⚡️ Писать самому
— Глубокое понимание уязвимости
— Гибкость под конкретную цель
— Навык, который прокачивает как специалиста
— Минимум «сигнатур», труднее отследить
⚡️ Брать готовые (Metasploit, GitHub, Exploit-DB)
— Быстро и удобно
— Можно сразу автоматизировать атаки
— Легко обучать новичков
— Экономия времени в реальном пентесте
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🤔2
🔒 Инструменты для пост-эксплуатации и персистентности
➡️ BloodHound — анализ графа Active Directory, поиск скрытых путей эскалации.
➡️ Evil-WinRM — удобный шелл для эксплуатации Windows через WinRM.
➡️ LinPEAS / WinPEAS — скрипты для перечисления привилегий и поиска уязвимостей локально.
➡️ Chisel — TCP/UDP туннелирование через HTTP, удобен для обхода сетевых ограничений.
➡️ Rubeus — работа с Kerberos: получение тикетов, атаки Pass-the-Ticket и др.
🐸 Библиотека хакера
#свежак
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3
ПОСЛЕДНИЙ ДЕНЬ❗
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
🌚6
Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.
Попробовав запрос, вы получаете данные (см. на картинке).
Что это за проблема
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚2💯2
Правильный ответ:
Anonymous Quiz
59%
Недостаточное ограничение доступа в GraphQL (Excessive Data Exposure)
7%
CSRF в GraphQL
24%
Уязвимость NoSQL Injection
10%
SSRF через GraphQL
🤔3👾1
Специалист Digital Risk Protection — офис (Екатеринбург)
Архитектор систем ИБ — гибрид (Москва)
Методолог ИБ — от 200 000 ₽, офис (Москва)
Information Security Administrator — удаленно/офис (Рига/Будва/Барселона)
Архитектор информационной безопасности — от 170 000 до 217 500 ₽, удаленно (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1
Когда нужно быстро проверить сотни доменов на живые HTTP(S)-эндпоинты — без лишнего шума.
Что умеет:
amass
, subfinder
, assetfinder
Как запустить:
1. Установка
go install github.com/tomnomnom/httprobe@latest
2. Проверка списка
cat domains.txt | httprobe > alive.txt
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2
SSRF — одна из самых опасных уязвимостей для облачных и микросервисных приложений. Она позволяет злоумышленнику превратить ваш сервер в «прокси» для атак на внутреннюю инфраструктуру.
Что разобрано в карточках:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥2👍1
При тестировании часто нужен список поддоменов цели. Один из самых простых способов — использовать публичный сервис, который собирает данные из сертификатов.
Откройте crt.sh и вбейте домен цели, например:
%.example.com
Символ
%
работает как wildcard — покажет все поддомены.Результаты выдаются в таблице. Можно скопировать руками или выгрузить в CSV/JSON, добавив параметр:
https://crt.sh/?q=%.example.com&output=json
Сервис часто показывает дубликаты или старые записи. Очистить список можно простым one-liner:
curl -s "https://crt.sh/?q=%.example.com&output=json" | jq -r '.[].name_value' | sort -u
Теперь список можно прогнать через
httprobe
, httpx
или любой другой тул, чтобы проверить, какие живые.crt.sh
иногда показывает внутренние dev/test-домены, которые забыли закрыть. Часто именно они оказываются уязвимыми.#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2
За последние недели компания фиксировала целую волну гипермасштабных атак. На пике нагрузка достигла 5,1 млрд пакетов в секунду и 11,5 Тбит/с трафика.
⚡️ Это был UDP-флуд, источники которого разбросаны по всему миру: от IoT-устройств до облачных сервисов. Среди них фигурировал и Google Cloud.
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡6🔥2🌚1
Переворачиваем календарь — а там скидки, которые уже закончились.
Но мы их вернули на последний день 🤔
До 00:00 третьего сентября (цены как до 1 сентября):
▪️ Математика для Data Science — 35.199 ₽ вместо 44.900 ₽
▪️ Алгоритмы и структуры данных — 31.669 ₽ вместо 39.900 ₽
▪️ Основы IT — 14.994 ₽ вместо 19.900 ₽
▪️ Архитектуры и шаблоны — 24.890 ₽ вместо 32.900 ₽
▪️ Python — 24.990 ₽ вместо 32.900 ₽
▪️ ML для Data Science — 34.000 ₽ вместо 44. 000 ₽
▪️ AI-агенты — 49.000 ₽ вместо 59.000 ₽
👉 Хватаем скидки из прошлого
P.S. Машину времени одолжили у дяди Миши
Но мы их вернули на последний день 🤔
До 00:00 третьего сентября (цены как до 1 сентября):
▪️ Математика для Data Science — 35.199 ₽ вместо 44.900 ₽
▪️ Алгоритмы и структуры данных — 31.669 ₽ вместо 39.900 ₽
▪️ Основы IT — 14.994 ₽ вместо 19.900 ₽
▪️ Архитектуры и шаблоны — 24.890 ₽ вместо 32.900 ₽
▪️ Python — 24.990 ₽ вместо 32.900 ₽
▪️ ML для Data Science — 34.000 ₽ вместо 44. 000 ₽
▪️ AI-агенты — 49.000 ₽ вместо 59.000 ₽
👉 Хватаем скидки из прошлого
P.S. Машину времени одолжили у дяди Миши
🔥3🥱2
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🌚2
This media is not supported in your browser
VIEW IN TELEGRAM
Около 70 заданий, которые помогут освоить основы CLI. Формат игровой: проходить интересно, а заодно и полезно для прокачки навыков.
Отличный вариант для самообучения и набора опыта
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍2
Кто положил Yahoo!, eBay и CNN первой DDoS-атакой ❓
Anonymous Quiz
16%
Российский студент-хакер «Dark Avenger»
14%
Группа скрипт-киддис из форумов IRC под названием Phantom Lords
19%
Сотрудник Yahoo!, инсайдер, устроивший атаку изнутри
52%
15-летний подросток по прозвищу Mafiaboy
🔥3🌚1
😎 Сколько баллов набрали вы?
Голосуйте, какой у вас уровень разработчика:
😁 — 5-12 баллов (стажер)
👍 — 13-25 баллов (джуниор)
⚡️ — 26-40 баллов (джуниор+)
👏 — 41-60 баллов (миддл)
🔥 — 61-80 баллов (миддл+)
🎉 — 81-100 баллов (сеньор)
🤩 — 100+ баллов (тимлид)
Но вот в чем прикол — опытный разработчик набирает баллы не случайными косяками, а осознанными решениями.
👉 Научим, как быстро прокачаться от стажера до сеньора
Голосуйте, какой у вас уровень разработчика:
😁 — 5-12 баллов (стажер)
👍 — 13-25 баллов (джуниор)
⚡️ — 26-40 баллов (джуниор+)
👏 — 41-60 баллов (миддл)
🔥 — 61-80 баллов (миддл+)
🎉 — 81-100 баллов (сеньор)
🤩 — 100+ баллов (тимлид)
Но вот в чем прикол — опытный разработчик набирает баллы не случайными косяками, а осознанными решениями.
👉 Научим, как быстро прокачаться от стажера до сеньора
🔥2🤩2😁1