🧩 Хакер-челлендж
Сценарий: веб-сервис принимает бинарный объект (pickle/unsafe JSON), десериализует и сразу вызывает метод
❓ Что наиболее правдоподобно может произойти, если загрузить специально-сформированный объект? Голосуйте эмодзи:
🔥 — RCE: выполнить произвольный код на сервере (pickle позволяет инвокировать конструкторы/функции).
👾 — Эскалация привилегий: объект вызовет внутренний метод, открывающий админ-функции.
❤️ — DoS: CV-памяти/CPU через рекурсивные/тяжёлые объекты.
👍 — Утечка данных: объект инициирует исходящие запросы (exfiltration) и вернёт конфиденциальные данные.
🐸 Библиотека хакера
#ctf_challenge
Сценарий: веб-сервис принимает бинарный объект (pickle/unsafe JSON), десериализует и сразу вызывает метод
process() у полученного объекта. Пользователь может загрузить произвольный байтстрим.🔥 — RCE: выполнить произвольный код на сервере (pickle позволяет инвокировать конструкторы/функции).
👾 — Эскалация привилегий: объект вызовет внутренний метод, открывающий админ-функции.
❤️ — DoS: CV-памяти/CPU через рекурсивные/тяжёлые объекты.
👍 — Утечка данных: объект инициирует исходящие запросы (exfiltration) и вернёт конфиденциальные данные.
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👾5❤2👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁8💯2
— Богатая библиотека для тестирования уязвимостей (например, Scapy, Requests)
— Простой и быстрый язык для написания скриптов автоматизации
— Высокая скорость и надежность для написания более сложных атакующих скриптов
— Отлично подходит для многозадачности и автоматизации крупных проектов
❤️ — Python
👍 — Go
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14👍7
История, с которой началась эра кибербезопасности. Студент Роберт Моррис запустил экспериментальный червь, чтобы измерить «размер интернета». Но из-за ошибки код стал размножаться бесконечно.
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
👾4❤1🔥1
🎲 Мы не только учим, но и играем!
На экспресс-курсе «Математика для Data Science» — викторина с призом TG-Premium 🎁
Проверь знания, прокачай математику и забери приз.
‼️ Оплатишь до 19 октября — получишь базовый курс в подарок.
👉 Записаться на курс
На экспресс-курсе «Математика для Data Science» — викторина с призом TG-Premium 🎁
Проверь знания, прокачай математику и забери приз.
‼️ Оплатишь до 19 октября — получишь базовый курс в подарок.
👉 Записаться на курс
🥰2
Раннее мы выкладывали задачу
Сервис десериализует входной байтстрим (pickle/unsafe JSON) и сразу вызывает
obj.process(). Если вход ненадёжный — можно выполнить произвольный код на сервере.#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2😁1
iOS Attack.png
1021.7 KB
Полезная карта приёмов и инструментов — быстрый чек-лист того, что искать и как классифицировать инциденты.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥1
Недавно мы анонсировали старт нового курса «Математика для Data Science».
В ближайшие дни выйдет серия постов о том, что ждёт вас на курсе, а пока познакомим вас с его экспертами.
Спикеры курса:
👤 Ксения Кондаурова
Преподаватель и автор курсов для бакалавриата Центрального Университета (Т-Банк), спикер и методист для Edutoria (Сбербанк). Ксения расскажет, как линейная алгебра применяется для построения предсказательных моделей, и научит проверять гипотезы для бизнеса с помощью статистики.
👤 Диана Миронидис
Преподаватель НИУ ВШЭ, автор и методист Яндекс Практикума. Самый экстравагантный преподаватель из всех, с кем вы учились, — убедитесь, что математика может быть нескучной. Диана погрузит в математический анализ, научит исследовать функции и находить параметры, при которых ошибка модели минимальна.
👤 Маргарита Бурова
Академический руководитель образовательных программ по аналитике и анализу данных, Wildberries & Russ. Проведёт квиз с розыгрышем годовой подписки TG Premium. Маргарита — эксперт в дата-сайенс, ИИ и математических методах анализа данных, фанат развития ИТ-образования.
Вместе с экспертами за 8 недель вы не просто получите знания, а познакомитесь с математикой заново.
🎁 Только при оплате до 19 октября курс «Базовая математика» в подарок!
👉 Записаться на курс
В ближайшие дни выйдет серия постов о том, что ждёт вас на курсе, а пока познакомим вас с его экспертами.
Спикеры курса:
👤 Ксения Кондаурова
Преподаватель и автор курсов для бакалавриата Центрального Университета (Т-Банк), спикер и методист для Edutoria (Сбербанк). Ксения расскажет, как линейная алгебра применяется для построения предсказательных моделей, и научит проверять гипотезы для бизнеса с помощью статистики.
👤 Диана Миронидис
Преподаватель НИУ ВШЭ, автор и методист Яндекс Практикума. Самый экстравагантный преподаватель из всех, с кем вы учились, — убедитесь, что математика может быть нескучной. Диана погрузит в математический анализ, научит исследовать функции и находить параметры, при которых ошибка модели минимальна.
👤 Маргарита Бурова
Академический руководитель образовательных программ по аналитике и анализу данных, Wildberries & Russ. Проведёт квиз с розыгрышем годовой подписки TG Premium. Маргарита — эксперт в дата-сайенс, ИИ и математических методах анализа данных, фанат развития ИТ-образования.
Вместе с экспертами за 8 недель вы не просто получите знания, а познакомитесь с математикой заново.
🎁 Только при оплате до 19 октября курс «Базовая математика» в подарок!
👉 Записаться на курс
🥰2
Ричард из Silicon Valley декомпилирует и тестирует собственный бинарник, чтобы понять, как конкуренты могли скопировать или обойти алгоритм сжатия.
#hollywood_hack
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁3🥰2😢2
До появления фаерволов и VPN группа немецких энтузиастов во главе с Маркусом Гессом взламывала сети через dial-up и терминалы DEC. Пароли — по словарю, доступ — через уязвимые VAX/VMS-сервера NASA, Пентагона и Лос-Аламоса.
🇷🇺 Потом они продавали данные КГБ — логины, схемы, отчёты по спутниковым системам. Первый documented case, где хакеры действовали как подрядчики разведки.
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤4🤔2
♾️ 17 формул, которые изменили мир
Математика в действии — как уравнения, придуманные века назад, сегодня управляют интернетом, медициной, космосом и вашими финансами.
📎 Читать статью
А если после статьи захотите разобраться, как эта математика работает в Data Science — вот экспресс-курс, который всё расставит по полочкам:
«Математика для Data Science»
🎓 За 2 месяца поймёте, как работают алгоритмы ML под капотом.
🗓️ Старт — 6 ноября
👉 Записаться на курс
Математика в действии — как уравнения, придуманные века назад, сегодня управляют интернетом, медициной, космосом и вашими финансами.
📎 Читать статью
А если после статьи захотите разобраться, как эта математика работает в Data Science — вот экспресс-курс, который всё расставит по полочкам:
«Математика для Data Science»
— практика и живые уроки
— разбор кода и проверка домашних
— поддержка в Telegram-чате
🎓 За 2 месяца поймёте, как работают алгоритмы ML под капотом.
🗓️ Старт — 6 ноября
👉 Записаться на курс
👍3🥰2
Клиент: публичное веб‑приложение с микросервисами.
Исследователь: заметил, что Log4j парсит все строки и выполняет JNDI‑lookup. Через специально сформированную строку он получил удалённое исполнение кода в JVM.
1. Пользовательский ввод попадает в лог.
2. JNDI‑lookup загружает контролируемый класс.
3. RCE → кража секретов, боковое движение, вредоносные сборки.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1
⏰ Сегодня последний день!
🎁 Только при оплате до 19 октября — курс «Базовая математика» в подарок!
Успей попасть на экспресс-курс «Математика для Data Science» — 10 живых вебинаров, практика на Python, поддержка менторов и преподаватели из ВШЭ, Яндекс Практикума и Wildberries.
За 2 месяца разберёшься с тем, на чём держится Data Science:
🎓 Построишь математический фундамент и поймёшь, как работают алгоритмы ML под капотом.
👉 Записаться на курс
Старт — 6 ноября, не упусти бонус!🎁
🎁 Только при оплате до 19 октября — курс «Базовая математика» в подарок!
Успей попасть на экспресс-курс «Математика для Data Science» — 10 живых вебинаров, практика на Python, поддержка менторов и преподаватели из ВШЭ, Яндекс Практикума и Wildberries.
За 2 месяца разберёшься с тем, на чём держится Data Science:
• векторы, матрицы и регрессия;
• градиенты, оптимизация, вероятности и статистика;
• реальные задачи анализа данных;
🎓 Построишь математический фундамент и поймёшь, как работают алгоритмы ML под капотом.
👉 Записаться на курс
Старт — 6 ноября, не упусти бонус!🎁
🥰3
oauth2security.pdf
802.1 KB
Чеклист уязвимостей, быстрые признаки и инструменты — PKCE, JWT, redirect_uri, CORS, хранение токенов.
Сейчас на курсы Proglib действует −40%
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥰2
CISA добавила свежую уязвимость —
CVE-2025-54253 — в каталог активно эксплуатируемых. Под угрозой: AEM 6.5.23 и старше.— AEM используют крупные компании, часто даже не зная о риске.
— Попадание в KEV каталог = эксплуатируется уже сейчас.
— RCE в AEM → доступ к файлам, данным и учёткам.
1. Проверить версию AEM (всё до 6.5.23 — под угрозой)
2. Установить патч или обновиться
3. Проверить логи на подозрительную активность
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1
SSRF →
169.254.169.254 → временный IAM-токен → S3 с дампом. Казалось бы, учебник, но автор говорит: это случилось у них на staging и почти стоило компании утечки в проде.Мы нашли баг в одном вспомогательном эндпоинте — он принимал URL и делал fetch. На staging никто не думал, что это опасно. Во время теста security-команда пробросила SSRF и получила ответ от 169.254.169.254 с временным токеном роли инстанса. С этим токеном легко списали объекты из S3-бакета, где лежали конфиги и бэкапы DB. К счастью, это был staging, но в логах были следы запросов с IP внешнего сканера — ясно, что в проде сценарий бы сработал так же. Мы закрыли эндпоинт, обязали IMDSv2 и запретили роль инстанса для приложений, которые её не требуют — но урок горький.
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🤔2