📎 Инструмент недели: gitleaks

Утечки часто происходят не из-за взломов, а из-за… коммитов. gitleaks ищет токены, ключи и пароли, случайно попавшие в git-репозитории или CI.

➡️ Что умеет:

— Проверяет историю коммитов и текущие файлы

— Ловит секреты по шаблонам (AWS, GitHub, Slack, etc.)

— Работает локально, в CI/CD или pre-commit hook’ом

— Поддерживает отчёты в JSON, SARIF и HTML

➡️ Пример запуска:

gitleaks detect -s ./repo -r report.json

💡 Зачем нужно:

Один забытый токен — и привет, утечка данных. gitleaks не даст этому случиться: найдёт секрет до того, как он попадёт в прод.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

📎 Сводка утечек и атак

🔜 Dentsu / Merkle — утечка данных

Dentsu сообщает о безопасности инцидента в сети своей американской дочерней компании Merkle: похищены данные сотрудников и часть клиентской информации, часть систем отключали для расследования.

🔜 Ribbon Communications — компрометация (telecom)

Поставщик телеком-решений Ribbon подтвердил взлом: злоумышленники имели доступ к сети почти год и получили файлы клиентов — в т.ч. правительственных и крупных операторов.

По оценке аналитиков, инцидент связан с актором с государственным ресурсообеспечением.

🐸 Библиотека хакера

#cve_bulletin

😈 Хакерские атаки через рекламу в соцсетях

Positive Technologies обнаружили вредоносную кампанию против стран MENA.

Схема проста ⬇️

Хакеры создают фейковые новостные группы, публикуют рекламные посты со ссылками на файлообменники или Telegram.

Там скрывается модифицированный AsyncRAT — троян для кражи криптокошельков.

🔴 Пик таких атак пришёлся на 2018-2020 гг. Злоумышленники маскировали вредоносы под «взломанные» приложения в Telegram-группах и продвигали через рекламу. Сейчас мессенджер активно борется с проблемой, но угроза остаётся.

Всегда проверяйте файлы из неизвестных источников ❗️

🔗 Читать подробнее

🐸 Библиотека хакера

#breach_breakdown

🔊 Шпаргалка Wi-Fi

Внутри: алгоритмы, аутентификация, шифрование, управление ключами.

🔤 Сохраняте и используйте в легитимных тестах.

🐸 Библиотека хакера

#cheat_sheet

🧩 Хакер-челлендж

Сценарий: Microservice-архитектура с JWT-аутентификацией. Сервис A генерирует токены (алгоритм RS256), сервис B их проверяет. В JWT payload:

{
  "user_id": 1337,
  "role": "user",
  "iat": 1699552800,
  "exp": 1699639200
}

Сервис B проверяет подпись, но разработчик добавил фичу:

Если в заголовке токена указан “alg”: “none”, проверка пропускается для «тестовых» запросов. Также в коде есть fallback на HS256 с секретом из переменной окружения.

Публичный ключ RS256 доступен по эндпоинту /jwks.json.

❓ Какой вектор атаки наиболее эффективен для получения admin-доступа? Голосуйте эмодзи:

🔥 — Algorithm confusion: подменить RS256 на HS256, используя публичный ключ как symmetric secret

👾 — None algorithm bypass: создать токен с “alg”: “none”, изменить role на “admin”

❤️ — JWT secret bruteforce: перебрать HS256 секрет (если он слабый) через hashcat

🐸 Библиотека хакера

#ctf_challenge

🤪🤪

🐸 Библиотека хакера

#hack_humor

📎 Инструмент для поиска скрытых WSUS в домене

PowerShell-скрипт, который сканирует GPO и скрытые GPP, собирает все WSUS-URLы и выдаёт чистый список хостов для быстрой проверки инфраструктуры обновлений.

🔤 Помогает найти «забытые» или скрытые WSUS до того, как ими воспользуются атакующие.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#cheat_sheet

📌 Разбор хакер-челленджа

Раннее мы выкладывали задачу 📎

Правильный ответ: 👾

Наиболее критичен None algorithm bypass, если тестовая логика доступна извне — это мгновенный обход. На втором месте — algorithm confusion, часто эксплуатируемая при неправильной поддержке нескольких алгоритмов.

🛡️ Что сделать немедленно:

• Отключить поддержку alg: "none" во всех окружениях.

• Убрать любые fallback-алгоритмы; явно принимать только ожидаемый алгоритм (например, только RS256).

• Валидировать kid/iss/aud и проверять, что ключи из JWKS приходят из доверенного источника; кэшировать JWKS.

• Не использовать публичный RSA-ключ в качестве HMAC-секрета и хранить приватные ключи в безопасном хранилище (KMS/HSM).

• Логировать и мониторить аномалии подписи и подозрительные alg/kid запросы.

Пример безопасной проверки (псевдокод, defensive):

# явно разрешённые алгоритмы и строгая проверка
jwt.decode(token, public_key, algorithms=['RS256'], audience='your-aud', issuer='your-iss’)

🐸 Библиотека хакера

#ctf_challenge

🔊 Большое руководство по сетям и шифрованию трафика в Linux

Авторы анализируют ключевые технологии криптографической защиты, доступные в Linux-окружении, и демонстрируют практические аспекты их применения.

🅱️ Материал охватывает принципы работы криптографических механизмов на протокольном уровне, особенности сетевой архитектуры Linux, концепцию end-to-end шифрования и технологии VPN-соединений.

➕ Первая часть
➕ Вторая часть

🐸 Библиотека хакера

#resource_drop

🐧 Битва дистрибутивов для пентеста

🅰️ Kali Linux — классика жанра:

— Официальный стандарт Offensive Security
— Огромное комьюнити и море туториалов
— 600+ предустановленных инструментов
— Но: тяжеловат и иногда избыточен

🈶 ParrotOS — современная альтернатива:

— Легче и быстрее Kali (меньше ресурсов)
— Встроенные инструменты анонимности (AnonSurf)
— Подходит для повседневного использования
— Но: меньше комьюнити и документации

♒️ BlackArch — максимализм хакера:

— 2800+ инструментов (самая большая коллекция!)
— Основан на Arch Linux (гибкость и кастомизация)
— Для тех, кто знает что делает
— Но: крутая кривая обучения, нет GUI из коробки

❓ Какой дистрибутив — ваш боевой выбор:

❤️ — Kali Linux
🔥 — ParrotOS
⚡ — BlackArch

🐸 Библиотека хакера

#tool_vs_tool