Как найти слабые места в веб-приложении до того, как их найдут хакеры?

Расскажем на курсе WAPT от Академии Кодебай! 🛡 Это на 100% практический курс по пентесту, где вы попробуете изученные техники взлома в 65-ти заданиях нашей лаборатории!

🔴 Каждую неделю — вебинары с куратором! Старт 22 января. Регистрация здесь.

Содержание курса:
✦ эксплуатация всех актуальных типов уязвимостей, активный / пассивный фаззинг
✦ SQL Injection и CMD Injection, Cross Site Scripting, PHP injection, Server Side Template injection
✦ техники повышения привилегий, Client-side атаки (XSS, CSRF)

Получите практические навыки как в рабочих задачах, так и в Bug Bounty. 🚀 По всем вопросам пишите @CodebyAcademyBot

🫡 Spotify «взяли на абордаж». Пираты слили в сеть 86 млн треков

Популярный музыкальный сервис Spotify столкнулся с одним из крупнейших пиратских взломов в истории стриминга — хакеры получили доступ почти ко всей библиотеке платформы и выложили в открытый доступ 86 млн аудиотреков общим объёмом более 300 ТБ.

За инцидент взяла ответственность группировка Anna’s Archive, называющая себя «Робин Гудами цифровой эпохи» и заявляющая миссию «сохранения культурного наследия человечества». Они опубликовали ссылки на скачивание всей выгрузки.

По словам взломщиков:
🔼 слиты только самые популярные треки
🔼 на эти 86 млн композиций приходится 99,6% всех прослушиваний Spotify
🔼 оригинальный каталог сервиса — около 256 млн треков

Файлы распространяются через торрент‑раздачи в формате OGG Vorbis 160 Кбит/с. Хакеры подчёркивают, что выбрали «среднее качество» намеренно — чтобы «сохранить музыкальное наследие» в компактном виде. Все треки содержат оригинальные метаданные.

✅ Spotify подтвердил факт взлома и начало расследования.
✅ Однако архив уже доступен в сети, и удалить его теперь невозможно.

Этот инцидент — тревожный сигнал для всей индустрии:
даже крупнейшие стриминговые платформы с мощной DRM‑защитой оказываются уязвимы, когда мотивированные группы находят способ обойти барьеры.

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

#Spotify #Взлом #УтечкаДанных #Кибербезопасность #Кибератака

GhostEyes

GhostEyes — это асинхронный, модульный набор инструментов для наступательной разведки, предназначенный для сетевой и веб-разведки, а также для создания отчетов, предназначенный для специалистов по тестированию на проникновение, красных команд и исследователей.

📕Характеристика:
Сетевая разведка: Сканирование подсети ARP, Обнаружение и выборка VLAN, DHCP-снупинг
Веб-разведка: Брутфорс поддоменов, Брутфорс директорий
Отчеты: Генерация TXT/JSON/HTML/CSV на основе предыдущих сканирований

💻Установка:

git clone https://github.com/6lackRaven/GhostEyes.git

cd GhostEyes

📌Использование:
Сканирование ARP:

python ghosteyes.py net -i <INTERFACE> --scan <IP> --output <JSON-FILE>

Поиск VLAN:

python ghosteyes.py net -i <INTERFACE> --vlan --duration 120

Сканирование поддоменов:

python ghosteyes.py web -u <DOMAIN> -s <WORDLIST> -T

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

#GhostEyes #Разведка #Кибербезопасность #RedTeam

Многие думают, что безопасность приложений — задача программистов. Но на самом деле первую линию обороны создают пентестеры — «белые хакеры», которые целенаправленно ищут слабые места, пока это не сделали злоумышленники.

Разбираем:
🟧Кто такой пентестер и почему без него не обойтись
🟧Что реально нужно знать и уметь: от сетей и Linux до Python и веб-технологий
🟧С чего начать путь: чек-лист от основ до первых сертификатов
🟧Где бесплатно практиковаться и что положить в портфолио

В статье — готовый маршрут от изучения базовых команд до собеседования на первую позицию.

🟧На форуме вы найдете еще больше актуальной и полезной информации для начинающих и опытных специалистов. Изучайте темы от WAPT и уязвимостей вроде Log4Shell до тестирования AI, атак на умные города и промышленные системы.

🟧Делитесь в комментариях: что кажется вам самым сложным на пути в пентест? Расскажите о своем опыте, первых трудностях или задавайте вопросы🟧

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

#снуля #обучение #новичкам #пентест #hackerlab #форум

Очень маленькая и полезная шпаргалка по контролю прав и разрешений в Linux.

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

#Linux #Шпаргалка #ПраваLinux

PCredz — автоматический анализатор трафика для извлечение учетных данных

PCredz — лёгкая, но мощная утилита для извлечения учетных данных, хэшей и другой чувствительной информации из pcap-файлов или живого сетевого трафика. Инструмент активно используют пентестеры, DFIR-аналитики и исследователи сетевой безопасности благодаря удобству, скорости и широкой поддержке протоколов.

⚡️ Основные возможности PCredz
➡️ Многопротокольный анализ
Извлечение данных из IPv4 и IPv6 пакетов сразу по множеству протоколов:
• NTLMv1/v2 (SMB, HTTP, LDAP, MSSQL и др.)
• Kerberos AS-REQ Pre-Auth (etype 23)
• HTTP Basic и формы авторизации
• FTP, POP, SMTP, IMAP
• SNMP community strings
➡️ Поиск кредитных карт в трафике
Определяет и извлекает номера банковских карт, встречающиеся в сетевом потоке.
➡️ Хэши в формате для hashcat
NTLMv1/v2 и Kerberos сохраняются в файлы, которые можно сразу отправлять в hashcat (режимы 5500, 5600, 7500).
➡️ Удобное логирование
Все найденные данные сохраняются в CredentialDump-Session.log и в отдельные файлы (MSKerb.txt, NTLMv1.txt, NTLMv2.txt) в каталоге logs/.

⬇️ Установка и запуск
👩‍💻 Docker

git clone https://github.com/lgandx/PCredz
cd PCredz
docker build . -t pcredz
docker run --net=host -v $(pwd):/opt/Pcredz -it pcredz

👩‍💻 Linux

apt install python3-pip libpcap-dev file
pip3 install Cython python-libpcap

👩‍💻 Использование
⏺️ Разбор pcap-файла

python3 ./Pcredz -f capture.pcap

⏺️ Разбор всех pcap в каталоге

 python3 ./Pcredz -d /tmp/pcaps/ 

⏺️ Живой захват трафика

 python3 ./Pcredz -i eth0 -v 

👩‍💻 Аргументы запуска
-f <file> Парсинг pcap-файла
-d <dir> Рекурсивный разбор каталога
-i <interface> Живой перехват трафика
-v Подробный вывод
-o <dir> Директория для логов

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером

#PCredz #Kerberos #Pentest

WhatsApp* не собирается сдаваться💪

В WhatsApp* отреагировали на ограничения в работе мессенджера в России. Компания считает, что власти РФ хотят лишить людей возможности свободно общаться. Также компания заявила, что мессенджер МАХ, небезопасен - там могут украсть личные данные.

22 декабря, российские пользователи пожаловались на ограничения в работе WhatsApp* — более 3000 жалоб. 23 числа WhatsApp* опубликовала официальное заявление. В нем компания обвинила российские власти в нарушении прав 100 млн пользователей.
"Ограничивая доступ к WhatsApp*, российское правительство стремится лишить более 100 млн человек права на конфиденциальное общение с использованием сквозного шифрования прямо перед новогодними праздниками" — заявили в WhatsApp*.

В начале декабря 2025 года Роскомнадзор начал постепенно ограничивать работу WhatsApp* в России. Тогда в ведомстве объяснили, что площадка используется мошенниками, а сам мессенджер этого не пресекает.
"Мы намерены бороться за наших пользователей, потому что принуждение людей к использованию менее безопасных приложений, одобренных государством, может привести лишь к снижению уровня безопасности для россиян" - заявили в WhatsApp*.

Источник: https://www.gazeta.ru/tech/news/2025/12/23/27482941.shtml
*
*Компания Meta, а также её продукты (WhatsApp) признаны экстремистскими в России

#news #WhatsApp #Russia

➡️ Все наши каналы 💬Все наши чаты ⚡️ Для связи с менеджером