⌨️ Должны ли безопасники быть программистами?

Наш подписчик в комментариях задал насущный вопрос:

Какой язык программирования должен знать специалист по ИБ? И должен ли вообще?

💬 А вы как думаете?

👍 — не важно, на каком языке ты пишешь эксплойт — важно, понимаешь ли ты, что именно эксплуатируешь.
🔥 — язык — это просто инструмент. Главное — знать, где и как его применить.
🥰 — лучше знать 1–2 языка глубоко, чем 5 поверхностно. Но главное — уметь читать чужой код и думать, как разработчик.
❤️ — самое важное — понимать общие концепции: потоки, память, ввод-вывод, сериализация, авторизация, запросы. А язык... выучится за неделю.
🤩 — я встречал крутых хакеров, которые вообще ничего не кодили.

🐸 Библиотека хакера #междусобойчик

📲 … и вот как его получить

Теперь вы можете запустить виртуальную машину Debian на своем смартфоне Pixel в качестве встроенной функции Android.

Значок приложения Linux Terminal автоматически появляется, как только вы включаете Linux development environment в Settings > System > Developer options.

Ну а дальше вы знаете что делать 😂

🔗 Источник

🐸 Библиотека хакера #свежак

✏️ Подборка шаблонов для большинства багов

Основные составляющие традиционного отчета:
🟡 Название уязвимости
🟡 Краткое описание / сводка (TL;DR)
🟡 Описание уязвимости
🟡 Пошаговое воспроизведение (PoC)
🟡 Влияние (Impact)
🟡 Серьезность (Severity)
🟡 Рекомендации по исправлению (опционально)

💻 Репозиторий с шаблонами

🐸 Библиотека хакера #буст

👨🏻‍💻 Исследование IT-аудитории Proglib 2025: зарплаты, технологии, профессии

Кто такой современный разработчик в 2025 году? Актуальное исследование портрета IT-специалистов: зарплаты, технологии, специализации и демография разработчиков.

➡️ Вся статистика и детали — здесь

Библиотека программиста #свежак

💬 Ну а что, не так что ли?

🐸 Библиотека хакера #междусобойчик

🔥🤖 Тестировать ИИ-приложения становится проще

Перед вами набор расширений Burp Suite на Jython, предназначенных для расширения возможностей пентестеров и багхантеров при взаимодействии с ИИ-приложениями. Тех самых, которые основаны на промптах.

➡️ Что внутри:

🔴 Prompt Augmenter Payload Processor
🔴 Автоматизированные беседы
🔴 Массовый анализ HTTP-запросов/ответов
🔴 Анализ и оценка

🐸 Библиотека хакера #буст

🎙 Responsible Disclosure Podcast: Руслан Сайфиев — в Японии от новичка до признанного специалиста и преподавателя Offensive Security

Руслан Сайфиев переехал в Японию 11 лет назад, начав свой путь как обычный системный администратор из Башкирии, который решил изучить страну и пройти языковые курсы.

Руслан прошёл удивительный карьерный путь: от Junior Pentester в компании Symantec до руководящей должности в одной из ведущих японских фирм. Но на этом он не остановился! Теперь он делится своими знаниями и опытом, преподавая курсы OSCP и помогая японским специалистам погружаться в мир Offensive Security. Всё это время он работал в среде, где использовался исключительно японский язык — без английского и без релокейт-пакетов.

Из подкаста вы узнаете о его переезде, культурных особенностях работы в Японии и о том, что нужно, чтобы построить успешную карьеру в кибербезопасности на другом конце света.

⏳ Таймкоды:

00:00:00 — Введение, приветствие и представление гостя.
00:01:26 — История никнейма “Криптопек”.
00:03:10 — Личная история Руслана: Башкирия, учеба и первые шаги в карьере.
00:05:42 — Переезд в Японию: язык, культура и адаптация.
00:06:54 — Поиск работы и особенности японского подхода.
00:08:49 — Начало работы в Symantec и переход в ИБ.
00:10:39 — Первые шаги в команде и изучение уязвимостей.
00:19:10 — Повседневная работа и особенности японского менталитета.
00:23:44 — Культура работы и общение с клиентами.
00:26:18 — Первые баги и работа в баг-баунти.
00:32:05 — Переход в новую компанию и рост до руководящей позиции.
00:35:05 — Развитие пентестинга в новой компании.
00:40:11 — Участие в соревнованиях и хакатонах.
00:46:32 — Успешные проекты и многобарьерные системы безопасности.
00:53:06 — Преподавание курсов OSCP и работа с японскими студентами.
01:06:43 — Проблемы безопасности в компаниях и выводы из пентестов.

📺 Смотреть или слушать полностью

🐸 Библиотека хакера #буст

🧐 Как быть новичку в багхантинге

Наш подписчик спрашивает, что именно поможет найти первые валидные баги.

💬 А вы как думаете?

👍 — тот стек, в котором разбираешься
👏 — старые и заброшенные сайты
😘 — цели с низко висящими фруктами
🔥 — open-source веб-приложения
❤️ — нишевые CMS и форумы
🤩 — свой вариант (напишу в комментариях)

🐸 Библиотека хакера #междусобойчик

🦊 Альтернативы Firefox: обзор 4 лучших форков для тех, кто разочаровался в Mozilla

Приватность, скорость, расширенные функции — что выбрать? Разбираем популярные форки браузеров и их преимущества.

Что в статье:

✔️ Обзор самых популярных форков браузеров

✔️ Их ключевые фишки, плюсы и минусы

✔️ Как выбрать оптимальный вариант под ваши задачи

Браузер — это не просто окно в интернет, а инструмент, который должен соответствовать вашим требованиям. Делитесь своим опытом в комментариях! 🚀

Прочитать подробнее статью 🔗

🐸 Библиотека тестировщика

💬 Хакеры, мы?

🐸 Библиотека хакера #развлекалово

🆚 Автоматизация или ручной подход: а вы на какой стороне?

Настоящий багхантер не пишет сканеры, он сам и есть сканер.

Автоматизация дает вам скорость, масштабируемость и позволяет найти то, что лежит на поверхности. Ручной подход предусматривает глубокий анализ, позволяя найти баги в логике и нестандартные подходы.

Какой подход близок вам при поиске багов?

👍 — автоматизация
❤️ — ручной метод поиска
🔥 — комбинация ручного и автоматизации

🐸 Библиотека хакера #междусобойчик

👨‍💻 Прохождение лабораторных работ Hack The Box: подборка от appsec инженера Мекана Байрыева

📦 HTB Codify. Выходим из песочницы vm2

📦 HTB Devvortex. Повышаем привилегии через уязвимость в Apport

📦 HTB Analytics. Используем баг в OverlayFS, чтобы сбежать из Docker

📦 HTB Sandworm. Выходим из песочницы Firejail и повышаем привилегии в Linux

📦 HTB Drive. Повышаем привилегии через собственный модуль SQLite

📦 HTB Meerkat. Расследуем инцидент безопасности

📦 HTB Intentions. Эксплуатируем сложную SQL-инъекцию для дампа базы данных

🐸 Библиотека хакера #свежак

🧐 Исследуете приложение, которое работает под управлением WordPress?

Ищите открытые регистрации, чтобы повысить свои текущие привилегии:

• /wp-register.php
• /wp-login.php?action=register

🔗 Источник

🐸 Библиотека хакера #буст

😎 «Вайб-кодинг»: почему доверить свой проект ИИ – это кринж

Новый тренд среди разработчиков — «вайб-кодинг». Это когда ты не продумываешь архитектуру, не пишешь руками, а просто даёшь задание ИИ и ждёшь, что он всё сам сделает. Быстро, магически… и с кучей подводных камней.
⠀
Что в статье:

😗 Как «вайб-кодинг» реально работает (или не работает);

😗 Какие ошибки делают даже самые продвинутые модели;

😗 Почему проект, собранный ИИ, чаще всего выглядит как полуфабрикат.
⠀
Это не нытьё про «машины нас заменят», а здравый взгляд на технологии без розовых очков.
⠀
👉 Читайте статью, обсуждайте, спорьте