Telegram Web
This media is not supported in your browser
VIEW IN TELEGRAM
Потеря пароля в финтехе — почти как утрата гражданства 😭

🐸 Библиотека хакера

#развлекалово
Please open Telegram to view this post
VIEW IN TELEGRAM
❤‍🔥6🔥1
🕵️ Как собрать актуальные угрозы по своей отрасли

В кибербезопасности важна не только реакция, но и упреждение. Этот промпт помогает сформировать срез угроз, характерных для конкретной сферы — с примерами, рисками и мерами защиты.

Промпт:

I need a comprehensive list of current cyber threats targeting the [название отрасли, например: fintech, healthcare, education].
For each threat, include:
– Threat type (e.g. phishing, ransomware, supply chain)
– Description
– Impact
– Real-world example (if available)
– Recommended mitigation strategies


Что даёт этот промпт:

➡️ Быстрый обзор релевантных угроз под нужный сектор

➡️ Практические рекомендации по снижению рисков

➡️ Упрощает подготовку отчётов, докладов и тренингов

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
4👍3
🌧️ Облачная терапия: время выговориться!

Знакомая ситуация? Покупаете облако как BMW, а получаете телегу с квадратными колесами. Обещают 99.9% uptime, а сервер падает на релизе. Техподдержка отвечает через сутки фразой «попробуйте перезагрузить».

Пора узнать, как обстоят дела с облаками на самом деле. Поэтому мы собираем ваши реальные истории про облачные сервисы.

🤫О чем спросим:
— Зачем вам вообще это облако нужно
— Какие косяки достали до печенок
— Сколько денег утекает в никуда ежемесячно
— Что должно случиться, чтобы вы сменили провайдера
— И еще пару каверзных вопросов

⏱️ 2 минуты честности = большое исследование без воды → https://clc.to/nboYDA
👍2👏2
💼 Как я столкнулся с утечкой данных и что предпринял

Пользователь Reddit поделился своим опытом работы в компании, где произошла утечка данных:

«Недавно я обнаружил, что мы используем совершенно небезопасный URL (ну, он и https…), чтобы запрашивать SQL-базу данных с данными клиентов. Это, безусловно, золотая жила для мошенников. Я сразу же запросил встречу с моим менеджером и объяснил ситуацию. Эти менеджеры не имеют знаний в области ИТ и безопасности. К тому же это касается двух других компаний, одна из которых является крупным финансовым игроком.

Мой менеджер только что вернулся ко мне с ответом, что с этим нет проблем, основываясь на заявлении, которое он получил от поставщика и источника утечки:

«Заблокированный URL находится в документе и защищён паролем, его нельзя передавать за пределы организации. Также, так как этот URL не индексируется поисковыми системами, проблем нет.»

Я в шоке и не знаю, как даже реагировать на это…»


Как вы реагировали на подобные инциденты в вашей компании? Какие шаги предприняли для устранения уязвимости?

🔗 Полный рассказ на Reddit

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4😁3🤔2
⚙️ TLS/SSL анализ с помощью sslyze и testssl

Правильная настройка TLS/SSL — критична для безопасности веб-приложений.

➡️ sslyze помогает быстро анализировать серверы на предмет уязвимостей и ошибок в настройках:

— Проверяет поддержку TLS 1.0, 1.1, 1.2, 1.3.

— Оценка безопасности Cipher Suites.

— Проверка на уязвимости: Heartbleed, POODLE, DROWN и другие.

— Проверка сертификатов на корректность, дату истечения и силу ключей.

✏️ Пример команды:


sslyze --tlsv1_2 --show_ciphers example.com


Этот запрос проверяет сервер на поддержку TLS 1.2 и отображает доступные шифры.

➡️ testssl.sh — скрипт для проверки конфигурации серверов, выявления старых протоколов и уязвимостей.

— Проверяет поддержку SSLv2, SSLv3, TLS 1.0, TLS 1.1.

— Анализирует цепочки сертификатов.

— Выявляет уязвимости типа BEAST, POODLE, DROWN.

— Оценивает настройки безопасности, такие как HSTS и Forward Secrecy.

✏️ Пример команды:


testssl.sh --ssl2 --ssl3 --tls1.0 --tls1.1 example.com


Эта команда проверяет поддержку устаревших версий протоколов и уязвимости, связанные с ними.

Почему это важно:

➡️ SSLv2 и SSLv3 уязвимы и не должны использоваться в современных приложениях.

➡️ TLS 1.2 и 1.3 — безопасные протоколы, поддерживающие современные криптографические алгоритмы.

➡️ HSTS защищает от атак SSL stripping, обеспечивая обязательное использование HTTPS.

➡️ Forward Secrecy гарантирует, что ключи сеансов не могут быть расшифрованы при компрометации долгосрочных ключей.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
4
🏃‍♀️ 1 день до конца спец предложения

У
спей впрыгнуть на курс «AI-агенты для DS» до завтрашнего повышения цены: 59.000 р. вместо 69.000 р.

🎙 Наш спикер — Никита Зелинский, Chief Data Scientist МТС, в своем канале рассказывает о RAG:

Про RAG слышали все — это уже два года самый массовый способ применения LLM в проде для бизнеса.

Это значит, что точность и надёжность такого решения достаточно предсказуемы для того, чтобы исключить человека из процесса аппрува выдачи LLM,
а связка «локально развернутая LLM + RAG над корпоративными документами» обеспечивает достаточную конфиденциальность, чтобы снять тревожность
«что наши данные попадут в OpenAI».

Эта история настолько популярна, что на рынке есть готовые RAG-решения,
а даже «маленькие» опенсорс-модели (до 5B) уже обзавелись своей RAG-ареной:
👉 https://huggingface.co/spaces/aizip-dev/SLM-RAG-Arena


Во время обучения на курсе «AI-агенты для DS» научим собирать автономные системы под реальные бизнес-задачи. На прошлой неделе мы рассказали о первом занятии.

➡️ вот что ждет слушателей курса на втором:

— Собираем свой RAG-пайплайн на своих данных
— Обсуждаем, почему качество такой системы нельзя измерять «на глаз»
— Разбираем схему LLM as a Judge и как подготовить для неё датасет
— Что такое guardrails и как они спасают от бреда
— Что делать, когда LLM не знает ответа
— Смотрим на агентский RAG и обсуждаем, можно ли использовать RAG как память агента

Если пропустили первое занятие, то вот ссылочка

❗️До повышения цены остался последний день — бронируйте место сейчас
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Вопросы по OAuth и OIDC

На собеседовании по безопасности могут спросить, как ошибки в OAuth или OpenID Connect позволяют обойти авторизацию и получить доступ к чужому аккаунту. Важно уметь распознать эти уязвимости и объяснить их последствия.

В карточках разберем:

➡️ Чем опасен устаревший implicit flow

➡️ Как работает атака через повторное использование nonce

➡️ Почему важно строго проверять redirect_uri и подпись id_token

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩4👍3
😱 Завтра цена на курс «AI-агенты для DS» вырастет

Пока вы думаете — другие уже покупают. Что вы теряете, откладывая решение? Как минимум — 10 000 рублей, именно столько вы переплатите завтра. Как максимум — шанс войти в топ-1% дата-сайентистов, которые умеют строить AI-агенты.

🎓 Чему вы научитесь на курсе:
— адаптировать LLM под разные предметные области и данные
— собирать свою RAG-систему: от ретривера и реранкера до генератора и оценки качества
— строить AI-агентов с нуля — на основе сценариев, функций и взаимодействия с внешней средой

Решение за вами.

👉 Купить курс по старой цене
4🌚3
🎮 Что мы загадали в ребусе

Пишите догадку под спойлер в комментариях ✏️

P.S. Слова на английском языке

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔3👍1
⭐️ Ресурсы по эксплуатации уязвимостей и безопасности веб-приложений

Собраны материалы, которые помогут тестировать безопасность веб-сайтов, использовать XSS-уязвимости и обходить фильтры безопасности.

➡️ Web Security Testing Starter Kit — вводное руководство по тестированию безопасности веб-приложений

➡️ Что такое XSS-уязвимость и как ее использовать — освежите знания об XSS-атаках и познакомьтесь с их типами: отражённым, хранимым и DOM-based XSS

➡️ Использование Nmap для обнаружения XSS-рисков

➡️ Уязвимости межсайтового скриптинга — стратегии и примеры тестирования

➡️ Хакерский подход к обходу фильтров — методы и защиты веб-приложений от XSS и других атак, используя SAST-инструменты

🐸 Библиотека хакера

#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥1
🔑 Псевдослучайный ключ: разгадайте гаммирование на практике

У вас есть сообщение HELLO. Вы решили зашифровать его методом гаммирования. Для упрощения — используем побитовую операцию XOR (по модулю 26).

➡️ Гамма: XMCKL

Подсказка: используйте таблицу ASCII.

Что получится в результате, если применить XOR побуквенно

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔3
👩‍💼 Топ-вакансий для хакеров за неделю

SecOps-инженер — 300 000 —‍ 370 000 ₽, удаленно (Москва)

Инженер-исследователь по информационной безопасности — удаленно (Москва)

Специалист по анализу защищенности (pentester) — гибрид (Новосибирск)

Security Partner — от 430 000 ₽, гибрид/офис (Москва)

Penetration testing specialist — удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2😁2
⭐️ Как использовать dirsearch для поиска скрытых директорий и файлов

dirsearch — быстрый Python-сканер для перебора директорий и файлов. Легко ставится, прост в настройке и удобнее ffuf для новичков: никаких сложных флагов — всё интуитивно.

1. Базовый запуск


python3 dirsearch.py -u https://target.com/ -e php,html,js


-u — целевой URL
-e — расширения файлов: найдёт admin.php, config.html, script.js

2. Используйте кастомный словарь


python3 dirsearch.py -u https://target.com/ -w wordlist.txt


-w — свой словарь

Хорошие наборы: SecLists/Discovery/Web-Content/*.txt

💡 Если цель нестандартная — лучше сгенерировать собственный словарь (например, из sitemap или параметров URL).

3. Настройте скорость и таймаут


python3 dirsearch.py -u https://target.com/ -t 50 --timeout=5


-t — потоки (чем больше, тем быстрее)
--timeout — сколько ждать ответа

4. Показывайте только важные коды


python3 dirsearch.py -u https://target.com/ -i 200,301,403


-i — фильтр по статус-кодам

5. Сохраните результат в файл


python3 dirsearch.py -u https://target.com/ -o results.txt


6. Полезные флаги

-f — игнорировать редиректы

-r — повторять попытку при сбое

--random-agents — случайный User-Agent

Практические советы:

➡️ Не гоните сразу на 100 потоков — начните с 10–20

➡️ Меняйте словари для разных целей

➡️ Отлично работает вместе с Burp, ffuf, httpx

➡️ Проверьте популярные папки: .git/, backup/, old/

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
3👍2👾2
💔AI vs Developer: who wins?

Бигтех уже режет найм разработчиков. Вайб-кодинг повсюду. Джуны не нужны. Но так ли это на самом деле?

Мы хотим разобраться, как ИИ влияет на рынок труда в IT. В реальности, а не в головах CEO или HR. Поэтому приглашаем пройти опрос.

Результаты нашего исследования позволят выяснить, сколько разработчиков потеряли работу из-за ИИ? Какие навыки сейчас ценятся больше всего? Кто зарабатывает больше — те, кто использует ИИ или игнорирует?

👾 Расскажите свою историю, чтобы помочь комьюнити: https://clc.to/aFntFw
😁5👍1
2025/07/09 02:29:56
Back to Top
HTML Embed Code: