⭐️ Инструмент недели: AutoSSRF — интеллектуальный фаззинг для обнаружения SSRF

В области автоматизации поиска уязвимостей SSRF (Server Side Request Forgery) AutoSSRF выделяется своей способностью подбирать динамические пейлоады с учётом контекста приложения.

Зачем нужен:

➡️ Автоматически генерирует контекстно-зависимые пейлоады для максимальной эффективности фаззинга.

➡️ Значительно сокращает время поиска уязвимостей SSRF благодаря интеллектуальному подходу.

➡️ Способен обходить нестандартные фильтры и защитные механизмы за счёт динамического анализа.

Как использовать:

1️⃣ Установите AutoSSRF из официального репозитория на GitHub

2️⃣ Настройте параметры сканирования и фаззинга в соответствии с целями тестирования.

3️⃣ Запустите инструмент и анализируйте полученные результаты для выявления уязвимостей.

А если хочется как профи:

• Комбинируйте AutoSSRF с другими SSRF-сканерами, такими как SSRFmap и SSRFire, для комплексного тестирования.

• Встраивайте AutoSSRF в CI/CD-пайплайны для автоматического и регулярного аудита безопасности.

• Глубоко анализируйте логи и отчёты для понимания особенностей обхода защиты.

💡 Полезные материалы:

— Техники обхода фильтров SSRF — рекомендации OWASP по методам обхода защит.
— SSRFmap на GitHub — сканер SSRF на Python с модулями для различных сценариев атак.
— SSRFire на GitHub — инструмент для комплексного поиска SSRF с интеграцией сторонних сервисов.

🐸 Библиотека хакера

#буст

🙂 Как изучать кибербез в 2025

Канал Mad Hat делится актуальным маршрутом обучения с нуля. Что изучать, в каком порядке, где практиковаться и какие сертификаты брать.

Ключевые моменты:

➡️ Что учить: основы сетей, Linux, Python — всё, на чём строится безопасность

➡️ Где практиковаться: платформы вроде TryHackMe и Hack The Box — сразу в бой

➡️ Как подтвердить знания: начните с Security+, двигайтесь к OSCP и выше

➡️ Что важно: регулярная практика важнее бесконечного потребления теории

🔗 Смотреть видео

🐸 Библиотека хакера

#буст

🙂 Безопасная работа из дома — реально ли

Удаленка стала нормой для многих, но вместе с удобством пришли и новые риски. Мы получили вопрос от подписчика, который точно отражает опыт большинства:

Работаю из дома уже полгода и постоянно переживаю за безопасность — не знаю, насколько надёжна моя домашняя сеть, что делать с общим доступом к документам и как защитить рабочие устройства от взлома. Какие простые и эффективные меры можно принять, чтобы
снизить риски и спокойно работать удалённо?

Делимся советами сообщества:

➡️ Обновляйте всё ПО регулярно, чтобы закрывать уязвимости.

➡️ Используйте VPN для защиты трафика, особенно при работе через публичные или домашние Wi-Fi сети.

➡️ Устанавливайте надёжные пароли и двухфакторную аутентификацию для всех рабочих аккаунтов.

➡️ Будьте осторожны с файлами и ссылками из писем — фишинг остаётся одной из главных угроз.

❓ Бывает ли у вас страх, что кто-то взломает ваш компьютер или аккаунты?

🐸 Библиотека хакера

#междусобойчик

📌 Команда дня для обнаружения подозрительных изменений в системных файлах

Используйте auditctl для мониторинга изменений в критичных файлах:

sudo auditctl -w /etc/passwd -p wa -k passwd_changes

➡️ -w /etc/passwd — следить за файлом паролей.

➡️ -p wa — отслеживать операции записи и атрибутов.

➡️ -k passwd_changes — задаёт тег для событий.

Используется для:

— Быстрого выявления попыток несанкционированного изменения.

— Поддержания целостности системы.

— Аудита безопасности в реальном времени.

🐸 Библиотека хакера

#буст

🐸 Библиотека хакера

#развлекалово

🔐 Пароли VS пассключи — на какой стороне вы

Вы входите с Face ID — удобно и быстро. Но рядом всё ещё «Войти по паролю». Так зачем тогда этот passkey, если без пароля всё равно никуда?

Что говорят сторонники пассключей:

➡️ Passkey невозможно фишить, перехватить или перебрать. Даже если есть fallback в виде пароля — вы уже на шаг впереди.

➡️ Пароль не исчезает мгновенно — но через 5–10 лет мы забудем, что это было нормой.

➡️ Использование биометрии и хранилищ ключей уже сегодня избавляет от десятков вводов и сбросов.

Что говорят скептики:

➡️ Пароль требуют при сбросе, двухфакторке — значит, вся «безопасность» пассключа держится на том же старом фундаменте.

➡️ Привязка к устройству — это хорошо, пока не надо зайти с другого. А дальше всё по-старому: email, СМС, угадайка.

➡️ Это не новый уровень безопасности — это новый способ спрятать старый пароль за Face ID и красивой кнопкой.

❓ И главный вопрос:

Passkey — это шаг к безпарольному будущему или просто новая обертка для той же уязвимой логики?

🐸 Библиотека хакера

#междусобойчик

🔒 5 ключевых инструментов для анонимности и цифровой безопасности

Ниже представлен список надёжных решений для защиты приватности, шифрования переписки и безопасного обмена файлами в цифровом пространстве.

1️⃣ CalyxOS — операционная система для Android, обеспечивающая конфиденциальность без Google-слежки.

2️⃣ Privacy Badger — расширение для браузера, автоматически блокирующее скрытые трекеры и защиту от слежки.

3️⃣ OnionShare — инструмент для анонимной отправки файлов и сообщений через Tor без серверов и регистрации.

4️⃣ Session — децентрализованный мессенджер, не требует номера телефона, работает через Tor.

5️⃣ GrapheneOS — максимально защищённая мобильная ОС для полного контроля над приватностью.

🐸 Библиотека хакера

#свежак

💻 Задача: Stored XSS в комментариях

На сайте есть форма добавления комментария к статье. Пользователь вводит текст, и он отображается без фильтрации (смотрите на фото).

На странице комментарии выводятся так:

<p>{{ comment }}</p>

Ваша задача — внедрить XSS-пейлоад, который выполнит alert(document.cookie) при просмотре страницы другим пользователем ✏️

🐸 Библиотека хакера

#междусобойчик

😏 Топ-вакансий для хакеров за неделю

Аудитор в сфере информационной безопасности — 190 000 —‍ 248 000 ₽, удаленно (Москва)

Специалист по анализу защищенности (пентестер) — от 110 000 ₽, офис (Ханты-Мансийск)

Специалист по информационной безопасности L1/L2 (SOC) — от 270 000 ₽ , офис (Москва)

СISO (Chief Information Security Officer) — от 450 000 ₽, удаленно (Москва)

Старший инженер SOC — от 195 000 ₽, удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

🌸 Ключевые события кибербезопасности

Май выдался насыщенным: глобальные форумы, государственные инициативы, хакатоны и практические саммиты.

1️⃣ Barcelona Cybersecurity Congress

Международный форум с акцентом на IoT, защиту критической инфраструктуры и глобальное сотрудничество. Участие приняли делегации из Индии, ЕС и ближнего востока.

➤ Интересно: живые демо-инсталляции угроз в городских системах.

2️⃣ Слушания Конгресса США по кибербезопасности

Законодатели и техгиганты обсуждают стратегию реагирования на рост атак на инфраструктуру и AI-системы.

➤ Фокус: синергия частного сектора и государства в реальном времени.

3️⃣ Конференция «Информационная безопасность»

Практическая конференция, посвящённая современным угрозам и стратегиям защиты информации (29 мая, Москва).

➤ Темы: анализ угроз, новые регуляторные требования, защита данных.

4️⃣ Positive Hack Days Fest

Крупнейший российский киберфестиваль, организованный Positive Technologies, собрал экспертов, представителей власти и бизнеса.

➤ Особенности: киберучения The Standoff, деловой трек PHDays PRO, презентации новых решений GSOC от «Газинформсервис».

5️⃣ SANS Ransomware Summit

Ведущий онлайн-саммит по борьбе с программами-вымогателями: реальные кейсы, живой анализ атак, reverse engineering и форензика (30 мая - 5 июня, онлайн).

➤ Что посмотреть: практикумы от аналитиков, расследующих глобальные инциденты.

🐸 Библиотека хакера

#свежак

⭐️ Инструмент недели: сканируем хосты и порты в потоке

httpx — это быстрый и гибкий инструмент от ProjectDiscovery, который позволяет массово проверять доступность, статус, и многое другое.

Зачем нужен:

➡️ Обрабатывает сотни и тысячи URL одновременно: сканирует статус-коды, TLS-инфо, редиректы, title и многое другое

➡️ Работает с пайпами и wordlist’ами — удобно интегрировать в пайплайны, цепочки с subfinder, nmap, amass

➡️ Поддерживает прокси, HTTP2, CIDR-диапазоны, фильтры по ответам — максимум контроля

➡️ Ускоряет фазу реконки: за 1 минуту можно собрать живые цели для дальнейшего анализа или эксплуатации

Как использовать:

1⃣ Устанавливаем через Go:

go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest

2⃣ Пример использования:

cat urls.txt | httpx -status-code -title -follow-redirects -tls

3⃣ Фильтруем живые цели и передаём на дальнейший анализ или эксплойт

А если хочется как профи:

— Используйте в связке с subfinder, nuclei и dnsx — полный стек reconnaissance

— Встраивайте в CI DevSecOps-пайплайн для контроля доступности сервисов и конфигурации

— Анализируйте заголовки на предмет уязвимостей, старых версий серверов, небезопасных редиректов

💡 Полезные материалы:

GitHub: projectdiscovery/httpx — официальный репозиторий, обновления и гайды

🐸 Библиотека хакера

#буст