White Hat
前往频道在 Telegram
Пишем про информационную безопасность и белый хакинг. Сотрудничество: @workhouse_price Канал на бирже: https://telega.in/c/kind_hack Канал в реестре РКН: https://clck.ru/3FtTnR
显示更多📈 Telegram 频道 White Hat 的分析概览
频道 White Hat (@kind_hack) 俄语 语言赛道中的 是活跃参与者。目前社区聚集了 11 975 名订阅者,在 技术与应用 类别中位列第 10 382,并在 俄罗斯 地区排名第 54 437 位。
📊 受众指标与增长动态
自 невідомо 创建以来,项目保持高速增长,吸引了 11 975 名订阅者。
根据 14 七月, 2026 的最新数据,频道保持稳定运转。过去 30 天订阅人数变化为 290,过去 24 小时变化为 10,整体触达仍然可观。
- 认证状态: 未认证
- 互动率 (ER): 平均受众互动率为 7.02%。内容发布后 24 小时内通常能获得 3.29% 的反应,占订阅者总量。
- 帖子覆盖: 每篇帖子平均可获得 840 次浏览,首日通常累积 393 次浏览。
- 互动与反馈: 受众积极参与,单帖平均反应数为 3。
- 主题关注点: 内容集中在 взлом, шпаргалка, обнаружение, протокол, хакер 等核心主题上。
📝 描述与内容策略
作者将该频道定位为表达主观观点的平台:
“Пишем про информационную безопасность и белый хакинг.
Сотрудничество: @workhouse_price
Канал на бирже: https://telega.in/c/kind_hack
Канал в реестре РКН: https://clck.ru/3FtTnR”
凭借高频更新(最新数据采集于 15 七月, 2026),频道始终保持新鲜度与高覆盖。分析显示受众积极互动,使其成为 技术与应用 类别中的关键影响点。
11 975
订阅者
+1024 小时
+1067 天
+29030 天
帖子存档
11 974
🤒 Книга «Продвинутые алгоритмы и структуры данных»
Книга Марчелло Ла Рокки про то, что начинается за пределами базового курса: не «что такое массив», а какие структуры выбирать, когда данных много, а требования к скорости и памяти жёсткие.
Для пентестера и разработчика инструментов это недооценённый скилл – понимать, почему одна структура даёт, а другая кладёт вашу тулзу на реальном объёме данных.— Разбираются продвинутые деревья и кучи, префиксные деревья и структуры для строк, фильтры Блума, дисджойнт-сеты, пространственные индексы вроде k-d деревьев для поиска ближайших соседей, кластеризация и графовые алгоритмы. 🎤 Книга #Algorithms #DataStructures #DevTools / White Hat / max.ru/kind_hack
11 974
🤒 Аэрофотосъёмка веб-периметра
Gowitness – утилита на Go от Леона Джейкобса из SensePost, которая через headless-Chrome массово снимает скриншоты веб-интерфейсов.
— Вместо того чтобы вручную открывать сотни хостов из скоупа, вы одним прогоном фотографируете их все и глазами выцепляете забытые админки, дефолтные страницы и старые панели, с которых удобно начинать.
Что умеет: — Скринить одиночный URL, целые подсети CIDR или список из файла и stdin; — Жевать результаты Nmap и Nessus как источник целей; — Попутно снимать заголовки, куки, TLS-сертификаты и определять технологии; — Складывать всё в SQLite и показывать в веб-отчёте с галереей и API.🎤 Репозиторий #Recon #WebPentest #OSINT / White Hat / max.ru/kind_hack
11 974
Рабочее приложение, которое прошло ревью, всё ещё можно взломать через форму логина.
Большинство уязвимостей в вебе — это типовые ошибки, которые находят уже после инцидента. Курс WAPT от Codeby учит находить их раньше — с позиции атакующего.
Этот курс максимально заточен на практику: 65 заданий в лаборатории, где вы отрабатываете каждую технику на реальных сценариях.
Что внутри:
⏺️Эксплуатация актуальных классов уязвимостей, активный и пассивный фаззинг
⏺️SQL Injection, CMD Injection, XSS, PHP Injection, Server-Side Template Injection
⏺️Повышение привилегий и client-side атаки (XSS, CSRF)
Каждую неделю — вебинары с куратором.
Навыки применимы и в рабочих задачах по пентесту, и в Bug Bounty. Курс стартует 16 июля.
😀☺️😚🥲😎При покупке курса — месяц бесплатной подписки на hackerlab.pro в подарок
➡️ Запись на курс
По всем вопросам: @CodebyAcademyBot
11 974
✔️ OpenClaw взломали через WhatsApp | ИИ-ассистент мог отдать доступ к хосту
В OpenClaw обнаружены три критические уязвимости, позволявшие красть SSH-ключи, токены и GPG-секреты, а также выполнять произвольный код через обход фильтрации команд и песочницы.
— Атака могла запускаться через внешние сообщения, например, WhatsApp, без предварительного доступа к системе.
Разработчики закрыли дыры в версии 2026.6.6 – пользователям настоятельно рекомендуется срочно обновиться и усилить ограничения песочницы и инструментов.🎤 Чтиво #Vulnerability #PrivilegeEscalation #Exploit / White Hat / max.ru/kind_hack
11 974
В 2025 году DDoS-атаки длились десятки тысяч часов. А как активность злоумышленников изменилась в 2026 году?
На практическом вебинаре эксперты Selectel и Curator детально разберут, как изменился ландшафт DDoS-атак в первом полугодии 2026. Вы узнаете самую актуальную статистику атак на публичные сервисы и обсудите с экспертами работающие инструменты защиты.
После вебинара сможете:
• Выстроить надежную многоуровневую защиту для веб-приложений.
• Обеспечить стабильную работу сервисов даже во время мощных DDoS-атак.
📍 Онлайн
⏰ 21 июля в 12:00
👥 Для руководителей ИБ и технических направлений, инженеров по безопасности, сетевых и системных администраторов.
Регистрируйтесь ➡️ https://slc.tl/0kclb
Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь!
Реклама. АО "Селектел". erid:2W5zFFwMZw7
11 974
🖥 Книга «Фулстек JаvaScript»
В книге рассматриваются практические аспекты fullstack-разработки на JavaScript, выходящие за рамки базовых туториалов: от архитектуры клиент-серверного взаимодействия и управления состоянием до продвинутых паттернов проектирования, работы с асинхронностью, оптимизации производительности и безопасности.
— Автор делает акцент на том, что действительно важно для разработчика среднего уровня: как принимать архитектурные решения, отлаживать сложные сценарии, работать с легаси-кодом, настраивать CI/CD и эффективно использовать экосистему.
Книга также затрагивает неочевидные «секреты»: типичные ошибки, подводные камни и подходы, которые помогают перейти от простого написания кода к осознанному проектированию надёжных и масштабируемых систем.🎤 Книга #FullStack #JavaScript #CleanCode / White Hat / max.ru/kind_hack
11 974
🤒 Kогда шаблонизатор путает данные с кодом | Server-Side Template Injection | От {{7*7}} до захвата сервера
SSTI – недооценённый класс уязвимостей, который легко спутать с безобидной XSS: и там, и там пользовательский ввод попадает на страницу.
Точкой входа является любое место, где ввод попадает в шаблон: поля форм, wiki-разметка, письма, CMS.— В данной статье мы разберем как найти инъекцию, по реакции сервера определить движок, дойти через его внутренние объекты до чтения файлов и выполнения команд, чем автоматизировать вроде Tplmap и где грань дозволенного при тестировании. 🎤 Чтиво #WebSecurity #SSTI #RCE / White Hat / max.ru/kind_hack
11 974
❤️ Kак жить за счёт самой Windows
LOLBAS – открытый справочник Оддвара Моэ и сообщества, каталогизирующий подписанные Microsoft бинари, скрипты и библиотеки Windows с «незапланированной» функциональностью.
— Зачем тащить свой малварь и палиться перед EDR, если нужное умеют штатные доверенные утилиты вроде certutil, bitsadmin, regsvr32 и mshta. Именно поэтому такие приёмы сливаются с обычной работой админа и почти не поднимают тревогу.
Что можно найти по каждому бинарю: — Скачивание и запуск чужого кода; — Обход UAC и белых списков приложений; — Кража учёток и дамп памяти процессов; — Закрепление и скрытие данных в потоках NTFS; — Привязка к MITRE ATT&CK и правила детекта.🎤 Шпаргалка #LOLBins #Windows #RedTeam / White Hat / max.ru/kind_hack
11 974
🤒 Oдин токен, ключ ко всему Microsoft 365
GraphRunner – набор инструментов на PowerShell от Бо Буллока из Black Hills для пост-эксплуатации Microsoft Entra ID и M365 через Graph API.
Graph – это невидимый API, на котором держатся Outlook, SharePoint, Teams и вся облачная идентичность.— Получив один пользовательский токен, атакующий превращает его в отмычку ко всему тенанту и прочёсывает почту, файлы и чаты в поисках секретов. Большинству модулей даже не нужны права администратора. 🎤 Репозиторий #СloudSecurity #AzureAD #Pentest / White Hat / max.ru/kind_hack
11 974
◼️ Одна звёздочка в конфиге Gitea превращает гостя в админа
В Docker-образах Gitea до 1.26.2 нашли критическую ошибку конфигурации CVE с рейтингом 9.8: доверенным прокси по умолчанию стоит вайлдкард, и сервер верит заголовкам от кого угодно.
— Механика обидно проста: раз прокси «доверяет всем», атакующий сам проставляет в HTTP-заголовке нужный внутренний IP и выдаёт себя за легитимного пользователя, поднимаясь до администратора без единого пароля. Звёздочка в настройке работает как универсальный пропуск, отпирающий любую дверь.
Sysdig зафиксировала первые попытки эксплуатации через 13 дней после раскрытия бага, причём с адреса сервиса анонимизации, пока это похоже на разведку, но окно для патча закрывается.🎤 Чтиво #Gitea #Misconfig #Privesc / White Hat / max.ru/kind_hack
11 974
🎯 Небезопасная десериализация | Как приложение собирает эксплойт из своих же деталей | ysoserial и phpggc
Небезопасная десериализация – недооценённый класс уязвимостей: снаружи это выглядит безобидно, приложение просто восстанавливает объект из строки или base64 в куке.
Но если данные пришли от пользователя без валидации, атакующий подсовывает «правильный мусор», и сервер сам, шаг за шагом, вызывает нужные методы — как машина Голдберга, собранная из легитимных классов приложения.— В данной статье мы разберем как строится gadget chain, чем ysoserial выручает в Java, а phpggc в PHP, почему без исходников поиск гаджетов труден и где граница между тестом и реальным взломом. 🎤 Чтиво #Deserialization #RCE #Appsec / White Hat / max.ru/kind_hack
11 974
📱 Вся операция на одной карте
RedTeaming CheatSheet – открытый сборник команд и техник от пентестера Йони Схатса, который он ведёт как личный конспект по наступательной безопасности.
— По сути это маршрутная карта атаки, на каждой развилке, от разведки до закрепления в сети, уже лежит нужная команда, а рядом заметки по OPSEC, чтобы действия оператора не всплыли в логах защиты.
Внутри собрано всё по этапам: разведка, первичный доступ и фишинг, внушительный блок по Windows AD с перечислением, эскалацией привилегий, relaying и латеральным перемещением, отдельные разделы по облакам Azure и AWS, а также OPSEC для Cobalt Strike и методичка по перебору хешей в Hashcat.🎤 Шпаргалка #ActiveDirectory #Pentest CheatSheet / White Hat / max.ru/kind_hack
11 974
🤒 Книга «Базы данных. Инжиниринг надежности»
Эта книга – не сухая теория о базах данных, а живое руководство по тому, как сделать хранение данных по-настоящему надёжным в реальных условиях.
— Вы узнаете, как выбирать между реляционными и NoSQL-решениями, настраивать репликацию и шардирование, проводить миграции без даунтайма и автоматизировать бэкапы так, чтобы они реально восстанавливались, когда это нужно.
Отдельный блок посвящён тому, как мониторить производительность, предсказывать узкие места, расследовать сбои и внедрять культуру post-mortem, превращая каждую ошибку в урок для всей команды.🎤 Книга #IncidentManagement #Database #PostMortem / White Hat / max.ru/kind_hack
11 974
⚔️ Атака через IPv6, о котором все забыли
Mitm6 – пентест-инструмент Дирка-Яна Моллемы, который эксплуатирует то, что в Windows IPv6 включён по умолчанию, но сетью почти никто не управляет.
— Это пустующее кресло за столом переговоров, mitm6 садится в него первым, отвечает на DHCPv6-запросы и объявляет себя DNS-сервером для IPv6, который Windows предпочитает поверх IPv4.
Что умеет: — Раздавать жертвам link-local IPv6 и подменять DNS-ответы; — Спуфить WPAD для сбора учёток; — Релеить аутентификацию по LDAP и SMB вплоть до создания аккаунта в домене; — Работать точечно по фильтрам с коротким TTL, чтобы не ронять сеть.🎤 Репозиторий #NTLMrelay #ActiveDirectory #IPv6 / White Hat / max.ru/kind_hack
11 974
🤒 Книга «Эффективный разговорный ИИ. Создаем чат-ботов, которые действительно работают»
В данной книге авторы проходят весь путь создания диалогового ИИ – от идеи до продакшена.— Вы узнаете, как проектировать сценарии, которые не раздражают пользователя, как обучать модели распознавать намерения и сущности, а также как управлять сложными диалогами с ветвлениями и контекстом. Отдельные главы посвящены оценке качества, интеграции с внешними системами и типичным ошибкам, которые превращают удобный интерфейс в источник фрустрации. 🎤 Чтиво #ConversationalAI #ContextualDialogs #DigitalAssistants / White Hat / max.ru/kind_hack
11 974
🤒 Blind Eagle | APT-C-36 учится прятаться от аналитиков
Группировка APT-C-36, она же Blind Eagle, известная фишингом против финансового сектора минимум с 2018 года, впервые добавила многоуровневую антивиртуализацию и тяжёлую обфускацию, серьёзно осложнив разбор в песочницах и ручной реверс.
— Заражение стартует с письма и вложения SVG под тему колумбийского суда: внутри ссылка на Bitbucket и пароль к архиву с легитимным exe и тремя DLL.
Приём не нов по частям, но собранный вместе выводит Blind Eagle из ниши шумного фишинга в лигу групп, всерьёз затачивающихся под обход анализа.🎤 Чтиво #APT #AntiVM #DLLsideloading / White Hat / max.ru/kind_hack
11 974
☁️ HTTP Request Smuggling | Контрабанда запроса мимо фронтенда | CL.TE и TE.CL
HTTP Request Smuggling – недооценённый класс веб-атак: кажется, что за длину запроса отвечает один общий стандарт, но фронтенд-прокси и бэкенд по-разному решают, где кончается один запрос и начинается следующий.
Корень – конфликт заголовков Content-Length и Transfer-Encoding: фронтенд верит одному, бэкенд другому, и атакующий склеивает свой запрос с началом чужого.— На лабораторных PortSwigger разбирается, как возникает рассинхрон, чем различаются CL TE и TE CL, как раскрутить смаглинг до отравления кэша и перехвата чужих сессий и почему нормализация запросов на прокси закрывает дыру. 🎤 Чтиво #Websecurity #Smuggling #Appsec / White Hat / max.ru/kind_hack
11 974
🤒 Oтмычки для железа и IoT
HardwareAllTheThings – открытая шпаргалка по пентесту железа и IoT от Swissky, автора легендарного PayloadsAllTheThings.
Там, где софтовые чек-листы заканчиваются, начинается плата и эта вики продолжает: пейлоады и приёмы обхода для мира UART, SPI и JTAG, где работают не мышкой, а паяльником и логическим анализатором.
Что внутри: — Дамп прошивки по SPI через Bus Pirate и разбор образа на секреты; — Доступ к отладочным интерфейсам UART и JTAG; — Приёмы под конкретные гаджеты: Raspberry Pi, Bruschetta board, FTDI; — Обходы защит и подборки железа для домашней лаборатории.🎤 Шпаргалка #Hardware #IoT #Pentest #CheatSheet / White Hat / max.ru/kind_hack
11 974
💻 Логово Сфинкса - одно из самых активных ИБ-комьюнити во всём телеграме!
Сам Сфинкс очень умелый молодой ИБ специалист
И на своём канале он освещает такие темы, как:
— атаки на актив директори
— атаки на инфру
— обход различных средств защиты и фишинг
— C2 Фреймворки
— И много опыта из жизни и работы
Посуди сам:
🐈⬛ Дорожная карта со стажёра до мидла
🐈⬛ О важности методологии в ИБ
🐈⬛ Переиграли мошенника и угнали его акк
Так же он помогает своим подписчикам обучиться ИБ и грамотно войти в профессию не тратясь на бесполезные курсы
Подпишись чтобы стать классным спецом👍
11 974
🔸 Книга «Строим LLM с нуля»
В книге Себастьян Рашка предлагает практическое пошаговое руководство по созданию собственной языковой модели с нуля на PyTorch, начиная с основ архитектуры трансформеров, механизма внимания и токенизации.
— Мы последовательно пройдем все этапы: реализуете модель, обучите её на текстовом корпусе, настроите гиперпараметры, а затем освоите методы тонкой настройки, включая инструкционное обучение и применение для генерации текста.
Книга даёт не только теорию, но и готовый, объяснённый код, позволяя буквально собрать работающую LLM на своём компьютере и понять её внутреннее устройство до уровня байтов.🎤 Книга #PyTorch #MachineLearning #DeepLearning / White Hat / max.ru/kind_hack
