#pentest #tools

HackGPT 😉

Компания HackGPT Enterprise официально представила готовую к работе облачную платформу для тестирования на проникновение с использованием искусственного интеллекта, разработанную специально для внутренних команд информационной безопасности.

Сама же платформа работает с использованием следующих компонентов: OpenAI GPT-4,Local LLM (Ollama), TensorFlow, PyTorch.

#news

Крупные IT-компании обяжут поддерживать вузы для сохранения аккредитации 📣

🌟Крупные аккредитованные IT-компании обяжут к 1 июня 2026 года заключить соглашения с вузами о мерах финансовой поддержки и нефинансовой помощи в подготовке кадров, пишут «Ведомости». Как сообщил на форуме «Цифровые решения» замминистра цифрового развития Сергей Кучушев, это позволит компаниям сохранить IT-аккредитацию, а также не лишиться льгот и брони для сотрудников от военной службы.

🌟Согласно презентации Кучушева, на которую ссылаются «Ведомости», до 1 июня 2026-го IT-компании должны подать заявления о подтверждении аккредитации с приложением заключенных соглашений с вузами и колледжами. Сейчас готовится постановление правительства, в котором эти сроки будут прописаны.

Глава Минцифры Максут Шадаев еще в августе 2024 года говорил «Коммерсанту», что ведомство планирует обязать крупный IT-бизнес направлять средства на развитие профильного образования. «Обсуждаются 5% от средств, сэкономленных компаниями благодаря налоговым льготам», — пояснял он.

#event

Открыта регистрация на главную аналитическую конференцию Код ИБ ИТОГИ в Москве

🗓 4 декабря | Начало в 9:30
📍 Palmira Business Club

Более 50 экспертов по ИБ разберут ключевые события года, представят свежую аналитику и озвучат прогнозы на будущее.

В программе:

📌 3 дискуссии
— CISO говорят
— БОССЫ кибербеза говорят
— Стартапы говорят

📌 6 тематических сессий
— Защита инфраструктуры
— Культура кибербезопасности
— Анализ защищенности
— Защита данных
— Безопасная разработка
— Процессы

А также:
— Зона со стендами ИБ-компаний
— Новогодние угощения
— Розыгрыши подарков
— Дружественная атмосфера

Успейте забронировать место — участие бесплатное по предварительной регистрации.

Опытом поделятся практики из ведущих компаний: VK, Яндекс, СберТех, Билайн, Райффайзенбанк, СОГАЗ, ГК Элемент и др.

➡️ Стать участником

#soc

Как тестировать конфигурацию Nginx: корректность и информационная безопасность ⛏

При разработке сложной системы приходится сталкиваться с необходимостью использования nginx в качестве reverse proxy.

Коротко, но с примерами автор делится способами тестирования конфигураций веб-сервера.

Приятного прочтения📔

#byapsecurity

AP Security на Международной научно-практической конференции "Охрана, безопасность, связь - 2025" 📍

27 ноября 2025 года компания AP Security приняла участие в Международной научно-практической конференции Охрана, безопасность, связь - 2025, проходившей в городе Воронеж.

На экспозиции были представлены собственные разработки в области технической защиты информации:
🛡 Система акустической и виброакустической защиты информации Кедр-А
🛡 Генератор защиты информации от утечек по ПЭМИН Кедр-П
🛡 Блокиратор сотовой связи и беспроводного доступа БЛ 2020.

Технические средства защиты информации, представленные нашей компанией на конференции вызвали большой интерес, что в очередной раз подтверждает эффективность используемых принципов и методов защиты информации.

Также на конференции с докладом выступил Заместитель начальника отдела разработок Хохолев Игорь Александрович.

В его докладе отмечены актуальные угрозы безопасности при ведении переговоров и предложены эффективные решения на основе представленных технологий.

Конференция открыла новые возможности для налаживания контактов и сотрудничества между участниками в области безопасности и защиты информации.

Участие AP Security в конференции стало важным шагом к укреплению позиций компании на рынке и развитию новых партнерств в сфере безопасности.


Международная научно-практическая конференция Охрана, Безопасность и Связь 2025.
Место проведения : Воронеж
Дата 27.11.2025

⭐️ Подробно с изделиями можно познакомиться по ссылке.

#pentest

Уязвимость Synology BeeStation ⚙️

Synology BeeStation BST150-4T — это устройство для хранения данных в контуре организации или в домашних условиях.

Выложен в открытый доступ PoC, демонстрирующий эксплуатацию 3-х CVE, приводящих к RCE ✅

Повторение данного ресёрча стоит осуществлять исключительно в лабораторных условиях ⚡️

#soc

React2Shell: все, что нужно знать на сегодняшний день ⚠️

В начале декабря 2025 года в экосистеме React всплыла уязвимость, которую многие уже сравнивают с Log4Shell по потенциальным последствиям.

Баг получил имя React2Shell и идентификатор CVE-2025-55182. Он затрагивает серверное использование React Server Components и позволяет удаленно выполнять произвольный код на уязвимых серверах без какой-либо аутентификации.

В представленной статье описана техническая составляющая данной уязвимости, масштаб угрозы и инструкции по предотвращению эксплуатации.

Приятного прочтения📔

#news

Хакеры помогают преступникам угонять грузовики 🚓

⏺Преступные группировки вышли на новый уровень: теперь для перехвата грузовиков им не нужны вооружённые налёты: достаточно доступа к цифровым площадкам для перевозчиков. Расследования показывают, что злоумышленники всё чаще нанимают хакеров, чтобы взломать аккаунты на логистических маркетплейсах, получить контроль над заявками и перенаправить ценные грузы на свои склады.

⏺Схема выглядит опасно простой. Сначала преступники добывают учётные данные - чаще всего через фишинг. Затем, скрываясь под видом обычного перевозчика или брокера, они оформляют «легитимный» заказ и меняют маршрут. Грузовик отправляется не к клиенту, а в заранее подготовленную точку. Средняя стоимость похищенного груза превышает 336 000 долларов, и такие атаки стремительно растут по числу случаев.

⏺Эксперты отмечают, что даже компании с двухфакторной аутентификацией и продвинутыми системами мониторинга остаются уязвимы, если цель - низкопривилегированный аккаунт. Оказавшись внутри системы, злоумышленники могут постепенно расширить права и получить контроль над логистическими операциями.

#pentest #tools

linWinPwn 💻

linWinPwn — это bash-скрипт, который объединяет ряд инструментов пентеста Active Directory в части касающейся перечисления (LDAP, RPC, ADCS, MSSQL, Kerberos, SCCM), проверки уязвимостей (noPac, ZeroLogon, MS17-010, MS14-068), модификации объектов (изменение пароля, добавление пользователя в группу) и дампа паролей (secretsdump, lsassy, ​​nanodump, DonPAPI).

Информация предназначена для изучения исключительно в лабораторных стендах📌

#news

Приказ ФСТЭК №117: что изменится для ГИС с 1 марта 2026 года 📔

✔️ С 1 марта 2026 года для всех государственных информационных систем (ГИС) начнёт действовать новый регламент безопасности. Обновлённая редакция Приказа ФСТЭК России № 117 приходит на смену Приказу № 17 и вносит фундаментальные изменения в подход к защите данных.

✔️ Новая редакция Приказа ФСТЭК № 117 знаменует собой переход от изолированной защиты периметра ГИС к комплексному обеспечению безопасности всей государственной ИТ-инфраструктуры. Ключевым вектором развития становится управление рисками цепочки поставок, что выражается в строгих обязательных требованиях к подрядчикам.

✔️ Для операторов ГИС наступает период интенсивной подготовки, требующий пересмотра подходов к защите сетей, виртуализации и рабочих станций до марта 2026 года. Успех выполнения новых требований будет зависеть не только от технического оснащения, но и от способности выстроить прозрачные и безопасные взаимоотношения с внешними исполнителями.