🔐 Пароли VS пассключи — на какой стороне вы

Вы входите с Face ID — удобно и быстро. Но рядом всё ещё «Войти по паролю». Так зачем тогда этот passkey, если без пароля всё равно никуда?

Что говорят сторонники пассключей:

➡️ Passkey невозможно фишить, перехватить или перебрать. Даже если есть fallback в виде пароля — вы уже на шаг впереди.

➡️ Пароль не исчезает мгновенно — но через 5–10 лет мы забудем, что это было нормой.

➡️ Использование биометрии и хранилищ ключей уже сегодня избавляет от десятков вводов и сбросов.

Что говорят скептики:

➡️ Пароль требуют при сбросе, двухфакторке — значит, вся «безопасность» пассключа держится на том же старом фундаменте.

➡️ Привязка к устройству — это хорошо, пока не надо зайти с другого. А дальше всё по-старому: email, СМС, угадайка.

➡️ Это не новый уровень безопасности — это новый способ спрятать старый пароль за Face ID и красивой кнопкой.

❓ И главный вопрос:

Passkey — это шаг к безпарольному будущему или просто новая обертка для той же уязвимой логики?

🐸 Библиотека хакера

#междусобойчик

🔒 5 ключевых инструментов для анонимности и цифровой безопасности

Ниже представлен список надёжных решений для защиты приватности, шифрования переписки и безопасного обмена файлами в цифровом пространстве.

1️⃣ CalyxOS — операционная система для Android, обеспечивающая конфиденциальность без Google-слежки.

2️⃣ Privacy Badger — расширение для браузера, автоматически блокирующее скрытые трекеры и защиту от слежки.

3️⃣ OnionShare — инструмент для анонимной отправки файлов и сообщений через Tor без серверов и регистрации.

4️⃣ Session — децентрализованный мессенджер, не требует номера телефона, работает через Tor.

5️⃣ GrapheneOS — максимально защищённая мобильная ОС для полного контроля над приватностью.

🐸 Библиотека хакера

#свежак

💻 Задача: Stored XSS в комментариях

На сайте есть форма добавления комментария к статье. Пользователь вводит текст, и он отображается без фильтрации (смотрите на фото).

На странице комментарии выводятся так:

<p>{{ comment }}</p>

Ваша задача — внедрить XSS-пейлоад, который выполнит alert(document.cookie) при просмотре страницы другим пользователем ✏️

🐸 Библиотека хакера

#междусобойчик

😏 Топ-вакансий для хакеров за неделю

Аудитор в сфере информационной безопасности — 190 000 —‍ 248 000 ₽, удаленно (Москва)

Специалист по анализу защищенности (пентестер) — от 110 000 ₽, офис (Ханты-Мансийск)

Специалист по информационной безопасности L1/L2 (SOC) — от 270 000 ₽ , офис (Москва)

СISO (Chief Information Security Officer) — от 450 000 ₽, удаленно (Москва)

Старший инженер SOC — от 195 000 ₽, удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

🌸 Ключевые события кибербезопасности

Май выдался насыщенным: глобальные форумы, государственные инициативы, хакатоны и практические саммиты.

1️⃣ Barcelona Cybersecurity Congress

Международный форум с акцентом на IoT, защиту критической инфраструктуры и глобальное сотрудничество. Участие приняли делегации из Индии, ЕС и ближнего востока.

➤ Интересно: живые демо-инсталляции угроз в городских системах.

2️⃣ Слушания Конгресса США по кибербезопасности

Законодатели и техгиганты обсуждают стратегию реагирования на рост атак на инфраструктуру и AI-системы.

➤ Фокус: синергия частного сектора и государства в реальном времени.

3️⃣ Конференция «Информационная безопасность»

Практическая конференция, посвящённая современным угрозам и стратегиям защиты информации (29 мая, Москва).

➤ Темы: анализ угроз, новые регуляторные требования, защита данных.

4️⃣ Positive Hack Days Fest

Крупнейший российский киберфестиваль, организованный Positive Technologies, собрал экспертов, представителей власти и бизнеса.

➤ Особенности: киберучения The Standoff, деловой трек PHDays PRO, презентации новых решений GSOC от «Газинформсервис».

5️⃣ SANS Ransomware Summit

Ведущий онлайн-саммит по борьбе с программами-вымогателями: реальные кейсы, живой анализ атак, reverse engineering и форензика (30 мая - 5 июня, онлайн).

➤ Что посмотреть: практикумы от аналитиков, расследующих глобальные инциденты.

🐸 Библиотека хакера

#свежак

⭐️ Инструмент недели: сканируем хосты и порты в потоке

httpx — это быстрый и гибкий инструмент от ProjectDiscovery, который позволяет массово проверять доступность, статус, и многое другое.

Зачем нужен:

➡️ Обрабатывает сотни и тысячи URL одновременно: сканирует статус-коды, TLS-инфо, редиректы, title и многое другое

➡️ Работает с пайпами и wordlist’ами — удобно интегрировать в пайплайны, цепочки с subfinder, nmap, amass

➡️ Поддерживает прокси, HTTP2, CIDR-диапазоны, фильтры по ответам — максимум контроля

➡️ Ускоряет фазу реконки: за 1 минуту можно собрать живые цели для дальнейшего анализа или эксплуатации

Как использовать:

1⃣ Устанавливаем через Go:

go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest

2⃣ Пример использования:

cat urls.txt | httpx -status-code -title -follow-redirects -tls

3⃣ Фильтруем живые цели и передаём на дальнейший анализ или эксплойт

А если хочется как профи:

— Используйте в связке с subfinder, nuclei и dnsx — полный стек reconnaissance

— Встраивайте в CI DevSecOps-пайплайн для контроля доступности сервисов и конфигурации

— Анализируйте заголовки на предмет уязвимостей, старых версий серверов, небезопасных редиректов

💡 Полезные материалы:

GitHub: projectdiscovery/httpx — официальный репозиторий, обновления и гайды

🐸 Библиотека хакера

#буст

🙂 Как симулировать работу SOC-аналитика в один запрос

Когда нужно быстро среагировать на инцидент, такой подход помогает проанализировать ситуацию и наметить четкий план действий.

🧠 Промпт:

<Role_and_Objectives>
You are CyberSentinel, an elite SOC (Security Operations Center) Analyst AI with battlefield-tested incident response expertise. You combine technical precision with methodical analysis to help users identify, understand, and respond to security threats. Your purpose is to transform complex security incidents into clear, actionable intelligence while maintaining a calm, focused approach even in high-pressure scenarios.
</Role_and_Objectives>

<Instructions>
When presented with potential security incidents or concerns:
1. First assess the situation by gathering essential details about the incident
2. Analyze available information using security best practices and frameworks
3. Develop a structured response plan with prioritized, practical steps
4. Communicate findings and recommendations in clear, concise language with appropriate technical detail based on user expertise
5. Always emphasize evidence-based conclusions over speculation
6. Maintain a professional, composed demeanor regardless of incident severity
</Instructions>

<Reasoning_Steps>
When analyzing security incidents:
1. Identify and classify the potential threat type (malware, phishing, unauthorized access, etc.)
2. Correlate available indicators across multiple data sources
3. Map observations to the MITRE ATT&CK framework when applicable
4. Assess potential impact and scope of compromise
5. Differentiate between confirmed threats and suspicious but inconclusive activity
6. Prioritize response actions based on risk level and tactical effectiveness
</Reasoning_Steps>

<Constraints>
- Never request sensitive security details the user shouldn't share publicly
- Do not provide instructions for malicious activities or system exploitation
- Acknowledge the limitations of remote analysis without direct system access
- Clarify when a recommendation requires specialized tools or privileges
- Emphasize when physical evidence preservation is critical for forensics
- Always recommend professional assistance for confirmed breaches
</Constraints>

<Output_Format>
Provide responses in the following structure:
1. INITIAL ASSESSMENT: Brief summary of the understood security concern
2. ANALYSIS: Detailed breakdown of the technical indicators and their significance
3. RECOMMENDATIONS: Prioritized, actionable steps appropriate to the user's context
4. ADDITIONAL CONTEXT: Relevant threat intelligence or security concepts when helpful
5. FOLLOW-UP QUESTIONS: Key information needed to refine the analysis if applicable
</Output_Format>

<Context>
- Current threat landscape includes widespread ransomware, business email compromise, credential theft, and supply chain attacks
- Security tools commonly available include EDR/antivirus, firewalls, SIEM platforms, and network monitoring
- Basic incident response follows: identify, contain, eradicate, recover, and lessons learned
- Digital evidence includes logs, memory dumps, network traffic, and filesystem artifacts
</Context>

<User_Input>
Reply with: "Please describe your security concern or incident and I'll help analyze the situation," then wait for the user to provide their specific cybersecurity scenario.
</User_Input>

Что делает этот промпт:

➡️ Анализирует подозрительные события и оповещения

➡️ Предоставляет рекомендации по реагированию на инциденты

➡️ Помогает в разработке мер по предотвращению угроз

🔗 Источник

🐸 Библиотека хакера

#буст

🐸 Библиотека хакера

#развлекалово

📨 Как проверить, не скомпрометирована ли ваша почта

Почта — частая цель взломщиков. Даже если нет явных признаков, ваша учётная запись могла использоваться для рассылки спама, фишинга или кражи данных.

Как проверить:

1️⃣ Проверяем утечки через сервисы

Зайдите на Have I Been Pwned и введите ваш адрес электронной почты.
Если учётка была в известных утечках, сервис покажет детали.

2️⃣ Анализируем логи входа

В почтовом сервисе (Gmail, Outlook и др.) посмотрите историю входов:

— Обратите внимание на подозрительные IP-адреса и местоположения.

— Проверьте время входов — если есть незнакомые сессии, это тревожный знак.

3️⃣ Проверяем настройки пересылки и фильтров

Злоумышленники могут настроить автоматическую пересылку писем на чужие адреса или создавать фильтры для скрытия активности.

— Перейдите в настройки почты и проверьте разделы «Пересылка» и «Фильтры».

— Убедитесь, что там нет подозрительных правил.

4️⃣ Включаем двухфакторную аутентификацию (2FA)

Даже если учётка уже была взломана, 2FA добавит дополнительный барьер и значительно усложнит доступ злоумышленникам.

5️⃣ Меняем пароль и проверяем безопасность устройств

— Смените пароль на уникальный и сложный.

— Проверьте, не установлено ли вредоносное ПО на ваших устройствах.

💡 Регулярная проверка почты и грамотная настройка безопасности помогут защитить ваши данные и предотвратить взлом.

🐸 Библиотека хакера

#буст

🍞 Open-source инструменты в кибербезопасности — помощь или риск

Open-source решения давно заняли прочное место в арсенале безопасности. Они бесплатны, гибки и подкреплены огромным сообществом. Но стоит ли слепо доверять всему, что открыто?

Какие плюсы:

📍 Быстрое выявление и исправление уязвимостей благодаря открытому сообществу

📍 Прозрачность кода — нет «чёрных ящиков»

📍 Возможность адаптировать инструменты под свои нужды

Какие минусы:

📍 Риск использования плохо поддерживаемых или устаревших проектов

📍 Возможные уязвимости, которые могут оставаться незамеченными долгое время

📍 Ответственность за безопасность ложится на команду, а не на разработчиков

Многие компании выбирают open-source ради экономии и гибкости, но без должного контроля это может привести к серьёзным инцидентам.

А вы как относитесь к open-source в безопасности? Ваш опыт — преимущество или источник проблем? Пишите в комментах! ✏️

🐸 Библиотека хакера

#междусобойчик

🐇 Фишка инструмента: FFUF для анализа приложений

FFUF (Fuzz Faster U Fool) — это быстрый и эффективный инструмент командной строки для фаззинга веб-приложений. Он автоматизирует перебор скрытых файлов, директорий, параметров URL и HTTP-заголовков.

Что умеет:

➡️ Перебор файлов и директорий для поиска скрытого контента.

➡️ Фаззинг параметров URL и HTTP-заголовков для выявления уязвимостей.

➡️ Высокая скорость за счёт параллельной обработки запросов.

➡️ Гибкие настройки фильтрации по статус-кодам, времени отклика, размерам ответа и др.

➡️ Лёгкая интеграция в скрипты и пайплайны автоматизации.

Почему важен:

— Позволяет быстро находить «слепые зоны» в веб-приложениях, которые не видны при обычном сканировании.

— Автоматизирует рутинные задачи, экономя время тестировщика.

— Отличается простотой и гибкостью, при этом не уступая более тяжёлым инструментам.

✏️ Пример базовой команды:

ffuf -w wordlist.txt -u https://target.com/FUZZ

Здесь FFUF перебирает слова из файла wordlist.txt на месте FUZZ в URL, находя существующие ресурсы.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#буст