🛒 Пет-проект для фронтендера: Just Buy Nothing

Сайт, где можно «шопиться» без траты денег.
Заходишь, листаешь каталог, добавляешь в корзину, идёшь в «оформление заказа»… и всё. Ничего не платишь и ничего не получаешь.

🙂 Идея: дать дофаминовый кайф от покупки без удара по кошельку.
Похожая концепция встречалась ещё в 90-х: люди приходили в «магазин мечты» за $10/месяц, щупали товары, «оплачивали» картой — и оставляли всё в магазине.

➡️ Что можно прокачать:
— добавить описание и галереи, как у Amazon
— сделать AI-генерацию товаров и «отзывы»

Понравился проект? Ставь ❤️

Proglib Academy

#буст

😏 Руководство для белых хакеров

Разберемся как эффективно использовать инструменты и техники пентестинга.

⭐ Какие инструменты:

📍 Kali Linux: операционная система, созданная для аудита безопасности. В ней собраны все основные инструменты для пентестинга: Nmap (для сканирования сети), Metasploit (для разработки эксплойтов) и Wireshark (для анализа трафика).

📍 Metasploit Framework: помогает тестировать уязвимости, включающая набор инструментов для создания и запуска эксплойтов, которые проверяют, насколько уязвимы системы.

📍 Burp Suite: используется для тестирования безопасности веб-приложений. Он помогает перехватывать запросы и анализировать данные, передаваемые между сервером и браузером.

📍 Wireshark: анализатор сетевого трафика, который позволяет видеть, какие данные проходят через сеть. Это полезно для поиска необычной активности или утечек данных.

📍 Nmap: сканер для выявления открытых портов, работающих сервисов и устройств в сети. Это первый шаг при анализе любой инфраструктуры.

⭐ Какие методы:

📍 Сканирование уязвимостей

Быстрый способ определить возможные проблемы — использование автоматизированных инструментов для поиска известных слабых мест в системе или приложении.

📍 Социальная инженерия

Применение методов манипуляции людьми для получения конфиденциальной информации. Простой пример — фишинг (обман через email), который позволяет атакующему получить доступ к личным данным.

📍 Эксплуатация уязвимостей

Это процесс использования найденных слабых мест для проникновения в систему и получения доступа к данным или системам управления.

📍 Постэксплуатация

Когда проникновение в систему уже произошло, следующий шаг — использование полученного доступа для сохранения позиций, расширения прав или скрытия следов.

⭐ Лучшие практики для пентестеров:

📍 Регулярное обновление знаний: киберугрозы постоянно развиваются, и важно оставаться в курсе новых методов и техник, чтобы не отставать от изменений.

📍 Этика: пентестеры должны работать только с разрешения владельцев систем. Это помогает избежать юридических проблем и не наносить ущерб.

📍 Документирование: все найденные уязвимости должны быть тщательно задокументированы, с рекомендациями по их устранению. Это не только помогает устранить уязвимости, но и улучшает общую безопасность системы.

Proglib Academy

#буст

🏦 Интеграция платежных систем на уровне банковской инфраструктуры

Конкурентоспособность банков и финтех-компаний все больше зависит от скорости и надежности платежей. Сегодня интеграция с национальными системами быстрых платежей вроде SEPA Instant — необходимость для выживания, а не просто полезная надстройка.

При этом зачастую подключение к таким системам — сложный технологический проект, который требует глубокого понимания как банковской инфраструктуры, так и современных подходов к разработке высоконагруженных систем.

🔗 Читать статью

🐸Proglib Academy

#буст

🧠 Как найти и использовать уязвимость SQL-инъекции в веб-приложении

В этом посте мы рассмотрим, как злоумышленники могут использовать SQL-инъекции и как обнаружить такие уязвимости в вашем приложении.

Пример уязвимости:

🔘 Предположим, на сайте есть форма для входа с полями «Имя пользователя» и «Пароль». Если серверный код формирует SQL-запрос без должной проверки ввода, например:

SELECT * FROM users WHERE username = 'USER' AND password = 'PASS';

🔘 Злоумышленник может ввести в поле «Имя пользователя»:

' OR '1'='1

🔘 А в поле «Пароль» — любое значение. В результате сформируется запрос:

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = 'any_value';

Этот запрос всегда возвращает истину, позволяя злоумышленнику войти в систему без знания пароля.

Как найти уязвимость:

1️⃣ Введите в поля ввода символы, такие как одинарная кавычка ('), двойная кавычка ("), точка с запятой (;), дефис (--), чтобы проверить, вызывает ли это ошибку SQL.

2️⃣ Программы, такие как Burp Suite, sqlmap, или OWASP ZAP, могут помочь в автоматическом обнаружении и эксплуатации SQLi.

3️⃣ Типы SQL-инъекций:

• Использование UNION для объединения результатов нескольких запросов.

• Использование ошибок базы данных для получения информации о её структуре.

• Отсутствие ошибок в приложении, но возможность извлечь информацию через время отклика или логику приложения.

Пример эксплуатации с использованием sqlmap

🔘 Предположим, у вас есть URL:

https://example.com/product?id=1

🔘 Вы можете использовать sqlmap для автоматического тестирования и эксплуатации:

sqlmap -u "https://example.com/product?id=1" --batch --level=5 --risk=3

Этот инструмент попытается определить тип базы данных, извлечь таблицы, столбцы и данные из базы данных.

Как защититься:

➡️ Используйте подготовленные выражения, чтобы ввод пользователя не стал частью SQL-запроса.

➡️ Проверяйте и экранируйте все данные от пользователя перед использованием в запросах.

➡️ Ограничьте привилегии учетных записей базы данных до необходимого минимума.

➡️ Веб-фаерволы помогут обнаружить и заблокировать попытки SQL-инъекций.

🐸Proglib Academy

#буст

😐 Дождался вечера пятницы

Чем занимались всю неделю?

👍 — учился
❤️ — работал
🌚 — искал работу

🐸Proglib Academy

#развлекалово

Что выведет код?

🙏 — 9
😢 — [9, 1, 3]
👏 — [3, 6]
❤️ — Error

🐸Proglib Academy

#междусобойчик