Available now! Telegram Research 2025 — the year's key insights 
Fsecurity | HH
Open in Telegram
Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb
Show more2 018
Subscribers
No data24 hours
+27 days
-1130 days
Posts Archive
2 017
Repost from Похек
How Anthropic teams use Claude Code
#Anthropic #Claude #vibecoding #coding #dev #ai #ии
PDFка от Anthropic, где они делятся своим опытом использования Claude Code для разработки, безопасности, API и т.д. Это не читшит/гайд с промптами или как правильно, а как не правильно. В каждой теме команда приводит пример последотельности мыслей/действий и топ советов, как использовать Claude Code под конкретную задачу
Оглавление:
Claude Code for data infrastructure
Claude Code for product development
Claude Code for security engineering
Claude Code for inference
Claude Code for data science and visualization
Claude Code for API
Claude Code for growth marketing
Claude Code for product design
Claude Code for RL engineering
Claude Code for legal
🔗pdf прикреплена к посту
🌚 @poxek | 🌚 Блог | 📺 YT | 📺 RT | 📺 VK
2 017
Repost from SecuriXy.kz
+2
Проанализировали архив утечки: «Жители Казахстана 2024»
📁 Обнаружен CSV-файл с персональными данными казахстанцев, содержащий 16,3 млн строк. В таблице присутствуют следующие поля:
Фамилия, Имя, Отчество, Пол, Дата рождения, Идентификатор, ИИН, Мобильный, Рабочий, Домашний, Гражданство, Национальность, Адрес, Адрес подтвержден, Дата начала и конца проживания.
📊 Результаты анализа
📦 Общее количество записей: 16 302 107
🔐 Уникальных ИИН: 15 851 699
📱 Уникальных номеров телефонов: 16 901 555
📦 Описание архива
Размер архива: 799 МБ (сжатый .zip)
SHA256-сумма: bbfc54507c502b612e5e89aa601d8930a92732924c0db11f314e398113ccf014
Файл внутри архива: CSV-файл размером 7.03 ГБ
Дата упаковки: 2024-06-13 23:06:48 (+0500)
🧭 Предварительные выводы
В графе “адрес” часто встречаются адреса стоматологий, поликлиник, Налогового комитета, университетов и других организаций.
Это может указывать на:
массовый сбор данных через публичные/полуоткрытые API;
взломы poorly configured сервисов, возвращающих ФИО/ИНН/телефон по ID;
или ошибочные дампы из интеграционных систем.
🚨 Вывод
Утечка содержит чувствительные персональные данные, включая ИИН и контактные номера.
Она представляет риск: для фишинга, социальной инженерии, подделки документов, телефонного мошенничества.
Будьте внимательны. При возникновении подозрений на утечку собственных данных - проверьте активности в eGov, мобильных банках, налоговой и пр.
2 017
Repost from Kali Linux
🛡️ Public Pentesting Reports — архив реальных отчётов по взлому
Репозиторий на GitHub собирает более 200 публичных отчётов по тестированию на проникновение от компаний и независимых исследователей.
📂 Что внутри:
• Взлом web‑приложений, облаков, корпоративной инфраструктуры
• Настоящие кейсы от Google, Yahoo, HackerOne, NCC Group и др.
• Отчёты в формате PDF, Markdown, блоги и презентации
• Отличная база для обучения, анализа атак и построения защиты
🧠 Полезно для:
• Пентестеров и Bug Bounty‑исследователей
• Разработчиков — чтобы видеть, как реально ломают продукты
• Специалистов по безопасности — для тренингов и анализа рисков
• Всех, кто хочет углубиться в практику Offensive Security
📎 GitHub: github.com/juliocesarfort/public-pentesting-reports
@linuxkalii
2 017
Repost from Offensive Xwitter
😈 [ Elastic Security Labs @elasticseclabs ]
Dive deep into malware detection with the latest article by John Uhlmann: "Call Stacks: No More Free Passes for Malware." Discover how call stacks provide vital insights into malware behavior. Read more:
🔗 https://www.elastic.co/security-labs/call-stacks-no-more-free-passes-for-malware/
🐥 [ tweet ]
2 017
Repost from Похек
Интересное видео с демонстрацией Account Takeover через punycode
https://youtu.be/Cj1sOFHDClM
А также статья с примером, как багхантер получил баунти за такую багу
https://infosecwriteups.com/the-most-underrated-0-click-account-takeover-using-punycode-idn-attacks-c0afdb74a3dc
🌚 @poxel
2 017
Repost from 3side кибербезопасности
«Ваше лицо скомпрометировано!»
В одной из бизнес-центров, где расположен офис наших партнеров, внедрили две системы пропусков:
1. По одноразовому QR-коду
2. По биометрии, а именно лицу
И если с первой всё окей, работает как часы и вполне надежно, то со второй есть проблемы. Терминал с камерой для QR и лица - один и тот же, и лицо, как и QR, распознаются, судя по всему, одним ПО! Уже чувствуете подвох?
Для проверки QR достаточно считать пиксели и проверить одноразовый код в базе, а вот для проверки лица этого явно недостаточно. Ведь основа биометрии не секретность, как мы писали неоднократно ранее. Основа биометрии — качество проверки, умение отличить настоящее лицо от подделки!
Отличить настоящего человека от:
- Фотки на телефоне
- Распечатанного фото
- Человека в накладной маске
- Человека в тонкой (проводящей тепло) маске
И иных способов мимикрии.
Как вы понимаете, уже первую строчку терминал БЦ не прошел, бликующей фотографии лица на экране телефона оказалось достаточно, чтоб войти в БЦ. Никакой проверки на «живость» в помине нет. Притом что сотрудник уже входил и обратно не выходил. Малейший антифрод тоже отсутствовал.
Партнеры предъявили это охране, и как они отреагировали?
Заблокировали вход сотруднику по лицу, мотивировав тем, что «Ваше лицо скомпрометировано!». Видимо считая, что каждый должен ходить в парандже и приоткрывать свое секретное лицо исключительно на входе в БЦ.
Когда нам рассказали, мне было очень смешно, и я предложил в будущем сфоткать лицо начальника охраны и «скомпрометировать» и его. Интересно, какая будет реакция?
