Please open Telegram to view this post
VIEW IN TELEGRAM
😁5🤩2
В Telegram и на хакерских форумах разошлись сообщения о якобы полном взломе мессенджера Max и утечке данных ~15 млн пользователей.
— публичных дампов нет
— технических доказательств взлома не представлено
— Max официально опроверг информацию, назвав её фейком
— подобные вбросы часто используются как приманка для фишинга
— создают панику и снижают доверие к платформе без фактов
— могут маскировать реальные атаки под шум «громких утечек»
Пока нет артефактов — нет инцидента.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍4🌚3❤🔥1
☎️ Телефон — первый удалённый доступ
Во время пандемии 1918 года ученики использовали телефон как канал связи с учителями. Коммутаторы перегружались настолько, что операторы публиковали просьбы не звонить без экстренной необходимости. Классический DoS — задолго до интернета.
➡️ AT&T и местные операторы активно продвигали обучение по телефону, фактически став первыми провайдерами образовательной инфраструктуры.
Дополнительно для изучения:
🔗 Статья о том, как телефон стал первой удалённой платформой и сразу упёрся в ограничения инфраструктуры и доверия.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#zero_day_legends
Во время пандемии 1918 года ученики использовали телефон как канал связи с учителями. Коммутаторы перегружались настолько, что операторы публиковали просьбы не звонить без экстренной необходимости. Классический DoS — задолго до интернета.
Через 20 лет телефон снова стал платформой удалённого обучения. В 1939 году в Айове появилась система teach-a-phone: учитель, ученик и линия. Без шифрования. Без аутентификации. Только голос и доверие.
Дополнительно для изучения:
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🌚1
Дано: сообщение зашифровано XOR, ключ — 1 байт.
Известно: plaintext — ASCII, флаг начинается с flag{.
XOR обратим. Если знаем один символ plaintext — сразу получаем ключ.
cipher[0] = 0x3c, 'f' = 0x66
key = 0x3c ^ 0x66 = 0x5A
Далее применяем byte ^ 0x5A ко всем байтам → все символы валидный ASCII. И получаем в результате:
flag{xorfun}.#ctf_challange
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤1
— SCA, SAST, runtime-анализ
— приоритизация рисков
— нативная интеграция в CI/CD
Хорош для современных DevSecOps-процессов
— SAST + SCA
— поиск устаревших фреймворков
— рекомендации и автофиксы
Удобен для разработчиков, «shift left»
— контейнеры, VM, cloud
— ML-приоритизация уязвимостей
— мощные API
Стандарт де-факто для enterprise
— анализ безопасности и maintainability
— CI/CD и IDE-интеграции
— отчёты по стандартам
Подходит для regulated-сред
— инвентаризация активов
— непрерывный мониторинг
— автоматизация remediation
Сильный cloud-first подход
— SQLi, XSS, logic flaws
— автоматизация сканирования
— понятные отчёты для dev’ов
Лучший выбор для web-app security
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Какой инструмент вы используете в работе чаще всего ❓
Anonymous Poll
12%
Xygeni / Aikido (AppSec, DevSecOps)
15%
Tenable / Qualys (инфраструктура, cloud)
15%
Acunetix (web / API)
2%
Kiuwan (SDLC, код)
40%
Ничем / только ручной аудит
17%
Другое (напишу в комментариях)
❤3
🎬 Когда атака начинается не с взлома
В «Военные игры» хорошо показан момент, который ИБ до сих пор недооценивает: разведка важнее эксплуатации.
Сегодня изменились инструменты, но не логика:
🔴 war dialing → сканирование портов и API
🔴 номера → IP, домены, cloud-ассеты
🔴 тишина в логах → успех атакующего
Карточки выше — про то, почему атака начинается раньше, чем её замечают.
🐸 Библиотека хакера
#hollywood_hack
В «Военные игры» хорошо показан момент, который ИБ до сих пор недооценивает: разведка важнее эксплуатации.
Герой не ломает систему — он ищет то, что вообще отвечает.
Без цели, без доступа, без уязвимостей. Только перебор и наблюдение.
Сегодня изменились инструменты, но не логика:
Карточки выше — про то, почему атака начинается раньше, чем её замечают.
#hollywood_hack
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥1
«Этот манёвр будет стоить нам 51 год...»
В ИБ время — самый дорогой ресурс. Пока вы ждёте «подходящего момента»,
До понедельника в Proglib Academy действуют старые цены. Успейте прокачать технический арсенал:
— Разработка ИИ-агентов
— Математика для разработки AI-моделей
— ML для старта в Data Science
— Математика для Data Science
— Специалист по ИИ
— Алгоритмы и структуры данных
— Программирование на Python
— Основы IT для непрограммистов
— Архитектуры и шаблоны проектирования
Инвестировать в знания
⚠️ Цены станут выше уже 19 января
В ИБ время — самый дорогой ресурс. Пока вы ждёте «подходящего момента»,
AI-assisted атаки становятся сложнее. Чтобы оставаться на шаг впереди, нужно понимать, как работают нейронки и алгоритмы.До понедельника в Proglib Academy действуют старые цены. Успейте прокачать технический арсенал:
— Разработка ИИ-агентов
— Математика для разработки AI-моделей
— ML для старта в Data Science
— Математика для Data Science
— Специалист по ИИ
— Алгоритмы и структуры данных
— Программирование на Python
— Основы IT для непрограммистов
— Архитектуры и шаблоны проектирования
Инвестировать в знания
⚠️ Цены станут выше уже 19 января
🥰2🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🥱2🤩1🌚1
40+ hands-on лабораторных работ по offensive/defensive security, анализу инцидентов и пентестингу.
Intro To SOC — Blue Team
- Анализ трафика и памяти (Wireshark, TCPDump)
- Работа с логами (DeepBlueCLI, Domain Log Review)
- SIEM (ELK Stack, Sysmon, Velociraptor)
- Threat hunting (RITA, Nessus)
Intro To Security — Offensive Basics
- Разведка (Nmap)
- Password attacks (cracking, spraying)
- Lateral movement (Responder)
- Web-эксплуатация
- Защитные механизмы (Applocker, Bluespawn)
Cyber Deception — Active Defense
- Honeypots (Cowrie, WebHoneypot, HoneyShare)
- Ловушки (Spidertrap, Canarytokens)
- Обфускация (Portspoof)
- C2 детекция (AdvancedC2, RITA)
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2
Два человека. Ноль взломов. $10 миллионов прибыли. Пользователю показывали «вирусное» окно и заставляли позвонить в «саппорт». Дальше — страх, давление и платный «ремонт».
Фокус схемы был не в первом разводе, а во втором заходе: жертве звонили снова и обещали вернуть деньги, потом «ошибались суммой» и просили разницу подарочными картами.
Одна база — два чека. Схема работала годами, пока ей не занялось U.S. Department of Justice. Итог — обвинения и до 20 лет тюрьмы.
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥4👾2😢1
ТСПУ изменили тактику: теперь они не режут соединения через RST, а тихо фризят TCP-сессии. Результат? Прямые подключения к Европе практически мертвы.
Что происходит:
Решение — цепочка через российский VPS в белых списках. Для ТСПУ это выглядит как обычный серверный трафик, который фильтруется в разы слабее.
✅ Пошаговая настройка цепочки Xray-core
✅ Какие облака дают белые IP (Яндекс, VK, EDGE)
✅ Фиксы для iOS, WhatsApp, Instagram
✅ Готовые сервисы для тех, кому лень настраивать
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🥰2😁2
Без новых кнопок и магии — просто навели порядок под капотом.
— починили баги
— закрыли уязвимости
— подтянули стабильность на кривом и агрессивном трафике
— меньше крэшей при fuzz / нестандартных протоколах
— дампы открываются стабильнее
— меньше сюрпризов в середине анализа
Сборки инструмента Wireshark 4.6.3 доступны для Windows, macOS и Linux
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰5🔥2
Команды, которые реально нужны при разборе инфраструктуры.
Внутри:
— контейнеры и образы
— сети и volume
— быстрый аудит окружения
— отладка и очистка следов
#cheat_sheet #docker
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🥰2🌚1
Закрываем уязвимость в системе цен
Завтра доступ к обучению по старому прайсу будет закрыт. Используйте возможность сегодня, пока плановое повышение стоимости не вступило в силу.
Проникнуть в мир ИБ на выгодных условиях
Завтра доступ к обучению по старому прайсу будет закрыт. Используйте возможность сегодня, пока плановое повышение стоимости не вступило в силу.
Проникнуть в мир ИБ на выгодных условиях
❤3
Основной и самый критичный массив CVE.
• 113 уязвимостей, включая 3 zero-day
• Затронуты: Windows, Office, SharePoint, Azure
• Один zero-day эксплуатируется в реальных атаках
Ключевые CVE:
• CVE-2026-20805 — утечка памяти (DWM), in-the-wild
• CVE-2026-20868 — RCE в RRAS
• CVE-2026-20854 / CVE-2026-20856 — LSASS и WSUS
• SharePoint / Office — RCE через документы
CVE-2025-12420
• Неаутентифицированная имперсонизация пользователей
• Захват и управление Now Assist AI Agents
• Риск полного компромета корпоративных процессов
Фиксы:
— Исправлено в Utah Patch 5.1.18 / 5.2.19
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🥰2
🕳 Нет сервера — нет метаданных
Все мессенджеры обещают приватность. Но у всех есть сервер. А значит — логи, связи, время, IP.
🧑💻 В статье — личный эксперимент: что будет, если убрать сервер вообще.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#resource_drop
Все мессенджеры обещают приватность. Но у всех есть сервер. А значит — логи, связи, время, IP.
Чистый P2P без серверов, аккаунтов и Google Services — никакой точки сбора метаданных. Неудобно, но именно так выглядит реальная приватность, а не обещания.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔5👍2🥰2