Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Все самое полезное по инфобезу в одном канале. Наши курсы: https://clc.to/wPiZMA Для обратной связи: @proglibrary_feeedback_bot По рекламе: @proglib_adv РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
显示更多📈 Telegram 频道 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность 的分析概览
频道 Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность (@hackproglib) 俄语 语言赛道中的 是活跃参与者。目前社区聚集了 12 782 名订阅者,在 技术与应用 类别中位列第 9 812,并在 俄罗斯 地区排名第 51 278 位。
📊 受众指标与增长动态
自 невідомо 创建以来,项目保持高速增长,吸引了 12 782 名订阅者。
根据 15 七月, 2026 的最新数据,频道保持稳定运转。过去 30 天订阅人数变化为 -39,过去 24 小时变化为 -3,整体触达仍然可观。
- 认证状态: 未认证
- 互动率 (ER): 平均受众互动率为 6.23%。内容发布后 24 小时内通常能获得 3.25% 的反应,占订阅者总量。
- 帖子覆盖: 每篇帖子平均可获得 796 次浏览,首日通常累积 415 次浏览。
- 互动与反馈: 受众积极参与,单帖平均反应数为 5。
- 主题关注点: 内容集中在 хакер, навигация, htb, linux, шпаргалка 等核心主题上。
📝 描述与内容策略
作者将该频道定位为表达主观观点的平台:
“Все самое полезное по инфобезу в одном канале.
Наши курсы: https://clc.to/wPiZMA
Для обратной связи: @proglibrary_feeedback_bot
По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf”
凭借高频更新(最新数据采集于 16 七月, 2026),频道始终保持新鲜度与高覆盖。分析显示受众积极互动,使其成为 技术与应用 类别中的关键影响点。
数据加载中...
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 16 七月 | 0 | |||
| 15 七月 | +2 | |||
| 14 七月 | +3 | |||
| 13 七月 | 0 | |||
| 12 七月 | 0 | |||
| 11 七月 | 0 | |||
| 10 七月 | +2 | |||
| 09 七月 | +2 | |||
| 08 七月 | +2 | |||
| 07 七月 | 0 | |||
| 06 七月 | +1 | |||
| 05 七月 | +1 | |||
| 04 七月 | +3 | |||
| 03 七月 | +1 | |||
| 02 七月 | +3 | |||
| 01 七月 | +2 |
| 2 | ❕ SonicWall SMA1000: два zero-day уже эксплуатируются. Один из них — с CVSS 10.0
SonicWall предупредила об активной эксплуатации сразу двух уязвимостей в устройствах SMA1000.
🈂️ CVE-2026-15409 (CVSS 10.0) — SSRF. Неаутентифицированный удалённый атакующий может заставить appliance выполнять запросы к произвольным адресам.
🈂️ CVE-2026-15410 (CVSS 7.2) — post-auth Code Injection в Appliance Management Console. Позволяет администратору выполнить произвольные команды ОС.
SonicWall подтвердила, что обе уязвимости уже активно эксплуатируются.
⚠️ Если вы используете SMA1000, обновитесь до 12.4.3-03453 или 12.5.0-02835 (либо более новой версии) как можно скорее.
🔗 Источник
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cve_bulletin | 256 |
| 3 | 🔥 Курс «Разработка ИИ-агентов» стартовал, но вы еще успеваете присоединиться!
Мы только начали, а первый практический воркшоп пройдет только 23 июля. До этого времени вы спокойно успеете изучить материалы и нагнать группу.
💼 Главная фишка: финальный проект в портфолио:
В финальном проекте вы сможете выбрать один из двух вариантов: реализовать свою идею или решить задачу от партнера курса — крупной российской финтех-компании. Вы будете работать с датасетом, построенным по реальным сценариям, получите бизнес-контекст и продовые ограничения. В результате соберете AI-агента, который станет сильным проектом для портфолио.
🎁 Упомяните менеджеру специальное предложение «3 курса по цене 1»: Берете VIP-тариф — получаете курс «Разработка ИИ-агентов», хардкорный «AgentOps» и ещё один курс на выбор. Выгода 129.000 ₽!
Двери потока вот-вот закроются окончательно. Успейте забрать стек курсов и начать работу над реальным проектом
🔗 Занять место и забрать 3 курса | 397 |
| 4 | 👮♀️ Практика для хакера: платформы для отработки навыков
Для прокачки offensive-навыков в боевых условиях — подборка отличных бесплатных площадок, с которых стоит начать:
➡️ Hack The Box (HTB): от простых web-апп до реальных AD-лабораторий. Отлично подходит для подготовки к OSCP.
➡️ TryHackMe — Offensive Path: много практики с подсказками. Пошаговый путь: reconnaissance, exploitation, privilege escalation и др.
➡️ picoCTF — отличный CTF для начинающих от Carnegie Mellon. Есть задачи по реверсу, web, крипте и pwn.
➡️ OverTheWire — Bandit & Narnia: мини-игры в терминале: Linux, бинарки, эксплуатация. Идеально для новичков и практики CLI-навыков.
➡️ CTFlearn: платформа с сотнями CTF-задач: web, stegano, reversing, OSINT и др.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#resource_drop | 436 |
| 5 | 🔥 Стартуем СЕГОДНЯ! Новый поток курса «Разработка ИИ-агентов» открыт
По этому поводу мы решили выложить закрытую запись одного из уроков из программы. Найти её в поиске YouTube нельзя — она доступна только по ссылке и всем, кто будет на курсе.
Внутри глубокий разбор LLM от Алексея Яндутова (Senior ML-инженер, развивал ответы «Алисы» и «Нейро» в Яндексе). Учимся получать точный результат без галлюцинаций.
Что внутри урока:
- Устройство LLM.
- Рабочие шаблоны промптов (Persona, Chain-of-Thought и др.).
- Разбор реального кейса Яндекса. Как автоматизировать разметку, обойти качество людей на 5% и срезать косты на 60%.
После просмотра вы поймете, когда хватает промпт-инжиниринга, а когда нужен RAG или fine-tuning.
👉Смотреть закрытый урок на YouTube
Понравился урок? Переходите на новый уровень! Оставляйте заявку на курс, чтобы научиться проектировать надежные автономные системы. Обучение началось, но вы еще успеваете присоединиться.
🔗 Занять место на курсе | 476 |
| 6 | 📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#hack_humor | 500 |
| 7 | 📌 Тест на open redirect через curl
Open redirect — уязвимость, позволяющая перенаправить пользователя на внешний сайт (часто для фишинга).
Пример проверки:
curl -L "http://<target>/redirect?url=http://evil.com" --max-redirs 10
🔵 -L — следовать за редиректами
🔵 --max-redirs 10 — ограничить переходы, чтобы избежать бесконечного цикла
Если приложение не фильтрует URL, произойдёт перенаправление на evil.com, что подтверждает уязвимость.
Что тестируем:
➡️ Перенаправление на внешние сайты
➡️ Обработку параметров с URL (next, target, redirect и др.)
➡️ Корректность валидации ссылок
⚡ Советы:
— Проверяй разные параметры (next, goto, return, redirect)
— Для автоматизации используй Burp Suite, OWASP ZAP или собственные скрипты
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cheat_sheet | 976 |
| 8 | 🚀 Уже завтра стартует новый поток курса «ИИ-агенты»!
Мы собрали мощнейший состав преподавателей. Учить вас проектировать архитектуру и собирать продакшн-агентов будут инженеры и исследователи из топовых IT-компаний.
Старт уже завтра!
Сомневаетесь, подойдет ли вам программа и подача? Начните с бесплатного демо-урока!
Всего за 2 часа вы заглянете под капот ИИ-агента, поймете, чем мышление модели отличается от ее ответа, и научите систему чинить собственный код. Это идеальный способ протестировать нашу платформу перед покупкой.
🔗 Пройти демо-урок и занять место на курсе | 527 |
| 9 | 🛡 AI против уязвимостей: разбор реального security review
Разработчик проверил своё веб-приложение с помощью AI-агента и получил полноценный список проблем — от stored XSS до отсутствия rate limiting и защитных HTTP-заголовков.
В статье показано как эти уязвимости были исправлены: CSP, sandboxed iframe, HMAC, Web Crypto API, защита от brute-force и другие практические митигации.
💡 Изучить применение ИИ в подобных задачах глубже поможет курс «Разработка ИИ-агентов».
🔗 Ссылка на статью
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#resource_drop | 614 |
| 10 | 🖥 AI-агент, который работает прямо в браузере
peerd — экспериментальное расширение для Chrome и Firefox, которое запускает AI-агента внутри браузера и позволяет ему работать с открытыми вкладками и сессиями.
Что умеет:
— читать страницы и выполнять действия в браузере;
— запускать JS-ноутбуки, WebAssembly-инструменты и Linux VM;
— собирать небольшие клиентские приложения;
— подключать OpenAI, Anthropic, OpenRouter, Z.ai или локальный Ollama;
— координировать несколько изолированных агентов.
Главная особенность — локальная архитектура без собственного backend и телеметрии. API-ключи хранятся в зашифрованном хранилище, а каждый агент работает только со своей вкладкой или средой.
⚠️ Проект пока в экспериментальной beta, поэтому использовать его стоит осторожно.
💡 Разобраться, как проектировать и собирать такие системы, поможет курс «Разработка ИИ-агентов».
🔗 GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week | 645 |
| 11 | 🔥 Не называйте любого продвинутого чат-бота «ИИ-агентом»!
Дмитрий Юдин, руководитель AI/ML-направления в Сloud․ru, наглядно разбирает уровни абстракции ИИ-продуктов и убирает путаницу в понятиях.
Что внутри видео:
- Почему ассистент и агент принципиально разные сущности;
- Как ассистент может быть просто «обёрткой» над LLM, а может скрывать под капотом сложнейшую мультиагентную систему;
- Как понимать архитектуру глубже, чтобы проектировать сильные решения.
Начните создавать агентные системы с нашего бесплатного демо-урока. Всего за 2 часа разберем внутреннее устройство агента, научим его чинить свой собственный код и сохранять контекст после перезапуска.
🔗 Забрать бесплатный демо-урок | 600 |
| 12 | 🤨 Как заставить AI-агента не ломать архитектуру, а нормально писать код?
Мы привыкли общаться с ИИ промптами, но для автономных систем это путь к бесконечным циклам и сливу бюджета. Чтобы убрать хаос, инженеры переходят на Spec-Driven Development (SDD).
Вот как этот подход меняет работу агента на практике:
🔹Контракт вместо текста. Сначала пишется строгая спецификация (JSON-схема/OpenAPI) и автотесты. Агент зажат в рамки интерфейсов, за которые физически не может выйти.
🔹Контроль на шагах. Внутри петли Think-Act-Observe агент сверяет действия со спецификацией.
🔹Саморефлексия. Если ИИ нарушил типы или «додумал» лишнее, тест падает. Агент получает ошибку в контекст и сам правит код, не выходя за рамки ТЗ.
Это лишь база того, как укротить ИИ-разработку. Если вы хотите глубоко внедрить эту методологию, научиться проектировать архитектурные контракты и собирать отказоустойчивые системы — оставляйте заявку на наш новый курс по Spec-Driven Development. Стартуем совсем скоро🙂 | 647 |
| 13 | 😁😁
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#hack_humor | 691 |
| 14 | 📋 7 однострочников для быстрого recon веб-приложения
Сохраняйте — пригодится на любом Bug Bounty или пентесте 👇
# 1. Субдомены → живые хосты
subfinder -d target.com -silent | httpx -silent -sc -title | tee live.txt
# 2. URL из Wayback Machine и других архивов
echo target.com | gau --subs --threads 5 | sort -u | tee urls.txt
# 3. Быстрый поиск потенциальных секретов в JS
grep -E '\.js$' urls.txt | httpx -silent | while read url; do
curl -s "$url" | grep -oiE '(api[_-]?key|secret|token|password|aws_access)["\s]*[:=]["\s]*[^\s"]+'
done
# 4. Все GET-параметры для фаззинга
grep "?" urls.txt | unfurl keys | sort -u | tee params.txt
# 5. Поиск скрытых директорий
dirsearch -u https://target.com -e php,asp,js,html -t 25 --random-agent -q
# 6. Определение технологий
whatweb -a 3 https://target.com --color=never
# 7. Поддомены через Certificate Transparency
curl -s "https://crt.sh/?q=%.target.com&output=json" | jq -r '.[].name_value' | sort -u
💡 Начинайте с пассивной разведки (subfinder, gau, crt.sh), чтобы оценить поверхность атаки. К активному сканированию (dirsearch, ffuf, nuclei) переходите уже после первичного анализа.
Методология OWASP Web Security Testing Guide 🔗
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cheat_sheet | 736 |
| 15 | 🔥 ИИ-выходные: Собери своего AI-агента за 2 дня
Хватит просто читать про ИИ, пора собирать автономные системы руками! 1–2 августа пройдет хардкорный онлайн-интенсив для junior-middle разработчиков.
Формат: теория ➡️ сразу практика. Вы будете управлять AI-инструментами.
🛠️ Как всё пройдет:
День 1 (Суббота): разбираем анатомию агента, подключаем инструменты (shell, GitHub, Postgres) и дебажим трейсы.
День 2 (Воскресенье): собираем собственного агента под вашу задачу, настраиваем Eval + Guardrails (чтобы бот не галлюцинировал) и проводим демо.
Для кого: Вы пишете на Python, работаете с Git и терминалом. (С нуля не подойдет, темп очень быстрый!)
Артефакт на выходе: Рабочий репозиторий с вашим агентом, который не стыдно показать команде.
👨💻 Спикер: Алексей Жиряков (Сбер, GenAI).
Места ограничены!
👉 Изучить программу и занять место | 761 |
| 16 | 🖥 Open-source менеджер паролей с локальным шифрованием
KeePassXC — кроссплатформенный менеджер паролей, который хранит все данные в локальной зашифрованной базе. Поддерживает не только пароли, но и TOTP-коды, SSH-ключи, passkeys и вложения.
Что умеет:
🔹 хранение паролей в зашифрованной KDBX-базе;
🔹 генератор стойких паролей и passphrase;
🔹 поддержка TOTP и passkeys;
🔹 интеграция с Chrome, Firefox, Edge, Brave и другими браузерами;
🔹 SSH Agent, YubiKey и OnlyKey;
🔹 импорт из Bitwarden, 1Password, Proton Pass и других менеджеров.
Поддерживает Windows, macOS и Linux.
🔗 GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week | 806 |
| 17 | 🦠 Avalon + CrownX: новый модульный фреймворк, который объединяет стилер, постэксплуатацию и ransomware
Исследователи Blackpoint Cyber обнаружили ранее неизвестный фреймворк Avalon. Он объединяет сразу несколько этапов атаки: кражу учётных данных, закрепление, горизонтальное перемещение и развёртывание шифровальщика CrownX.
➡️ Что умеет Avalon:
— извлекает данные из браузеров, DPAPI, VPN, SSH, RDP, Wi-Fi и Windows Credential Manager;
— собирает данные криптокошельков (MetaMask, Ledger, Electrum);
— перемещается по сети через admin shares и штатные Windows-утилиты;
— удаляет теневые копии, отключает механизмы восстановления и атакует инфраструктуру резервного копирования;
— очищает журналы событий и другие артефакты.
➡️ CrownX
Модуль шифрования использует AES-GCM через BCrypt API, поддерживает эффективное шифрование больших файлов и нацелен на виртуальные машины, базы данных, исходный код и другие ценные данные.
По оценке Blackpoint Cyber, код содержит признаки AI-assisted development. Исследователи считают, что ИИ помог ускорить разработку и объединить множество функций в одном фреймворке.
🔗 Источник
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#breach_breakdown | 767 |
| 18 | 🔥 Gobuster в одной схеме
Gobuster — один из базовых инструментов для recon: помогает искать директории, файлы, поддомены, vhost и открытые S3-бакеты.
На схеме собраны основные режимы и флаги:
— Dir Mode;
— DNS Mode;
— VHost / Fuzz;
— S3 и TFTP;
— глобальные параметры;
— автодополнение для shell.
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#cheat_sheet | 861 |
| 19 | 🔥 Открытое занятие по AgentOps — курс стартовал!
Сегодня в 19:00 по МСК пройдет первое занятие нового потока, на которое может прийти каждый. Оцените пользу нашего подхода на ретрансляции урока в VK!
👨💻 Спикер: Андрей Носов
Тема: Архитектура управления: state machine для AI-агентов
Будем разбираться, как использовать State machine в качестве главного оружия против стохастики (непредсказуемости) LLM.
Что в программе:
● State machine: инварианты и терминальные состояния;
● Паттерны маршрутизации: Supervisor, ReAct, Plan-and-Solve;
● Детекция циклов и настройка аварийных выходов;
● Абстракция от модели: как сделать каркас, который переживет смену LLM/провайдера;
● Адаптация графов под ограничения локальных моделей;
● Версионирование графов и миграции стейта.
Результат занятия: Вы поймете, как спроектировать надежный каркас агента с жестким контролем исполнения и переходов.
👉 Подписывайтесь на нашу группу ВКонтакте, чтобы не пропустить старт трансляции! | 790 |
| 20 | 🛠 Burp Suite-плагин для проверки ограничений WAF
Nowafpls автоматически добавляет в начало тела HTTP-запроса большой объём «мусорных» данных, чтобы проверить, анализирует ли WAF запрос целиком или только его часть.
Что умеет:
🈂️ работает с POST, PUT, PATCH и другими запросами с телом;
🈂️ автоматически подбирает формат для JSON, XML и application/x-www-form-urlencoded;
🈂️ позволяет выбрать размер префикса или задать его вручную;
🈂️ интегрируется в Burp Repeater через контекстное меню.
💡 Некоторые WAF ограничивают объём инспектируемого тела запроса. Если полезная нагрузка оказывается за пределами этого лимита, она может не попасть под анализ.
Nowafpls позволяет быстро проверить, применим ли такой сценарий к исследуемому приложению.
Поддерживаются Burp Suite (Jython) и версия для Caido.
🔗 GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week | 912 |
