🚨 0-click атака на Apple
Уязвимость в RawCamera.bundle (JPEG Lossless) позволяет выполнить код без кликов — достаточно получить фото в iMessage.
⚠️ Затронуты:
Apple уже выпустила патчи. Исследователи сделали тулзу ELEGANT BOUNCER на Rust для проверки DNG.
Что делать:
— Обновить систему.
— Выключить автопоказ превью.
— Проверять файлы из незнакомых источников.
🔗 Читать подробнее
🐸 Библиотека хакера
#свежак
Уязвимость в RawCamera.bundle (JPEG Lossless) позволяет выполнить код без кликов — достаточно получить фото в iMessage.
iOS/iPadOS 18.6.2, macOS Sequoia 15.6.1, Sonoma 14.7.8, Ventura 13.7.8, iPadOS 17.7.10.Apple уже выпустила патчи. Исследователи сделали тулзу ELEGANT BOUNCER на Rust для проверки DNG.
Что делать:
— Обновить систему.
— Выключить автопоказ превью.
— Проверять файлы из незнакомых источников.
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔6👍2🔥2
📢 Какой сетап идеально подойдёт для разработки AI-агента?
Голосуйте за свой вариант и пишите в комментариях, в каком режиме вы реально кодите.
❤️ — 1
👍 — 2
⚡️ — 3
👏 — 4
🔥 — 5
🎉 — 6
😁 — 7
😍 — 8
🤩 — 9
Какой бы сетап ни был, без AI-агентов в 2025 всё равно далеко не уедешь.
👉 Научим, как строить агентов, которые кодят с тобой
Голосуйте за свой вариант и пишите в комментариях, в каком режиме вы реально кодите.
❤️ — 1
👍 — 2
⚡️ — 3
👏 — 4
🔥 — 5
🎉 — 6
😁 — 7
😍 — 8
🤩 — 9
Какой бы сетап ни был, без AI-агентов в 2025 всё равно далеко не уедешь.
👉 Научим, как строить агентов, которые кодят с тобой
🎉8🤩5😍5🔥3❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚5😁2
На рынке дефицит SOC-аналитиков, DevSecOps, AppSec-инженеров и менеджеров.
Эксперты рассказали:
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👏3👍1👾1
Как назывался первый широко распространённый вирус в электронной почте ❔
Anonymous Quiz
9%
MyDoom
63%
ILOVEYOU
3%
Code Red
25%
Storm Worm
🤔3
Хорошая разведка строится не на «хаках», а на внимательности к деталям: домен, фото в соцсетях, забытый тестовый сервер.
— История DNS (SecurityTrails, DNSdumpster)
— SSL-сертификаты (
crt.sh, censys.io)— Ассеты по ASN/IP-диапазонам
— Корпоративные e-mail (
Hunter.io, Clearbit)— GitHub/GitLab — коммиты с конфигами и токенами
— Поведенческие паттерны в соцсетях
— Dorking по
site:company.com filetype:pdf/doc/xls— EXIF/метаданные (авторы, софт, пути)
— Проверка корпоративных доменов в базах утечек (DeHashed, LeakCheck)
— Даркнет-форумы и Telegram-каналы (ключевые слова, почты, домены)
— Wappalyzer/BuiltWith для CMS и плагинов
— Проверка версий сервисов через Shodan/Censys
⚡️ Результат: карта инфраструктуры + список потенциальных точек входа без единого «актива» внутри сети.
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍3
🔐 Open source ≠ полная безопасность
Популярность проекта не гарантирует его надёжность.
➡️ В карточках — реальный кейс с Mailcow и то, какие выводы стоит сделать.
🔗 Читать подробнее
🐸 Библиотека хакера
Популярность проекта не гарантирует его надёжность.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥1
⏰ Осталось 48 часов!
Обратный отсчёт пошёл: только до воскресенья 23:59 можно купить курс «AI-агенты для DS-специалистов» и начать учиться уже с 15 сентября.
⚡️ Это ваши +3 недели форы, чтобы спокойно разобраться в самых сложных темах и прийти к первому занятию 7 октября уже подготовленным.
👉 Забрать место
Обратный отсчёт пошёл: только до воскресенья 23:59 можно купить курс «AI-агенты для DS-специалистов» и начать учиться уже с 15 сентября.
⚡️ Это ваши +3 недели форы, чтобы спокойно разобраться в самых сложных темах и прийти к первому занятию 7 октября уже подготовленным.
👉 Забрать место
🔥3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7🌚2👾1
🤓 «Сначала выучу Python идеально, а потом пойду в ML»
Звучит логично, но на практике — ловушка.
Python огромный: фреймворки, библиотеки, нюансы синтаксиса. Учить «всё сразу» можно бесконечно.
В итоге — месяцы зубрёжки, а до ML руки так и не доходят.
На старте достаточно баз: типы данных, циклы, функции, работа с библиотеками. Всё остальное лучше подтягивать в процессе решения ML-задач.
⚠️ До 1 сентября курсы можно забрать по старым ценам. Это последние выходные, когда:
— ML идёт за 34 000 вместо 44 000 ₽ + Python в подарок,
— два в одном: оплатите курс по математике и получите второй доступ в подарок,
— и главное: можно купить все курсы до подорожания.
👉 ML для старта в Data Science
А для будущих Data Scientist’ов у нас ещё:
— Базовые модели ML и приложения
— Математика для Data Science
— AI-агенты для DS-специалистов (2-й поток скоро)
Звучит логично, но на практике — ловушка.
Python огромный: фреймворки, библиотеки, нюансы синтаксиса. Учить «всё сразу» можно бесконечно.
В итоге — месяцы зубрёжки, а до ML руки так и не доходят.
На старте достаточно баз: типы данных, циклы, функции, работа с библиотеками. Всё остальное лучше подтягивать в процессе решения ML-задач.
⚠️ До 1 сентября курсы можно забрать по старым ценам. Это последние выходные, когда:
— ML идёт за 34 000 вместо 44 000 ₽ + Python в подарок,
— два в одном: оплатите курс по математике и получите второй доступ в подарок,
— и главное: можно купить все курсы до подорожания.
👉 ML для старта в Data Science
А для будущих Data Scientist’ов у нас ещё:
— Базовые модели ML и приложения
— Математика для Data Science
— AI-агенты для DS-специалистов (2-й поток скоро)
👍2
⚡️ Писать самому
— Глубокое понимание уязвимости
— Гибкость под конкретную цель
— Навык, который прокачивает как специалиста
— Минимум «сигнатур», труднее отследить
⚡️ Брать готовые (Metasploit, GitHub, Exploit-DB)
— Быстро и удобно
— Можно сразу автоматизировать атаки
— Легко обучать новичков
— Экономия времени в реальном пентесте
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🤔1
🔒 Инструменты для пост-эксплуатации и персистентности
➡️ BloodHound — анализ графа Active Directory, поиск скрытых путей эскалации.
➡️ Evil-WinRM — удобный шелл для эксплуатации Windows через WinRM.
➡️ LinPEAS / WinPEAS — скрипты для перечисления привилегий и поиска уязвимостей локально.
➡️ Chisel — TCP/UDP туннелирование через HTTP, удобен для обхода сетевых ограничений.
➡️ Rubeus — работа с Kerberos: получение тикетов, атаки Pass-the-Ticket и др.
🐸 Библиотека хакера
#свежак
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2
ПОСЛЕДНИЙ ДЕНЬ❗
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
🌚4
Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.
Попробовав запрос, вы получаете данные (см. на картинке).
Что это за проблема
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🌚1💯1
Правильный ответ:
Anonymous Quiz
57%
Недостаточное ограничение доступа в GraphQL (Excessive Data Exposure)
7%
CSRF в GraphQL
25%
Уязвимость NoSQL Injection
11%
SSRF через GraphQL
🤔3👾1
Специалист Digital Risk Protection — офис (Екатеринбург)
Архитектор систем ИБ — гибрид (Москва)
Методолог ИБ — от 200 000 ₽, офис (Москва)
Information Security Administrator — удаленно/офис (Рига/Будва/Барселона)
Архитектор информационной безопасности — от 170 000 до 217 500 ₽, удаленно (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM