🐮 Как тинейджеры из Техаса изменили мир ИБ

Почему они легенды 🔜

🔵 Придумали слово "hacktivism" (1996) — хакерство ради активизма

🔵 Создали первую хакерскую конференцию HoHoCon, куда пригласили копов и журналистов

🔵 Заставили Microsoft исправиться — после релиза Back Orifice на DEF CON 6 компания наконец-то взялась за безопасность Windows

Самое интересное:

➡️ Один из членов — Beto O'Rourke, кандидат в президенты США 2020 (ник: Psychedelic Warlord)

➡️ Mudge из cDc позже возглавлял кибербезопасность в Twitter и работал в DARPA

Их главный троллинг:

Back Orifice (1998) — инструмент удаленного доступа на порту 31337 (leet!). Название — издевка над Microsoft BackOffice. Антивирусы считали его малварью, но смысл был в другом: показать, насколько дыряв Windows.

Где копать глубже:

📚 Книга "Cult of the Dead Cow" by Joseph Menn — вся история изнутри
🌐 Их официальный сайт (до сих пор активен!)
🎧 Интервью с членами cDc на DEF CON — ищите на YouTube

Группа существует до сих пор и борется за свободу интернета через Hacktivismo. Настоящая легенда хакерской культуры, которая доказала: можно быть хакером и менять мир к лучшему.

🐸 Библиотека хакера

#zero_day_legends

📎 SIEM-правила для детектирования MITRE ATT&CK

Шпаргалка-проводник: от техники атаки к правилам обнаружения в GitHub.

Что внутри:
— 200+ техник MITRE ATT&CK
— Sigma Rules + Splunk Rules
— Готовые правила корреляции

Основные категории:

— Defense Evasion (отключение защиты, очистка логов)
— Persistence (службы, автозапуск)
— Discovery (разведка сети, пользователей)
— Lateral Movement (PSExec, RDP, WMI)

Формат: Technique ID → Atomic Test → Detection Rules

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cheat_sheet

✏️ Задача «Распродажа»

Представим, что специалистами по безопасности приложений была найдена ошибка в одном из продуктов, позволяющая изменять конечную цену товара. Известно, что внутри класса Promocode есть обращение к методу calculate_total. Выше представлена часть кода, содержащая уязвимость.

❓ Какой вариант уязвимости представлен в коде:

🥰 — Race Condition при применении промокода

👾 — Race Condition при добавлении товаров

❤️ — TOCTOU (Time-of-Check-Time-of-Use) при расчёте скидки

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#ctf_challenge

🐸 Библиотека хакера

#hack_humor

🛡️ Основы для SOC-аналитиков

Что внутри:
— Как работает центр кибербезопасности
— SIEM, EDR, SOAR — ключевые инструменты
— Управление логами и расследование инцидентов
— Типичные ошибки новичков

Идеально для начинающих в Blue Team и действующих SOC-аналитиков, которые хотят систематизировать знания.

📎 Ссылка на курс

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#resource_drop

🔍 Разбор задачи

В приложении допущена архитектурная уязвимость Race Condition.

🔘 Что пошло не так:

— Промокод проверяется только на пустоту.
— Далее создаётся объект Promocode, где сразу происходит расчёт скидки.
— Между созданием объекта и присвоением его в ShoppingCart есть короткое окно (десятки мс).
— При одновременных запросах сумма может пересчитаться несколько раз.

🔘 Почему это критично:

— Блокировка (self.lock) есть, но не применяется к промокодам.
— Промокод применяется до записи в поле корзины.
— is_valid влияет только на ответ метода, но не предотвращает применение скидки.

🔤 Исправление:

— Синхронизировать применение промокода.
— Проверки выполнять до изменения состояния корзины.

📌 Race Condition подробно разобраны в PortSwigger Web Academy — обязательная тема для backend и security.

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#ctf_challenge

🔥 Золотая жила для взлома ядра Linux

50+ разобранных CTF-задач по эксплуатации ядра Linux с writeup'ами — от beginner до hardcore.

Что внутри:

SMEP/SMAP/KPTI/KASLR/FGKASLR bypass техники
Race conditions, heap, eBPF, Docker escape
Чеклист kernel config'ов для проверки

Топ задачи:

🎯 corjail — Docker escape + hardened heap
🎯 Fire of Salvation — FGKASLR bypass через msg_msg
🎯 kone_gadget — shellcode в JIT seccomp фильтре

Есть раздел для новичков с простыми UAF и race'ами.

📎 Ссылка на GitHub

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#tool_of_the_week

📎 EllipticCurveKeyPair

Мини-фреймворк для iOS и macOS, упрощающий работу с Secure Enclave и эллиптической криптографией через понятный Swift-API.

🔤 Что умеет:

— Создаёт пару ECC-ключей (private / public).
— Хранит private key в Secure Enclave.
— Требует Face ID / Touch ID / PIN при каждом использовании private key.
— Подписывает и проверяет данные (ECDSA).
— Шифрует и расшифровывает данные (ECIES).
— Экспортирует public key в DER / PEM (X.509).
— Работает с Cocoapods, Carthage и вручную.
— Есть fallback в Keychain без Secure Enclave.

🔤 Где полезен:

— Подтверждение платежей и соглашений.
— Криптографическая идентификация пользователя.
— FinTech и secure auth-flows.

Инструмент для случаев, когда нужна аппаратная безопасность, а не абстрактная криптография.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

😳 Код, который любят WAF’ы и админы

444 — не «настоящий» HTTP-статус по RFC. Это нестандартный код nginx, который означает простое действие: nginx закрывает соединение и не отправляет HTTP-ответ вообще.

➡️ Что обычно означает 444 в разведке:

 • сработало правило на уровне reverse-proxy / WAF / антибота;

 • дроп по политике (например, пустой/левый Host, странный User-Agent, подозрительные пути).

➡️ Симптом снаружи часто выглядит как:

curl: (52) Empty reply from server

(сервер закрыл TCP, не дав HTTP-ответа) — это логично для «молчаливого» дропа.

❓ Как отличить 444 от «просто сеть умерла»

Практически:

🔴 444 — это управляемое поведение nginx (предсказуемое, повторяемое под одинаковыми условиями запроса).

🔴 «Сеть умерла» обычно даёт более хаотичную картину (таймауты, нестабильность, разные ошибки на повторах).

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#zero_day_legends

🐸 Библиотека хакера

#hack_humor

❓ Что такое 1006 на самом деле

1006 — это не код, который присылает сервер.

Это локальный статус клиента, означающий:

соединение закрыто нештатно,
без корректного WebSocket Close frame

Проще: кто-то дёрнул провод.

🧱 Почему это любят WAF’ы и edge-инфра

Типичный сценарий:

1️⃣ HTTP → WebSocket upgrade принят

2️⃣ Клиент начинает слать фреймы

3️⃣ WAF / Anti-Bot / API Gateway не нравится поведение

4️⃣ TCP соединение жёстко закрывается

5️⃣ Клиент видит: close code 1006

🚩 Частые триггеры для 1006

• нестандартные WebSocket фреймы

 • слишком частые сообщения сразу после upgrade

 • бинарные payload’ы «не по профилю»

 • отсутствие cookies / auth-контекста

 • подозрительный User-Agent

 • попытка автоматизации (ws + сканер)

🔤 Как это выглядит снаружи
• в браузере:

WebSocket closed with code 1006

— в логике клиента:
reconnect без объяснений

— в tcpdump:
RST / FIN без close frame

🧠 Как отличить WAF от бага сервера

🔴 WAF / edge

• повторяемо при одинаковых условиях
• зависит от payload / частоты
• браузер ↔️ работает, скрипт ↔️ нет

🔴 Сервер

• нестабильно
• часто вместе с 5xx
• видно в backend-логах

🐸 Библиотека хакера

#zero_day_legends

🐳 Секретные команды Docker, о которых вы могли не знать

Думаете, что знаете Docker? Christian Lempa покажет команды, которые упростят вашу работу с контейнерами и сэкономят кучу времени.

Что внутри:

— Малоизвестные, но мощные команды Docker
— Практические примеры использования
— Советы по оптимизации работы

📌 Собрали все команды в удобную шпаргалку — сохраните себе для быстрого доступа!

📎 Смотреть видео

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cheat_sheet #docker

👨‍💻 Bitrix Ultimate Pentest Guide

От базовых вещей типа определения версии до серьезных RCE и обхода WAF.

🔤 Что внутри:

— Классические векторы атак (XSS, SSRF, LFI, RCE)
— Куча интересных эндпоинтов для авторизации
— Enumerate пользователей и регистрация через бэкдоры
— Отдельная секция по уязвимым модулям — это вообще золото
— Готовый сканер "huitrix" под капотом

Особенно зацепила часть про сторонние модули и директорию /local/ — обычно там и находится самое интересное 👀

Если работаете с Bitrix или просто интересуетесь веб-пентестом — must read 📎

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#resource_drop

📦 Helm — краткая шпаргалка для работы с чартами

Сохраняйте, если Helm — часть вашей ежедневной рутины.

🟢 Управление репозиториями

helm repo list        # список подключённых репозиториев
helm repo update      # обновить список чартов

🟢 Поиск и просмотр чартов

helm search           # поиск доступных чартов
helm search <chart>   # поиск конкретного чарта
helm ls               # установленные релизы
helm ls --deleted     # удалённые релизы
helm ls --all         # все релизы
helm inspect values <repo>/<chart>  # переменные чарта

🟢 Установка и удаление

helm install --name <name> <repo>/<chart>
helm install --name <name> --values values.yaml <repo>/<chart>
helm status <name>            # статус релиза
helm delete --purge <name>    # полное удаление

🟢 Обновление и откат

helm get values <name>                         # текущие values
helm upgrade --values file.yaml <name> <repo>/<chart>
helm history <name>                            # история релизов
helm rollback <name> 1                         # откат к версии

🟢 Создание чартов

helm create <name>        # создать шаблон чарта
helm lint <name>          # проверить чарт
helm package <name>       # упаковать в .tgz
helm dependency update    # обновить зависимости

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cheat_sheet

🚨 WatchGuard Firebox: RCE без авторизации (CVE-2025-14733)

⚡️ десятки / сотни тысяч устройств под угрозой
Критическая уязвимость в IKEv2 VPN позволяет удалённое выполнение кода без аутентификации на периметре сети.

🔘 Технические детали:

— Out-of-Bounds Write (CWE-787)
— Уязвимый процесс: iked

— Затронуты:
• Mobile User VPN (IKEv2)
• Branch Office VPN (IKEv2)

— Условие: dynamic gateway peer enabled
— Impact: полный контроль над firewall / VPN-шлюзом

🔘 Статус эксплуатации:

— Публичного стабильного PoC нет
— Вендор и CISA подтверждают высокий риск
— Типовая уязвимость для APT / ransomware
— Периметр = приоритетная цель

🔗 Патчи и официальные источники:

WatchGuard PSIRT Advisory (WGSA-2025-00027) | CISA KEV Catalog:

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#cve_bulletin

❔ Самая переоцененная штука в ИБ

🔥 — Firewall (галочка в чек-листе)
🥰 — Антивирус (ожидания ≠ реальность)
😁 — SIEM (без детекта — хранилище)
👾 — Awareness (не заменяют контроль)
👍 — MFA (ломают при слабой реализации)

Горячие takes — в комменты 💭

🐸 Библиотека хакера

#ask_the_community

🔐 ContainerSSH — SSH-сервер для запуска контейнеров

Опенсорс-проект, который запускает Docker/Kubernetes контейнеры при SSH-подключении. После отключения — автоматическая очистка.

Три интересных кейса:

➡️ Лабораторные среды — изолированные окружения для студентов с автоочисткой

➡️ Безопасный доступ к продакшену — временные контейнеры с полным логированием действий

➡️ Honeypot — изучение атак в изоляции с записью всех действий

Фичи:

— Полное аудит-логирование
— Webhook-авторизация
— Изоляция на уровне контейнеров
— Автоматическая очистка сессий

Полезно для lab-сред и мониторинга угроз. Apache 2.0.

🔗 GitHub

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#tool_of_the_week