Telegram Group Search
🛡️ Минимум защиты, максимум пользы: как не пробить API за 5 запросов

API — лакомая цель: токены, дыры в доступе, забытые лимиты. Если не закрыть базовые вещи — дальше уже неважно.

Разбираем в карточках:

➡️ Как защититься с помощью HTTPS, JWT и OAuth

➡️ Зачем ограничивать запросы и как настроить троттлинг

➡️ Как фильтровать данные и ограничивать доступ по ролям

➡️ Почему важны логи, метрики и своевременные алерты

🔗 Полный текст — по ссылке

🐸 Библиотека хакера
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥴 Средний разработчик меняет работу каждые 1,5 года

И это не потому, что мы такие непостоянные. Просто рынок показывает свое истинное лицо быстрее, чем успевают напечатать визитки.

Поэтому мы собираем инсайды от тех, кто находится в окопах digital-трансформации каждый день. От джуниоров, которые только въезжают в профессию, до сеньоров, повидавших всякого.

😳 О чем говорим откровенно:
— Job-hopping и что за этим стоит
— Red flags, которые мгновенно убивают мотивацию
— Реальные источники вакансий (не те, что рекламируют)
— Боль от общения с рекрутерами
— Сколько этапов отбора — норма, а сколько — издевательство

Когда мы объединим опыт сотен IT-специалистов, получится настоящая карта того, как устроена индустрия. Не по версии HR-отделов, а по версии тех, кто пишет код, тестирует продукты и двигает технологии вперед.

🚀 Участвовать в исследовании → https://clc.to/9aaXVg
🚗 Сетевые атаки на автомобили: реальная угроза или фантазия

Современные автомобили становятся «умными» с автономным вождением и подключёнными устройствами. Но с ростом функционала растёт и риск безопасности.

Какие угрозы существуют:

📍 Взлом автономных систем — угроза вмешательства в управление автомобилем, особенно в системах с автономным вождением.

📍 Уязвимости в подключенных устройствах — Bluetooth и Wi-Fi могут стать точками доступа для злоумышленников.

Какие меры защиты принимаются:

📍 Шифрование и аутентификация — защита передаваемых данных и доступ к системам через многофакторную аутентификацию.

📍 Обновления ПО — регулярные патчи для устранения уязвимостей.

А как вы думаете, безопасны ли «умные» автомобили? Какие у вас ожидания от будущего безопасности авто? Пишите в комментариях ✏️

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
Подборка инструментов для статического анализа малвари

Собрали актуальные утилиты, которые помогут вам в статическом анализе вредоносных программ и выявлении скрытых угроз.

➡️ Detect It Easy — универсальный инструмент для анализа бинарных файлов, помогающий идентифицировать их типы и находить скрытые угрозы

➡️ Ghidra — поддерживает работу с различными бинарными форматами и предоставляет функционал для глубокого анализа

➡️ Resource Hacker — с помощью этого инструмента можно выявлять скрытые компоненты и функции, часто используемые в вредоносных программах

➡️ FileAlyzer — инструмент анализирует структуру и метаданные, помогая выявлять подозрительные данные

➡️ Dependency Walker — помогает выявлять скрытые зависимости и возможные уязвимости

🐸 Библиотека хакера

#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
Вакансии «Библиотеки программиста»

Привет! Мы ищем контент-менеджеров, которые будут вести наши телеграм-каналы о разработке.

👾 Требования:
— знать принципы залетающего контента
— разбираться в темах, связанных с разработкой

Большим плюсом будет навык программирования на каких-либо языках.

Условия:
— удаленка
— частичная занятость
— сдельная оплата в зависимости от количества задач

🔥 Оставляйте отклик, и мы свяжемся с вами: https://forms.gle/o4BZnsQ526JoqsCq9
🔐 Задача по Docker-безопасности

Один из разработчиков случайно запустил Docker-контейнер с флагом --privileged на проде. Контейнер основан на ubuntu:latest, к нему открыт SSH-доступ, и в системе установлены capsh, nsenter и gcc.

Цель: получить root-доступ на хост-машине, используя уязвимую конфигурацию контейнера.

У вас есть:

– привилегии --privileged
– доступ внутрь контейнера
– доступ к системным namespace через nsenter

Выбирайте правильный ответ в опросе 🔜

🐸 Библиотека хакера

#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
😎 Топ-вакансий для хакеров за неделю

SOC-аналитик — удаленно (Москва)

AppSec-инженер (Middle) — 150 000 —‍ 300 000 ₽, удаленно (Москва)

Специалист отдела системного администрирования — гибрид (Москва)

Storage Security Architect (TATLIN) -- от 300 000 ₽, офис/гибрид (Москва)

Pentester — 150 000 - 450 000₽, гибрид (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
📌 Шпаргалка по сканированию хостов с Nmap

Содержит основные моменты для эффективного использования Nmap для обнаружения и исключения хостов.

Это поможет при планировании и проведении сетевых аудитов, позволяя эффективно находить активные устройства и избегать лишних ресурсов в процессе сканирования.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
😡 А вас тоже бесят облачные сервисы?

Согласитесь, статус отношений с облаками — все сложно. Но что, если можно изменить правила игры?

Мы готовим нечто особенное в мире облачных технологий, но сначала хотим услышать правду от тех, кто реально работает с облаками каждый день.

Что мы хотим узнать:
— Для чего вы реально используете облако?
— Чего катастрофически не хватает прямо сейчас?
— Что бесит больше всего? (можно материться)
— Как выбираете провайдера — по цене или по любви?
— и тому подобное

По результатам опроса мы подготовим исследование без маркетингового мусора и вы узнаете, как обстоят дела у коллег.

️Время на опрос: меньше, чем на кофе-брейк. Жмите → https://clc.to/nboYDA
🌻 Как Meta* и Яндекс используют localhost для отслеживания пользователей Android

Две компании нашли способ отслеживать пользователей с помощью локальных портов, обходя стандартные защиты и деанонимизируя посетителей.

Разбираем в карточках:

➡️ Как Meta использует WebRTC и локальные порты для передачи данных

➡️ Какие уязвимости оставляет Яндекс при взаимодействии между веб-приложениями и нативными приложениями

➡️ Почему это может стать угрозой для конфиденциальности пользователей

➡️ Как Meta и Яндекс реагируют на раскрытие этой проблемы

➡️ Какие меры защиты уже внедрены браузерами и что делать пользователям для защиты

🔗 Полный текст — по ссылке

🐸 Библиотека хакера

* Meta признана экстремистской и запрещена в России
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Как использовать ffuf для брутфорса скрытых директорий и файлов

Fuzz Faster U Fool — один из самых быстрых и гибких инструментов для перебора путей, параметров и файлов в веб-приложениях. Он используется в пентестах, багбаунти и CTF-задачах.

1. Перебор директорий

Базовая команда для поиска скрытых директорий:


ffuf -u https://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt


📍 FUZZ будет заменяться каждым словом из словаря.

📍 Используется для поиска /admin, /uploads, /backup, /test и других директорий.

📍 Словарь common.txt — часть стандартной коллекции SecLists.

2. Поиск файлов с расширениями


ffuf -u https://target.com/FUZZ.php -w words.txt


📍 Найдёт login.php, index.php, config.php и другие.

📍 Альтернатива — использовать -e .php:


ffuf -u https://target.com/FUZZ -w words.txt -e .php


📍 Это позволит тестировать сразу несколько расширений:

-e .php,.bak,.zip,.html


3. Перебор параметров в URL


ffuf -u https://target.com/index.php?FUZZ=test -w params.txt -X GET


📍 Подставляет имена параметров (id, search, token) в запрос

📍 Полезно для нахождения точек инъекций и тестирования на XSS, LFI, SQLi

📍 Можно также использовать -d для POST-запросов

4. Расширенные флаги ffuf

-mc 200,403 — выводит только ответы с указанными кодами (наиболее полезные)

-ac — автокалибровка (отсекает «ложноположительные”»ответы)

-t 100 — количество параллельных потоков (не переборщите — может заддосить цель)

-fs N — фильтрация по размеру ответа (например, скрыть ответы с размером 0 байт)

5. Где взять хорошие словари

📍 SecLists — самое популярное хранилище wordlist’ов: Discovery/Web-Content, Fuzzing, Passwords

📍 PayloadsAllTheThings — примеры полезных payload’ов и кейсов

6. Советы по использованию

➡️ Тестируй с низкой скоростью сначала (-t 10), особенно если цель нестабильна

➡️ Используй -ac и -fs чтобы избежать дубликатов

➡️ Комбинируй ffuf с Burp, nmap, httpx, gau — чтобы получать максимальный охват путей

➡️ Храни успешные результаты с -o result.json -of json

⚠️ Используйте только на разрешённых целях — своих системах, CTF, багбаунти.

🐸 Библиотека хакера

#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
2025/06/11 09:38:21
Back to Top
HTML Embed Code: