SVG-фильтры превращаются в среду выполнения логики, позволяя:
→ Читать пиксели из cross-origin iframe
→ Проводить многошаговый кликджекинг
→ Создавать поддельные формы
→ Эксфильтровать данные через QR
Без JavaScript. С обходом CSP и Same-Origin Policy.
Must read для веб-пентестеров, разработчиков WAF и специалистов по threat modeling.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🥰2❤1
OSINT Framework cheat sheet.pdf
3.6 MB
OSINT Framework — это удобная карта по миру OSINT, которая помогает быстро ориентироваться в десятках сервисов и инструментов для разведки по открытым источникам.
Что внутри:
• Инструменты, разложенные по категориям и типам данных
• Быстрый выход на нужные ресурсы без долгого поиска
• Подходит для ресёрча, threat intelligence и первичного recon
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4🔥2
Аналитик SOC (L1, L2) / Специалист по ИБ — от 150 000 ₽, удаленно (Москва)
Архитектор ИБ — от 180 000 до 300 000 ₽, офис/гибрид (Москва)
Стажер в оптимизацию процессов — офис (Москва)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
This media is not supported in your browser
VIEW IN TELEGRAM
Краткое видео о том, как работают IP-адреса и зачем их понимать в практике. Без углубления в теорию — только базовые принципы, которые реально используются при диагностике сетевых проблем, анализе трафика и разборе инцидентов.
Подходит для тех, кто хочет быстро освежить основы или закрыть пробелы без многочасовых лекций.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🥰3🤔3
Please open Telegram to view this post
VIEW IN TELEGRAM
1😁12
Commix — инструмент для быстрого поиска и эксплуатации OS Command Injection в веб-приложениях.
commix --url="http://target/form" \
--data="username=admin&password=123»
Что делает:
— Проверяет GET / POST / cookies / headers
— Подбирает payload’ы под Linux и Windows
— Подтверждает реальное выполнение команд
Когда использовать:
— legacy-проекты и самописные формы
— подозрительные параметры без явной валидации
— быстрый triage в bug bounty
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🥰3❤1
Освойте UserGate и повысьте уровень защиты своей ИТ-инфраструктуры!
Бесплатный онлайн-курс поможет вам шаг за шагом освоить внедрение и настройку UserGate — без лишней теории, с упором на практику.
В программе курса:
✅ Настройка сетевых зон, NAT, VPN, кластеров, фильтрации на уровне приложений и правил межсетевого экрана
✅ Интеграция с LDAP и Active Directory, фильтрация контента, системы обнаружения вторжений и обратный прокси
✅ Пошаговые видеоуроки, практические упражнения и итоговое тестирование
По завершении курса Вы получите:
⭐️ именной сертификат
📕 PDF-инструкции
📋 чек-листы и готовые конфигурации, которые помогут в дальнейшей работе
Пройдите курс в удобное время — запись уже доступна.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.
Бесплатный онлайн-курс поможет вам шаг за шагом освоить внедрение и настройку UserGate — без лишней теории, с упором на практику.
В программе курса:
✅ Настройка сетевых зон, NAT, VPN, кластеров, фильтрации на уровне приложений и правил межсетевого экрана
✅ Интеграция с LDAP и Active Directory, фильтрация контента, системы обнаружения вторжений и обратный прокси
✅ Пошаговые видеоуроки, практические упражнения и итоговое тестирование
По завершении курса Вы получите:
⭐️ именной сертификат
📕 PDF-инструкции
📋 чек-листы и готовые конфигурации, которые помогут в дальнейшей работе
Пройдите курс в удобное время — запись уже доступна.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.
❤3🥰2😁2
Физическая безопасность — самый недооценённый слой защиты. Камеры есть, пропуска есть, регламенты написаны. Но всё это перестаёт работать, когда проверка выходит за рамки чек-листов.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🤩3
Группировка ShinyHunters опубликовала вчера на leak-сайте базы данных двух престижных американских университетов — Гарварда и Университета Пенсильвании, заявив о краже более миллиона записей от каждого.
Что известно:
— Взлом произошёл ещё в ноябре 2025 через социальную инженерию
— Скомпрометированы системы, связанные с развитием и работой с выпускниками
— При атаке на UPenn хакеры использовали официальные университетские адреса для рассылки писем выпускникам
— Harvard подтвердил взлом, обвинив в нём voice phishing атаку
Другие инциденты недели:
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4👍2
Инструменты, гайды и практические ресурсы разложены по темам: разведка, веб-атаки, сети, облака, OSINT, reverse, эскалация привилегий.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3
Итог: утечки, выполнение нежелательных действий
Эксплуатация: ignore previous instructions, скрытые инструкции в HTML
Фикс: фильтры, минимальные права, human-in-the-loop
Итог: GDPR, утечки, репутационный ущерб
Фикс: очистка датасетов, output-фильтрация, no secrets in prompts
Итог: RCE, полный захват
Фикс: SBOM, CVE-сканинг, хэши, sandbox
Итог: модель «разрешает» вредоносное
Фикс: trusted data, аномалии, версионирование
Итог: XSS, CSRF, SSRF
Фикс: treat output as untrusted, экранирование
Итог: финпотери, удаление данных, саботаж
Фикс: least privilege, подтверждение критических действий
Итог: обход защит, ключи в руках атакера
Фикс: no secrets in prompt, secure vaults, фильтры
Итог: фишинг, дезинформация
Фикс: trusted docs only, проверка retrieved data
Итог: ложные решения, фейковые данные
Фикс: источники, fact-checking, low temperature
Итог: DoW / DoS, счета на тысячи $
Фикс: rate-limit, quota, лимиты токенов
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3🔥1
Безопасность ИИ-агентов: новый вектор атак
Курс «Разработка ИИ-агентов» стартовал. Мы учим не только создавать агентов, но и делать их надёжными. В мире, где промпт-инъекции могут слить базу данных, это критично.
Темы, которые касаются безопасности:
—
— валидация ввода и вывода LLM;
— безопасная интеграция с внешними API и БД;
— мониторинг аномалий через
Для прохождения нужен Python. Первую лекцию открыли для свободного просмотра.
Смотреть лекцию
Записаться на курс
Курс «Разработка ИИ-агентов» стартовал. Мы учим не только создавать агентов, но и делать их надёжными. В мире, где промпт-инъекции могут слить базу данных, это критично.
Темы, которые касаются безопасности:
—
human-in-the-loop: контроль действий агента;— валидация ввода и вывода LLM;
— безопасная интеграция с внешними API и БД;
— мониторинг аномалий через
AgentOps.Для прохождения нужен Python. Первую лекцию открыли для свободного просмотра.
Смотреть лекцию
Записаться на курс
🥰3
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🥰3🤩3
Deception — это не «ловушки ради ловушек», а ранний детект атак и наблюдение за действиями злоумышленника в изолированной среде.
Если цель — раннее обнаружение lateral movement и атак на AD, deception-платформы дают сигнал раньше, чем классический SIEM.
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4🌚2
AI-агент — это новый вектор атаки
Prompt Injection, утечка контекста, Agent Hijacking, выполнение вредоносного кода через Tools... Внедряя агентов, компании часто забывают о безопасности.
На курсе мы не только строим агентов, но и обсуждаем, как сделать их безопасными. Мы разбираем архитектуру, где у агента есть жесткие ограничения (Guardrails), и учим валидировать все входящие и исходящие данные.
InfoSec аспекты курса:
— Безопасное исполнение кода (Sandboxing).
— Защита от инъекций в RAG-системах.
— Контроль доступа к инструментам (Tools) и Human-in-the-loop валидация.
Научиться строить защищённые AI-сиcтемы
Prompt Injection, утечка контекста, Agent Hijacking, выполнение вредоносного кода через Tools... Внедряя агентов, компании часто забывают о безопасности.
На курсе мы не только строим агентов, но и обсуждаем, как сделать их безопасными. Мы разбираем архитектуру, где у агента есть жесткие ограничения (Guardrails), и учим валидировать все входящие и исходящие данные.
InfoSec аспекты курса:
— Безопасное исполнение кода (Sandboxing).
— Защита от инъекций в RAG-системах.
— Контроль доступа к инструментам (Tools) и Human-in-the-loop валидация.
Научиться строить защищённые AI-сиcтемы
❤6
Умный дом — это набор устройств, приложения и облака, где безопасность часто приносится в жертву скорости и цене.
В статье разобрано, какие типовые ошибки к этому приводят: открытые бэкенды, слабая авторизация, API-ключи в приложениях и устройства с дефолтными паролями и небезопасными прошивками.
На реальных кейсах — CloudPets, Mirai и исследованиях Kaspersky — показано, как через IoT получают контроль над чужими устройствами и используют их как точку входа в сеть.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩5🔥2
Атака начиналась не с вируса, а с обычного входа через SSL VPN (скомпрометированные учётки, SonicWall).
После разведки внутри сети злоумышленники загрузили легально подписанный драйвер из старого криминалистического ПО EnCase (2009–2010).
• драйвер подписан и доверяется Windows;
• отзыв сертификата не проверяется на раннем этапе загрузки;
• pre-2015 драйверы проходят по правилам совместимости;
• результат — полный контроль на уровне ядра.
• завершал процессы 59 защитных продуктов;
• EDR/AV не могли перезапуститься — их убивали каждую секунду;
• система оставалась «слепой» перед запуском ransomware.
Атаку остановили не антивирусы, а корреляция логов: VPN → внутренняя активность → аномалии → изоляция хостов.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🥰3👏3
Vulnerability Scanners cheat sheet.pdf
163.2 KB
Все основные сканеры собраны в одной схеме и разделены по категориям: open-source, коммерческие, облачные, mobile, AI-based и пентест-инструменты.
Удобно использовать как навигацию и быстрый ориентир при выборе тулов под задачу.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3
У Substack произошёл взлом: злоумышленники получили доступ к пользовательским данным через уязвимость в платформе. Баг уже закрыли, но последствия никуда не делись.
— Утёкшие данные уже могут использоваться в таргетированном фишинге
— Письма «от авторов», «от Substack» и «срочные уведомления» — под особым подозрением
— Даже легальная платформа ≠ иммунитет от атак
С точки зрения ИБ это типичный кейс: уязвимость закрыта, но данные уже ушли — дальше работает социальная инженерия.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚1
Где, по-вашему, чаще всего путают хеширование и шифрование:
👍 — При хранении паролей
🔥 — При передаче данных (API / TLS)
👾 — В базах данных и бэкапах
🥰 — В требованиях и ТЗ
🌚 — Везде понемногу
А вы сами ловили себя или коллег на этой путанице?
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚7🥰6👾6
🧪 Лёгкий прокси для разбора веб-трафика
HTTP Toolkit — это open-source HTTP-прокси, который удобно использовать для анализа и отладки клиент-серверного взаимодействия.
Что умеет и где полезен:
Чего ждать не стоит:
❌ Автосканирования и fuzzing
❌ Полноценной замены Burp Suite или ZAP
♾ Где заходит лучше всего:
AppSec, DevSecOps, QA, быстрый ручной анализ API и клиентской логики. Отличный вариант, когда нужен прозрачный прокси, а не тяжёлый пентест-фреймворк.
🔗 Ссылка на GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
HTTP Toolkit — это open-source HTTP-прокси, который удобно использовать для анализа и отладки клиент-серверного взаимодействия.
Что умеет и где полезен:
— Перехватывает и показывает весь HTTP/HTTPS-трафик: заголовки, cookies, параметры, body
— Позволяет менять запросы и ответы на лету — удобно для проверки логики и edge-кейсов
— Повтор запросов — можно воспроизводить реальные сценарии
— Эмуляция ответов сервера и мок-эндпоинтов
— Работает с трафиком веба, мобильных приложений, CLI и desktop
— Поддерживает REST, JSON, XML, WebSocket и современный веб-стек
Чего ждать не стоит:
AppSec, DevSecOps, QA, быстрый ручной анализ API и клиентской логики. Отличный вариант, когда нужен прозрачный прокси, а не тяжёлый пентест-фреймворк.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4🔥2