Откуда в OWASP инъекции в 2025 году? Давайте разберемся.
Инъекции никуда не исчезли и в ближайшие годы не исчезнут. Причина проста - бизнесу важнее скорость, чем безопасность, а разработчики продолжают допускать одни и те же ошибки.
Коротко по фактам:
1. Люди пишут код в спешке.
Когда сроки горят, проверки входных данных летят в мусорку. Отсюда появляются уязвимости, которые можно было закрыть одной нормальной валидацией.
2. Старый код живёт годами.
Многие системы работают на устаревших фреймворках и кривых костылях. Никто не трогает их, пока всё «работает». А инъекции там сидят десятилетиями.
3. Разработчики не знают базовой безопасности.
Большинство учат фреймворки и библиотеки, но не понимают фундаментальных принципов. Отсюда - SQL-инъекции, XSS, LDAP-инъекции и прочий классический набор.
4. OWASP фиксирует не хайп, а реальность.
В топ попадает то, что реально эксплуатируют. Если инъекции там до сих пор - значит, их всё ещё находят в проде и всё ещё используют для взломов.
5. Автоматизация не спасает.
Даже лучшие сканеры пропускают уязвимости. А ручного анализа никто не делает, потому что «нет времени». Итог - очередной публичный слив.
Напоминаю, на следующей неделе стартует курс Введение в кибербезопасность, еще есть места
Пишите @faroeman
Инъекции никуда не исчезли и в ближайшие годы не исчезнут. Причина проста - бизнесу важнее скорость, чем безопасность, а разработчики продолжают допускать одни и те же ошибки.
Коротко по фактам:
1. Люди пишут код в спешке.
Когда сроки горят, проверки входных данных летят в мусорку. Отсюда появляются уязвимости, которые можно было закрыть одной нормальной валидацией.
2. Старый код живёт годами.
Многие системы работают на устаревших фреймворках и кривых костылях. Никто не трогает их, пока всё «работает». А инъекции там сидят десятилетиями.
3. Разработчики не знают базовой безопасности.
Большинство учат фреймворки и библиотеки, но не понимают фундаментальных принципов. Отсюда - SQL-инъекции, XSS, LDAP-инъекции и прочий классический набор.
4. OWASP фиксирует не хайп, а реальность.
В топ попадает то, что реально эксплуатируют. Если инъекции там до сих пор - значит, их всё ещё находят в проде и всё ещё используют для взломов.
5. Автоматизация не спасает.
Даже лучшие сканеры пропускают уязвимости. А ручного анализа никто не делает, потому что «нет времени». Итог - очередной публичный слив.
Напоминаю, на следующей неделе стартует курс Введение в кибербезопасность, еще есть места
Пишите @faroeman
❤4🔥2👏1
«Уиткофф-гейт» становится всё интереснее: Ушаков заявил, что слив разговора якобы произошёл из-за WhatsApp.
Помощник Путина рассказал, что иногда ведёт рабочие беседы через WhatsApp, и их «могли послушать».
Ушаков заявил, что закрытые линии связи почти не дают утечек, а вот WhatsApp — другое дело, поэтому «вряд ли» слив произошёл от участников разговора.
Ирония в том, что представитель Кремля общался с Уиткоффом через приложение, которое официально запрещено в России.
Как пишут «Важные истории», если разговор действительно был в WhatsApp и его смогли перехватить, то возможны только три варианта:
в приложении есть бэкдор (что Meta отрицает),
устройство Ушакова заражено шпионским ПО
или же он говорил по незащищённой связи и сейчас лукавит.
Итак вопрос, есть в Мета бекдор? :D
Помощник Путина рассказал, что иногда ведёт рабочие беседы через WhatsApp, и их «могли послушать».
Ушаков заявил, что закрытые линии связи почти не дают утечек, а вот WhatsApp — другое дело, поэтому «вряд ли» слив произошёл от участников разговора.
Ирония в том, что представитель Кремля общался с Уиткоффом через приложение, которое официально запрещено в России.
Как пишут «Важные истории», если разговор действительно был в WhatsApp и его смогли перехватить, то возможны только три варианта:
в приложении есть бэкдор (что Meta отрицает),
устройство Ушакова заражено шпионским ПО
или же он говорил по незащищённой связи и сейчас лукавит.
Итак вопрос, есть в Мета бекдор? :D
🌚4👏2🤷2❤1
Как новичку зайти в информационную безопасность
ИБ - это не про «хакеров в худи». Это огромный рынок, где нужны люди даже без коммерческого опыта.
Что выбрать:
• Пентест - ищешь уязвимости, имитируешь атаки.
• SOC - защита, анализ логов, реагирование.
• Комплаенс - нормы, требования, риски.
• AppSec / DevSecOps - делаешь разработку безопасной.
Что должно быть в базе:
• Linux + терминал
• Сети: OSI, TCP/IP
• Криптография на уровне понимания
• Burp, Wireshark, Git
• Базовый Python
Как получить опыт без опыта:
• CTF
• Bug Bounty
• HackTheBox / TryHackMe
• Пет-проекты и скрипты на GitHub
• Сертификаты (по желанию)
Что писать в резюме:
Ссылки на CTF, Bug Bounty, HTB/THM, проекты, GitHub, сертификаты и чёткое направление, куда идёшь.
Где стартовать:
Стажировки, аутсорс, безопасные фриланс-задачи (только с разрешением и договором).
ИБ - это не про «хакеров в худи». Это огромный рынок, где нужны люди даже без коммерческого опыта.
Что выбрать:
• Пентест - ищешь уязвимости, имитируешь атаки.
• SOC - защита, анализ логов, реагирование.
• Комплаенс - нормы, требования, риски.
• AppSec / DevSecOps - делаешь разработку безопасной.
Что должно быть в базе:
• Linux + терминал
• Сети: OSI, TCP/IP
• Криптография на уровне понимания
• Burp, Wireshark, Git
• Базовый Python
Как получить опыт без опыта:
• CTF
• Bug Bounty
• HackTheBox / TryHackMe
• Пет-проекты и скрипты на GitHub
• Сертификаты (по желанию)
Что писать в резюме:
Ссылки на CTF, Bug Bounty, HTB/THM, проекты, GitHub, сертификаты и чёткое направление, куда идёшь.
Где стартовать:
Стажировки, аутсорс, безопасные фриланс-задачи (только с разрешением и договором).
❤12💯3🔥2👏1
Ищу контент-мейкера, кто шарит в ИБ.
Задача: с января запускаю частный клуб в Телеге, где мы будем изучать пентест / киберсек с самого нуля.
Прибывание в клубе будет по подписке, в районе 15-25 евро в месяц, смешная цена для ценных знаний
У нас достаточно много тут ребят, кто хочет обучаться, но финансы не позволяют - поэтому надо сделать обучение доступным
От человека требуется уверенное знание кибера/пентеста и желание помогать сообществу
Писать контент, разботы, давать задания и тд, в общем активно вести клуб в Телеграме
Работа оплачивается!
Пишите в лс @faroeman
Сразу напишите о себе и своем опыте
Задача: с января запускаю частный клуб в Телеге, где мы будем изучать пентест / киберсек с самого нуля.
Прибывание в клубе будет по подписке, в районе 15-25 евро в месяц, смешная цена для ценных знаний
У нас достаточно много тут ребят, кто хочет обучаться, но финансы не позволяют - поэтому надо сделать обучение доступным
От человека требуется уверенное знание кибера/пентеста и желание помогать сообществу
Писать контент, разботы, давать задания и тд, в общем активно вести клуб в Телеграме
Работа оплачивается!
Пишите в лс @faroeman
Сразу напишите о себе и своем опыте
❤6🔥3😁3
🔒 ЗАКРЫТЫЙ КЛУБ ПО ПЕНТЕСТИНГУ
Практика. Система. Результат.
Если коротко:
это не канал «посмотрел → забыл».
Это место, где учатся думать как пентестер, а не тыкать Kali по гайдам.
Что реально будет
— структурная база по ИБ и пентесту
— web / network / linux / основы атак
— практические задания (hands-on)
— CTF и разборы
— реальные учебные сценарии атак
— ответы на вопросы, разбор ошибок
Без воды.
Темп нормальный — но расслабиться не получится.
Кому это нужно
— новичкам, которые не понимают, с чего начать
— тем, у кого знания разрозненные
— тем, кто хочет войти в ИБ осознанно, а не «авось повезёт»
Опыт не обязателен.
Формат
Закрытое сообщество.
Регулярный контент + практика.
Никакой нелегальщины. Только учебные стенды и сценарии.
Цена
💰 19 € / месяц
🔥 первый месяц — 13 €
Оплата:
— рубли
— доллары
— евро
или другая любая валюта
Без годовых подписок и «плати сразу за всё».
Честно
Пентест — это не легко.
Будет момент, когда захочется бросить.
Но если пройти базу правильно — дальше будет намного легче.
Если хочешь реально войти в кибербезопасность,
а не просто читать каналы — тебе сюда.
👉 Ссылку на клуб прикреплю тут
https://news.1rj.ru/str/tribute/app?startapp=sIBO
Практика. Система. Результат.
Если коротко:
это не канал «посмотрел → забыл».
Это место, где учатся думать как пентестер, а не тыкать Kali по гайдам.
Что реально будет
— структурная база по ИБ и пентесту
— web / network / linux / основы атак
— практические задания (hands-on)
— CTF и разборы
— реальные учебные сценарии атак
— ответы на вопросы, разбор ошибок
Без воды.
Темп нормальный — но расслабиться не получится.
Кому это нужно
— новичкам, которые не понимают, с чего начать
— тем, у кого знания разрозненные
— тем, кто хочет войти в ИБ осознанно, а не «авось повезёт»
Опыт не обязателен.
Формат
Закрытое сообщество.
Регулярный контент + практика.
Никакой нелегальщины. Только учебные стенды и сценарии.
Цена
💰 19 € / месяц
🔥 первый месяц — 13 €
Оплата:
— рубли
— доллары
— евро
или другая любая валюта
Без годовых подписок и «плати сразу за всё».
Честно
Пентест — это не легко.
Будет момент, когда захочется бросить.
Но если пройти базу правильно — дальше будет намного легче.
Если хочешь реально войти в кибербезопасность,
а не просто читать каналы — тебе сюда.
👉 Ссылку на клуб прикреплю тут
https://news.1rj.ru/str/tribute/app?startapp=sIBO
Telegram
Tribute
This bot helps content creators receive financial support from their followers directly in the app.
❤1
🔒 - У НАС НАЧАЛАСЬ ДВИЖУХА В КЛУБЕ
- ОБСУЖДАЕМ ИНСТРУМЕНТЫ! ССЫЛКИ НА КРУТЫЕ ВЕБИНАРЫ!
- РЕШЕНИЕ ЗАДАЧ С ПРОВЕРКОЙ
Все это сделано для вас! Нас уже 8 человек!
Цель - набрать до нового года 15 человек! Будем стремиться!
Мы хотим развивать клуб и нам нужна ваша поддержка!
Вы получаете крутые знания, которые стоят 1 поход в кафешку в месяц!
Вступить в клуб можно по ссылочке - первый месяц супер скидка!
https://news.1rj.ru/str/tribute/app?startapp=sIBO
- ОБСУЖДАЕМ ИНСТРУМЕНТЫ! ССЫЛКИ НА КРУТЫЕ ВЕБИНАРЫ!
- РЕШЕНИЕ ЗАДАЧ С ПРОВЕРКОЙ
Все это сделано для вас! Нас уже 8 человек!
Цель - набрать до нового года 15 человек! Будем стремиться!
Мы хотим развивать клуб и нам нужна ваша поддержка!
Вы получаете крутые знания, которые стоят 1 поход в кафешку в месяц!
Вступить в клуб можно по ссылочке - первый месяц супер скидка!
https://news.1rj.ru/str/tribute/app?startapp=sIBO
❤3🔥1
Broken Authentication: почему это опасно и как быстро протестировать
Broken Authentication (нарушение аутентификации) — одна из самых распространённых проблем безопасности в веб-приложениях и API. Она возникает, когда приложение плохо защищает учетные данные, сессионные токены или механизмы аутентификации, позволяя злоумышленникам выдавать себя за других пользователей.
Почему Broken Authentication опасно
Захват аккаунта – злоумышленник может полностью контролировать учетные записи, если пароли слабые, повторяются или токены сессии предсказуемы.
Утечка данных – несанкционированный доступ может раскрыть личные данные, финансовую информацию или конфиденциальные корпоративные данные.
Эскалация привилегий – злоумышленник может получить права администратора и нанести больше ущерба.
Репутационные потери – эксплойты подрывают доверие пользователей, могут привести к штрафам и долгосрочному ущербу для бренда.
Основные причины
- Слабые или стандартные пароли.
- Отсутствие многофакторной аутентификации (MFA).
- Плохо защищённые токены сессий (предсказуемые или открытые).
- Неправильные настройки механизмов аутентификации.
- Уязвимые процессы восстановления пароля.
Как быстро протестировать Broken Authentication
- Автоматизированные инструменты – используйте сканеры вроде OWASP ZAP, Burp Suite или автоматические скрипты для проверки слабых паролей, предсказуемых сессий и открытых учетных данных.
- Проверка силы пароля – тестируйте, разрешает ли система слабые пароли, короткие пароли и повторное использование паролей.
- Тестирование управления сессиями – проверяйте, можно ли угадать токены сессий, использовать их после выхода или если они истекли.
- Брутфорс-тестирование – пробуйте многократные попытки входа, чтобы проверить, ограничивает ли приложение количество попыток или блокирует аккаунт.
- Тестирование восстановления и MFA – проверяйте процессы сброса пароля и многофакторную аутентификацию на уязвимости.
Быстрые советы
- Всегда используйте сильные правила для паролей и MFA.
- Никогда не храните токены сессий в URL или логах.
- Ограничивайте попытки входа и отслеживайте подозрительную активность.
- Автоматизируйте регулярное тестирование аутентификации на всех этапах разработки.
Вывод
Broken Authentication — высокорисковая уязвимость, потому что напрямую позволяет злоумышленникам выдавать себя за других пользователей. Быстрое тестирование с помощью автоматических инструментов и базовых ручных проверок помогает обнаружить многие проблемы до того, как их смогут использовать.
Broken Authentication (нарушение аутентификации) — одна из самых распространённых проблем безопасности в веб-приложениях и API. Она возникает, когда приложение плохо защищает учетные данные, сессионные токены или механизмы аутентификации, позволяя злоумышленникам выдавать себя за других пользователей.
Почему Broken Authentication опасно
Захват аккаунта – злоумышленник может полностью контролировать учетные записи, если пароли слабые, повторяются или токены сессии предсказуемы.
Утечка данных – несанкционированный доступ может раскрыть личные данные, финансовую информацию или конфиденциальные корпоративные данные.
Эскалация привилегий – злоумышленник может получить права администратора и нанести больше ущерба.
Репутационные потери – эксплойты подрывают доверие пользователей, могут привести к штрафам и долгосрочному ущербу для бренда.
Основные причины
- Слабые или стандартные пароли.
- Отсутствие многофакторной аутентификации (MFA).
- Плохо защищённые токены сессий (предсказуемые или открытые).
- Неправильные настройки механизмов аутентификации.
- Уязвимые процессы восстановления пароля.
Как быстро протестировать Broken Authentication
- Автоматизированные инструменты – используйте сканеры вроде OWASP ZAP, Burp Suite или автоматические скрипты для проверки слабых паролей, предсказуемых сессий и открытых учетных данных.
- Проверка силы пароля – тестируйте, разрешает ли система слабые пароли, короткие пароли и повторное использование паролей.
- Тестирование управления сессиями – проверяйте, можно ли угадать токены сессий, использовать их после выхода или если они истекли.
- Брутфорс-тестирование – пробуйте многократные попытки входа, чтобы проверить, ограничивает ли приложение количество попыток или блокирует аккаунт.
- Тестирование восстановления и MFA – проверяйте процессы сброса пароля и многофакторную аутентификацию на уязвимости.
Быстрые советы
- Всегда используйте сильные правила для паролей и MFA.
- Никогда не храните токены сессий в URL или логах.
- Ограничивайте попытки входа и отслеживайте подозрительную активность.
- Автоматизируйте регулярное тестирование аутентификации на всех этапах разработки.
Вывод
Broken Authentication — высокорисковая уязвимость, потому что напрямую позволяет злоумышленникам выдавать себя за других пользователей. Быстрое тестирование с помощью автоматических инструментов и базовых ручных проверок помогает обнаружить многие проблемы до того, как их смогут использовать.
❤5
Дорогие друзья! Пока мы готовимся встречать 2026-й с шампанским и оливье, давайте оглянемся на киберугрозы 2025 года. Глобальный ущерб от киберпреступности достиг $10,5 трлн — это третья "экономика" мира после США и Китая!
Самые громкие инциденты 2025:
➖ Атака на «Аэрофлот». Отменено более 100 рейсов, серьёзные сбои в работе систем.
➖ Jaguar Land Rover. Ransomware привёл к остановке производства, ущерб ~£1,9 млрд для экономики Великобритании.
➖ Авиакомпании Qantas (Австралия), WestJet (Канада), Hawaiian Airlines (США). Серия атак от хакеров Scattered Spider.
➖ Японский пивоваренный гигант Asahi — кража данных и остановка операций. Расследование показало, что злоумышленники заранее проникли в сеть, зашифровали данные и развернули вирус-шифровальщик, блокирующий доступ к файлам до выплаты выкупа.
➖ Китайская группа Salt Typhoon воспользовалась известной уязвимостью CVE-2023-20198 в Cisco IOS XE, что позволило получить привилегированный доступ к сетевым устройствам компании и проводить кибершпионские операции.
Самые громкие инциденты 2025:
➖ Атака на «Аэрофлот». Отменено более 100 рейсов, серьёзные сбои в работе систем.
➖ Jaguar Land Rover. Ransomware привёл к остановке производства, ущерб ~£1,9 млрд для экономики Великобритании.
➖ Авиакомпании Qantas (Австралия), WestJet (Канада), Hawaiian Airlines (США). Серия атак от хакеров Scattered Spider.
➖ Японский пивоваренный гигант Asahi — кража данных и остановка операций. Расследование показало, что злоумышленники заранее проникли в сеть, зашифровали данные и развернули вирус-шифровальщик, блокирующий доступ к файлам до выплаты выкупа.
➖ Китайская группа Salt Typhoon воспользовалась известной уязвимостью CVE-2023-20198 в Cisco IOS XE, что позволило получить привилегированный доступ к сетевым устройствам компании и проводить кибершпионские операции.
❤2🔥2🙏2
2026 год обещает стать переломным для глобальной кибербезопасности: угрозы станут ещё сложнее благодаря ИИ, а расходы на защиту превысят $520 млрд (рост с $260 млрд в 2021 году). Общий ущерб от киберпреступности в 2025 году уже достиг $10,5 трлн, и тенденция продолжится. Эксперты (Forbes, Google Cloud, CIS, McKinsey) выделяют эволюцию ИИ как ключевой фактор, где атаки ускорятся, а защита потребует интеграции AI в операции.
А как думаете вы - какие тенденции кибербезопасности ждут мир в 2026 году? Пишите ваши идеи в комментарии. Автор лучшего комментария получит новогодний подарок - подписку на 3 месяца обучения в нашем закрытом пентест клубе! Лучший комментарий определим по количеству реакций - у кого наберётся больше всех реакций до 5 января, тот и победил!🥳
А как думаете вы - какие тенденции кибербезопасности ждут мир в 2026 году? Пишите ваши идеи в комментарии. Автор лучшего комментария получит новогодний подарок - подписку на 3 месяца обучения в нашем закрытом пентест клубе! Лучший комментарий определим по количеству реакций - у кого наберётся больше всех реакций до 5 января, тот и победил!🥳
❤5🙏1
Квиз: Угадайте уязвимость по описанию
Сегодня проверим, насколько хорошо вы знаете классические уязвимости веб-приложений.
Вам даётся описание симптома или сценарий атаки — ваша задача угадать название уязвимости (по OWASP или стандартным терминам).
Ответы пишите в комментариях в формате:
1.Ваш ответ
2.Ваш ответ ...
Поехали! 7 вопросов:
1.Пользователь меняет ID в URL (например, /user/123 на /user/456) и внезапно видит данные другого пользователя. Админ-панель тоже доступна без проверки прав.
2.В поисковой строке вводим что-то вроде ' OR '1'='1 — и вдруг логинимся без пароля или видим все записи из базы данных.
3.При регистрации или логине пароль передаётся в открытом виде по HTTP, или хранится в базе в виде plain text / слабого хэша.
4.Вводим в форму <noscript>alert(1)</noscript>, и этот код выполняется в браузере других пользователей, когда они просматривают страницу.
5.Приложение использует старую версию библиотеки (например, Log4j с известной RCE-уязвимостью), и атакующий эксплуатирует её удалённо.
6.Сервер обрабатывает загруженный XML-файл, а в нём указана внешняя сущность вроде <!ENTITY xxe SYSTEM "file:///etc/passwd"> — и содержимое файла утекает в ответ.
7.В заголовке или параметре передаём URL вроде http://internal.server/admin, и сервер послушно делает запрос внутрь сети, возвращая ответ атакующему.
Пишите свои ответы ниже! Правильные ответы опубликуются завтра.
Сегодня проверим, насколько хорошо вы знаете классические уязвимости веб-приложений.
Вам даётся описание симптома или сценарий атаки — ваша задача угадать название уязвимости (по OWASP или стандартным терминам).
Ответы пишите в комментариях в формате:
1.Ваш ответ
2.Ваш ответ ...
Поехали! 7 вопросов:
1.Пользователь меняет ID в URL (например, /user/123 на /user/456) и внезапно видит данные другого пользователя. Админ-панель тоже доступна без проверки прав.
2.В поисковой строке вводим что-то вроде ' OR '1'='1 — и вдруг логинимся без пароля или видим все записи из базы данных.
3.При регистрации или логине пароль передаётся в открытом виде по HTTP, или хранится в базе в виде plain text / слабого хэша.
4.Вводим в форму <noscript>alert(1)</noscript>, и этот код выполняется в браузере других пользователей, когда они просматривают страницу.
5.Приложение использует старую версию библиотеки (например, Log4j с известной RCE-уязвимостью), и атакующий эксплуатирует её удалённо.
6.Сервер обрабатывает загруженный XML-файл, а в нём указана внешняя сущность вроде <!ENTITY xxe SYSTEM "file:///etc/passwd"> — и содержимое файла утекает в ответ.
7.В заголовке или параметре передаём URL вроде http://internal.server/admin, и сервер послушно делает запрос внутрь сети, возвращая ответ атакующему.
Пишите свои ответы ниже! Правильные ответы опубликуются завтра.
Правильные ответы на вопросы из поста выше:
1.Broken Access Control (Нарушение контроля доступа) — классика OWASP A01. Нет проверки прав на объекты.
2.Injection (Инъекция, чаще SQL Injection) — OWASP A03. Неэкранированный ввод в запросы к БД.
3.Cryptographic Failures (Сбои в криптографии) — OWASP A04 (ранее Sensitive Data Exposure). Слабая защита чувствительных данных.
4.Cross-Site Scripting (XSS) — часто Stored или Reflected. Ввод выполняется как код в браузере жертв.
5.Vulnerable and Outdated Components или Software Supply Chain Failures (Уязвимые компоненты / Сбои в цепочке поставок ПО) — OWASP A03/A06 в старых версиях.
6.XML External Entities (XXE) — обработка внешних сущностей в XML-парсерах.
7.Server-Side Request Forgery (SSRF) — сервер делает запросы по указанию атакующего.
Как справились? Сколько из 7 угадали? Делитесь в комментариях!
1.Broken Access Control (Нарушение контроля доступа) — классика OWASP A01. Нет проверки прав на объекты.
2.Injection (Инъекция, чаще SQL Injection) — OWASP A03. Неэкранированный ввод в запросы к БД.
3.Cryptographic Failures (Сбои в криптографии) — OWASP A04 (ранее Sensitive Data Exposure). Слабая защита чувствительных данных.
4.Cross-Site Scripting (XSS) — часто Stored или Reflected. Ввод выполняется как код в браузере жертв.
5.Vulnerable and Outdated Components или Software Supply Chain Failures (Уязвимые компоненты / Сбои в цепочке поставок ПО) — OWASP A03/A06 в старых версиях.
6.XML External Entities (XXE) — обработка внешних сущностей в XML-парсерах.
7.Server-Side Request Forgery (SSRF) — сервер делает запросы по указанию атакующего.
Как справились? Сколько из 7 угадали? Делитесь в комментариях!
❤3
Этика парсинга паролей: техники и когда это законно
Привет, друзья! В мире пентеста парсинг паролей — это один из самых острых инструментов. Но здесь важно не только знать, как это делать, а понимать этику и юридические рамки. Сегодня разберём техники парсинга (точнее, cracking) паролей, обсудим, когда это легально, и поговорим о brute force в лабораторных условиях, а также правилах bug bounty. Это не руководство к действию, а образовательный материал для повышения осведомлённости о кибербезопасности.
Что такое парсинг паролей и зачем он нужен?
Парсинг паролей — это процесс восстановления или взлома паролей из хэшей (зашифрованных форм) или через попытки угадывания. В этичном хакингe это помогает выявлять слабые места в системах: слабые пароли, устаревшие хэш-алгоритмы или отсутствие защиты от атак. Например, если в компании пароли хранятся в незащищённом виде, пентестер может "взломать" их, чтобы показать риски и предложить улучшения. Без этики это превращается в преступление, как несанкционированный доступ к системам.
Основные техники парсинга паролей
Вот high-level обзор техник — помните, их применение требует разрешения.
1.Brute force (грубая сила): Автоматическое перебирание всех возможных комбинаций символов. Эффективно для коротких паролей, но требует огромных вычислительных мощностей. В реальности это может занять годы для сложных паролей.
2.Dictionary attacks (словарные атаки): Использование списков распространённых паролей (типа "123456" или "password"). Быстрее brute force, если пароль простой.
3.Rainbow tables: Предварительно вычисленные таблицы хэшей для быстрого поиска. Полезны против слабых хэш-функций вроде MD5.
4.Hybrid attacks: Комбинация brute force и словарей, плюс вариации (например, добавление цифр к словам).
Эти методы часто тестируют в инструментах вроде John the Ripper или Hashcat, но только в контролируемой среде.
❗️Важно: в реальных сценариях они могут нарушать законы, если нет согласия. Парсинг паролей легален только в рамках этичного хакингa с явным разрешением. Вот ключевые сценарии:
➖ В лабораторных условиях (labs): Если вы настраиваете виртуальную среду (например, на Kali Linux), brute force на тестовых аккаунтах — это безопасно и легально. Это как тренировка: вы учитесь, не вредя реальным системам. Многие курсы по CEH (Certified Ethical Hacker) включают такие labs для практики. Но даже здесь соблюдайте этику — не используйте реальные данные без согласия.
➖ В penetration testing: Компании нанимают пентестеров для симуляции атак. Перед началом подписывается договор (rules of engagement), где указаны пределы. Без этого — это хакинг, наказуемый законом (штрафы, тюрьма). В США и ЕС законы вроде CFAA (Computer Fraud and Abuse Act) требуют письменного согласия.
➖ Bug bounty programs: Платформы вроде HackerOne или Bugcrowd позволяют хакерам искать уязвимости за вознаграждение. Но brute force и password cracking часто ограничены! Многие правила запрещают атаки, которые могут вызвать DoS (denial of service), как массовый brute force на логин-страницах. Например, в отчётах HackerOne brute force на password reset считается валидным только если нет rate limiting, но без автоматизации, которая нагружает сервер. Всегда читайте scope: если не разрешено — рискуете баном или юридическими проблемами.
В общем, правило: no permission — no action (нет разрешения - нет действия). Этика подразумевает responsible disclosure: нашли уязвимость — сообщите владельцу, не эксплуатируйте.
Привет, друзья! В мире пентеста парсинг паролей — это один из самых острых инструментов. Но здесь важно не только знать, как это делать, а понимать этику и юридические рамки. Сегодня разберём техники парсинга (точнее, cracking) паролей, обсудим, когда это легально, и поговорим о brute force в лабораторных условиях, а также правилах bug bounty. Это не руководство к действию, а образовательный материал для повышения осведомлённости о кибербезопасности.
Что такое парсинг паролей и зачем он нужен?
Парсинг паролей — это процесс восстановления или взлома паролей из хэшей (зашифрованных форм) или через попытки угадывания. В этичном хакингe это помогает выявлять слабые места в системах: слабые пароли, устаревшие хэш-алгоритмы или отсутствие защиты от атак. Например, если в компании пароли хранятся в незащищённом виде, пентестер может "взломать" их, чтобы показать риски и предложить улучшения. Без этики это превращается в преступление, как несанкционированный доступ к системам.
Основные техники парсинга паролей
Вот high-level обзор техник — помните, их применение требует разрешения.
1.Brute force (грубая сила): Автоматическое перебирание всех возможных комбинаций символов. Эффективно для коротких паролей, но требует огромных вычислительных мощностей. В реальности это может занять годы для сложных паролей.
2.Dictionary attacks (словарные атаки): Использование списков распространённых паролей (типа "123456" или "password"). Быстрее brute force, если пароль простой.
3.Rainbow tables: Предварительно вычисленные таблицы хэшей для быстрого поиска. Полезны против слабых хэш-функций вроде MD5.
4.Hybrid attacks: Комбинация brute force и словарей, плюс вариации (например, добавление цифр к словам).
Эти методы часто тестируют в инструментах вроде John the Ripper или Hashcat, но только в контролируемой среде.
❗️Важно: в реальных сценариях они могут нарушать законы, если нет согласия. Парсинг паролей легален только в рамках этичного хакингa с явным разрешением. Вот ключевые сценарии:
➖ В лабораторных условиях (labs): Если вы настраиваете виртуальную среду (например, на Kali Linux), brute force на тестовых аккаунтах — это безопасно и легально. Это как тренировка: вы учитесь, не вредя реальным системам. Многие курсы по CEH (Certified Ethical Hacker) включают такие labs для практики. Но даже здесь соблюдайте этику — не используйте реальные данные без согласия.
➖ В penetration testing: Компании нанимают пентестеров для симуляции атак. Перед началом подписывается договор (rules of engagement), где указаны пределы. Без этого — это хакинг, наказуемый законом (штрафы, тюрьма). В США и ЕС законы вроде CFAA (Computer Fraud and Abuse Act) требуют письменного согласия.
➖ Bug bounty programs: Платформы вроде HackerOne или Bugcrowd позволяют хакерам искать уязвимости за вознаграждение. Но brute force и password cracking часто ограничены! Многие правила запрещают атаки, которые могут вызвать DoS (denial of service), как массовый brute force на логин-страницах. Например, в отчётах HackerOne brute force на password reset считается валидным только если нет rate limiting, но без автоматизации, которая нагружает сервер. Всегда читайте scope: если не разрешено — рискуете баном или юридическими проблемами.
В общем, правило: no permission — no action (нет разрешения - нет действия). Этика подразумевает responsible disclosure: нашли уязвимость — сообщите владельцу, не эксплуатируйте.
👏4❤2
Последние темы в закрытом пентест клубе, это
🏢 Основы инфраструктурного пентеста
🧠 Разбор CTF | Определение геолокации
🫡 Также, мы ввели рубрику, чтобы вы задавали вопросы по пентесту, а мы на них отвечали бы !
⚠️Клуб растет и в честь новогодних праздников я сделал еще скидку на клуб 50% по промокоду HG4XJW79
📣Промокод зашит прямо в ссылку
Всего 25 мест
Действует до 13 января
https://news.1rj.ru/str/tribute/app?startapp=sIBO_pc_HG4XJW79
Ждем вас!
🏢 Основы инфраструктурного пентеста
🧠 Разбор CTF | Определение геолокации
🫡 Также, мы ввели рубрику, чтобы вы задавали вопросы по пентесту, а мы на них отвечали бы !
⚠️Клуб растет и в честь новогодних праздников я сделал еще скидку на клуб 50% по промокоду HG4XJW79
📣Промокод зашит прямо в ссылку
Всего 25 мест
Действует до 13 января
https://news.1rj.ru/str/tribute/app?startapp=sIBO_pc_HG4XJW79
Ждем вас!
Telegram
Tribute
This bot helps content creators receive financial support from their followers directly in the app.
🔥1🙏1👌1
Новая уязвимость раскрыта в n8n
Новая критическая уязвимость безопасности раскрыта в n8n — платформе автоматизации рабочих процессов с открытым исходным кодом. Она может позволить аутентифицированному атакующему выполнять произвольные системные команды на хост-системе.
Уязвимость, отслеживаемая как CVE-2025-68668, имеет рейтинг 9.9 по шкале CVSS. Она описана как случай сбоя механизма защиты.
Уязвимость затрагивает версии n8n от 1.0.0 до, но не включая, 2.0.0. Она позволяет аутентифицированному пользователю с правами на создание или изменение рабочих процессов выполнять произвольные команды операционной системы на хосте, где запущен n8n. Проблема исправлена в версии 2.0.0.
«В узле Python Code Node, использующем Pyodide, существует уязвимость обхода песочницы», — говорится в консультации по уязвимости. «Аутентифицированный пользователь с правами на создание или изменение рабочих процессов может эксплуатировать эту уязвимость для выполнения произвольных команд на хост-системе, где запущен n8n, с теми же привилегиями, что и у процесса n8n».
В n8n сообщили, что в версии 1.111.0 была введена реализация на основе task runner для нативного Python как опциональная функция для улучшения изоляции безопасности. Её можно включить, настроив переменные окружения N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER. С выпуском версии 2.0.0 эта реализация стала используемой по умолчанию.
В качестве временных мер n8n рекомендует выполнить следующие шаги:
✅Отключить узел Code Node, установив переменную окружения NODES_EXCLUDE: "["n8n-nodes-base.code"]"
✅Отключить поддержку Python в узле Code Node, установив переменную окружения N8N_PYTHON_ENABLED=false
✅Настроить n8n на использование песочницы Python на основе task runner с помощью переменных окружения N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER
Раскрытие произошло на фоне того, что n8n устранила другую критическую уязвимость (CVE-2025-68613, рейтинг CVSS: 9.9), которая могла привести к произвольному выполнению кода в определённых обстоятельствах.
Источник: thehackernews.com
Новая критическая уязвимость безопасности раскрыта в n8n — платформе автоматизации рабочих процессов с открытым исходным кодом. Она может позволить аутентифицированному атакующему выполнять произвольные системные команды на хост-системе.
Уязвимость, отслеживаемая как CVE-2025-68668, имеет рейтинг 9.9 по шкале CVSS. Она описана как случай сбоя механизма защиты.
Уязвимость затрагивает версии n8n от 1.0.0 до, но не включая, 2.0.0. Она позволяет аутентифицированному пользователю с правами на создание или изменение рабочих процессов выполнять произвольные команды операционной системы на хосте, где запущен n8n. Проблема исправлена в версии 2.0.0.
«В узле Python Code Node, использующем Pyodide, существует уязвимость обхода песочницы», — говорится в консультации по уязвимости. «Аутентифицированный пользователь с правами на создание или изменение рабочих процессов может эксплуатировать эту уязвимость для выполнения произвольных команд на хост-системе, где запущен n8n, с теми же привилегиями, что и у процесса n8n».
В n8n сообщили, что в версии 1.111.0 была введена реализация на основе task runner для нативного Python как опциональная функция для улучшения изоляции безопасности. Её можно включить, настроив переменные окружения N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER. С выпуском версии 2.0.0 эта реализация стала используемой по умолчанию.
В качестве временных мер n8n рекомендует выполнить следующие шаги:
✅Отключить узел Code Node, установив переменную окружения NODES_EXCLUDE: "["n8n-nodes-base.code"]"
✅Отключить поддержку Python в узле Code Node, установив переменную окружения N8N_PYTHON_ENABLED=false
✅Настроить n8n на использование песочницы Python на основе task runner с помощью переменных окружения N8N_RUNNERS_ENABLED и N8N_NATIVE_PYTHON_RUNNER
Раскрытие произошло на фоне того, что n8n устранила другую критическую уязвимость (CVE-2025-68613, рейтинг CVSS: 9.9), которая могла привести к произвольному выполнению кода в определённых обстоятельствах.
Источник: thehackernews.com
🙈2
Burp Suite vs. бесплатные альтернативы
Если вы только начинаете путь в веб-безопасности, пентесте или баг-баунти, то один из первых инструментов, о котором вы услышите — Burp Suite. Это настоящий "швейцарский нож" для тестирования веб-приложений: интерцептор трафика, сканер уязвимостей, repeater, intruder и многое другое.
Burp Suite имеет бесплатную Community Edition, которая хороша для старта, и платную Professional (около $450 в год), где открываются мощные фичи вроде автоматического сканера и продвинутого Intruder. Для новичков часто встает вопрос: стоит ли тратиться сразу или хватит бесплатных альтернатив?
Давайте разберем топ инструментов для начинающих и сравним их с Burp Suite Community.
1. Burp Suite Community Edition (бесплатно)
✨Плюсы для новичков:
➖Отличный интерцептор прокси — легко перехватывать и модифицировать запросы.
➖Repeater для ручного тестирования, Decoder, Comparer.
➖Интуитивный интерфейс, множество туториалов (PortSwigger Academy — топ для обучения!).
➖Поддержка расширений (BApp Store).
✨Минусы:
➖Нет автоматического сканера уязвимостей (есть только в Pro).
➖Ограниченный Intruder (для brute-force и fuzzing).
➖Может тормозить на слабом ПК из-за Java.
Вердикт: Лучший старт для новичка. Многие баг-хантеры годами сидят на Community и зарабатывают тысячи долларов.
2.OWASP ZAP (полностью бесплатно, open-source)
✨Плюсы:
➖Полноценный автоматический сканер (активный и пассивный) — ищет XSS, SQLi и другие OWASP Top 10.
➖Прокси-интерцептор, fuzzing, spider/crawler.
➖HUD (Heads Up Display) — удобный оверлей в браузере для быстрого тестирования.
➖Легко автоматизировать (API, скрипты на разных языках).
➖Активное сообщество, аддоны в Marketplace.
✨Минусы:
➖Интерфейс чуть менее полированный, чем в Burp (многим "режет глаза").
➖Иногда больше false positives в сканере.
➖Для сложного manual testing Burp удобнее.
Вердикт: Идеальная бесплатная альтернатива для тех, кто хочет автоматизацию без доплаты. Многие используют ZAP + Burp Community вместе.
3.mitmproxy (бесплатно, open-source)
✨Плюсы:
➖Мощный консольный/веб-интерфейс для перехвата трафика.
➖Скриптинг на Python — супер для автоматизации.
➖Легковесный, быстрый, поддержка HTTP/2 и WebSockets.
✨Минусы:
➖Нет GUI как в Burp/ZAP — больше для тех, кто любит CLI.
➖Нет встроенного сканера.
Вердикт: Отлично для продвинутых новичков, кто хочет копать глубже в скриптинг.
4. Caido (freemium, легкая версия бесплатно)
✨Плюсы:
➖Современный, чистый интерфейс (многие говорят — лучше Burp).
➖Быстрый прокси, repeater, history.
➖Легковесный, не жрет ресурсы.
✨Минусы:
➖Бесплатная версия ограничена (нет некоторых фич, как автоматизация).
➖Платная ~$100-200 в год.
Вердикт: Если устал от "старого" вида Burp — попробуй Caido.
5.HTTP Toolkit (freemium)
✨Плюсы:
➖Автоматический intercept для Android, Docker и т.д.
➖Красивый UI, mock rules.
✨Минусы:
➖Фокус больше на debugging, чем на security.
Вердикт: Хорош как дополнение для мобильного тестирования.
Что выбрать новичку?
✅Начни с Burp Suite Community — это стандарт индустрии, куча уроков, и ты научишься ручному тестированию "по-взрослому".
✅Добавь OWASP ZAP для автоматического сканирования — бесплатно и мощно.
✅Если интерфейс Burp раздражает — посмотри на Caido или mitmproxy.
Помните: инструмент — это только 20% успеха. 80% — ваши знания (OWASP Top 10, логика уязвимостей) и практика (TryHackMe, HackTheBox, PortSwigger Labs).
Какой инструмент вы используете на старте? Burp, ZAP или что-то другое? Пишите в комментариях!
Если вы только начинаете путь в веб-безопасности, пентесте или баг-баунти, то один из первых инструментов, о котором вы услышите — Burp Suite. Это настоящий "швейцарский нож" для тестирования веб-приложений: интерцептор трафика, сканер уязвимостей, repeater, intruder и многое другое.
Burp Suite имеет бесплатную Community Edition, которая хороша для старта, и платную Professional (около $450 в год), где открываются мощные фичи вроде автоматического сканера и продвинутого Intruder. Для новичков часто встает вопрос: стоит ли тратиться сразу или хватит бесплатных альтернатив?
Давайте разберем топ инструментов для начинающих и сравним их с Burp Suite Community.
1. Burp Suite Community Edition (бесплатно)
✨Плюсы для новичков:
➖Отличный интерцептор прокси — легко перехватывать и модифицировать запросы.
➖Repeater для ручного тестирования, Decoder, Comparer.
➖Интуитивный интерфейс, множество туториалов (PortSwigger Academy — топ для обучения!).
➖Поддержка расширений (BApp Store).
✨Минусы:
➖Нет автоматического сканера уязвимостей (есть только в Pro).
➖Ограниченный Intruder (для brute-force и fuzzing).
➖Может тормозить на слабом ПК из-за Java.
Вердикт: Лучший старт для новичка. Многие баг-хантеры годами сидят на Community и зарабатывают тысячи долларов.
2.
✨Плюсы:
➖Полноценный автоматический сканер (активный и пассивный) — ищет XSS, SQLi и другие OWASP Top 10.
➖Прокси-интерцептор, fuzzing, spider/crawler.
➖HUD (Heads Up Display) — удобный оверлей в браузере для быстрого тестирования.
➖Легко автоматизировать (API, скрипты на разных языках).
➖Активное сообщество, аддоны в Marketplace.
✨Минусы:
➖Интерфейс чуть менее полированный, чем в Burp (многим "режет глаза").
➖Иногда больше false positives в сканере.
➖Для сложного manual testing Burp удобнее.
Вердикт: Идеальная бесплатная альтернатива для тех, кто хочет автоматизацию без доплаты. Многие используют ZAP + Burp Community вместе.
3.
✨Плюсы:
➖Мощный консольный/веб-интерфейс для перехвата трафика.
➖Скриптинг на Python — супер для автоматизации.
➖Легковесный, быстрый, поддержка HTTP/2 и WebSockets.
✨Минусы:
➖Нет GUI как в Burp/ZAP — больше для тех, кто любит CLI.
➖Нет встроенного сканера.
Вердикт: Отлично для продвинутых новичков, кто хочет копать глубже в скриптинг.
4.
✨Плюсы:
➖Современный, чистый интерфейс (многие говорят — лучше Burp).
➖Быстрый прокси, repeater, history.
➖Легковесный, не жрет ресурсы.
✨Минусы:
➖Бесплатная версия ограничена (нет некоторых фич, как автоматизация).
➖Платная ~$100-200 в год.
Вердикт: Если устал от "старого" вида Burp — попробуй Caido.
5.
✨Плюсы:
➖Автоматический intercept для Android, Docker и т.д.
➖Красивый UI, mock rules.
✨Минусы:
➖Фокус больше на debugging, чем на security.
Вердикт: Хорош как дополнение для мобильного тестирования.
Что выбрать новичку?
✅Начни с Burp Suite Community — это стандарт индустрии, куча уроков, и ты научишься ручному тестированию "по-взрослому".
✅Добавь OWASP ZAP для автоматического сканирования — бесплатно и мощно.
✅Если интерфейс Burp раздражает — посмотри на Caido или mitmproxy.
Помните: инструмент — это только 20% успеха. 80% — ваши знания (OWASP Top 10, логика уязвимостей) и практика (TryHackMe, HackTheBox, PortSwigger Labs).
Какой инструмент вы используете на старте? Burp, ZAP или что-то другое? Пишите в комментариях!
🔥6❤2