🛡 Шпаргалка по MCP от Elastic Security Labs

Основные риски — поддельные тулзы, внедрение инструкций, доступ к ресурсам.

⚡️ Что делать: минимальные права, проверка серверов и клиентов, контейнеризация, логирование и подтверждение критичных операций.

🔗 Подробнее по ссылке

🐸 Библиотека хакера

#cheat_sheet #blue_team

⚠️ Zero-day в Cisco ASA/FTD — активная эксплуатация

Cisco подтвердила 2 новые уязвимости в ASA и Firepower Threat Defense:

• CVE-2025-20333 (CVSS 9.9) — RCE через crafted HTTP-запросы (нужен VPN-логин).

• CVE-2025-20362 (CVSS 6.5) — обход аутентификации и доступ к закрытым эндпоинтам.

🔴 Уже есть атаки в дикой природе. CISA выпустила Emergency Directive и добавила оба CVE в каталог KEV (обязательные меры в течение 24 часов для госорганизаций).

Что делать: срочно обновить ASA/FTD, ограничить доступ к management-интерфейсам, включить мониторинг логов и IDS/IPS.

🔗 Подробнее: Cisco Advisory | CISA Alert

🐸 Библиотека хакера

#cve_bulletin

🧩 Blue vs Red: как править правила для реальных атак, а не тестов

Теория ≠ практика: срабатывания в тестах часто бесполезны в реале — либо потому что слишком много шума, либо потому что злоумышленник меняет маршрут и «обходит» правило за минуту.

❓ Вопрос от подписчика:

Какие правила/метрики детектинга реально работают против сложных атак, а какие — только шум?

Пишите реальные примеры эффективных правил и способы борьбы с false positives.
— Какие сигнатуры показали себя в продакшне?
— Какие метрики (precision, recall, MTTR и т.д.) вы считаете приоритетными для оценки качества детектинга?
— Как настроили пороговые значения и автоматическую фильтрацию шума?
— Какие практики снижают шум без потери обнаружения (enrichment, дедупликация, контекстные эвристики)?

Делитесь реальными кейсами, примерами правил и скриптами/паттернами для снижения false positives 🔜

🐸 Библиотека хакера

#ask_the_community

📎 Инструмент недели: Nuclei

Высокопроизводительный шаблонный сканер для быстрого поиска уязвимостей по шаблонам (YAML). Отлично подходит для массового сканирования и интеграции в pipeline.

➡️ Что он делает:

— Быстрый запуск массовых проверок по сообществу шаблонов;
— поддержка HTTP, DNS, TCP, cloud-checks и пр.;
— лёгкая кастомизация шаблонов (YAML).

➡️ Как запустить (пример):

# простая проверка хоста по шаблону
nuclei -u https://target.example -t cves/ -o results.txt

# запустить с набором шаблонов из репозитория
nuclei -u urls.txt -t ~/nuclei-templates/ -o out.csv

💡 Практические советы:

— Поддерживай локальную копию nuclei-templates и обновляй их часто;

— в CI запускай сначала «quiet» режим и настраивай rate-limits, чтобы не утонуть в false-positives;

— комбинируй с fingerprinting (httpx) и предварительной фильтрацией.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

⚠️ Supply-chain под прицелом: GitHub усиливает защиту npm

После атаки Shai-Hulud, которая затронула экосистему npm, GitHub анонсировал новые правила безопасности для публикации пакетов:

— локальная публикация теперь только с 2FA;

— lifetime токенов сокращён до 7 дней;

— вводится модель **trusted publishing.

Это шаг к тому, чтобы снизить риск массовых компрометаций в цепочке поставок.

📎 Читать подробнее

🐸 Библиотека хакера

#patch_notes

🔍 Как простой файл в приложении привёл к краже сессий

Разработчик хранил access/refresh токены в SharedPreferences/NSUserDefaults. Исследователь распаковал сборку → нашёл токен → подставил Authorization: Bearer <token> — и вошёл в аккаунт жертвы.

➡️ Что произошло:

— быстрое считывание токенов с устройства
— захват сессий — личные данные и действия от имени пользователя
— массовый фишинг по похищенным контактам
— срочный хотфикс, репутационный и юридический урон

➡️ Починили так:

— перевели секреты в Keychain / Android Keystore
— сделали короткие access-токены + одноразовые refresh
— привязали токен к устройству и детект reuse
— добавили сканы сборок и security-tests в CI

💡 Не храните токены в plain files — мобильный клиент не место для секретов.

🐸 Библиотека хакера

#breach_breakdown