Forwarded from Секреты сисадмина | DevOps, Linux, SRE
RustScan – инструмент для быстрого сканирования портов
Данный проект может похвастаться высокой скоростью работы (сканирует все 65 тыс. портов за 3 секунды), гибкой расширяемостью и адаптивным методом работы.
Смотреть
#СекретыСисадмина
Данный проект может похвастаться высокой скоростью работы (сканирует все 65 тыс. портов за 3 секунды), гибкой расширяемостью и адаптивным методом работы.
Смотреть
#СекретыСисадмина
Forwarded from NetStalkers
NExfil — OSINT-инструмент на Python, который ищет профили по нику на 350+ сайтах — от популярных соцсетей до подозрительных форумов.
Подойдёт для:
$ git clone https://github.com/thewhiteh4t/nexfil.git
$ cd nexfil
$ pip3 install -r requirements.txt
$ python3 nexfil.py -h
$ nexfil.py [-h] [-u U] [-d D [D ...]] [-f F] [-l L] [-t T] [-v]
Поиск по одному имени:
$ python3 nexfil.py -u username
Поиск по нескольким именам:
$ python3 nexfil.py -l "user1, user2"
Поиск по списку пользователей из файла:
$ python3 nexfil.py -f users.txt
#soft #code #python #github
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🗿1
Forwarded from Секреты сисадмина | DevOps, Linux, SRE
Media is too big
VIEW IN TELEGRAM
Переход на Linux: как это происходит и что вас удивит?
В этом ролике автор рассмотрит процесс перехода с Windows на Linux и расскажет, как делал это сам и какие дистрибутивы использовал изначально.
0:00 Вступление
0:38 Почему я ушел с Windows?
1:43 Постоянные фризы в системе
2:12 Windows полностью контролирует систему
3:10 Какие есть ограничения в кастомизации Windows?
4:41 Необходимость постоянно все настраивать с нуля
5:25 Как начал изучать Linux и какие дистрибутивы выбрал?
6:44 Переход на Arch Linux с собственной оболочкой BSPWM
7:40 Какие программы есть на Linux?
9:04 Что делать после перехода на Linux?
Смотреть это видео на youtube: youtu.be/YRwlK3cVjbI
#СекретыСисадмина
В этом ролике автор рассмотрит процесс перехода с Windows на Linux и расскажет, как делал это сам и какие дистрибутивы использовал изначально.
0:00 Вступление
0:38 Почему я ушел с Windows?
1:43 Постоянные фризы в системе
2:12 Windows полностью контролирует систему
3:10 Какие есть ограничения в кастомизации Windows?
4:41 Необходимость постоянно все настраивать с нуля
5:25 Как начал изучать Linux и какие дистрибутивы выбрал?
6:44 Переход на Arch Linux с собственной оболочкой BSPWM
7:40 Какие программы есть на Linux?
9:04 Что делать после перехода на Linux?
Смотреть это видео на youtube: youtu.be/YRwlK3cVjbI
#СекретыСисадмина
👍3🗿3
Forwarded from Заметки Хакер
🖥 Репозиторий: APIs For OSINT — каталог API для разведки по открытым источникам
API для OSINT — это интерфейсы, которые предоставляют доступ к различным источникам данных, таким как социальные сети, новостные сайты и другие онлайн-ресурсы.
— Данный инструмент служит для разведки по открытым источникам, разделённый по тематикам, некоторые из них:
1. Поиск устройств и IP;
2. Проверка email и доменов;
3. Телефонные API;
4. Геолокация.
⏺ Ссылка на GitHub (https://github.com/cipher387/API-s-for-OSINT)
#OSINT #API
@hackernews_lib
API для OSINT — это интерфейсы, которые предоставляют доступ к различным источникам данных, таким как социальные сети, новостные сайты и другие онлайн-ресурсы.
— Данный инструмент служит для разведки по открытым источникам, разделённый по тематикам, некоторые из них:
1. Поиск устройств и IP;
2. Проверка email и доменов;
3. Телефонные API;
4. Геолокация.
⏺ Ссылка на GitHub (https://github.com/cipher387/API-s-for-OSINT)
#OSINT #API
@hackernews_lib
🍓1
Forwarded from Заметки Хакер
🖥 Репозиторий: Whatsapp-web-reveng — обратная инженерия WhatsApp Web
Whatsapp-web-reveng — проект по реверсинжинирингу веб-клиента WhatsApp Web для анализа его функциональности и архитектуры.
— Данный репозиторий позволяет понять, как WhatsApp реализует коммуникацию в реальном времени, шифрование и компоненты пользовательского интерфейса.
Полученные данные могут использоваться для улучшения, модификации или внедрения аналогичных функций в других приложениях.
⏺ Ссылка на GitHub (https://github.com/sigalor/whatsapp-web-reveng)
#Reverse #Encryption #WhatsApp
@hackernews_lib
Whatsapp-web-reveng — проект по реверсинжинирингу веб-клиента WhatsApp Web для анализа его функциональности и архитектуры.
— Данный репозиторий позволяет понять, как WhatsApp реализует коммуникацию в реальном времени, шифрование и компоненты пользовательского интерфейса.
Полученные данные могут использоваться для улучшения, модификации или внедрения аналогичных функций в других приложениях.
⏺ Ссылка на GitHub (https://github.com/sigalor/whatsapp-web-reveng)
#Reverse #Encryption #WhatsApp
@hackernews_lib
Forwarded from Заметки Хакер
🖥 Репозиторий: IVRE — фреймворк сетевой разведки
Instrument de veille sur les réseaux extérieurs — это фреймворк для сетевой разведки, он полагается на мощные инструменты для сбора разведданных из сетевого взаимодействия, включает в себя инструменты для пассивной и активной разведки.
— Данный инструмент направлен на использование данных захвата и сканирования сети, чтобы вы могли лучше понять как работает сеть.
⏺ Ссылка на GitHub (https://github.com/ivre/ivre)
#Recon #OSINT #Network #Scanning
@hackernews_lib
Instrument de veille sur les réseaux extérieurs — это фреймворк для сетевой разведки, он полагается на мощные инструменты для сбора разведданных из сетевого взаимодействия, включает в себя инструменты для пассивной и активной разведки.
— Данный инструмент направлен на использование данных захвата и сканирования сети, чтобы вы могли лучше понять как работает сеть.
⏺ Ссылка на GitHub (https://github.com/ivre/ivre)
#Recon #OSINT #Network #Scanning
@hackernews_lib
Forwarded from GitHub Community
Moriarty Project — это мощный веб-инструмент для поиска телефонных номеров.
Он имеет 6 функций и позволяет выбрать либо все функции, либо те, которые вам нравятся.
Вы можете ознакомиться с документацией, чтобы узнать больше о функциях.
5️⃣ GitHub
Он имеет 6 функций и позволяет выбрать либо все функции, либо те, которые вам нравятся.
Вы можете ознакомиться с документацией, чтобы узнать больше о функциях.
Please open Telegram to view this post
VIEW IN TELEGRAM
👀1
Forwarded from Codeby
HashID: Утилита для определения типов хэшей
❓ Что такое HashID?
HashID позволяет анализировать входные хэш-строки и определять их типы на основе заранее заданных шаблонов. Утилита поддерживает десятки популярных хэш-алгоритмов, включая MD5, SHA-256, bcrypt и другие.
➡️ Основные возможности HashID
1️⃣ Поддержка множества алгоритмов
HashID может идентифицировать более 220 различных алгоритмов, включая:
• MD5, SHA-1, SHA-256, SHA-512
• bcrypt, scrypt
• NTLM, LM, MySQL
• и многие другие.
2️⃣ Интерактивный режим
Вы можете вводить хэши в режиме реального времени и получать мгновенный результат.
3️⃣ Вывод возможных совпадений
Утилита возвращает все подходящие алгоритмы, упрощая работу даже с похожими хэшами.
4️⃣ Совместимость с Python 3
HashID полностью написан на Python, что делает его кросс-платформенным и простым в установке.
⬇️ Установка HashID
HashID можно установить через пакетный менеджер pip:
Или клонировать репозиторий с GitHub:
🪛 Примеры использования
➡️ Определение типа хэша:
Вывод:
Analyzing '04bb67a1914803ff834a4a25355ad9f3'
[+] MD2
[+] MD5
[+] MD4
➡️ Обработка файла с хэшами:
Если у вас есть файл с хэшами, вы можете проверить их все:
HashID — это лёгкая и удобная утилита с открытым исходным кодом, созданная для определения типа хэшей. Этот инструмент помогает специалистам по кибербезопасности, аналитикам и разработчикам быстро идентифицировать алгоритм, использованный для создания хэша.
HashID позволяет анализировать входные хэш-строки и определять их типы на основе заранее заданных шаблонов. Утилита поддерживает десятки популярных хэш-алгоритмов, включая MD5, SHA-256, bcrypt и другие.
HashID может идентифицировать более 220 различных алгоритмов, включая:
• MD5, SHA-1, SHA-256, SHA-512
• bcrypt, scrypt
• NTLM, LM, MySQL
• и многие другие.
Вы можете вводить хэши в режиме реального времени и получать мгновенный результат.
Утилита возвращает все подходящие алгоритмы, упрощая работу даже с похожими хэшами.
HashID полностью написан на Python, что делает его кросс-платформенным и простым в установке.
HashID можно установить через пакетный менеджер pip:
pip install hashid
Или клонировать репозиторий с GitHub:
git clone https://github.com/psypanda/hashID.git
cd hashID
python3 hashid.py
python3 hashID.py '04bb67a1914803ff834a4a25355ad9f3'
Вывод:
Analyzing '04bb67a1914803ff834a4a25355ad9f3'
[+] MD2
[+] MD5
[+] MD4
Если у вас есть файл с хэшами, вы можете проверить их все:
python3 hashid.py -f hashes.txt
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Hacker's TOYS
Media is too big
VIEW IN TELEGRAM
Seekr — это мощная open-source платформа для OSINT-исследований, которая объединяет ключевые функции анализа телефонов, email-адресов и цифровых следов в одном интерфейсе. Работает без API-ключей и регистрации, поддерживает кроссплатформенность и плагинную архитектуру.
Встроенная база данных позволяет сохранять цели и формировать карточки с найденными профилями. Инструмент ещё в разработке, но уже предлагает всё необходимое для глубокого анализа открытых данных: от поиска по GitHub до рекомендаций по инструментам. Отличный вариант для аналитиков, журналистов и киберэнтузиастов. Только по правилам — без доксинга и нарушений закона.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Встроенная база данных позволяет сохранять цели и формировать карточки с найденными профилями. Инструмент ещё в разработке, но уже предлагает всё необходимое для глубокого анализа открытых данных: от поиска по GitHub до рекомендаций по инструментам. Отличный вариант для аналитиков, журналистов и киберэнтузиастов. Только по правилам — без доксинга и нарушений закона.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥7👍2
Forwarded from Russian OSINT
Трой Хант обновил свой популярный сервис проверки
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from C.I.T. Security
⛓️ Поиск по номерам телефонов
1. Moriarty — утилита для реверсивного (обратного) поиска по телефонным номерам.
2. Phomber — выполняет поиск по телефонным номерам в интернете и извлекает все доступные данные.
3. PhoneInfoga — известный инструмент для поиска международных телефонных номеров.
4. kovinevmv/getcontact — утилита для получения информации из баз приложения GetContact.
Поиск в сети TOR
Онлайн-сервисы
1. IACA darkweb tools — стартовая страница для двух десятков поисковых систем, работающих с TOR и доступных из обычного веба.
2. Ahmia.fi — еще один поисковик по сети TOR. Выделяется открытым исходным кодом.
3. SearchDemon, Phobos, Tor66, ExcavaTOR, Raklet, SeИtoЯ, Torch, OnionLand Search — поисковые системы, работающие внутри сети TOR.
4. Exonera Tor — база данных IP-адресов, которые были частью сети Tor. Поисковик отвечает на вопрос, работал ли ретранслятор Tor на этом IP-адресе в выбранную дату.
5. Relay Search — веб-приложение для обнаружения ретрансляторов и мостов Tor, предоставляющее информацию о том, как они настроены. Имеет открытый исходный код.
Утилиты
1. TorBot — удобный Onion краулер. Собирает адреса и названия страниц с кратким описанием, получает адреса электронной почты с сайтов, проверяет, активны ли ссылки, и сохраняет отчеты в JSON.
2. VililantOnion — Onion краулер с поддержкой поиска по ключевым словам.
3. Katana-ds — инструмент для автоматизации поиска с использованием Google Dorks и с поддержкой TOR.
4. OnionSearch — скрипт Python3 для автоматизации поиска в зоне .onion через общедоступные сервисы.
5. Devils Eye — это инструмент OSINT для поиска в Darkweb. Не требует установки TOR. Также может искать в сети i2p.
#Tool #OSINT #Phone #Tor #Search #IP 🧿 OSINT | Форензика
1. Moriarty — утилита для реверсивного (обратного) поиска по телефонным номерам.
2. Phomber — выполняет поиск по телефонным номерам в интернете и извлекает все доступные данные.
3. PhoneInfoga — известный инструмент для поиска международных телефонных номеров.
4. kovinevmv/getcontact — утилита для получения информации из баз приложения GetContact.
Поиск в сети TOR
Онлайн-сервисы
1. IACA darkweb tools — стартовая страница для двух десятков поисковых систем, работающих с TOR и доступных из обычного веба.
2. Ahmia.fi — еще один поисковик по сети TOR. Выделяется открытым исходным кодом.
3. SearchDemon, Phobos, Tor66, ExcavaTOR, Raklet, SeИtoЯ, Torch, OnionLand Search — поисковые системы, работающие внутри сети TOR.
4. Exonera Tor — база данных IP-адресов, которые были частью сети Tor. Поисковик отвечает на вопрос, работал ли ретранслятор Tor на этом IP-адресе в выбранную дату.
5. Relay Search — веб-приложение для обнаружения ретрансляторов и мостов Tor, предоставляющее информацию о том, как они настроены. Имеет открытый исходный код.
Утилиты
1. TorBot — удобный Onion краулер. Собирает адреса и названия страниц с кратким описанием, получает адреса электронной почты с сайтов, проверяет, активны ли ссылки, и сохраняет отчеты в JSON.
2. VililantOnion — Onion краулер с поддержкой поиска по ключевым словам.
3. Katana-ds — инструмент для автоматизации поиска с использованием Google Dorks и с поддержкой TOR.
4. OnionSearch — скрипт Python3 для автоматизации поиска в зоне .onion через общедоступные сервисы.
5. Devils Eye — это инструмент OSINT для поиска в Darkweb. Не требует установки TOR. Также может искать в сети i2p.
#Tool #OSINT #Phone #Tor #Search #IP 🧿 OSINT | Форензика
👍1
Forwarded from OSINT Беларусь
CrystalLite от Bitfury - бесплатный веб-инструмент для анализа транзакций в блокчейне. Он визуализирует, отслеживает и анализирует движение криптоактивов в популярных сетях, включая Bitcoin, Ethereum (и токены ERC-20), и USDT.
Инструмент предоставляет основные функции, такие как визуализация транзакций, поиск по адресам, фильтрация данных и оценку рисков, связанных с адресами.
Несмотря на статус "Lite", платформа предлагает ключевые возможности для анализа блокчейн-транзакций.
📎 ссылка на ресурс
👉 Подписывайтесь на OSINT Беларусь
Инструмент предоставляет основные функции, такие как визуализация транзакций, поиск по адресам, фильтрация данных и оценку рисков, связанных с адресами.
Несмотря на статус "Lite", платформа предлагает ключевые возможности для анализа блокчейн-транзакций.
📎 ссылка на ресурс
👉 Подписывайтесь на OSINT Беларусь
Forwarded from Codeby
🔍 S3Scanner — инструмент для обнаружения публичных Amazon S3-бакетов
В эпоху облачных технологий безопасность хранения данных — критически важная задача. Одной из самых частых и опасных ошибок является неправильная конфигурация Amazon S3-бакетов, что может привести к утечке чувствительной информации. Утилита S3Scanner позволяет находить такие открытые хранилища и проверять, насколько они доступны извне.
🛠 Что такое S3Scanner?
S3Scanner — это инструмент на Python, разработанный для сканирования S3-бакетов в Amazon Web Services (AWS) с целью выявления:
➡️ Публичного доступа к бакету
➡️ Возможности листинга содержимого
➡️ Возможности скачивания файлов
➡️ Потенциальных уязвимостей, связанных с неправильной настройкой разрешений
⚙️ Как работает S3Scanner?
Инструмент перебирает список возможных названий бакетов и отправляет запросы к Amazon S3, проверяя:
1️⃣ Существует ли указанный бакет
2️⃣ Доступен ли он публично
3️⃣ Можно ли просматривать и скачивать файлы
Он может использоваться для пассивного аудита или более целенаправленного анализа определённых имен (например, по брендам или ключевым словам).
⬇️ Установка
💾 Примеры использования
Проверка одного бакета:
Сканирование списка бакетов:
Дополнительные флаги, которые вам могут пригодиться:
⏺️
⏺️
⏺️
S3Scanner активно используется:
• В багбаунти-программах (поиск утечек данных через S3)
• Для тестирования собственной инфраструктуры (аудит облачной безопасности)
• В OSINT-исследованиях (например, поиск утечек исходного кода, резервных копий или логов)
В эпоху облачных технологий безопасность хранения данных — критически важная задача. Одной из самых частых и опасных ошибок является неправильная конфигурация Amazon S3-бакетов, что может привести к утечке чувствительной информации. Утилита S3Scanner позволяет находить такие открытые хранилища и проверять, насколько они доступны извне.
🛠 Что такое S3Scanner?
S3Scanner — это инструмент на Python, разработанный для сканирования S3-бакетов в Amazon Web Services (AWS) с целью выявления:
⚙️ Как работает S3Scanner?
Инструмент перебирает список возможных названий бакетов и отправляет запросы к Amazon S3, проверяя:
Он может использоваться для пассивного аудита или более целенаправленного анализа определённых имен (например, по брендам или ключевым словам).
apt install s3scanner
Проверка одного бакета:
s3scanner my-company-bucket
Сканирование списка бакетов:
s3scanner -f buckets.txt
Дополнительные флаги, которые вам могут пригодиться:
--threads — количество одновременных потоков (по умолчанию 10)--no-color — отключение цветного вывода--download — скачивание файлов (если доступ разрешён)S3Scanner активно используется:
• В багбаунти-программах (поиск утечек данных через S3)
• Для тестирования собственной инфраструктуры (аудит облачной безопасности)
• В OSINT-исследованиях (например, поиск утечек исходного кода, резервных копий или логов)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Заметки Хакер
This media is not supported in your browser
VIEW IN TELEGRAM
🖥 Репозиторий: HashCrack — упрощенный интерфейс для задач взлома паролей
HashCrack — это инструмент на Python, предназначенный для взлома паролей через использование Hashcat
— Данный инструмент предоставляет удобный интерфейс и поддерживает разнообразные методы атак методом перебора (brute-force).
⏺ Ссылка на GitHub (https://github.com/ente0/hashCrack)
#Hashing #Python #Password #BruteForce
@hackernews_lib
HashCrack — это инструмент на Python, предназначенный для взлома паролей через использование Hashcat
— Данный инструмент предоставляет удобный интерфейс и поддерживает разнообразные методы атак методом перебора (brute-force).
⏺ Ссылка на GitHub (https://github.com/ente0/hashCrack)
#Hashing #Python #Password #BruteForce
@hackernews_lib
👍4
Forwarded from Hacker's TOYS
Криптографические провалы: реальные истории, где не спасли даже миллиарды. Или как миллионы превращаются в утечки, а SSL — в Heartbleed.
Интернет трещит от разговоров про zero-day, эксплойты и банды APT, но иногда самое разрушительное — это просто одна дыра в криптографии. Не вирус, не хакерская гениальность. А баг. Обычный, недосмотренный баг. Или старая библиотека. Или забытый SQL-запрос.
2014 год, Heartbleed — OpenSSL. Само сердце интернета. Дыра размером в 64 килобайта, но по факту — пробоина, через которую утекли логины, пароли, сессии и даже приватные ключи. Один криво реализованный механизм heartbeat — и вот уже хакеры выкачивают из памяти сервера всё, что не успело спрятаться.
Community Health Systems в США потеряла данные 4,5 миллиона пациентов. Тысячи компаний в панике перевыпускали сертификаты. Heartbleed стал уроком. Который, кстати, мало кто выучил.
2008 год, Heartland Payment Systems — 100 миллионов карт ушли на тёмные рынки. Причина — старая добрая SQL-инъекция и отсутствие элементарного шифрования. Всё, что нужно — форма на сайте и чуть-чуть терпения. Хакеры вытаскивали данные с магнитных полос, как грибы после дождя.
Итог — сотни миллионов долларов ущерба. Про доверие клиентов можно не говорить. Оно не восстановилось до сих пор.
2022 год, Toyota — ZeroSevenGroup, хакеры с почерком уверенных игроков, взламывают американское подразделение. Итог — 240 гигабайт внутренних документов. Контракты, пароли, схемы сетей, финансовые отчёты — всё выложено. И всё, судя по анализу, хранилось с минимумом защиты.
Да, Toyota не обанкротилась. Но в киберсреде — теперь это кейс. Учебник. Пример того, как нельзя.
Facebook. Тихая утечка громких масштабов — С 2019 по 2021 год автоматизированные скраперы выкачивали профили — 533 миллиона пользователей. Причина? Уязвимость в поиске по номеру телефона. Боты по номеру получали имя, гео, почту. Всё легально. Потому что API не блокировал массовый доступ.
Facebook признал утечку. Данные всплыли на форумах. Защита была добавлена. Но было поздно. Кто хотел — уже скачал.
MySpace, 2013 год — 360 миллионов аккаунтов, взлом и продажа за копейки. Всё из-за SHA-1 без соли. То есть хэши, которые ломаются за минуты. Это как хранить пароли под ковриком, но коврик ещё и подписан: “пароли под ковриком”.
С тех пор про соль в паролях знают даже студенты. Но только не те, кто писал систему безопасности MySpace.
Криптография — это не галочка в чек-листе. Это фундамент. И если он трескается — рушится всё: данные, доверие, карьера.
Никогда не думайте, что «это всего лишь старый SSL» или «библиотека вроде рабочая». Обновляйте. Аудируйте. Шифруйте. Храните ключи в защищённом виде. И проверяйте — не только свой код, но и весь цепной зоопарк зависимостей.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Интернет трещит от разговоров про zero-day, эксплойты и банды APT, но иногда самое разрушительное — это просто одна дыра в криптографии. Не вирус, не хакерская гениальность. А баг. Обычный, недосмотренный баг. Или старая библиотека. Или забытый SQL-запрос.
2014 год, Heartbleed — OpenSSL. Само сердце интернета. Дыра размером в 64 килобайта, но по факту — пробоина, через которую утекли логины, пароли, сессии и даже приватные ключи. Один криво реализованный механизм heartbeat — и вот уже хакеры выкачивают из памяти сервера всё, что не успело спрятаться.
Community Health Systems в США потеряла данные 4,5 миллиона пациентов. Тысячи компаний в панике перевыпускали сертификаты. Heartbleed стал уроком. Который, кстати, мало кто выучил.
2008 год, Heartland Payment Systems — 100 миллионов карт ушли на тёмные рынки. Причина — старая добрая SQL-инъекция и отсутствие элементарного шифрования. Всё, что нужно — форма на сайте и чуть-чуть терпения. Хакеры вытаскивали данные с магнитных полос, как грибы после дождя.
Итог — сотни миллионов долларов ущерба. Про доверие клиентов можно не говорить. Оно не восстановилось до сих пор.
2022 год, Toyota — ZeroSevenGroup, хакеры с почерком уверенных игроков, взламывают американское подразделение. Итог — 240 гигабайт внутренних документов. Контракты, пароли, схемы сетей, финансовые отчёты — всё выложено. И всё, судя по анализу, хранилось с минимумом защиты.
Да, Toyota не обанкротилась. Но в киберсреде — теперь это кейс. Учебник. Пример того, как нельзя.
Facebook. Тихая утечка громких масштабов — С 2019 по 2021 год автоматизированные скраперы выкачивали профили — 533 миллиона пользователей. Причина? Уязвимость в поиске по номеру телефона. Боты по номеру получали имя, гео, почту. Всё легально. Потому что API не блокировал массовый доступ.
Facebook признал утечку. Данные всплыли на форумах. Защита была добавлена. Но было поздно. Кто хотел — уже скачал.
MySpace, 2013 год — 360 миллионов аккаунтов, взлом и продажа за копейки. Всё из-за SHA-1 без соли. То есть хэши, которые ломаются за минуты. Это как хранить пароли под ковриком, но коврик ещё и подписан: “пароли под ковриком”.
С тех пор про соль в паролях знают даже студенты. Но только не те, кто писал систему безопасности MySpace.
Криптография — это не галочка в чек-листе. Это фундамент. И если он трескается — рушится всё: данные, доверие, карьера.
Никогда не думайте, что «это всего лишь старый SSL» или «библиотека вроде рабочая». Обновляйте. Аудируйте. Шифруйте. Храните ключи в защищённом виде. И проверяйте — не только свой код, но и весь цепной зоопарк зависимостей.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
🔥7
Forwarded from Интернет-Розыск
Please open Telegram to view this post
VIEW IN TELEGRAM