🐸 Библиотека хакера

#развлекалово

🔐 Пароли VS пассключи — на какой стороне вы

Вы входите с Face ID — удобно и быстро. Но рядом всё ещё «Войти по паролю». Так зачем тогда этот passkey, если без пароля всё равно никуда?

Что говорят сторонники пассключей:

➡️ Passkey невозможно фишить, перехватить или перебрать. Даже если есть fallback в виде пароля — вы уже на шаг впереди.

➡️ Пароль не исчезает мгновенно — но через 5–10 лет мы забудем, что это было нормой.

➡️ Использование биометрии и хранилищ ключей уже сегодня избавляет от десятков вводов и сбросов.

Что говорят скептики:

➡️ Пароль требуют при сбросе, двухфакторке — значит, вся «безопасность» пассключа держится на том же старом фундаменте.

➡️ Привязка к устройству — это хорошо, пока не надо зайти с другого. А дальше всё по-старому: email, СМС, угадайка.

➡️ Это не новый уровень безопасности — это новый способ спрятать старый пароль за Face ID и красивой кнопкой.

❓ И главный вопрос:

Passkey — это шаг к безпарольному будущему или просто новая обертка для той же уязвимой логики?

🐸 Библиотека хакера

#междусобойчик

🔒 5 ключевых инструментов для анонимности и цифровой безопасности

Ниже представлен список надёжных решений для защиты приватности, шифрования переписки и безопасного обмена файлами в цифровом пространстве.

1️⃣ CalyxOS — операционная система для Android, обеспечивающая конфиденциальность без Google-слежки.

2️⃣ Privacy Badger — расширение для браузера, автоматически блокирующее скрытые трекеры и защиту от слежки.

3️⃣ OnionShare — инструмент для анонимной отправки файлов и сообщений через Tor без серверов и регистрации.

4️⃣ Session — децентрализованный мессенджер, не требует номера телефона, работает через Tor.

5️⃣ GrapheneOS — максимально защищённая мобильная ОС для полного контроля над приватностью.

🐸 Библиотека хакера

#свежак

💻 Задача: Stored XSS в комментариях

На сайте есть форма добавления комментария к статье. Пользователь вводит текст, и он отображается без фильтрации (смотрите на фото).

На странице комментарии выводятся так:

<p>{{ comment }}</p>

Ваша задача — внедрить XSS-пейлоад, который выполнит alert(document.cookie) при просмотре страницы другим пользователем ✏️

🐸 Библиотека хакера

#междусобойчик

😏 Топ-вакансий для хакеров за неделю

Аудитор в сфере информационной безопасности — 190 000 —‍ 248 000 ₽, удаленно (Москва)

Специалист по анализу защищенности (пентестер) — от 110 000 ₽, офис (Ханты-Мансийск)

Специалист по информационной безопасности L1/L2 (SOC) — от 270 000 ₽ , офис (Москва)

СISO (Chief Information Security Officer) — от 450 000 ₽, удаленно (Москва)

Старший инженер SOC — от 195 000 ₽, удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

🌸 Ключевые события кибербезопасности

Май выдался насыщенным: глобальные форумы, государственные инициативы, хакатоны и практические саммиты.

1️⃣ Barcelona Cybersecurity Congress

Международный форум с акцентом на IoT, защиту критической инфраструктуры и глобальное сотрудничество. Участие приняли делегации из Индии, ЕС и ближнего востока.

➤ Интересно: живые демо-инсталляции угроз в городских системах.

2️⃣ Слушания Конгресса США по кибербезопасности

Законодатели и техгиганты обсуждают стратегию реагирования на рост атак на инфраструктуру и AI-системы.

➤ Фокус: синергия частного сектора и государства в реальном времени.

3️⃣ Конференция «Информационная безопасность»

Практическая конференция, посвящённая современным угрозам и стратегиям защиты информации (29 мая, Москва).

➤ Темы: анализ угроз, новые регуляторные требования, защита данных.

4️⃣ Positive Hack Days Fest

Крупнейший российский киберфестиваль, организованный Positive Technologies, собрал экспертов, представителей власти и бизнеса.

➤ Особенности: киберучения The Standoff, деловой трек PHDays PRO, презентации новых решений GSOC от «Газинформсервис».

5️⃣ SANS Ransomware Summit

Ведущий онлайн-саммит по борьбе с программами-вымогателями: реальные кейсы, живой анализ атак, reverse engineering и форензика (30 мая - 5 июня, онлайн).

➤ Что посмотреть: практикумы от аналитиков, расследующих глобальные инциденты.

🐸 Библиотека хакера

#свежак

⭐️ Инструмент недели: сканируем хосты и порты в потоке

httpx — это быстрый и гибкий инструмент от ProjectDiscovery, который позволяет массово проверять доступность, статус, и многое другое.

Зачем нужен:

➡️ Обрабатывает сотни и тысячи URL одновременно: сканирует статус-коды, TLS-инфо, редиректы, title и многое другое

➡️ Работает с пайпами и wordlist’ами — удобно интегрировать в пайплайны, цепочки с subfinder, nmap, amass

➡️ Поддерживает прокси, HTTP2, CIDR-диапазоны, фильтры по ответам — максимум контроля

➡️ Ускоряет фазу реконки: за 1 минуту можно собрать живые цели для дальнейшего анализа или эксплуатации

Как использовать:

1⃣ Устанавливаем через Go:

go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest

2⃣ Пример использования:

cat urls.txt | httpx -status-code -title -follow-redirects -tls

3⃣ Фильтруем живые цели и передаём на дальнейший анализ или эксплойт

А если хочется как профи:

— Используйте в связке с subfinder, nuclei и dnsx — полный стек reconnaissance

— Встраивайте в CI DevSecOps-пайплайн для контроля доступности сервисов и конфигурации

— Анализируйте заголовки на предмет уязвимостей, старых версий серверов, небезопасных редиректов

💡 Полезные материалы:

GitHub: projectdiscovery/httpx — официальный репозиторий, обновления и гайды

🐸 Библиотека хакера

#буст

Как мы в облаке MWS строим сети в Kubernetes и раздаём одинаковые IP на разные ВМ

🔗Читайте новые статьи в хабе DevCloud от MWS на Хабр:
➡️про Multus CNI и multi-homed поды
➡️про DHCP-сервер облака и раздачу IP в VRF

Рассказываем, как развиваем overlay-сеть платформы собственной разработки:

⏺️ почему Multus + Cilium — must-have для multi-homed подов
⏺️ как устроен DHCP в мире, где 192.168.0.1 могут быть у сотни клиентов
⏺️ зачем VPP прокидывает Option 82, и как мы ловили баги

⏩️Подпишись на хаб DevCloud от MWS, если интересна внутренняя кухня облаков.

🐸 Библиотека хакера

#развлекалово