-
Главный архив с лучшими материалами со всего интернета по ИБ и этичному хакингу. Реклама/сотрудничество: @One_Daniil Владелец: @awenft Мы на бирже: https://telega.in/c/searchack
📄 Шпаргалка по Google Hacking Dorks
Google Hacking Dorks – это специальные поисковые запросы, использующие операторы Google для нахождения специфической информации в интернете
— Он выступает в роли обычного поискового процесса данных с расширенными возможностями
// Не хакинг, а ИБ
😈 Масштабный взлом изнутри инвестиционной компании
— Два братана решили устроиться в Opexus, а после взломать и удалить все базы данных
⚠️ Теперь их обвиняют в уничтожении 30 баз данных и удалении более 1800 файлов, связанных с одним из государственных проектов США
Ранее они были осуждены за кибератаку на Государственный департамент США
🏦 ЗАБЕРИ 3000₽⚠️ Максимум выгоды — три карты с бонусами:
🔢. Дебетовая карта Black от Т-Банка + подарок
— Оформите карту по ссылке и совершите покупку от 100₽
— Получите сертификат на 1000₽ в Ozon
— До 30% кэшбэка рублями
— До 15% в выбранных категориях
— Бесплатные переводы и снятие до 500 000₽ в банкоматах
— 0₽ за обслуживание навсегда
— До 55 дней без %
— Лимит до 700 000₽
— До 30% баллами за покупки
— До 30% кэшбэка бонусами
— 0₽ за обслуживание
— Мгновенные переводы от родителей
— Бесплатно, если оформляете впервые (иначе — 1000₽)
Доступна детям до 14 лет. Уникальный дизайн — выбирайте свой.
👩💻 Выполнение фишинг атак на Wi-Fi
Wifiphisher – предназначен для фишинговой атаки на Wi-Fi сети в целях получения паролей от точки доступа (ТД) и другой персональной информации
Если смотреть глазами жертвы, то атака включает три фазы:
⏺Жертва деаутентифицируется от её точки доступа. Wifiphisher постоянно глушит все устройства с точками доступа wifi в пределах досягаемости посредством отправки деаутентифицирующих (deauth) пакетов клиенту от точки доступа и точке доступа от клиента, а также широковещательному адресу.
⏺Жертва подсоединяется к подменной точке доступа.Wifiphisher сканирует пространство и копирует настройки целевых точек доступа. Затем она создаёт подменную ТД, которая настроена особым образом. Она также устанавливает NAT/DHCP сервер и перенаправляет порты. Следовательно, из-за помех клиенты начнут подсоединяться к подменной точке доступа. После этого жертва подвергается атаке человек-посередине.
⏺Для жертвы будет отображена реалистично выглядящая страница конфигурации роутера. wifiphisher поднимает минимальный веб-сервер и отвечает на HTTP & HTTPS запросы. Как только жертва запросит страницу из Интернета, wifiphisher в ответ отправит реалистичную поддельную страницу, которая спросит пароль. Примером задачи, которая требуют подтверждение WPA пароля, является обновления прошивки
🤨 Забудьте всё, что знали о DDoS: ботнет на 4,6 млн устройств обрушился на российский госресурс
— Компания Curator сообщила о выявлении и нейтрализации самой масштабной DDoS-атаки за всё время наблюдений: атака была зафиксирована 16 мая и была направлена на одну из организаций «Государственных ресурсов»
⚠️ По данным Curator, в ходе отражения атаки было заблокировано 4,6 миллиона уникальных IP-адресов. Для сравнения, крупнейший ботнет 2023 года насчитывал 136 тысяч устройств, а в 2024 году – 227 тысяч
Наибольшее количество задействованных IP-адресов было зафиксировано в странах Южной и Северной Америки. В частности, 1,37 миллиона IP приходились на Бразилию. Также в ботнет входили адреса из США, Вьетнама, Индии и Аргентины
А вы уже подписаны на The Tech?
Если нет — советуем заглянуть! Это не просто лента IT новостей. Тут и интервью с лидерами, и подборки нейросетей, и вакансии, и все про стартапы и венчуры.
Будь вы разработчиком, фаундером или просто увлекаетесь технологиями — тут всегда есть что-то стоящее.
Подписывайтесь → /channel/+q7MzwhPORglkNjAy
☝️ Шпаргалка по криптографии: что делать, если попал в проект с криптографами
Авторы статьи помогут быстро освоить или вспомнить базовые понятия криптографии
— Гений хотел развести ChatGPT на нюдсы, но ИИ оказался умнее
// Не хакинг, а ИБ
👩💻 Всем программистам посвящается!
Вот 17 авторских обучающих IT каналов по самым востребованным областям программирования:
Выбирай своё направление:
👩💻 Python — t.me/python_ready
🤔 Хакинг & ИБ — t.me/hacking_ready
👩💻 Linux — t.me/linux_ready
👩💻 Bash & Shell — t.me/bash_ready
🖥 Базы Данных & SQL — t.me/sql_ready
👩💻 Java — t.me/java_ready
👩💻 C/C++ — /channel/cpp_ready
👩💻 C# & Unity — t.me/csharp_ready
👩💻 Всё IT — t.me/it_ready
📱 GitHub — t.me/github_ready
🖼️ DevOps — t.me/devops_ready
👩💻 Нейросети — t.me/neuro_ready
📱 JavaScript — t.me/javascript_ready
👩💻 Frontend — t.me/frontend_ready
👩💻 Backend — t.me/backend_ready
📖 IT Книги — t.me/books_ready
🖥 Design — t.me/design_ready
📌 Гайды, шпаргалки, задачи, ресурсы и фишки для каждого языка программирования!
Идет прием заявок на “Хакерский Оскар” — Pentest Award 2025
Премия для этичных хакеров ежегодно собирает таланты и дает возможность поделиться уникальным опытом, продемонстрировать свои навыки и творческий подход к решению задач в области тестирования на проникновение.
Кандидаты предоставляют свои проекты в свободной форме (эксплойты раскрывать не нужно, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты), важно отразить сам подход и идею. Оценивает номинантов независимое жюри, которое состоит из лучших практикующих offensive-безопасников топовых российских компаний, звезд отрасли.
Финалисты получают в подарок технику apple и подарки от партнеров проекта: Совкомбанк Технологии, BIZONE Bug Bounty, CyberEd и OFFZONE. Но главная награда за победу — именная статуэтка и почет всего сообщества.
Все подробности на сайте — https://award.awillix.ru/
Спешите отправить заявку до 30 июня!
Реклама. ООО «Авилликс». erid:2VtzqxgwG7N
🤖 Утилита для поиска секретов
TruffleHog – инструмент безопасности, который сканирует репозитории кода на наличие git паролей, ключей и других чувствительных данных
— Этот инструмент эффективен для поиска случайно сохранённых в исходном коде паролей и ключей, даже если впоследствии они были убраны
Поддерживает поиск секретов в таких системах, как Git, GitHub, GitLab, Docker, Amazon S3, syslog, circleci
🤨 Чтобы получить root-доступ, достаточно быть админом или просто зайти через SSL-VPN
— SonicWall устранила сразу три критические уязвимости в устройствах безопасного удалённого доступа SMA 100, позволяющие злоумышленникам выполнить произвольный код от имени root:
⏺ CVE-2025-32819 с оценкой 8.8 балла по шкале CVSS: позволяет пользователю с правами SSL-VPN обойти проверку пути и удалить произвольный файл, что может привести к сбросу устройства к заводским настройкам;
⏺ CVE-2025-32820 с оценкой 8.3: позволяет при помощи path traversal сделать любую директорию на устройстве доступной для записи;
⏺ CVE-2025-32821 с оценкой 6.7: даёт возможность администратору SSL-VPN внедрить аргументы командной строки и загрузить файл на устройство.
🗄 Источник – линк.
// Не хакинг, а ИБ
😈 Методы обхода AMSI
AMSI (Anti-Malware Scan Interface) – это интерфейс, который использует сервисы для сканирования содержимого скриптов на наличие вредоносного ПО
— Он позволяет антивирусным программам и другим инструментам безопасности сканировать данные и код в реальном времени и определять злонамеренные действия на ранней стадии
Обход AMSI является одним из самых популярных среди злоумышленников
🇷🇺Подрабатываешь настройкой wifi? Патриот, при этом хочешь заработать?
Есть работа по профилю на юге Курской области!
🇷🇺Условия:
- Заработная плата 178 000 рублей на руки;
- По результатам выполнения боевых задач, дополнительная премия;
- Проживание, питание, обмундирование за счет компании;
- Обучение и переквалификация за счет компании;
- Страховые выплаты;
- Официальное трудоустройство (трудовой договор, полный соц.пакет);
🇷🇺Присоединяйся к Сталинским Соколам!🇷🇺
Подать заявку - @pilot_sokol
Подробная информация - сталинские-соколы.su
👨💻 Эти каналы реально помогают в изучении программирования и IT
Не веришь? Проверь сам:
🔠 Easy InfoSec — ИБ, хакинг, OSINT, анонимность, пентест и многое другое.
👩💻 Easy GitHub — лучшие репо с просторов GitHub для практики и освоения IT.
🌐 Easy WebDev — всё про Web, Frontend, Backend и сопутствующие технологии.
🖥 Easy Python — лёгкое изучение самого универсального языка в мире.
🖥 Easy Coder — а здесь вообще про всё, что нужно знать для работы в IT.
🖱 Просто выбери нужное и получай топовые материалы каждый день!Читать полностью…
✋ Отпечаток браузера: как за нами следят без нашего ведома
Отпечаток браузера – информация, собранная об удалённом устройстве для дальнейшей идентификации
— В этой статье погрузимся чуть глубже в ту сферу, существование которой мы старательно не замечаем и игнорируем
Мы рассмотрим:
⏺Основные источники данных для отпечатка браузера;
⏺Уникальность отпечатка браузера и статистика;
⏺Библиотеки и инструменты для отпечатков браузера;
⏺Применение отпечатков браузера;
⏺Способы обхода и защиты от отпечатков браузера.
Современные приложения строятся на микросервисной архитектуре — это упрощает разработку, а также ускоряет доставку новых обновлений и фич. Однако использование контейнеров создает дополнительные риски безопасности. Так, более 50% компаний, у которых пока процесс безопасной разработки отсутствует, видят потребность в его построении.
К2 Кибербезопасность и Positive Technologies провели более 100 глубинных интервью в Enterprise-сегменте, чтобы понять текущее состояние российского рынка безопасной разработки и защиты контейнеров, а также сформировать прогнозы на будущее.
✅ Актуальные инструменты для безопасной разработки
✅ Критичные угрозы для контейнерных сред
✅ Best practices по организации эффективной защиты контейнеров
✅ Разбор решений класса Container Security и рекомендации по их выбору.
Получить полный текст исследования можно по ссылке 😉
Реклама. АО «К2 Интеграция». ИНН 7701829110 Erid:2W5zFHXJSun
👁🗨 Посмотри в глаза малвари | Гайд по работе с вредоносными файлами для новичков
Содержание статьи:
⏺Первые шаги
⏺Изучение дампов
⏺Анализ файла
1. Статический анализ
2. Словарь терминов
3. Динамический анализ
4. Пример анализа
⏺Полезные материалы
А также по дороге рассмотрим основную терминологию
😈 Социальная инженерия на практике: «физический доступ» на закрытую конференцию Кевина Митника
«Физический доступ – это проникновение в здание интересующей вас компании. Мне это никогда не нравилось. Слишком рискованно. Пишу об этом – и меня уже пробивает холодный пот», — Кевин Митник, «Призрак в Сети. Мемуары величайшего хакера»
🔎 Лучшие хакерские расширения для браузера Firefox
— Сегодня рассмотрим тему бразуеров и рассмотрим лучшие хакерские расширения для Firefox
Статья будет полезна всем, но в первую очередь багхантерам
👁🗨 Набор инструментов для разведки
OSRFramework – это набор библиотек для выполнения задач по разведке на основе открытых источников
В него включены различные приложения, связанные с:
⏺проверкой имён пользователей;
⏺DNS-запросами;
исследованиями утечек информации;
⏺глубоким поиском в Интернете;
⏺извлечение по регулярным выражениями и многие другие.
📄 Шпаргалка по Cloud Security Framework
Cloud Security Framework – это набор инструментов и лучших практик, предназначенных для защиты облачных сред от рисков безопасности и обеспечения соответствия нормам
— Такие рамки обеспечивают структурированный подход к охране данных, приложений и инфраструктуры в облаке
🤬 В даркнете продают 89 млн записей пользователей Steam с кодами 2ФА
⚠️ Хакер под ником Machine1337 выставил на продажу массив данных, содержащий 89 млн записей пользователей Steam
— В дампе нашли SMS-сообщения с одноразовыми кодами для Steam, а также номера телефонов их получателей
Machine1337 (он же EnergyWeaponsUser) продает дамп за 5000 долларов, но в качестве образца данных он выложил в открытый доступ 3000 записей
Исследователи предполагают, что это может быть связано с компрометацией компании Twilio
🐈⬛️ Семейство программ Hashcat: как научиться взламывать пароли, создавать и оптимизировать словари
Получение хеша, как правило, связано с преодолением одного из уровней защиты:
⏺получение доступа к базам данных
⏺перехват (сниффинг) незашифрованных данных
⏺перехват зашифрованных файлов
⏺перехват пакетов аутентификации (для беспроводных сетей)
— Получению хеша может предшествовать длительная работа по проникновению, уже эту компрометацию можно считать большим успехом
Но для того, чтобы захваченные хеши принесли реальную пользу, их нужно расшифровать
📄 Шпаргалка по SQLmap
SQLmap – это инструмент с открытым исходным кодом для тестирования на проникновение, который автоматизирует процесс выявления и эксплуатации уязвимостей SQL-инъекций и захват серверов баз данных
Некоторые основные функции Sqlmap:
⏺Поиск SQL-инъекций в параметрах URL, формах ввода, заголовках HTTP-запросов и cookie-файлах;
⏺Определение типа базы данных (MySQL, PostgreSQL, MSSQL, Oracle и др.) и версий СУБД;
⏺Извлечение данных из уязвимой базы: список таблиц, содержимое колонок, учётные записи пользователей;
⏺Повышение привилегий для доступа к системным командам базы данных;
⏺Обход систем защиты, например, WAF, с помощью специальных техник маскировки запросов;
⏺Автоматизированный перебор параметров для поиска уязвимых мест в веб-приложении.
❗️ BypassAV, бесфайловая атака и AMSI (теория)
Разработчики вредоносных программ постоянно ищут способ избежать обнаружения своих действий средствами защиты
Один из способов – обойти сканеры, используя обфускацию, шифрование, стеганографию и другие методы, чтобы антивирусному программному обеспечению было сложнее определить назначение полезной нагрузки или его загрузчика
🤖 Один из лучших инструментов реверс-инжинирига
Binwalk – это быстрый и простой в использовании инструмент для анализа, обратной инженерии и извлечения образов прошивки
— Кроме прошивок, Binwalk может сканировать файлы и образы файловых систем для поиска множества различных встроенных типов файлов и файловых систем
Он широко используется в области реверс-инжиниринга, исследования встроенных систем (embedded systems) и анализа уязвимостей
🎃 Как повысить привилегии при пентесте Active Directory
Пентест Active Directory (AD) – это моделирование атак на доменную инфраструктуру компании с целью выявления уязвимостей, связанных с управлением учётными записями, политиками доступа, настройками служб и доверительных отношений