📨 Как проверить, не скомпрометирована ли ваша почта

Почта — частая цель взломщиков. Даже если нет явных признаков, ваша учётная запись могла использоваться для рассылки спама, фишинга или кражи данных.

Как проверить:

1️⃣ Проверяем утечки через сервисы

Зайдите на Have I Been Pwned и введите ваш адрес электронной почты.
Если учётка была в известных утечках, сервис покажет детали.

2️⃣ Анализируем логи входа

В почтовом сервисе (Gmail, Outlook и др.) посмотрите историю входов:

— Обратите внимание на подозрительные IP-адреса и местоположения.

— Проверьте время входов — если есть незнакомые сессии, это тревожный знак.

3️⃣ Проверяем настройки пересылки и фильтров

Злоумышленники могут настроить автоматическую пересылку писем на чужие адреса или создавать фильтры для скрытия активности.

— Перейдите в настройки почты и проверьте разделы «Пересылка» и «Фильтры».

— Убедитесь, что там нет подозрительных правил.

4️⃣ Включаем двухфакторную аутентификацию (2FA)

Даже если учётка уже была взломана, 2FA добавит дополнительный барьер и значительно усложнит доступ злоумышленникам.

5️⃣ Меняем пароль и проверяем безопасность устройств

— Смените пароль на уникальный и сложный.

— Проверьте, не установлено ли вредоносное ПО на ваших устройствах.

💡 Регулярная проверка почты и грамотная настройка безопасности помогут защитить ваши данные и предотвратить взлом.

🐸 Библиотека хакера

#буст

🍞 Open-source инструменты в кибербезопасности — помощь или риск

Open-source решения давно заняли прочное место в арсенале безопасности. Они бесплатны, гибки и подкреплены огромным сообществом. Но стоит ли слепо доверять всему, что открыто?

Какие плюсы:

📍 Быстрое выявление и исправление уязвимостей благодаря открытому сообществу

📍 Прозрачность кода — нет «чёрных ящиков»

📍 Возможность адаптировать инструменты под свои нужды

Какие минусы:

📍 Риск использования плохо поддерживаемых или устаревших проектов

📍 Возможные уязвимости, которые могут оставаться незамеченными долгое время

📍 Ответственность за безопасность ложится на команду, а не на разработчиков

Многие компании выбирают open-source ради экономии и гибкости, но без должного контроля это может привести к серьёзным инцидентам.

А вы как относитесь к open-source в безопасности? Ваш опыт — преимущество или источник проблем? Пишите в комментах! ✏️

🐸 Библиотека хакера

#междусобойчик

🐇 Фишка инструмента: FFUF для анализа приложений

FFUF (Fuzz Faster U Fool) — это быстрый и эффективный инструмент командной строки для фаззинга веб-приложений. Он автоматизирует перебор скрытых файлов, директорий, параметров URL и HTTP-заголовков.

Что умеет:

➡️ Перебор файлов и директорий для поиска скрытого контента.

➡️ Фаззинг параметров URL и HTTP-заголовков для выявления уязвимостей.

➡️ Высокая скорость за счёт параллельной обработки запросов.

➡️ Гибкие настройки фильтрации по статус-кодам, времени отклика, размерам ответа и др.

➡️ Лёгкая интеграция в скрипты и пайплайны автоматизации.

Почему важен:

— Позволяет быстро находить «слепые зоны» в веб-приложениях, которые не видны при обычном сканировании.

— Автоматизирует рутинные задачи, экономя время тестировщика.

— Отличается простотой и гибкостью, при этом не уступая более тяжёлым инструментам.

✏️ Пример базовой команды:

ffuf -w wordlist.txt -u https://target.com/FUZZ

Здесь FFUF перебирает слова из файла wordlist.txt на месте FUZZ в URL, находя существующие ресурсы.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#буст

🐸 Библиотека хакера

#развлекалово

⭐️ Кроссворд по кибербезопасности — проверяем свои знания

В подборке — термины, которые часто звучат в новостях и профессиональных обсуждениях, но не всегда понятны широкой аудитории.

Проверьте, насколько хорошо вы их знаете:

1️⃣ Скрытый способ доступа к системе, минуя стандартные механизмы безопасности.

2️⃣ Уникальный цифровой ключ для подтверждения личности и прав доступа.

3️⃣ Мошенническая атака с целью выманивания конфиденциальной информации.

4️⃣ Виртуальное пространство, в котором происходят все интернет-взаимодействия.

5️⃣ Поддельная информация или сайт, созданные для обмана пользователя.

Попробуйте разгадать и напишите, какие слова показались сложными ✏️

🐸 Библиотека хакера

#междусобойчик

🎈 Вскрываем зашифрованный диск: испытание от Red Balloon Security

Red Balloon Security — компания, известная своей специализацией на глубокой защите встроенных систем и прошивок.

Их технические собеседования — это не просто набор вопросов, а полноценные исследовательские квесты, где приходится проявлять смекалку, знания и навык работы с низкоуровневыми данными.

По шагам:

➡️ Этап 0x00 — анализ структуры диска, поиск сигнатур и намёков на шифрование

➡️ Этап 0x01 — изучение содержимого, распаковка данных, первые догадки

➡️ Этап 0x02 — дешифровка, работа с ключами, финальный доступ к информации

📌 Если вы хотите проверить свои навыки в настоящей полевой криптоаналитике — попробуйте пройти этот путь самостоятельно, следуя логике автора.

🐸 Библиотека хакера

#свежак

📨 Что может пойти не так при такой конфигурации CORS

Выбирайте правильный ответ в опросе 🔜

🐸 Библиотека хакера

#междусобойчик

🙃 Топ-вакансий для хакеров за неделю

Application Security Engineer — 5 000 —‍ 7 500 €, удаленно(Кипр, помощь с переездом)

Специалист по анализу защищенности (pentest) — офис (Екатеринбург)

AppSec/DevSecOps — удаленно/офис/гибрид (Москва)

Аналитик киберугроз/ Threat Intelligence — удаленно (Санкт-Петербург)

Специалист по информационной безопасности — 130 000 —‍ 150 000 ₽, удаленно (Москва)

➡️ Еще больше топовых вакансий — в нашем канале InfoSec jobs

🐸 Библиотека хакера

#свежак

🔍 Как собирать и анализировать HTTP-заголовки для обнаружения уязвимостей

HTTP-заголовки — важный источник информации о сервере, приложении и конфигурациях безопасности.

1. Собираем заголовки с помощью curl:

curl -I https://example.com

📍 Покажет основные заголовки ответа (Server, Content-Type, Set-Cookie и др.)

2. Используем расширения и прокси:

📍 Burp Suite — вкладка Proxy → HTTP history для перехвата и анализа

📍 Browser DevTools — вкладка Network, выберите запрос и смотрите заголовки

📍 curl с -v для подробного вывода

curl -v https://example.com

3. Обращаем внимание на критичные заголовки безопасности:

➡️ Content-Security-Policy (CSP) — настройка защиты от XSS

➡️ X-Frame-Options — защита от clickjacking

➡️ Strict-Transport-Security (HSTS) — принудительное HTTPS

➡️ X-Content-Type-Options — предотвращение MIME sniffing

➡️ Set-Cookie — флаги HttpOnly, Secure и SameSite

4. Проверяем отсутствие важных заголовков или их слабые настройки:

📍 Отсутствие HSTS — риск перехвата трафика

📍 CSP с широкими разрешениями — уязвимость к XSS

📍 Cookies без Secure или HttpOnly — риск кражи сессии

5. Анализируем заголовки серверов и приложений:

📍 Заголовок Server может раскрывать версию ПО (Apache, nginx, IIS)

📍 Версии ПО часто содержат известные уязвимости

6. Используем специализированные инструменты:

➡️ securityheaders — быстрый онлайн-анализ заголовков безопасности

➡️ Nmap с скриптами HTTP заголовков

➡️ Nikto — сканер веб-серверов, ищет слабые места в заголовках

💡 Регулярный мониторинг и анализ HTTP-заголовков помогает найти конфигурационные ошибки и усилить защиту веб-приложений.

🐸 Библиотека хакера

#буст