Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
12.6K subscribers
1.99K photos
114 videos
166 files
3.01K links
Все самое полезное по инфобезу в одном канале.

Список наших каналов: https://t.iss.one/proglibrary/9197

Для обратной связи: @proglibrary_feeedback_bot

По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
Download Telegram
🙏 Эксплойты: писать самому vs брать готовые

⚡️ Писать самому
— Глубокое понимание уязвимости
— Гибкость под конкретную цель
— Навык, который прокачивает как специалиста
— Минимум «сигнатур», труднее отследить

📎 Минусы: долго, нужен высокий уровень, риск накосячить

⚡️ Брать готовые (Metasploit, GitHub, Exploit-DB)
— Быстро и удобно
— Можно сразу автоматизировать атаки
— Легко обучать новичков
— Экономия времени в реальном пентесте

📎 Минусы: палятся защитой, зависят от чужого кода, ограниченные возможности

➡️ Что важнее — свое мастерство в написании эксплойтов или умение быстро использовать готовые инструменты

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🤔2
🔒 Инструменты для пост-эксплуатации и персистентности

➡️ BloodHound — анализ графа Active Directory, поиск скрытых путей эскалации.

➡️ Evil-WinRM — удобный шелл для эксплуатации Windows через WinRM.

➡️ LinPEAS / WinPEAS — скрипты для перечисления привилегий и поиска уязвимостей локально.

➡️ Chisel — TCP/UDP туннелирование через HTTP, удобен для обхода сетевых ограничений.

➡️ Rubeus — работа с Kerberos: получение тикетов, атаки Pass-the-Ticket и др.

🐸 Библиотека хакера

#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3
ПОСЛЕДНИЙ ДЕНЬ
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️

ML за 34к вместо 44к + Python в подарок
Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ

👉 Proglib Academy
🌚6
😳 Уязвимость в GraphQL API

Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.

Попробовав запрос, вы получаете данные (см. на картинке).

Что это за проблема

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚2💯2
🤑 Топ-вакансий для хакеров за неделю

Специалист Digital Risk Protection — офис (Екатеринбург)

Архитектор систем ИБ — гибрид (Москва)

Методолог ИБ — от 200 000 ₽, офис (Москва)

Information Security Administrator — удаленно/офис (Рига/Будва/Барселона)

Архитектор информационной безопасности — от 170 000 до 217 500 ₽, удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1
📌 Инструмент недели: httprobe

Когда нужно быстро проверить сотни доменов на живые HTTP(S)-эндпоинты — без лишнего шума.

Что умеет:

➡️ Прогоняет список доменов и проверяет, какие реально отвечают

➡️ Поддержка HTTP и HTTPS

➡️ Минимум ложных срабатываний, быстрая работа в потоке

➡️ Идеален как связка с amass, subfinder, assetfinder

Как запустить:

1. Установка


go install github.com/tomnomnom/httprobe@latest


2. Проверка списка


cat domains.txt | httprobe > alive.txt


💡 Отличный первый фильтр перед сканами EyeWitness, Nuclei или ffuf.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2
⭐️ Что стоит знать про SSRF

SSRF — одна из самых опасных уязвимостей для облачных и микросервисных приложений. Она позволяет злоумышленнику превратить ваш сервер в «прокси» для атак на внутреннюю инфраструктуру.

Что разобрано в карточках:

➡️ Что такое SSRF и чем опасен

➡️ Где встречается на практике

➡️ Как защищаться от атак

📌 Полезная шпаргалка по защите от SSRF ➡️ содержит рекомендации по валидации, фильтрации, сетевой сегментации

🐸 Библиотека хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
5🔥2👍1
✍️ Михаил Шуфутинский печатает
Please open Telegram to view this post
VIEW IN TELEGRAM
😁12💯2
😈 Как быстро найти уязвимые поддомены через crt sh

При тестировании часто нужен список поддоменов цели. Один из самых простых способов — использовать публичный сервис, который собирает данные из сертификатов.

1️⃣ Зайдем на сайт

Откройте crt.sh и вбейте домен цели, например:


%.example.com


Символ % работает как wildcard — покажет все поддомены.

2️⃣ Скопируем список

Результаты выдаются в таблице. Можно скопировать руками или выгрузить в CSV/JSON, добавив параметр:


https://crt.sh/?q=%.example.com&output=json


3️⃣ Очистим данные

Сервис часто показывает дубликаты или старые записи. Очистить список можно простым one-liner:


curl -s "https://crt.sh/?q=%.example.com&output=json" | jq -r '.[].name_value' | sort -u


4️⃣ Используем поддомены

Теперь список можно прогнать через httprobe, httpx или любой другой тул, чтобы проверить, какие живые.

📌 crt.sh иногда показывает внутренние dev/test-домены, которые забыли закрыть. Часто именно они оказываются уязвимыми.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2
🚨 Cloudflare остановила рекордную DDoS-атаку

За последние недели компания фиксировала целую волну гипермасштабных атак. На пике нагрузка достигла 5,1 млрд пакетов в секунду и 11,5 Тбит/с трафика.

⚡️ Это был UDP-флуд, источники которого разбросаны по всему миру: от IoT-устройств до облачных сервисов. Среди них фигурировал и Google Cloud.

📊 Для сравнения: прежний рекорд весной составлял 7,3 Тбит/с. Новый же эквивалентен одновременной потоковой передаче Netflix на сотни тысяч устройств.

🔗 Источник

🐸 Библиотека хакера

#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥2🌚1
Переворачиваем календарь — а там скидки, которые уже закончились.

Но мы их вернули на последний день 🤔

До 00:00 третьего сентября (цены как до 1 сентября):

▪️ Математика для Data Science — 35.199 ₽ вместо 44.900 ₽
▪️ Алгоритмы и структуры данных — 31.669 ₽ вместо 39.900 ₽
▪️ Основы IT — 14.994 ₽ вместо 19.900 ₽
▪️ Архитектуры и шаблоны — 24.890 ₽ вместо 32.900 ₽
▪️ Python — 24.990 ₽ вместо 32.900 ₽
▪️ ML для Data Science — 34.000 ₽ вместо 44. 000 ₽
▪️ AI-агенты — 49.000 ₽ вместо 59.000 ₽

👉 Хватаем скидки из прошлого

P.S. Машину времени одолжили у дяди Миши
🔥3🥱2
This media is not supported in your browser
VIEW IN TELEGRAM
💻 TUI-тренажёр для практики работы в терминале

Около 70 заданий, которые помогут освоить основы CLI. Формат игровой: проходить интересно, а заодно и полезно для прокачки навыков.

Отличный вариант для самообучения и набора опыта 👋

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍2
😎 Сколько баллов набрали вы?

Голосуйте, какой у вас уровень разработчика:

😁 — 5-12 баллов (стажер)
👍 — 13-25 баллов (джуниор)
⚡️ — 26-40 баллов (джуниор+)
👏 — 41-60 баллов (миддл)
🔥 — 61-80 баллов (миддл+)
🎉 — 81-100 баллов (сеньор)
🤩 — 100+ баллов (тимлид)

Но вот в чем прикол — опытный разработчик набирает баллы не случайными косяками, а осознанными решениями.

👉 Научим, как быстро прокачаться от стажера до сеньора
🔥2🤩2😁1