💳 Must-have инструменты пентестера

1️⃣ Burp Suite (Pro / Community) — de-facto стандарт веб-пентеста, используется в bug bounty и enterprise.

— proxy, repeater, intruder
— ручное тестирование логики и auth
— расширения под OWASP Top 10 и beyond

2️⃣ Caido — активно вытесняет Burp у solo-исследователей за счёт UX и скорости.

— современный HTTP proxy
— удобный UI для ручного анализа
— активное развитие под pentest / bounty

3️⃣ httpx — используется в большинстве публичных recon-скриптов.

— проверка живых хостов
— TLS, headers, status codes
— база для recon-пайплайнов

4️⃣ Nmap — стандарт индустрии, без альтернатив по зрелости.

— discovery, port-scan, service detection
— NSE-скрипты под CVE и misconfig

5️⃣ Nuclei — основа автоматизации infra/web-сканирования.

— шаблонный vulnerability scanner
— CVE, misconfig, exposures
— легко кастомизируется

6️⃣ CrackMapExec — must-have для internal pentest и red team.

— AD / SMB / WinRM
— lateral movement
— credential reuse

7️⃣ Prowler — используется security-командами и пентестерами для cloud-review.

— AWS / Azure / GCP
— CIS Benchmarks
— IAM и cloud-misconfig

8️⃣ ScoutSuite — популярен для black-box cloud-assessments.

— multi-cloud security auditing
— граф связей ресурсов
— отчёты для клиентов

9️⃣ CloudSploit (open-source rules) — база для понимания cloud-risk без CSPM-комбайнов.

— поиск dangerous cloud-configs
— читаемые правила

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_vs_tool

❓ Почему IDOR — это архитектурная уязвимость, а не «забыли проверку»

IDOR — это не баг уровня junior. Это системная ошибка доверия клиенту и одна из причин OWASP Top 10: Broken Access Control.

Как думают:

«Пользователь же не станет подставлять чужой ID».

ℹ️ Как на самом деле:

Клиент контролирует все параметры запроса. Если сервер доверяет user_id, order_id, document_id — контроля доступа нет.

ℹ️ Чем это заканчивается:

— доступ к чужим данным
— изменение заказов и счетов
— массовые утечки через перебор ID

➡️ В следующем посте — разберём, как выглядит IDOR в коде, почему его пропускают на ревью и как правильно закрывать такие баги на уровне бэкенда и БД.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🐸 Библиотека хакера

#hack_humor

🚶‍♂️ Углублённый разбор IDOR

В первой части мы разобрали, почему IDOR — это не «забыли проверку», а системная ошибка доверия клиенту. Теперь — как эта ошибка выглядит в реальном коде:

@app.route('/api/orders/<order_id>')
def get_order(order_id):
    order = db.query(f"SELECT * FROM orders WHERE id={order_id}")
    return jsonify(order)
# Любой может запросить GET /api/orders/12345

// Frontend
fetch(`/api/profile/${userId}`)
// userId взят из URL или localStorage — легко подменить

Проблема в том, что сервер:

— доверяет идентификатору от клиента

— не проверяет владение ресурсом

— считает факт доступа достаточным основанием для ответа

✅ Как правильно закрывать IDOR:

@app.route('/api/orders/<order_id>')
@login_required
def get_order(order_id):
    order = Order.query.get_or_404(order_id)
    if order.user_id != current_user.id:
        abort(403)
    return jsonify(order)

SELECT * FROM orders
WHERE id = ? AND user_id = ?

Ключевой принцип: каждый запрос к объекту = отдельная проверка прав.

Почему такие баги проходят мимо:

— функционал корректен для «нормального» пользователя

— тесты не проверяют доступ к чужим объектам

— бизнес-логика не формализована

— ревью смотрит на код, а не на модель доступа

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🤔 Что будет, если объединить условный ffuf с LLM? Получится инструмент, при использовании которого не надо париться со словарями и вот этим всем. Именно так и сделала команда Invicti Security!

brainstorm — инструмент для веб-фаззинга, который объединяет локальные модели LLM (через Ollama) и ffuf для оптимизации обнаружения директорий и файлов. Пользуйтесь👇

👩‍💻 GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

🔑 GitLab и байпас 2FA

В январе 2026 в GitLab закрыли уязвимость CVE-2026-0723, позволявшую обойти 2FA при знании идентификатора учётных данных. Причина — логическая ошибка в сервисах аутентификации: второй фактор был включён, но результат его проверки можно было обойти.

Исправление вышло 21 января 2026 в версиях 18.8.2 / 18.7.2 / 18.6.4. Всё, что ниже — потенциально уязвимо.

🔤 Практический вывод:

2FA не является уровнем защиты «по умолчанию». Его надёжность полностью зависит от реализации. Если есть баг в логике — второй фактор превращается в декоративный.

Поэтому:

   • обновления критичнее, чем сам факт включённого 2FA;
 • контроль версий и патч-менеджмент — часть модели угроз;
 • «у нас есть 2FA» ≠ «у нас защищённый доступ».

Детали по уязвимости раскроют позже, но окно между публикацией PoC и атаками обычно короткое. Обновляться нужно до этого момента, а не после инцидента.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin

📌 Шпаргалка по Metasploit

Meterpreter, процессы, сеть, keylogging, дампы, msfvenom — всё самое ходовое в одном месте.

Рабочий лист для пентеста и CTF, когда нужно быстро вспомнить команду, а не читать документацию.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🚫 «Белые» VPN больше не притворяются легальными

24 января «белые» VPN перестали работать, потому что у них забрали главный ресурс — общие с легальными сервисами IP-адреса.

Речь про VPN, которые:

— размещались на российских серверах
— использовали «белые» IP, как у разрешённых сервисов
— маскировали трафик под легальный мобильный интернет

➕ РКН сменил вектор: давит не DPI, а инфраструктурой.

Вместо фильтрации трафика облачным провайдерам выдвинуто требование:

— IP-адреса, используемые разрешёнными сервисами, должны быть изолированы
— без общих пулов
— без переиспользования для сторонних клиентов

Результат — VPN теряют саму возможность маскировки, ещё до этапа анализа трафика.

🪦 Итог — предсказуемый:

— VPN «под легальный сервис» умерли одномоментно
— К 2026 году прибили уже 439 VPN (осенью было 258)
— Под нож пошли SOCKS5, VLESS, L2TP
— Корпоративные VPN тоже ловят лаги, даже если формально «разрешены»

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

❔ Самая недооценённая вещь в ИБ

🔥 — Логирование (пока не поздно)
🥰 — Asset inventory (не знаешь — не защитишь)
😁 — Threat modeling (экономит месяцы)
👾 — Secure defaults (меньше героизма)
👍 — Обновления (банально, но работает)

Горячие takes — в комменты 💭

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ask_the_community

🛡 Прокси для защиты данных при работе с LLM

PasteGuard — privacy-proxy для OpenAI и Anthropic. Он маскирует персональные данные и секреты до отправки запроса в LLM. Для старта достаточно заменить один URL.

Как работает:

🔵 Mask Mode
PII подменяется плейсхолдерами → запрос уходит в облако → ответ возвращается с оригинальными данными.

🔵 Route Mode
Запросы с чувствительными данными уходят в локальную LLM (Ollama, vLLM, llama.cpp). PII не покидает инфраструктуру.

Что защищает:

• PII: имена, email, телефоны, карты, IBAN, IP
• Секреты: API-ключи, токены, SSH/PEM, JWT
• Streaming-ответы, 24 языка
• OpenAI-совместимые API + нативный Claude
• Self-hosted, open source (Apache 2.0)

Быстрый старт:

docker run --rm -p 3000:3000 ghcr.io/sgasser/pasteguard:en

👩‍💻 GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

🚬 Фишинг нового поколения

Palo Alto Networks Unit 42 показали приём, который ломает привычный детект.

Как это выглядит:

🔵 Страница загружается чистой — без вредоносного JS

🔵 Браузер сам обращается к LLM API (Gemini / DeepSeek)

🔵 По продуманному промпту ИИ генерирует фишинговый JavaScript

🔵 Код собирается и выполняется на лету (eval())

❗️ Почему это опасно:

— Полиморфизм: уникальный код на каждую жертву
— Трафик к LLM выглядит легитимным
— Нет статического пейлоада — нечего сканировать
— По данным Unit 42, 36% вредоносных страниц уже используют runtime-сборку

«На первый взгляд безобидная веб-страница использует клиентские API-вызовы к доверенным LLM-сервисам для динамической генерации вредоносного JavaScript в реальном времени.»

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

👩‍💻 Вышли ISO-образы Windows 7 и Vista со всеми обновлениями

Windows 7 и особенно Windows Vista давно ушли в прошлое: Microsoft прекратила их поддержку, а современное ПО почти не работает с версиями ниже Windows 10. Тем не менее, эти системы до сих пор используются — и теперь их стало проще установить в максимально «полном» виде.

Энтузиаст из Windows-сообщества подготовил установочные ISO Windows 7 и Windows Vista, в которые включены все доступные обновления безопасности вплоть до января 2026 года.

Что важно:

🔶 Для Windows Vista это финальная точка — в январе 2026 вышел последний апдейт по программе Premium Assurance, и теперь все патчи собраны в один ISO

🔶 Образы подходят для установки с USB или DVD, без ручного накатывания обновлений

🔶 Аналогичная «финальная» сборка доступна и для Windows 7

Использовать эти ОС как основные сегодня не рекомендуется, но для ретро-сборок, тестов и старого ПО такие образы вполне пригодятся.

📎 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

🚨 PyPI: очередной кейс supply chain-атаки

В репозитории PyPI обнаружен вредоносный пакет sympy-dev, маскирующийся под библиотеку SymPy. Он полностью копирует описание оригинального проекта, создавая ощущение «dev-версии», за счёт чего и вводит пользователей в заблуждение. По данным расследования, пакет скачивался как минимум с 17 января 2026 года, общее число загрузок превысило 1100.

➡️ Внутри пакета — модифицированная логика, используемая как загрузчик вредоносного кода. Активируется она не сразу, а только при вызове определённых полиномиальных процедур, что позволяет дольше оставаться незаметной и обходить поверхностные проверки.

Финальная цель атаки — загрузка на Linux-хосты двух ELF-бинарников и развёртывание майнера XMRig, с последующей скрытой эксплуатацией вычислительных ресурсов системы.

Типичный, но всё ещё эффективный сценарий supply chain-компрометации через доверие к популярным зависимостям.

📎 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cve_bulletin

👩‍💻 Бесплатный курс по Linux

Формат простой и рабочий: теория, практические задания и много ссылок на дополнительные материалы.

Курс хорошо подойдёт:

новичкам — как системная прокачка базы,
опытным специалистам — как способ проверить, не забылись ли базовые и прикладные вещи.

➕ Курс на английском. Если язык мешает — переводчики и ИИ решают проблему без особых потерь по смыслу.

🔗 Ссылка

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

💯💯

🐸 Библиотека хакера

#hack_humor

📎 12 основных сетевых протоколов

🐸 Библиотека хакера

#cheat_sheet

🖥 Linux Exploit Suggester — утилита для поиска локальных уязвимостей в Linux

Python-скрипт анализирует версию ядра и параметры системы, затем сопоставляет их с базой известных уязвимостей, предлагая возможные эксплойты для локальной эскалации привилегий.

Подходит для быстрого первичного анализа окружения.

📎 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

👧 29 января 2021. День, когда обновлениям перестали верить

История с SolarWinds окончательно вышла за рамки «очередного инцидента» именно в этот день. Стало ясно: это не утечка и не ошибка конфигурации, а одна из самых опасных атак в истории ИБ.

🔘 Злоумышленники не ломали инфраструктуру клиентов. Они встроились раньше — в официальный процесс сборки. Вредоносный код попал в подписанный апдейт Orion и разошёлся по тысячам организаций вместе с легитимным обновлением.

➡️ Что сделало этот кейс переломным:

— администраторы сами устанавливали бэкдор
— системы защиты видели «нормальную активность»
— компрометация длилась месяцами без шума
— атакующий сразу оказывался внутри периметра

✏️ Главный вывод неприятный, но честный:

Если скомпрометирован вендор — защищаться уже поздно.

С этого дня обновления стали частью модели угроз.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown