как его применить.
🥰 — лучше знать 1–2 языка глубоко, чем 5 поверхностно. Но главное — уметь читать чужой код и думать, как разработчик.
❤️ — самое важное — понимать общие концепции: потоки, память, ввод-вывод, сериализация, авторизация, запросы. А язык... выучится за неделю.
🤩 — я встречал крутых хакеров, которые вообще ничего не кодили.

🐸 Библиотека хакера #междусобойчик

📲 … и вот как его получить

Теперь вы можете запустить виртуальную машину Debian на своем смартфоне Pixel в качестве встроенной функции Android.

Значок приложения Linux Terminal автоматически появляется, как только вы включаете Linux development environment в Settings > System > Developer options.

Ну а дальше вы знаете что делать 😂

🔗 Источник

🐸 Библиотека хакера #свежак

✏️ Подборка шаблонов для большинства багов

Основные составляющие традиционного отчета:
🟡 Название уязвимости
🟡 Краткое описание / сводка (TL;DR)
🟡 Описание уязвимости
🟡 Пошаговое воспроизведение (PoC)
🟡 Влияние (Impact)
🟡 Серьезность (Severity)
🟡 Рекомендации по исправлению (опционально)

💻 Репозиторий с шаблонами

🐸 Библиотека хакера #буст

👨🏻‍💻 Исследование IT-аудитории Proglib 2025: зарплаты, технологии, профессии

Кто такой современный разработчик в 2025 году? Актуальное исследование портрета IT-специалистов: зарплаты, технологии, специализации и демография разработчиков.

➡️ Вся статистика и детали — здесь

Библиотека программиста #свежак

💬 Ну а что, не так что ли?

🐸 Библиотека хакера #междусобойчик

🔥🤖 Тестировать ИИ-приложения становится проще

Перед вами набор расширений Burp Suite на Jython, предназначенных для расширения возможностей пентестеров и багхантеров при взаимодействии с ИИ-приложениями. Тех самых, которые основаны на промптах.

➡️ Что внутри:

🔴 Prompt Augmenter Payload Processor
🔴 Автоматизированные беседы
🔴 Массовый анализ HTTP-запросов/ответов
🔴 Анализ и оценка

🐸 Библиотека хакера #буст

🎙 Responsible Disclosure Podcast: Руслан Сайфиев — в Японии от новичка до признанного специалиста и преподавателя Offensive Security

Руслан Сайфиев переехал в Японию 11 лет назад, начав свой путь как обычный системный администратор из Башкирии, который решил изучить страну и пройти языковые курсы.

Руслан прошёл удивительный карьерный путь: от Junior Pentester в компании Symantec до руководящей должности в одной из ведущих японских фирм. Но на этом он не остановился! Теперь он делится своими знаниями и опытом, преподавая курсы OSCP и помогая японским специалистам погружаться в мир Offensive Security. Всё это время он работал в среде, где использовался исключительно японский язык — без английского и без релокейт-пакетов.

Из подкаста вы узнаете о его переезде, культурных особенностях работы в Японии и о том, что нужно, чтобы построить успешную карьеру в кибербезопасности на другом конце света.

⏳ Таймкоды:

00:00:00 — Введение, приветствие и представление гостя.
00:01:26 — История никнейма “Криптопек”.
00:03:10 — Личная история Руслана: Башкирия, учеба и первые шаги в карьере.
00:05:42 — Переезд в Японию: язык, культура и адаптация.
00:06:54 — Поиск работы и особенности японского подхода.
00:08:49 — Начало работы в Symantec и переход в ИБ.
00:10:39 — Первые шаги в команде и изучение уязвимостей.
00:19:10 — Повседневная работа и особенности японского менталитета.
00:23:44 — Культура работы и общение с клиентами.
00:26:18 — Первые баги и работа в баг-баунти.
00:32:05 — Переход в новую компанию и рост до руководящей позиции.
00:35:05 — Развитие пентестинга в новой компании.
00:40:11 — Участие в соревнованиях и хакатонах.
00:46:32 — Успешные проекты и многобарьерные системы безопасности.
00:53:06 — Преподавание курсов OSCP и работа с японскими студентами.
01:06:43 — Проблемы безопасности в компаниях и выводы из пентестов.

📺 Смотреть или слушать полностью

🐸 Библиотека хакера #буст

🧐 Как быть новичку в багхантинге

Наш подписчик спрашивает, что именно поможет найти первые валидные баги.

💬 А вы как думаете?

👍 — тот стек, в котором разбираешься
👏 — старые и заброшенные сайты
😘 — цели с низко висящими фруктами
🔥 — open-source веб-приложения
❤️ — нишевые CMS и форумы
🤩 — свой вариант (напишу в комментариях)

🐸 Библиотека хакера #междусобойчик