🔐 Open source ≠ полная безопасность
Популярность проекта не гарантирует его надёжность.
➡️ В карточках — реальный кейс с Mailcow и то, какие выводы стоит сделать.
🔗 Читать подробнее
🐸 Библиотека хакера
Популярность проекта не гарантирует его надёжность.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥1
⏰ Осталось 48 часов!
Обратный отсчёт пошёл: только до воскресенья 23:59 можно купить курс «AI-агенты для DS-специалистов» и начать учиться уже с 15 сентября.
⚡️ Это ваши +3 недели форы, чтобы спокойно разобраться в самых сложных темах и прийти к первому занятию 7 октября уже подготовленным.
👉 Забрать место
Обратный отсчёт пошёл: только до воскресенья 23:59 можно купить курс «AI-агенты для DS-специалистов» и начать учиться уже с 15 сентября.
⚡️ Это ваши +3 недели форы, чтобы спокойно разобраться в самых сложных темах и прийти к первому занятию 7 октября уже подготовленным.
👉 Забрать место
🔥3
Please open Telegram to view this post
VIEW IN TELEGRAM
😁8🌚2👾2
🤓 «Сначала выучу Python идеально, а потом пойду в ML»
Звучит логично, но на практике — ловушка.
Python огромный: фреймворки, библиотеки, нюансы синтаксиса. Учить «всё сразу» можно бесконечно.
В итоге — месяцы зубрёжки, а до ML руки так и не доходят.
На старте достаточно баз: типы данных, циклы, функции, работа с библиотеками. Всё остальное лучше подтягивать в процессе решения ML-задач.
⚠️ До 1 сентября курсы можно забрать по старым ценам. Это последние выходные, когда:
— ML идёт за 34 000 вместо 44 000 ₽ + Python в подарок,
— два в одном: оплатите курс по математике и получите второй доступ в подарок,
— и главное: можно купить все курсы до подорожания.
👉 ML для старта в Data Science
А для будущих Data Scientist’ов у нас ещё:
— Базовые модели ML и приложения
— Математика для Data Science
— AI-агенты для DS-специалистов (2-й поток скоро)
Звучит логично, но на практике — ловушка.
Python огромный: фреймворки, библиотеки, нюансы синтаксиса. Учить «всё сразу» можно бесконечно.
В итоге — месяцы зубрёжки, а до ML руки так и не доходят.
На старте достаточно баз: типы данных, циклы, функции, работа с библиотеками. Всё остальное лучше подтягивать в процессе решения ML-задач.
⚠️ До 1 сентября курсы можно забрать по старым ценам. Это последние выходные, когда:
— ML идёт за 34 000 вместо 44 000 ₽ + Python в подарок,
— два в одном: оплатите курс по математике и получите второй доступ в подарок,
— и главное: можно купить все курсы до подорожания.
👉 ML для старта в Data Science
А для будущих Data Scientist’ов у нас ещё:
— Базовые модели ML и приложения
— Математика для Data Science
— AI-агенты для DS-специалистов (2-й поток скоро)
👍2
⚡️ Писать самому
— Глубокое понимание уязвимости
— Гибкость под конкретную цель
— Навык, который прокачивает как специалиста
— Минимум «сигнатур», труднее отследить
⚡️ Брать готовые (Metasploit, GitHub, Exploit-DB)
— Быстро и удобно
— Можно сразу автоматизировать атаки
— Легко обучать новичков
— Экономия времени в реальном пентесте
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🤔1
🔒 Инструменты для пост-эксплуатации и персистентности
➡️ BloodHound — анализ графа Active Directory, поиск скрытых путей эскалации.
➡️ Evil-WinRM — удобный шелл для эксплуатации Windows через WinRM.
➡️ LinPEAS / WinPEAS — скрипты для перечисления привилегий и поиска уязвимостей локально.
➡️ Chisel — TCP/UDP туннелирование через HTTP, удобен для обхода сетевых ограничений.
➡️ Rubeus — работа с Kerberos: получение тикетов, атаки Pass-the-Ticket и др.
🐸 Библиотека хакера
#свежак
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2
ПОСЛЕДНИЙ ДЕНЬ❗
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
🌚6
Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.
Попробовав запрос, вы получаете данные (см. на картинке).
Что это за проблема
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🌚1💯1
Правильный ответ:
Anonymous Quiz
59%
Недостаточное ограничение доступа в GraphQL (Excessive Data Exposure)
7%
CSRF в GraphQL
24%
Уязвимость NoSQL Injection
10%
SSRF через GraphQL
🤔3👾1
Специалист Digital Risk Protection — офис (Екатеринбург)
Архитектор систем ИБ — гибрид (Москва)
Методолог ИБ — от 200 000 ₽, офис (Москва)
Information Security Administrator — удаленно/офис (Рига/Будва/Барселона)
Архитектор информационной безопасности — от 170 000 до 217 500 ₽, удаленно (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1
Когда нужно быстро проверить сотни доменов на живые HTTP(S)-эндпоинты — без лишнего шума.
Что умеет:
amass, subfinder, assetfinderКак запустить:
1. Установка
go install github.com/tomnomnom/httprobe@latest
2. Проверка списка
cat domains.txt | httprobe > alive.txt
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
SSRF — одна из самых опасных уязвимостей для облачных и микросервисных приложений. Она позволяет злоумышленнику превратить ваш сервер в «прокси» для атак на внутреннюю инфраструктуру.
Что разобрано в карточках:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2👍1
При тестировании часто нужен список поддоменов цели. Один из самых простых способов — использовать публичный сервис, который собирает данные из сертификатов.
Откройте crt.sh и вбейте домен цели, например:
%.example.com
Символ
% работает как wildcard — покажет все поддомены.Результаты выдаются в таблице. Можно скопировать руками или выгрузить в CSV/JSON, добавив параметр:
https://crt.sh/?q=%.example.com&output=json
Сервис часто показывает дубликаты или старые записи. Очистить список можно простым one-liner:
curl -s "https://crt.sh/?q=%.example.com&output=json" | jq -r '.[].name_value' | sort -u
Теперь список можно прогнать через
httprobe, httpx или любой другой тул, чтобы проверить, какие живые.crt.sh иногда показывает внутренние dev/test-домены, которые забыли закрыть. Часто именно они оказываются уязвимыми.#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2
За последние недели компания фиксировала целую волну гипермасштабных атак. На пике нагрузка достигла 5,1 млрд пакетов в секунду и 11,5 Тбит/с трафика.
⚡️ Это был UDP-флуд, источники которого разбросаны по всему миру: от IoT-устройств до облачных сервисов. Среди них фигурировал и Google Cloud.
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡5🔥2🌚1
Переворачиваем календарь — а там скидки, которые уже закончились.
Но мы их вернули на последний день 🤔
До 00:00 третьего сентября (цены как до 1 сентября):
▪️ Математика для Data Science — 35.199 ₽ вместо 44.900 ₽
▪️ Алгоритмы и структуры данных — 31.669 ₽ вместо 39.900 ₽
▪️ Основы IT — 14.994 ₽ вместо 19.900 ₽
▪️ Архитектуры и шаблоны — 24.890 ₽ вместо 32.900 ₽
▪️ Python — 24.990 ₽ вместо 32.900 ₽
▪️ ML для Data Science — 34.000 ₽ вместо 44. 000 ₽
▪️ AI-агенты — 49.000 ₽ вместо 59.000 ₽
👉 Хватаем скидки из прошлого
P.S. Машину времени одолжили у дяди Миши
Но мы их вернули на последний день 🤔
До 00:00 третьего сентября (цены как до 1 сентября):
▪️ Математика для Data Science — 35.199 ₽ вместо 44.900 ₽
▪️ Алгоритмы и структуры данных — 31.669 ₽ вместо 39.900 ₽
▪️ Основы IT — 14.994 ₽ вместо 19.900 ₽
▪️ Архитектуры и шаблоны — 24.890 ₽ вместо 32.900 ₽
▪️ Python — 24.990 ₽ вместо 32.900 ₽
▪️ ML для Data Science — 34.000 ₽ вместо 44. 000 ₽
▪️ AI-агенты — 49.000 ₽ вместо 59.000 ₽
👉 Хватаем скидки из прошлого
P.S. Машину времени одолжили у дяди Миши
🔥3🥱2