现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Hacking & InfoSec
关闭频道
Этичный хакинг, информационная безопасность, программирование. Ссылка: @Portal_v_IT Сотрудничество: @oleginc, @tatiana_inc Канал на бирже: telega.in/c/hackinevo РКН: clck.ru/3Jb7XH
显示更多8 785
订阅者
-224 小时
-117 天
-5430 天
数据加载中...
吸引订阅者
六月 '26
六月 '26
+1
在0个频道中
五月 '26
+1
在0个频道中
Get PRO
四月 '26
+5
在0个频道中
Get PRO
三月 '26
+8
在0个频道中
Get PRO
二月 '26
+3
在0个频道中
Get PRO
一月 '26
+1
在0个频道中
Get PRO
十二月 '25
+2
在0个频道中
Get PRO
十一月 '25
+4
在0个频道中
Get PRO
十月 '25
+1
在0个频道中
Get PRO
九月 '25
+3
在0个频道中
Get PRO
八月 '25
+2
在0个频道中
Get PRO
七月 '25
+1
在0个频道中
Get PRO
六月 '25
+24
在0个频道中
Get PRO
五月 '25
+5
在0个频道中
Get PRO
四月 '25
+22
在0个频道中
Get PRO
三月 '25
+14
在0个频道中
Get PRO
二月 '25
+10
在0个频道中
Get PRO
一月 '25
+8
在0个频道中
Get PRO
十二月 '24
+9
在1个频道中
Get PRO
十一月 '24
+2
在0个频道中
Get PRO
十月 '24
+5
在1个频道中
Get PRO
九月 '24
+3
在1个频道中
Get PRO
八月 '24
+6
在0个频道中
Get PRO
七月 '24
+28
在0个频道中
Get PRO
六月 '24
+28
在0个频道中
Get PRO
五月 '24
+25
在0个频道中
Get PRO
四月 '24
+30
在0个频道中
Get PRO
三月 '24
+18
在1个频道中
Get PRO
二月 '24
+22
在0个频道中
Get PRO
一月 '24
+39
在0个频道中
Get PRO
十二月 '23
+37
在0个频道中
Get PRO
十一月 '23
+57
在0个频道中
Get PRO
十月 '23
+41
在0个频道中
Get PRO
九月 '23
+72
在0个频道中
Get PRO
八月 '23
+32
在0个频道中
Get PRO
七月 '23
+19
在0个频道中
Get PRO
六月 '23
+27
在0个频道中
Get PRO
五月 '23
+19
在0个频道中
Get PRO
四月 '23
+22
在0个频道中
Get PRO
三月 '23
+21
在0个频道中
Get PRO
二月 '23
+32
在0个频道中
Get PRO
一月 '23
+42
在0个频道中
Get PRO
十二月 '22
+31
在0个频道中
Get PRO
十一月 '22
+38
在0个频道中
Get PRO
十月 '22
+38
在0个频道中
Get PRO
九月 '22
+215
在0个频道中
Get PRO
八月 '22
+1 455
在0个频道中
Get PRO
七月 '22
+126
在0个频道中
Get PRO
六月 '22
+64
在0个频道中
Get PRO
五月 '22
+4 046
在0个频道中
Get PRO
四月 '22
+908
在0个频道中
Get PRO
三月 '22
+13 699
在0个频道中
Get PRO
二月 '22
+1 146
在0个频道中
Get PRO
一月 '22
+3 594
在0个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 10 六月 | 0 | |||
| 09 六月 | 0 | |||
| 08 六月 | +1 | |||
| 07 六月 | 0 | |||
| 06 六月 | 0 | |||
| 05 六月 | 0 | |||
| 04 六月 | 0 | |||
| 03 六月 | 0 | |||
| 02 六月 | 0 | |||
| 01 六月 | 0 |
频道帖子
Инструмент для сложных blind SQLi
BBQSQL — фреймворк для эксплуатации blind SQL-инъекций, когда данные приходится извлекать по косвенным признакам: времени ответа, размеру страницы, коду ответа и другим изменениям в приложении.
Что умеет:
— time-based и boolean-based SQLi; — поддержка разных СУБД; — настройка собственных шаблонов инъекций; — параллельное выполнение запросов для ускорения извлечения данных; — работа через прокси, куки, заголовки и авторизацию; — кастомные Python-хуки для нестандартных сценариев.Особенно полезен в ситуациях, когда sqlmap не справляется и требуется гибко адаптировать логику эксплуатации под конкретную уязвимость. Ссылка на GitHub #security | Hacking & InfoSec
| 2 | ИИ больше не про хобби — он становится обязательным навыком, чтобы оставаться востребованным на рынке труда.
По оценкам экспертов, в ближайшее время до 80% вакансий будут требовать умения работать с нейросетями:
— генерировать визуал, видео, тексты для любых ниш;
— создавать реалистичный ИИ-контент;
— автоматизировать рутину.
Хорошие новости — освоить базовый минимум в создании контента с помощью ИИ можно всего за 3 дня. Вы сделаете ИИ своим рабочим инструментом и сократите рабочее время без потери качества.
Переходите по ссылке и получайте персональный доступ к урокам и бонусным материалам.
Реклама. Информация о рекламодателе по ссылкам в посте. | 122 |
| 3 | А ведь и правда, зачем вообще нужен смартфон, на который нельзя установить самый "безопасный" в мире мессенджер?
Источник [1], [2].
#security | Hacking & InfoSec | 152 |
| 4 |  Как обычный саундбар превратили в инструмент для взлома ПК
Исследователь изучал прошивку Creative Sound Blaster Katana V2X, а в итоге обнаружил цепочку уязвимостей, позволяющую удалённо перепрошить устройство по Bluetooth без сопряжения.
После модификации прошивки саундбар мог:
— выполнять роль HID-клавиатуры;
— автоматически вводить команды на подключённом компьютере;
— фактически работать как беспроводной Rubber Ducky.
Атака не требовала физического доступа к ПК или самому устройству.
статье: реверс прошивки, анализ BLE-протокола, обход механизмов защиты и создание собственного payload для устройства.
#security | Hacking & InfoSec | 190 |
| 5 | Эксплуатация race condition с помощью Turbo Intruder: гайд для начинающего этичного хакера
Уязвимости race condition часто встречаются в веб-приложениях и приносят достойные вознаграждения в рамках багбаунти. Под катом вас ждет гайд по эксплуатации данного бага на примере Vulnerable PHP App (Race Condition).
Читать
#security | Hacking & InfoSec | 179 |
| 6 | РАНХиГС выстраивает проактивный процесс управления киберугрозами.
Сегодня государственные и образовательные организации остаются одной из приоритетных целей для атак, которые становятся сложнее, автоматизируются и всё чаще используют ИИ.
В этих условиях проактивная модель защиты с анализом маршрутов атак становится необходимостью, позволяя повышать киберустойчивость и удорожать действия злоумышленников.
Академия уже несколько лет использовала MaxPatrol VM от Positive Technologies для управления уязвимостями в распределенной инфраструктуре с более чем 50 филиалами.
В конце прошлого года РАНХиГС внедрил решение класса Exposure Management MaxPatrol Carbon, который переводит защиту от простого списка уязвимостей к пониманию реальных сценариев атак на критически важные системы.
Решение моделирует маршруты злоумышленника к ключевым ресурсам и выявляет опасные комбинации угроз: уязвимости, ошибки конфигурации, избыточные права доступа, особенности сетевой архитектуры.
➡️Источник.
#security | Hacking & InfoSec | 197 |
| 7 |  ATG под атакой: хакеры добрались до топливной инфраструктуры США
CISA, ФБР, NSA и Министерство энергетики США выпустили совместный алерт о кибератаках на ATG — системы мониторинга топливных резервуаров.
🔜 Такие устройства показывают уровень топлива, температуру и возможные утечки. Их ставят на заправках, промышленных объектах, в энергетике и транспортной инфраструктуре.
Что известно:
#security | Hacking & InfoSec | 206 |
| 8 |  Как DPI распознаёт MTProto-прокси
Полезный технический разбор про то, почему одной маскировки под TLS уже недостаточно.
В статье объясняют:
— как работает Fake-TLS в MTProto;
— почему JA3/JA4 fingerprint помогает находить неидеальный TLS;
— как DPI анализирует размеры пакетов, тайминги и keep-alive;
— почему зашифрованный payload всё равно оставляет сетевые метаданные;
— где упирается предел DPI из-за стоимости глубокого анализа.
Читать подробнее
#security | Hacking & InfoSec | 247 |
| 9 | В Android появился функционал обнаружения фейковых звонков с использованием протокола Rich Communication Services (RCS). Новая фича позволяет защитить пользователей Android от мошенничества с использованием дипфейков.
Дело в том, что мошенники могут подменить номер телефона, перенаправляя звонки через сторонний софт, чтобы создать видимость, будто вызов поступает от знакомого человека. Затем атакующие используют голосовой дипфейк, чтобы выдать себя за членов семьи, друзей или работодателя жертвы.
Эксперты предупреждают, что аудиодипфейки стали максимально реалистичными, поэтому большинство людей не может с уверенностью отличить их от настоящих голосов людей.
Для обнаружения таких вызовов необходимо, чтобы обе стороны использовали Android и приложения "Телефон", "Сообщения" и "Контакты" от Google. При звонке от добавленных в контакты на принимающее устройство приходит незаметный пользователю сигнал подтверждения. Это цифровое "рукопожатие" использует сквозное шифрование RCS.
А вот если позвонит мошенник, то смартфон заметит отсутствие сигнала подтверждения и отправит запрос на реальное устройство контакта для перепроверки. На экране входящего устройства появится предупреждение, что звонок поступает не с телефона пользователя из контактов.
В текущем месяце функция станет доступна по всему миру на смартфонах с Android 12 и выше начиная с устройств Pixel. Она будет включена по умолчанию, но её можно отключить в любое время. Google отмечает, что другие приложения и производители устройств также могут внедрить эту технологию.
https://blog.google/security/android-fake-call-detection/
#security | Hacking & InfoSec | 259 |
| 10 | Нашел очень крутой проект, который называется Netwatch. Это tui инструмент, который предназначен для диагностики сетевой активности на сервере. Функционал следующий:
Выводит детальную информацию об интерфейсах в системе;
Умеет рисовать информативные дашборды со сводной информацией и позволяет получать данные о соединениях;
Умеет в захват пакетов с учетом протоколов DNS, TLS, HTTP, ICMP, ARP, DHCP, NTP, mDNS и т.д.
Отображает информацию о соединениях - pid и имя процесса, протокол, статус, IP адрес, геолокация и т.д.
Есть возможность использовать фильтры, экспортировать все в pcap;
ASCII карта сети;
Возможность подключить локальную или удалённую модель Ollama (отключено по умолчанию, но если кому-то надо, то можете экспериментировать).
Более детальное описание и другая необходимая информация есть на GitHub или на сайте разработчика.
#security | Hacking & InfoSec | 220 |
| 11 | Ping.pe - хороший ресурс, если вам нужно проверить доступность домена. Особенность заключается в том, что Ping.pe находит места, где теряются "пакеты", через ping, traceroute, dig и HTTP - запрос с 20+ серверов по всему миру. Очень помогает при геозависимых блокировках - если хост не пингуется из России, а из Европы норм, то причина очевидна. Кроме того, в сервисе есть проверка DNS-резолвинга.
Проект начал свою работу в далеком 2015 году и поддерживается одним разработчиком на полном энтузиазме!
#security | Hacking & InfoSec | 239 |
| 12 |  Шпаргалка по работе с утилитой cron и правам для файлов в Linux: на заметку этичному хакеру
#security | Hacking & InfoSec | 231 |
| 13 | 🔥 Открытый практикум по Claude Code без теории
Ты слышал, что Claude Code — один из лучших инструментов вайб-кодинга в мире. Зашёл попробовать — а там оплата картой, которая из России не проходит. Ограничения, виртуалки, чужие аккаунты, и фоновый страх, что завтра всё отвалится.
CEO университета Зерокодер, Кирилл Пшинник, проведет открытый практикум. Что вы узнаете:
— Доступ к Claude Code из России — как установить, оплатить и настроить. Без блокировок — рабочая схема 2026 года;
— 15 ИИ-агентов одновременно — прямая демонстрация: как выполняются задачи, как работает переключение, контекст проекта;
— Сайт с нуля за 15 минут — прямо на практикуме, от пустой папки до готовой страницы;
— Дашборд и обработка таблиц — аналитика на чистом коде, без сторонних сервисов.
И самое главное – расскажем как получить Claude Code бесплатно.
🎁 Бонус всем участникам: набор лучших навыков для Claude Code, чтобы вы сразу начали работать, без задержек и ограничений. | 232 |
| 14 |  Крупнейший каталог OSINT-инструментов
В каталоге собрано более 1300 инструментов, разбитых на десятки категорий:
— Telegram
— Социальные сети
— Email и Username Search
— Геолокация
— Анализ доменов и IP
— Утечки данных
— Metadata Analysis
— Threat Intelligence
Что удобно:
— поиск по инструментам;
— автоматическое обновление из GitHub;
— более 50 категорий;
— веб-версия, Android и desktop-клиент.
Полезная закладка для OSINT-специалистов, расследователей, багхантеров и пентестеров.
Ссылка
#security | Hacking & InfoSec | 228 |
| 15 | Сейчас многие Telegram каналы пишут, что Instagram* аккаунт 44-го президента США Барака Обамы был взломан. Это действительно так, но метод взлома, который использовали злоумышленники, использовался продолжительное время и приносил хакерам миллионы баксов на продаже красивых юзернеймов.
• Вся соль заключается в том, чтобы подобрать регион жертвы через VPN, воспользоваться функционалом восстановления пароля и попросить помощь, где вам дружелюбно ответит ИИ. Далее атакующие просто направляют ИИ нужный запрос на замену электронной почты в аккаунте и успешно получают доступ к учетной записи. Что может быть проще?
К слову, эту фичу уже пофиксили. А все началось с того, что Цукерберг решил заменить сотрудников технической поддержки на ИИ...
Источники [1],[2].
#security | Hacking & InfoSec | 270 |
| 16 | На YT есть очень хороший и бесплатный курс на русском языке по изучению Linux. Автор этого материала за 3 года опубликовал более 100 уроков и продолжает выпускать новые выпуски. Курс подойдет не только начинающим, но и тем, кто уже знаком с Linux.
https://www.youtube.com/playlist/linux
#security | Hacking & InfoSec | 269 |
| 17 |  Ярослав Лабочевский из GitHub Security обнаружил критическую уязвимость в 7-Zip, которая получила идентификатор CVE-2026-48095 и затрагивает версию 26.00.
Проблема находится в обработчике NTFS-архивов. Из-за ошибки при расчёте размера буфера 7-Zip может выделить под данные всего 1 байт, а затем попытаться записать туда 256 МБ контролируемых атакующим данных.
В результате данные выходят за пределы буфера и начинают перезаписывать соседние участки памяти. По данным специалистов, уже после 304 байт может быть повреждён указатель vtable, а дальше появляется возможность выполнить произвольный код.
Уязвимость была устранена в версии v26.01.
POC и технические детали.
Источники [1], [2], [3].
#security | Hacking & InfoSec | 307 |
| 18 |  Практика атак на Kubernetes
Kubernetes Goat — это специально уязвимый Kubernetes-кластер для обучения безопасности на практике.
Что внутри:
— ошибки RBAC и лишние привилегии
— уязвимые контейнеры
— небезопасные настройки кластера
— privilege escalation
— container escape
— практические сценарии для Red Team и Blue Team
Отличная площадка для изучения атак на Kubernetes в безопасной среде
Ссылка на GitHub
#security | Hacking & InfoSec | 259 |
| 19 | URLScan.io - настоящая "песочница" для безопасного просмотра подозрительных ссылок! Если говорить простыми словами, то тут можно проверить адрес в изолированном Chrome.
Сервис делает скриншот, записывает исходящие запросы, показывает TLS-сертификаты, заголовки безопасности и технологии. Полезен тем, что можно увидеть, куда "ломится" страница, какие домены резолвит, какие куки ставит и какие скрипты подгружает.
URLScan.io
#security | Hacking & InfoSec | 257 |
| 20 | Освойте нейросети для контента за 3 дня
ИИ это не про замену людей — это про усиление ваших умений и делегирование рутины. 80% контента уже делается с помощью ИИ и базовые навыки необходимы всем, кто работает с созданием контента.
Регистрируйтесь на бесплатный мини-курс, где вы получите готовое портфолио и научитесь:
— Писать продающие посты без «ИИ‑шаблонов»;
— Делать стильные визуалы для брендов и соцсетей;
— Проводить нейрофотосессии с реальными или вымышленными моделями;
— Готовить презентации, креативные арты и постеры.
Переходите по ссылке, чтобы получить доступ и бонусные материалы.
Реклама. Информация о рекламодателе по ссылкам в посте. | 253 |
