Web AppSec Interview Questions
The following web application security questions and answers (mostly focused on web app hacking) are part of a series from my social media. Most are supposed to be difficult, so don’t worry if you have trouble answering them!
The answers are hidden by default so you can practice answering them yourself in preparation for an interview. Note that the answers aren’t necessarily complete, they are just how I would answer the question.
❗️Web page
#web #job
The following web application security questions and answers (mostly focused on web app hacking) are part of a series from my social media. Most are supposed to be difficult, so don’t worry if you have trouble answering them!
The answers are hidden by default so you can practice answering them yourself in preparation for an interview. Note that the answers aren’t necessarily complete, they are just how I would answer the question.
❗️Web page
#web #job
🔥7
SSH Hardening & Offensive Mastery, by Diego Ruiz de Bucesta y Álvarez, 2025
The book is a comprehensive guide for cybersecurity professionals aiming to master both the defensive and offensive realms of SSH protocol security.
✅ Practical methods to harden SSH services
🛡 Defensive measures like two-factor authentication, Fail2Ban, and Suricata
⚔️ Offensive tactics including hijacking, malware injection, and tunnel-based pivoting
📉 Analysis of real-world threats such as Terrapin (CVE-2023-48795)
🧠 A strategic approach to understanding vulnerabilities and securing remote systems
It’s not just another checklist—this book is a hands-on tool for building deep, operational security knowledge across red and blue team environments. Perfect for IT pros, students, and anyone intrigued by the cypherpunk spirit.
#book #linux #defensive
The book is a comprehensive guide for cybersecurity professionals aiming to master both the defensive and offensive realms of SSH protocol security.
✅ Practical methods to harden SSH services
🛡 Defensive measures like two-factor authentication, Fail2Ban, and Suricata
⚔️ Offensive tactics including hijacking, malware injection, and tunnel-based pivoting
📉 Analysis of real-world threats such as Terrapin (CVE-2023-48795)
🧠 A strategic approach to understanding vulnerabilities and securing remote systems
It’s not just another checklist—this book is a hands-on tool for building deep, operational security knowledge across red and blue team environments. Perfect for IT pros, students, and anyone intrigued by the cypherpunk spirit.
#book #linux #defensive
🔥6❤1👍1😁1
SSH Hardening & Offensive Mastery.pdf
5.7 MB
SSH Hardening & Offensive Mastery, by Diego Ruiz de Bucesta y Álvarez, 2025
🔥8👍3❤1
A curated list of amazingly awesome Burp Extensions
See also:
#web #hacktools
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3
This media is not supported in your browser
VIEW IN TELEGRAM
Your personal opportunity with Packt Publishing | Твоя персональная возможность стать автором книги в Packt Publishing
Друзья, я стал частным представителем очень известного в ИТ кругах издательского дома "Packt Publishing". Если у тебя есть драфт книги или ты готов консолидировать свой знания в виде книги на английском языке (B2) - добро пожаловать в команду экспертов Packt!
Я помогу оформить заявку, подготовить эскиз книги, дам свои рекомендации, познакомлю с процессом написания и издания книги, и, конечно же, познакомить тебя с издательской командой Packt!
Пиши в директ канала, ты можешь стать легендой!!!
➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️ ➡️
ENGLISH
Folks, I pleasure to present that I have become a private representative of the very well-known worldwide publishing house "Packt Publishing". If you have your own draft of a book or are ready to consolidate your knowledge in the form of a book - welcome to the Packt team!
Well, I will help you fill out an application, prepare a draft (blue print) of the book, also give my recommendations for you, introduce you to the process of writing and publishing a book, and, of course, introduce you to the Packt publishing team!
Write to the channel's direct, you can become a legend!!!
❓ What is Packt?
Packt is a publishing company founded in 2003 and headquartered in Birmingham, UK, with offices in Mumbai, India. Packt primarily publishes print and electronic books and videos relating to information technology, including programming, web design, data analysis, and hardware.
❗️ Join our Network of Experts
Packt have a growing network of partners and channels and are looking for new authors and contributors.
❗️ Official page
🔼 Cybersecurity books
#info
Друзья, я стал частным представителем очень известного в ИТ кругах издательского дома "Packt Publishing". Если у тебя есть драфт книги или ты готов консолидировать свой знания в виде книги на английском языке (B2) - добро пожаловать в команду экспертов Packt!
Я помогу оформить заявку, подготовить эскиз книги, дам свои рекомендации, познакомлю с процессом написания и издания книги, и, конечно же, познакомить тебя с издательской командой Packt!
Пиши в директ канала, ты можешь стать легендой!!!
ENGLISH
Folks, I pleasure to present that I have become a private representative of the very well-known worldwide publishing house "Packt Publishing". If you have your own draft of a book or are ready to consolidate your knowledge in the form of a book - welcome to the Packt team!
Well, I will help you fill out an application, prepare a draft (blue print) of the book, also give my recommendations for you, introduce you to the process of writing and publishing a book, and, of course, introduce you to the Packt publishing team!
Write to the channel's direct, you can become a legend!!!
Packt is a publishing company founded in 2003 and headquartered in Birmingham, UK, with offices in Mumbai, India. Packt primarily publishes print and electronic books and videos relating to information technology, including programming, web design, data analysis, and hardware.
Packt have a growing network of partners and channels and are looking for new authors and contributors.
❗️ Official page
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥2🏆1
Оставь свое честное анонимное мнение о канале @w2hack
Этот опрос полностью анонимный и не собирает твои персональные данные. Это не допрос, это буд-то наша дружеская беседа, ты сам выбираешь на какие вопросы ответить или что еще дописать кастомно от себя. Расскажи свои впечатлении о канале, укажи недостатки, дай свое видение по улучшению, помоги стать лучше!
📊 Оставить свое честное мнение
#info
Этот опрос полностью анонимный и не собирает твои персональные данные. Это не допрос, это буд-то наша дружеская беседа, ты сам выбираешь на какие вопросы ответить или что еще дописать кастомно от себя. Расскажи свои впечатлении о канале, укажи недостатки, дай свое видение по улучшению, помоги стать лучше!
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍4👎1👀1
Структура ВВП России по итогам 2024 год в виде инфографики - ИТ дает 11% буста, финтех прибавляет +16%
А помните в начале лета 2025 мы уже смотрели картину % вклада ИТ в ВВП великой РФ?
На увеличение ВВП 2024 года наибольшее влияние оказал рост добавленной стоимости в таких отраслях, как информация и связь (+11,9%), гостиницы и рестораны (+9,6%), оптовая и розничная торговля (+6,9%), обрабатывающие производства (+7,6%), говорится в комментарии Росстата. Лидером по абсолютному приросту добавленной стоимости стал сектор финансовой и страховой деятельности (+16,5%) после роста на 8,6% годом ранее.
Источники:
РБК1 + РБК2 + TV + WD
Смотри еще:
🚀GDP USA 2024 (для наглядного сравнения)
🪆Economy in Russia compared to the EU
🪆Europe’s Combined GDP is far Larger than Russia's🪆
#analytics
А помните в начале лета 2025 мы уже смотрели картину % вклада ИТ в ВВП великой РФ?
Номинальный ВВП РФ по итогам 2024 года вырос до 200 трлн рублей. Об удвоении показателя за четыре года отчитался глава правительства Михаил Мишустин. Эта цифра — накопленный итог нескольких этапов значительного госстимулирования экономики ради сохранения ее устойчивости в условиях ковидной изоляции и санкций после начала РФ военной операции на Украине.
На увеличение ВВП 2024 года наибольшее влияние оказал рост добавленной стоимости в таких отраслях, как информация и связь (+11,9%), гостиницы и рестораны (+9,6%), оптовая и розничная торговля (+6,9%), обрабатывающие производства (+7,6%), говорится в комментарии Росстата. Лидером по абсолютному приросту добавленной стоимости стал сектор финансовой и страховой деятельности (+16,5%) после роста на 8,6% годом ранее.
Источники:
РБК1 + РБК2 + TV + WD
Смотри еще:
🚀GDP USA 2024 (для наглядного сравнения)
🪆Economy in Russia compared to the EU
🪆Europe’s Combined GDP is far Larger than Russia's🪆
#analytics
🤣4👍3😁2🤔2
Российский национальный мессенджер MAX - максимальная безопасность или максимально не понятная ситуация? ☎️
Алексей Лукацкий в своём канале перечислил все выявленные «тревожные звоночки» и саркастически адресовал вопрос властям, понимают ли они, что именно пытаются навязать россиянам. Его мнение важно, поскольку канал читают многие специалисты отрасли.
Столкнувшись с потоком обвинений, представители VK выступили с опровержениями. Пресс-служба категорически заявила: «Данные MAX хранятся в российских дата-центрах и не передаются за пределы РФ». По словам компании, вся инфраструктура размещена на территории России.
Чтобы повысить доверие, VK запустила программу Bug Bounty с максимальным вознаграждением до 5 миллионов рублей за критические уязвимости. Это довольно существенная сумма, сопоставимая с наградами за 0-day уязвимости в мессенджерах мирового уровня.
Для национального мессенджера, претендующего на всеобщее использование, негативный имидж неприемлем. Значит, работу над ошибками необходимо провести максимально тщательно и публично. Время покажет, сможет ли MAX преодолеть недоверие и стать действительно безопасным и популярным решением.
Технический разбор Max: что внутри APK + GitHub
Источники:
🪆Seclab + Habr
#privacy
Алексей Лукацкий в своём канале перечислил все выявленные «тревожные звоночки» и саркастически адресовал вопрос властям, понимают ли они, что именно пытаются навязать россиянам. Его мнение важно, поскольку канал читают многие специалисты отрасли.
➡️ официально заявляемая слежка за пользователями и отправка данных на зарубежные сервера
➡️ использование чужих библиотек от недружественных стран 🇺🇸
➡️ для пользования MAX нужно знание только зарубежного ПО, которое в России запрещено в госорганах
➡️ принадлежит компании из 2-х человек, которыми руководит 71-летняя гражданка, являющаяся директором еще в 11 фирмах; у компании нет лицензий ФСТЭК и ФСБ 👵
Столкнувшись с потоком обвинений, представители VK выступили с опровержениями. Пресс-служба категорически заявила: «Данные MAX хранятся в российских дата-центрах и не передаются за пределы РФ». По словам компании, вся инфраструктура размещена на территории России.
В MAX отсутствуют привычные настройки конфиденциальности, двухфакторная аутентификация, сквозное шифрование чатов. Нет поддержки секретных чатов или самоуничтожающихся сообщений — всего того, что считается нормой для защищённых мессенджеров.
Исследователи также выяснили, что MAX фактически является переименованной версией старого мессенджера TamTam, который создавался Mail.[ru] для «Одноклассников», но не снискал популярности. Если это так, то MAX наследует все архитектурные ограничения предшественника.
Чтобы повысить доверие, VK запустила программу Bug Bounty с максимальным вознаграждением до 5 миллионов рублей за критические уязвимости. Это довольно существенная сумма, сопоставимая с наградами за 0-day уязвимости в мессенджерах мирового уровня.
Мессенджер Max получил список претензий от ФСБ: его нельзя подключать к Госуслугам из-за риска утечек персональных данных. Теперь создателям предстоит поработать над исправлением ситуации, иначе россиян атакуют мошенники.
Для национального мессенджера, претендующего на всеобщее использование, негативный имидж неприемлем. Значит, работу над ошибками необходимо провести максимально тщательно и публично. Время покажет, сможет ли MAX преодолеть недоверие и стать действительно безопасным и популярным решением.
ВЫВОДЫ:Анализ APK файла метод обратной разработки (реверсинг)
Приложение "Макс" представляет собой высокоинтрузивный инструмент для сбора данных, который выходит далеко за рамки функциональности обычного мессенджера. Его способность к сбору широкого спектра личной и системной информации, включая геолокацию, контакты, данные установленных приложений, а также возможность фоновой записи аудио/видео и захвата экрана, вызывает серьезные опасения в отношении конфиденциальности.
Обфускация кода продолжает скрывать точные механизмы и цели сбора и обработки этих данных, что еще больше усиливает опасения по поводу конфиденциальности и безопасности. Приложение активно закрепляется в системе через механизмы автозапуска и постоянных фоновых служб, обеспечивая непрерывную слежку.
Технический разбор Max: что внутри APK + GitHub
Источники:
🪆Seclab + Habr
#privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔6🤮5👍3🤣2
Media is too big
VIEW IN TELEGRAM
Основными жанрами демосцены являются:
💡Демо (от англ. demonstration — демонстрация) — аудиовизуальное представление. Размер, как правило, от 4 до 15 Мбайт. Кроме того, на большинстве «демопати» действует 10-минутное ограничение по времени.
💡Интро (от англ. introduction — вступление) — композиции с ограничением по объёму исполняемого файла. Существуют номинации 64 kB Intro, 16 kB Intro, 4 kB Intro, 1 kB Intro, 512 B Intro, 256 B Intro, 128 B Intro, 64 B Intro и 32 B Intro. Одной из задач таких интро является создание видеоэффектов, которые могут поразить зрителей.
С развитием технологий требования менялись. Так, на некоторое время ограничение по объёму ушло на второй план, уступив место насыщенности видеоряда и необычности используемых визуальных эффектов, а в настоящее время на демосцене стали особо ценить идею, дизайн и визуальную составляющую.
#fun
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3😱1
Пример моего кастомного скрипта на движке NSE для сканера nmap когда-то используемого для типового экспресс пентеста
📕 Фичи скрипта:📕
Обнаружение известных бэкдоров:
✅ Проверка портов из базы известных бэкдоров (31337, 12345 и др.)
✅ Сигнатурный анализ баннеров для популярного вредоносного ПО
DNS-туннелирование:
✅ Отправка специально сформированных DNS-запросов
✅ Анализ размера ответа (аномально большие ответы)
✅ Использование случайных длинных поддоменов
Анализ аномального поведения сетевой системы хоста:
✅ Обнаружение необычных комбинаций портов
✅ Проверка TTL для определения NAT/облачных окружений
✅ Выявление нестандартных служб на портах
✅ Визуальная идентификация угроз:
Отчет:
✅ Ранжирование по уровню опасности (⚠️, 🛑, 🚨)
✅ Четкая структура вывода
Использование:
➡️ GitHub
#pentest
Обнаружение известных бэкдоров:
✅ Проверка портов из базы известных бэкдоров (31337, 12345 и др.)
✅ Сигнатурный анализ баннеров для популярного вредоносного ПО
DNS-туннелирование:
✅ Отправка специально сформированных DNS-запросов
✅ Анализ размера ответа (аномально большие ответы)
✅ Использование случайных длинных поддоменов
Анализ аномального поведения сетевой системы хоста:
✅ Обнаружение необычных комбинаций портов
✅ Проверка TTL для определения NAT/облачных окружений
✅ Выявление нестандартных служб на портах
✅ Визуальная идентификация угроз:
Отчет:
✅ Ранжирование по уровню опасности (⚠️, 🛑, 🚨)
✅ Четкая структура вывода
Использование:
# Установка скрипта:
sudo cp malware-hunter.nse /usr/share/nmap/noscripts/
sudo nmap --noscript-updatedb
# Запуск сканирования:
nmap -sV -T4 -Pn --noscript malware-hunter <target>
# Старт сканирования с опциями "по умолчанию":
nmap -sV --noscript=malware-hunter.nse target.com#pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥6🤔2
malware-hunter.nse
6.9 KB
Пример моего кастомного скрипта на движке NSE для сканера nmap когда-то используемого для типового экспресс пентеста
👍10
ЦРУ 34 года хранило секрет Криптоса. Пришло время раскрыть все шифры
3 ноября 1990 года художник Джеймс Санборн представил миру «Криптос» — медную S‑образную скульптуру, скрывающую в себе почти 1800 зашифрованных символов. С тех пор и любители, и профессионалы криптоанализа ломают голову над ее загадкой.
Три панели с шифротекстом удалось разгадать, но четвёртая, известная как K4, по‑прежнему неприступна. Единственный человек на Земле, который знает её содержание, — сам Санборн.
Поводом к установке скульптуры стало открытие в 1990 году нового здания ЦРУ, и было принято решение украсить внутренний дворик кафе при Управлении. Секция 1 – результат применения так называемого шифра Виженера, существующего еще с 16 века и довольно эффективного по своим криптографическим характеристикам. Во второй и третьей секциях использовались другие методы шифрования. Третья секция содержит записи дневника археолога Говарда Картера, вскрывшего в 1922 году гробницы фараона Тутанхамона.
Смотри еще:
😎 Общие сведения
😎 Как взламывали шифр Криптоса
😎 4-й ключ выставлен на аукцион
#crypto #fun
3 ноября 1990 года художник Джеймс Санборн представил миру «Криптос» — медную S‑образную скульптуру, скрывающую в себе почти 1800 зашифрованных символов. С тех пор и любители, и профессионалы криптоанализа ломают голову над ее загадкой.
Три панели с шифротекстом удалось разгадать, но четвёртая, известная как K4, по‑прежнему неприступна. Единственный человек на Земле, который знает её содержание, — сам Санборн.
Поводом к установке скульптуры стало открытие в 1990 году нового здания ЦРУ, и было принято решение украсить внутренний дворик кафе при Управлении. Секция 1 – результат применения так называемого шифра Виженера, существующего еще с 16 века и довольно эффективного по своим криптографическим характеристикам. Во второй и третьей секциях использовались другие методы шифрования. Третья секция содержит записи дневника археолога Говарда Картера, вскрывшего в 1922 году гробницы фараона Тутанхамона.
Смотри еще:
#crypto #fun
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3👏3❤2😁2
This media is not supported in your browser
VIEW IN TELEGRAM
Если сегодня ты не там где хочешь - не сдавайся! Делай то что можешь! Даже один маленький шаг! Ты пишешь свою историю, ты главный герой, и главный приз тоже твой! Помни, ты не один такой, смог я - сможешь и ты!
Не с той ноги встал с утра, и за окном провинция, а не Москва.
Не так, как во снах... Да, и пусть так. Просто чувствуй, брось страх.
Пора! Освободи себя от оков. Если душа – река, то из берегов
Есть всего один шанс, и он весь твой. Живи сейчас, будь собой!
Кажется, мечты далеко так. Думай, не спеши, - выбор твой, брат.
Где-то внутри светят лучи, и ты их не туши, света и так мало вокруг.
Где города не спят, они хотят опять летать во снах,
И узнавать прохожих лица.
И кажется, что только ты - Один на один.
Оставь привычку накручивать без причин,
И оживи маяк души,
Быть может, заветной мечты Корабль в пути.
Не жди подач с неба, ступай,
Ведь правильный лишь тот путь, что сам избрал.
Пускай неспелы планы, схемы -
От мечты к цели. Ты смелый, я верю.
Интонация - Пускай (OST Молодежка), 2013 (с)
#great
Не с той ноги встал с утра, и за окном провинция, а не Москва.
Не так, как во снах... Да, и пусть так. Просто чувствуй, брось страх.
Пора! Освободи себя от оков. Если душа – река, то из берегов
Есть всего один шанс, и он весь твой. Живи сейчас, будь собой!
Кажется, мечты далеко так. Думай, не спеши, - выбор твой, брат.
Где-то внутри светят лучи, и ты их не туши, света и так мало вокруг.
Где города не спят, они хотят опять летать во снах,
И узнавать прохожих лица.
И кажется, что только ты - Один на один.
Оставь привычку накручивать без причин,
И оживи маяк души,
Быть может, заветной мечты Корабль в пути.
Не жди подач с неба, ступай,
Ведь правильный лишь тот путь, что сам избрал.
Пускай неспелы планы, схемы -
От мечты к цели. Ты смелый, я верю.
Интонация - Пускай (OST Молодежка), 2013 (с)
#great
🙏11👍6❤🔥4👎2
Пускай
Интонация
Интонация - Пускай (OST Молодежка), 2013 (с)
Трек, который крутил на репите в 2013/2014 годах
Трек, который крутил на репите в 2013/2014 годах
🔥4❤2👎1🤮1
Certified Information Systems Auditor. Domain-Wise Summary For Quick & Effective Last-Minute Revision A Focused Review of AII 5 CISA Domains, prepared by Aswini, 2025
Struggling to cover all 5 domains before your CISA exam? I’ve created a 𝐜𝐨𝐧𝐜𝐢𝐬𝐞, 𝐡𝐢𝐠𝐡-𝐢𝐦𝐩𝐚𝐜𝐭 𝐰𝐡𝐢𝐭𝐞 𝐩𝐚𝐩𝐞𝐫
to simplify your revision and boost your confidence.
📘 𝐖𝐡𝐚𝐭’𝐬 𝐈𝐧𝐬𝐢𝐝𝐞?
A domain-wise, exam-focused breakdown of:
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟏 – Information Systems Auditing Process
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟐 – Governance and Management of IT
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟑 – IS Acquisition, Development & Implementation
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟒 – IS Operations & Business Resilience
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟓 – Protection of Information Assets
#exam
Struggling to cover all 5 domains before your CISA exam? I’ve created a 𝐜𝐨𝐧𝐜𝐢𝐬𝐞, 𝐡𝐢𝐠𝐡-𝐢𝐦𝐩𝐚𝐜𝐭 𝐰𝐡𝐢𝐭𝐞 𝐩𝐚𝐩𝐞𝐫
to simplify your revision and boost your confidence.
📘 𝐖𝐡𝐚𝐭’𝐬 𝐈𝐧𝐬𝐢𝐝𝐞?
A domain-wise, exam-focused breakdown of:
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟏 – Information Systems Auditing Process
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟐 – Governance and Management of IT
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟑 – IS Acquisition, Development & Implementation
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟒 – IS Operations & Business Resilience
📌 𝐃𝐨𝐦𝐚𝐢𝐧 𝟓 – Protection of Information Assets
#exam
🔥3❤🔥1👍1