🍽 Атака Pass the hash Pass the ticket и как от этого защититься

Уязвимость заключается в том, что злоумышленник может получить этот NT-хеш и использовать его для аутентификации методом pass the hash.

В этом случае злоумышленнику уже не нужно обладать смарт-картой и знать ее PIN-код, то есть нарушается принцип двух факторов.

— А если учесть, что хеш постоянен, нарушитель получает возможность в любое время атаковать ресурсы домена с привилегиями скомпрометированной учетной записи.

Статья на SPY-SOFT – линк.

🙇 404 Not Found

💥 Дуров: Telegram не передавал ни одного байта данных из переписок третьим лицам и никогда этого не сделает

Павел Дуров заявил, что администрация мессенджера Telegram за всю историю его существования никому не передала ни байта информации о переписках пользователей.

По его словам, сервис скорее закроется, чем позволит этому случиться.

«За всю свою историю Telegram не передал третьим лицам ни одного байта данных о переписке. И мы скорее закроем весь проект, чем когда‑либо начнём это делать»

— заявил Дуров.

Новость на Habr – линк.

🙇 404 Not Found

🔎 Как увидеть JavaScript код, написанный с использованием непечатных символов

Первая мысль, это сохранить страницу и посмотреть в шестнадцатеричном редакторе.

Конечно, мы увидим байты кода, но восстановить их в исполнимый код будет сложно.

— Давайте рассмотрим, какими способами можно увидеть невидимой код JavaScript и при этом познакомимся с ещё некоторыми возможностями Инструментов разработчика в веб-браузерах.

Статья на HackWare – линк.

🙇 404 Not Found

🦾 Обзор Standoff Defend, онлайн-полигона для подготовки специалистов по ИБ

Standoff Defend – онлайн-полигон, где специалисты по кибербезопасности могут в комфортном режиме развивать профессиональные навыки: расследовать атаки хакерских группировок, работать над реальными кейсами, пользоваться базой знаний для изучения теории и развивать компетенции при поддержке ментора.

Сильные стороны онлайн-полигона – реалистичность атак и интеграция с экосистемой Positive Technologies.

— Standoff Defend собирает обратную связь от пользователей и старается демонстрировать всю сложность современных кибератак – с многослойными сценариями, множеством ложных следов и неожиданными тактическими поворотами.

Статья на Anti-Malware – линк.

🙇 404 Not Found

👋 Импортозамещать ли Burp-Suite? Обзор актуальных сканеров WEB уязвимостей

Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании.

— Разберемся, импортозамещаться или приобретать через серые схемы иностранный Burp Suite Pro. Или вообще оставаться на бесплатном open source.

Статья на Codeby – линк.

🙇 404 Not Found

🎁 Сборник подробных write‑up’ов и решений задач T‑CTF

T-CTF WriteUps – это коллекция пошаговых разборов задач из соревнования T‑CTF (решения, пояснения и вспомогательные скрипты), полезная для изучения практических приёмов и техник, применяемых в CTF: pwn, web, crypto, reversing, forensics, stego и misc.

— Включает текстовые объяснения, PoC‑скрипты/эксплойты, дампы/артефакты (бинарники, снимки памяти, изображения), разбор уязвимостей и рекомендации по воспроизведению; служит образовательной базой, но содержит предупреждения – использовать для обучения в контролируемой среде и не применять эксплойты против чужих систем без разрешения.

Репозиторий на GitHub – линк.

🙇 404 Not Found

😟 Как появилось шифрование паролей

Многие знают об основных разработчиках Unix — Кене Томпсоне и Деннисе Ритчи. Но особая роль принадлежит их коллеге, криптографу Роберту Моррису, вклад которого был особым:

⏺первая и несколько последующих версий математической библиотеки;
⏺множество интересных приложений для обработки текста, таких как typo и др.;
⏺ряд программ crypt, которые поставлялись с ранними версиями Unix;
⏺схема шифрования паролей, которая в основных чертах применяется до сих пор.

— История создания механизма паролей (с шифрованием) наиболее интересна, потому что Моррис и Томпсон заложили фундамент современной информационной безопасности. Они разработали и внедрили базовые принципы шифрования и хранения секретов.

Статья на Habr – линк.

🙇 404 Not Found

🤠 OSINT в академических исследованиях: открытые данные как катализатор научных прорывов

Применение цифровой разведки по открытым источникам или OSINT (Open Source Intelligence) в научных исследованиях представляет собой стратегически важный подход, который позволяет учёным из разных дисциплин использовать открытые данные для анализа и получения новых знаний.

— В этой статье мы подробно рассмотрим, как именно OSINT можно применить в различных областях науки, и какие преимущества он приносит в академические исследования.

Статья на SecurityLab – линк.

🙇 404 Not Found

📞 Роутеры для вардрайвинга

Сегодня мы продолжим тему взлома WiFi и на этот раз поговорим про роутеры для вардрайвинга.

— Мы поговорим про ананасовый роутер WiFi Pineapple, а также рассмотрим что из себя представляет роутер для вардрайвинга GL-MiFi.

Статья на SPY-SOFT – линк.

🙇 404 Not Found

😱 СМИ: 10 февраля Роскомнадзор начнёт ограничение работы Telegram

По информации СМИ, принято решение начать работу по замедлению работы мессенджера Telegram в России. По словам источников СМИ, Роскомнадзор планирует начать принимать меры по частичному ограничению работы сервиса с 10 февраля 2026 года.

Ещё один источник СМИ добавил, что меры по замедлению Telegram уже принимаются. Интернет-провайдеры Санкт-Петербурга начали замедлять мессенджер Telegram, пользователи столкнулись с невозможностью загрузить фото, видео и голосовые сообщения.

— Роскомнадзор продолжит введение последовательных ограничений по отношению к Telegram, заявили в ведомстве на запрос СМИ.

Павел Дуров дал комментарий по сегодняшней ситуации с Telegram в своем канале.

Новость на Habr – линк.

🙇 404 Not Found

🥸 Как использовать инструменты PsExec для запуска команд и управления удалёнными системами Windows

PsExec — это портативный инструмент от Microsoft, который позволяет удалённо запускать процессы с использованием учётных данных любого пользователя.

— Это немного похоже на программу удалённого доступа, но вместо того, чтобы управлять удаленным компьютером с помощью мыши, команды отправляются на компьютер через командную строку.

Статья на HackWare – линк.

🙇 404 Not Found

🛑 Многофакторная аутентификация в 2026 году: как защититься от фишинга, ИИ-атак и обхода MFA

Многофакторная аутентификация стала обязательным стандартом цифрового выживания, но и её уже недостаточно.

Современные угрозы, от фишинга до атак с использованием ИИ, учатся обходить традиционные методы защиты.

— Эксперты обсудили, как сделать МФА по-настоящему устойчивой и удобной.

Статья на Anti-Malware – линк.

🙇 404 Not Found

🔪 PHP уязвимости

Уязвимость PHP injection – одна из распространенных скриптовых уязвимостей, которая встречается в приложениях, написанных на PHP языке.

Заключается в исполнении постороннего кода на стороне сервера.

— Возникает уязвимость из-за недостаточной фильтрации входных данных от пользователей, в результате чего на сервера могут передаться и исполниться внешние или системные команды, которые приведут к утечке информации или полному контролю над сервером.

Статья на Codeby – линк.

🙇 404 Not Found

🥸 Инструмент для разведки и фингерпринта WordPress‑сайтов

WPProbe – это утилита/сканер для автоматического фингерпринта WordPress‑сайтов с целью сбора публичной информации (версия WordPress, перечисление пользователей, обнаружение плагинов и тем, общие точки входа).

— Быстро проверяет публичные эндпойнты WordPress (например, REST API, author‑архивы, стандартные пути плагинов/тем и файлы типа readme), собирает сведения о потенциально уязвимых компонентах и упрощает подготовку дальнейшего аудита.

Репозиторий на GitHub – линк.

🙇 404 Not Found

🤠 Keycloak: Внедрение единой системы идентификации

SSO — это метод аутентификации, который позволяет пользователю один раз войти в систему и получить доступ к нескольким связанным приложениям или сервисам без необходимости повторного ввода учетных данных.

Команда на практике прошла путь интеграции с различными SSO. Работали с такими решениями, как WSO2 и ADFS, и каждый раз убеждались в том, насколько SSO важен для инфраструктуры.

— Опыт позволил определить требования к Identity Provider’у: открытость, масштабируемость и возможность адаптации под быстро меняющиеся бизнес-задачи. И здесь на первый план выходит Keycloak.

Статья на Habr – линк.

🙇 404 Not Found

🤖 ИБ — это не только капюшоны: как найти свое место в безопасности и не выгореть за полгода

В информационной безопасности (ИБ) есть странная ловушка: со стороны кажется, что вариантов два. Либо «ломать», либо «проверять бумажки».

И если вы не видите себя ни в образе человека в капюшоне, ни в образе вечного аудитора, начинается метание: куда идти, что учить, и не окажется ли через полгода, что вы вообще не туда свернули.

На самом деле ИБ ближе к индустрии со специализациями, чем к одному ремеслу. Тут хватает ролей для людей разных темпераментов: для тех, кто любит охоту за ошибками, для тех, кто любит строить системы, для тех, кто умеет договариваться и превращать хаос в правила.

— Давайте соберем «карту», которая поможет выбрать направление без гадания и без романтизации.

Статья на SecurityLab – линк.

🙇 404 Not Found

🤩 Повышение привилегий в Windows

Сегодня мы поговорим о повышение привилегий Windows. Вы узнаете как злоумышленник может повысить привилегии и как от этого защититься.

Содержание:

⏺Повышение привилегий Windows
— Повышение привилегий с BeRoot
— Повышение привилегий с Sherlock
— Повышение привилегий с Windows-privesc-check
— Повышение привилегий с Hot Potato
— Повышение привилегий с Smashed Potato
— Повышение привилегий с Tater
— Компиляция сплоитов в Kali
— EasySystem
— Secondary Logon Handle
⏺Заключение

Статья на SPY-SOFT – линк.

🙇 404 Not Found

🛑 «Учите матчасть». Дуров объяснил Роскомнадзору, как на самом деле работает китайский интернет

Павел Дуров выступил с довольно прямым тезисом: когда в России обсуждают ограничения Telegram и «перевод» людей в другое приложение, часто приводят в пример Китай и его WeChat. По словам Дурова, это сравнение подменяет причину и следствие.

Он объясняет так: Китай не «назначал» WeChat главным приложением для общения и не заставлял людей им пользоваться.

Мессенджер стал лидером в начале 2010-х в реальной конкурентной борьбе, выиграв у десятков соперников, среди которых были и международные сервисы вроде *WhatsApp, которые тогда работали без ограничений.

— И только после того, как WeChat естественно собрал основную аудиторию, государство стало подключать к нему свои услуги.

Новость на SecurityLab – линк.

🙇 404 Not Found

🎁 Как установить веб-сервер (Apache, MySQL, PHP и phpMyAdmin) в Windows 11

Это пошаговая инструкция по установки веб-сервера в Windows. Здесь будет подробно показано как установить, настроить и запустить Apache, MySQL, PHP and phpMyAdmin не используя посторонних сборок.

— Такой подход позволит иметь самые последние версии компонентов и не беспокоиться о безопасности запускаемых программ.

Поняв принципы работы и подключения модулей Apache, вы можете добавить любые необходимые вам компоненты, а также сделать настройку в точности под ваши потребности.

Статья на HackWare – линк.

🙇 404 Not Found