🤪 Топ-вакансий для хакеров за неделю

Системный аналитик — офис (Москва)

Инженер по ИБ — удаленно/гибрид (Иннополис, Москва, Новосибирск)

Руководитель отдела ИБ — до 250 000 ₽, офис (Москва)

Инженер по безопасности рантайма — от 430 000 ₽, офис (Москва)

Web Pentester / Red Team Web Specialist — от 300 000 до 450 000 ₽, удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

🗺 Шпаргалка по netcat: от shell до стриминга

Netcat — швейцарский нож для сетевика и пентестера.

С его помощью можно:

— Пробрасывать shell (remote и reverse)

— Качать и заливать файлы

— Делать свой «чат» или даже стримить видео

— Использовать для сканирования портов и передачи данных

Ниже прикрепили полную шпаргалку с опциями и примерами, чтобы всегда была под рукой 📌

🐸 Библиотека хакера

#буст

🐸 Библиотека хакера

#буст 📎

🚨 Массовый взлом NPM

8 сентября в npm нашли вредоносные обновления в 18 популярных пакетов — суммарно это более 2 млрд загрузок в неделю.

😰 Как работала атака:

— Внедрение в функции fetch, XMLHttpRequest и API кошельков;

— Перехват транзакций в Ethereum, Solana и других сетях;

— Подмена адресов получателей на кошельки атакующих;

— Маскировка через похожие строки, чтобы подмена выглядела «незаметной».

📨 Причина — фишинговое письмо, замаскированное под поддержку npm. Через него взломали аккаунт мейнтейнера.

🔗 Читать подробнее — по ссылке

🐸 Библиотека хакера

#свежак

✋ Как находить скрытые параметры в JS-файлах

При тестировании часто нужно найти скрытые эндпоинты или параметры, которые не видны в интерфейсе. Один из рабочих способов — анализ JavaScript-файлов.

1️⃣ Собираем JS-файлы

Сначала выгрузим все JS с сайта. Самый простой вариант:

curl -s https://example.com | \
grep -oP '(?<=src=")[^"]+\.js' | sort -u

Но лучше расширить поиск через исторические данные:

echo example.com | waybackurls | grep "\.js" | sort -u > js-files.txt

2️⃣ Запускаем LinkFinder

Классический LinkFinder работает, но лучше использовать актуальный форк: 0xSobky/LinkFinder. Он стабильнее и поддерживает Python 3.

Пример запуска:

python3 linkfinder.py -i https://example.com/app.js -o cli

3️⃣ Автоматизируем для всех файлов

for url in $(cat js-files.txt); do
  python3 linkfinder.py -i $url -o cli
done | sort -u

4️⃣ Что ищем

Инструмент покажет строки вроде:

/api/v1/user?id=
/admin/upload?file=

Такие находки можно прогнать через Burp или ffuf, чтобы проверить уязвимости.

📌 Часто именно в старых JS скрыты забытые эндпоинты или dev-параметры.

📌 Альтернативы: subjs, waymore, JSParser.

🐸 Библиотека хакера

#буст

🤟🤟

Kubernetes для аудиторов:

— 90% магия
— 10% знакомые слова

🐸 Библиотека хакера

#развлекалово

🚩 Анализ кода на уязвимости

Можно ускорить аудит кода простым промптом:

Act as a senior security researcher.
You are given a code snippet. Your goal:
– Identify potential vulnerabilities (injection, XSS, RCE, logic flaws).
– Explain how they could be exploited.
– Suggest secure fixes.
Provide the answer in a table: [Line] – [Issue] – [Exploitation] – [Fix].

💡 На выходе — структурный отчёт: строка → баг → как ломается → как чинить. Удобно для ревью, баг-хантинга и подготовки к собесам.

🐸 Библиотека хакера

#буст

⭐️ Тренажер для изучения уязвимостей

Репозиторий с уязвимым ПО в docker-compose. Можно развернуть окружение, изучить уязвимости и потренироваться в их закрытии.

💡 Каждая лаборатория снабжена документацией — удобно для обучения и практики.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#буст

🛠 Фишка инструмента: BloodHound

BloodHound — граф-анализатор Active Directory, который быстро показывает неочевидные пути эскалации привилегий внутри домена.

Чем полезен:

— Визуализация связей пользователей/групп/компьютеров

— Поиск коротких путей к критичным ресурсам

— Выявление risky-конфигураций и приоритизация фиксов

Если коротко: собрали данные → импортировали в BloodHound → запустили запросы (Shortest Path, Kerberoastable) → закрыли найденные пути.

⚠️ Тестируйте только в изолированных средах и с разрешения владельца.

🔗 GitHub проекта

🐸 Библиотека хакера

#буст

🔥 Как фишинг атакует ваши данные

В статье разобран реальный кейс: фишинговые письма с клонами Google и вредоносными HTML-вложенияями.

➡️ Песочницы показали сбор данных, закрепление в системе и сетевую активность к свежерегистрированным доменам.

🔗 Читать статью

🐸 Библиотека хакера

Эйчар хороший и конкурсы интересные 🤟

🐸 Библиотека хакера

#развлекалово

🍊 Экзотические протоколы

HTTP и API тестируют все, а вот целые пласты протоколов остаются «за кадром». Именно там часто встречаются дыры — от отсутствия TLS до полного доступа к данным.

Подборка свежих материалов для тех, кто хочет копнуть глубже:

1️⃣ MQTT в модели удалённого управления

➡️ Русское исследование о том, как работают MQTT и CoAP, где хромает авторизация и контроль доступа.

2️⃣ Large-Scale Security Analysis of IoT Protocols

➡️ Массовый анализ реальных backend-развёртываний: тысячи сервисов на MQTT, CoAP и XMPP без шифрования и с дырявой аутентификацией.

3️⃣ Attacks on CoAP

➡️ Формализованный список атак на Constrained Application Protocol: манипуляции фрагментами, задержки, ретрансляция.

4️⃣ DoS Detection в MQTT-сетях

➡️ Лёгкий IDS-подход для выявления DoS и подозрительных паттернов в MQTT. Полезно, чтобы понимать, как строят защиту.

5️⃣ RedisRaider

➡️ Разбор кампании, где публичные Redis-инстансы использовали для майнинга. Пример того, как простая мисконфигурация превращается в эксплойт.

🕹️ Эти протоколы редко трогают в баунти и на пентестах. А зря — именно тут часто попадаются «золотые находки».

🐸 Библиотека хакера

#свежак

🔒 Сбой генерации reset-link

Сервис шлёт письма для сброса пароля. В коде ссылка формируется так:

const url = `${req.protocol}://${req.headers.host}/reset/${token}`;

Заголовок Host берётся из запроса и не проверяется — в письме может оказаться чужой домен.

Какая это уязвимость ❓

🐸 Библиотека хакера

#междусобойчик