Системный аналитик — офис (Москва)
Инженер по ИБ — удаленно/гибрид (Иннополис, Москва, Новосибирск)
Руководитель отдела ИБ — до 250 000 ₽, офис (Москва)
Инженер по безопасности рантайма — от 430 000 ₽, офис (Москва)
Web Pentester / Red Team Web Specialist — от 300 000 до 450 000 ₽, удаленно (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍1
Netcat — швейцарский нож для сетевика и пентестера.
С его помощью можно:
— Пробрасывать shell (remote и reverse)
— Качать и заливать файлы
— Делать свой «чат» или даже стримить видео
— Использовать для сканирования портов и передачи данных
Ниже прикрепили полную шпаргалку с опциями и примерами, чтобы всегда была под рукой
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👾1
8 сентября в npm нашли вредоносные обновления в 18 популярных пакетов — суммарно это более 2 млрд загрузок в неделю.
— Внедрение в функции
fetch, XMLHttpRequest и API кошельков;— Перехват транзакций в Ethereum, Solana и других сетях;
— Подмена адресов получателей на кошельки атакующих;
— Маскировка через похожие строки, чтобы подмена выглядела «незаметной».
📨 Причина — фишинговое письмо, замаскированное под поддержку npm. Через него взломали аккаунт мейнтейнера.
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👏3🤔1
Оказалось, что даже 12-летний ASUS может стать полноценным Linux-сервером: хранить файлы, крутить Docker-контейнеры и разгружать основной ноут.
В карточках — зачем поднимать отдельный сервер, как его настроить и что на нём запустить (от JupyterLab до Home Assistant)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7👍4❤🔥1🔥1
При тестировании часто нужно найти скрытые эндпоинты или параметры, которые не видны в интерфейсе. Один из рабочих способов — анализ JavaScript-файлов.
Сначала выгрузим все JS с сайта. Самый простой вариант:
curl -s https://example.com | \
grep -oP '(?<=src=")[^"]+\.js' | sort -u
Но лучше расширить поиск через исторические данные:
echo example.com | waybackurls | grep "\.js" | sort -u > js-files.txt
Классический LinkFinder работает, но лучше использовать актуальный форк: 0xSobky/LinkFinder. Он стабильнее и поддерживает Python 3.
Пример запуска:
python3 linkfinder.py -i https://example.com/app.js -o cli
for url in $(cat js-files.txt); do
python3 linkfinder.py -i $url -o cli
done | sort -u
Инструмент покажет строки вроде:
/api/v1/user?id=
/admin/upload?file=
Такие находки можно прогнать через Burp или ffuf, чтобы проверить уязвимости.
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥1