en
Feedback
Hacking & InfoSec

Hacking & InfoSec

Closed channel

Этичный хакинг, информационная безопасность, программирование. Ссылка: @Portal_v_IT Сотрудничество: @oleginc, @tatiana_inc Канал на бирже: telega.in/c/hackinevo РКН: clck.ru/3Jb7XH

Show more
1337Network:1337Russia73 623Technologies & Applications13 503
8 772
Subscribers
-324 hours
-137 days
-5230 days

Data loading in progress...

Similar Channels
No data
Any problems? Please refresh the page or contact our support manager.
Tags Cloud
infosec84
linux14
хакер13
взлом10
строка9
scripting6
конфигурация6
хабре5
api4
cyber4
docker4
github4
ram4
домен4
конспект4
механизм4
мониторинг4
расширение4
цепочка4
чип4
Incoming and Outgoing Mentions
---
---
---
---
---
---
Attracting Subscribers
June '26
June '26
+1
in 0 channels
May '26
+1
in 0 channels
Get PRO
April '26
+5
in 1 channels
Get PRO
March '26
+8
in 0 channels
Get PRO
February '26
+3
in 0 channels
Get PRO
January '26
+1
in 0 channels
Get PRO
December '25
+2
in 0 channels
Get PRO
November '25
+4
in 0 channels
Get PRO
October '25
+1
in 0 channels
Get PRO
September '25
+3
in 0 channels
Get PRO
August '25
+2
in 0 channels
Get PRO
July '25
+1
in 0 channels
Get PRO
June '25
+24
in 0 channels
Get PRO
May '25
+5
in 0 channels
Get PRO
April '25
+22
in 0 channels
Get PRO
March '25
+14
in 0 channels
Get PRO
February '25
+10
in 0 channels
Get PRO
January '25
+8
in 0 channels
Get PRO
December '24
+9
in 1 channels
Get PRO
November '24
+2
in 0 channels
Get PRO
October '24
+5
in 1 channels
Get PRO
September '24
+3
in 1 channels
Get PRO
August '24
+6
in 0 channels
Get PRO
July '24
+28
in 0 channels
Get PRO
June '24
+28
in 0 channels
Get PRO
May '24
+25
in 0 channels
Get PRO
April '24
+30
in 0 channels
Get PRO
March '24
+18
in 1 channels
Get PRO
February '24
+22
in 0 channels
Get PRO
January '24
+39
in 0 channels
Get PRO
December '23
+37
in 0 channels
Get PRO
November '23
+57
in 0 channels
Get PRO
October '23
+41
in 0 channels
Get PRO
September '23
+72
in 0 channels
Get PRO
August '23
+32
in 0 channels
Get PRO
July '23
+19
in 0 channels
Get PRO
June '23
+27
in 0 channels
Get PRO
May '23
+19
in 0 channels
Get PRO
April '23
+22
in 0 channels
Get PRO
March '23
+21
in 0 channels
Get PRO
February '23
+32
in 0 channels
Get PRO
January '23
+42
in 0 channels
Get PRO
December '22
+31
in 0 channels
Get PRO
November '22
+38
in 0 channels
Get PRO
October '22
+38
in 0 channels
Get PRO
September '22
+215
in 0 channels
Get PRO
August '22
+1 455
in 0 channels
Get PRO
July '22
+126
in 0 channels
Get PRO
June '22
+64
in 0 channels
Get PRO
May '22
+4 046
in 0 channels
Get PRO
April '22
+908
in 0 channels
Get PRO
March '22
+13 699
in 0 channels
Get PRO
February '22
+1 146
in 0 channels
Get PRO
January '22
+3 594
in 0 channels
Date
Subscriber Growth
Mentions
Channels
17 June0
16 June0
15 June0
14 June0
13 June0
12 June0
11 June0
10 June0
09 June0
08 June+1
07 June0
06 June0
05 June0
04 June0
03 June0
02 June0
01 June0
Channel Posts
Hacking & InfoSec
Базовый курс по кибербезопасности Хороший вариант для тех, кто хочет системно закрыть фундамент: угрозы, риски, защитные меры
Базовый курс по кибербезопасности Хороший вариант для тех, кто хочет системно закрыть фундамент: угрозы, риски, защитные меры, фреймворки и реагирование на инциденты. В курсе разбирают:
— Cyber Kill Chain; — основные типы кибератак; — NIST Cybersecurity Framework; — базовые практики управления рисками; — принципы построения безопасной архитектуры; — подходы к incident response; — международные нормы кибербезопасности.
Курс длится 3,5 часа, рассчитан на начинающих и входит в Professional Certificate от Microsoft на LinkedIn Learning. Ссылка #security | Hacking & InfoSec

2
Полезный Online x86/x64 Assembler. Особенно полезный для быстрой проверки опкодов на наличие "плохих" символов (при разработк
Полезный Online x86/x64 Assembler. Особенно полезный для быстрой проверки опкодов на наличие "плохих" символов (при разработке шеллкода): https://defuse.ca/online-x86-assembler.htm #security | Hacking & InfoSec
154
3
Андрей Созыкин опубликовал новый выпуск курса по компьютерным сетям! На этот раз мы переходим к новому разделу курса, который посвящен защищенным версиям протокола DNS. Обычный DNS передает данные по сети в открытом виде. Это означает, что их можно перехватить и узнать, на какие сайты вы ходите. Кроме того, злоумышленник может изменить ответ DNS сервера и отправить вам поддельный ответ. В результата вместо IP-адреса нужного сервера вы получите IP-адрес сервера злоумышленника. Более того, злоумышленники могут взломать один из серверов в системе DNS и через него распространять злонамеренные ответы DNS.  К сожалению в DNS, в отличие от HTTP, нет единого подхода к защите. Вместо этого есть несколько вариантов защищенных протоколов: DNS over TLS, DNS over HTTPS и DNSSEC.  DNS over TLS (DoT) и DNS over HTTPS (DoH) шифруют передаваемые по сети данные DNS с помощью TLS. Это позволяет защититься от просмотра передаваемых данных и изменений ответов DNS. Но шифрование не защищает от взлома DNS-сервера и распространения поддельных записей DNS. Протокол DNS Security Extensions (DNSSEC) использует цифровую подпись для подтверждения подлинности передаваемых записей DNS. Это обеспечивает защиту от взлома DNS-серверов. Но данные по сети DNSSEC передает в открытом виде... Протоколы не исключают, а дополняют друг друга. Можно использовать DoT или DoH для шифрования передаваемых данных совместно с DNSSEC, который обеспечивает подлинность DNS-записей с помощью электронной подписи. В этой лекции мы подробно рассмотрели протоколы DNS over TLS и DNS over HTTPS. А вот по DNSSEC будет отдельная лекция. Но перед этим выйдут практики по DoT и DoH. https://youtu.be/bVdMHrQGd60 #security | Hacking & InfoSec
187
4
Если в ходе анализа веб-приложения вы обнаружили, что чувствительные данные кэшируются, обратите внимание на синтаксический а
Если в ходе анализа веб-приложения вы обнаружили, что чувствительные данные кэшируются, обратите внимание на синтаксический анализ URL-адресов для эксплуатации path traversal. ChatGPT CDN (Cloudflare) и веб-сервер, например, по-разному обрабатывали пути URL: CDN не декодировал и не нормализовал %2F (закодированный /). Веб-сервер, напротив, распознавал %2F..%2F как ../, что приводило к path traversal. Используя этот обход, злоумышленник мог запросить чувствительные API-эндпоинты, содержащие токены аутентификации: https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123 CDN видел это как обычный кэшируемый путь. Веб-сервер обрабатывал его как запрос к API /api/auth/session, содержащему токен авторизации. Токен кешировался и становился доступным злоумышленнику. Подробнее #security | Hacking & InfoSec
191
5
24 января 1964 года - инженер работает с аналоговым компьютером в General Dynamics Astronautics (крупнейшая американская комп
24 января 1964 года - инженер работает с аналоговым компьютером в General Dynamics Astronautics (крупнейшая американская компания - производитель военной и аэрокосмической техники). Судя по патч-панелям и проводам - это настройка (программирование) аналоговой вычислительной схемы: коммутационными шнурами соединяли входы и выходы блоков аналогового компьютера, чтобы создать физико-математическую симуляцию полета ракеты (ну или космического аппарата). Такая симуляция позволяла "прогнать" запуск ракеты или ее вход в атмосферу непосредственно в лаборатории - до реального испытания, без риска потерять ракету. Программирование аналогового компьютера включало разводку патч-панели, а крупные аналоговые машины соединяли сотни патч-кордов для связи компонентов. Источник (фото). #security | Hacking & InfoSec
198
6
📣 Подушка ортопедическая для сидения на стул с эффектом памяти Цена: ~1000 руб. (без скидки 4900 руб.) Доставка: бесплатная
📣 Подушка ортопедическая для сидения на стул с эффектом памяти Цена: ~1000 руб. (без скидки 4900 руб.) Доставка: бесплатная 🖱 Заказать Ортопедическая подушка La fete является отличным средством улучшения качества жизни. Она изготовлена из плотного материала пенополиуретан с эффектом памяти. Подушка поддерживает правильную позицию тела и уменьшает нагрузку на суставы. #подушка #кресло Больше полезных товаров в Находки Программиста
134
7
Подросток из Канады несколько лет скамил пользователей в сети представляясь сотрудником технической поддержки Coinbase, Trezo
Подросток из Канады несколько лет скамил пользователей в сети представляясь сотрудником технической поддержки Coinbase, Trezor и Google. Используя методы социальной инженерии он получал доступ к аккаунтам своих жертв и выводил все имеющиеся средства. В общей сложности он сумел вывести и отмыть более 13 млн. баксов. Юный Трентон Джонстон, которому недавно исполнилось 20 лет, признал себя виновным в кибермошенничестве и отмывании денег. Его поймали в марте этого года в США, когда полиция остановила его автомобиль для проверки документов. Выяснилось, что у нашего героя была просрочена виза, а при осмотре автомобиля в багажнике нашли запрещенные вещества... В конечном итоге Трентона задержали и забрали у него телефон и ноутбук, которые при осмотре спецслужбами связали его с мошенничеством. Все деньги Трентон тратил на роскошную жизнь в Майами и Лос-Анджелесе. Среди его трат были машины Lamborghini Aventador, два BMW, ювелирные украшения, путешествия на частных самолетах #security | Hacking & InfoSec
222
8
Слушай, а ловко ты это придумал... Разработчики вредоносного ПО зашили в код малвари своеобразные промты, которые требуют от
Слушай, а ловко ты это придумал... Разработчики вредоносного ПО зашили в код малвари своеобразные промты, которые требуют от LLM написать рецепт биологического оружия (подробнее на втором скриншоте). Соль состоит в том, что такие промты вызывают сбой ИИ-сканеров безопасности - это позволяет атакующим успешно проводить атаку. К слову, данный промт был замечен при атаке на цепочку поставок с помощью Mini Shai-Hulud, получивших названия Miasma и Hades. Более подробно по ссылке ниже: https://socket.dev/ #security | Hacking & InfoSec
239
9
Хорошая статья про процессы в Linux! Понимание того, как процессы создаются, живут, взаимодействуют с ядром и завершаются - э
Хорошая статья про процессы в Linux! Понимание того, как процессы создаются, живут, взаимодействуют с ядром и завершаются - это база для понимания и диагностики Linux-систем. Цель этого материала - рассказать кратко и простым языком всю нужную информацию как для начинающих, так и для опытных пользователей и админов, чтобы освежить знания. Отмечу, что это 4-я часть небольшого курса по изучению Linux для DevOps-специалистов. В будущем автор планирует опубликовать еще 7 статей и разобрать следующие темы: сеть, логи и мониторинг, hardening и безопасность, пакеты и обновления, скриптинг и автоматизация, криптография и сертификаты, контейнеры (Linux-уровень)! Все 4 части можно изучить по ссылке ниже. Что касается всего "курса", то я опубликую информацию в канале, когда материал будет готов полностью. https://opensophy.com/article/linux/linux-processes/ #security | Hacking & InfoSec
234
10
А помните новость, когда взломали Instagram* аккаунт 44 президента США Барака Обамы? Тут bleepingcomputer пишет, что в общей
А помните новость, когда взломали Instagram* аккаунт 44 президента США Барака Обамы? Тут bleepingcomputer пишет, что в общей сложности атакующие смогли взломать более 20.000 аккаунтов! Напомню, что для получения доступа к аккаунту нужно было только написать в техническую поддержку и попросить ИИ отправить ссылку для восстановления пароля на свой адрес электронной почты. Некоторые умельцы даже автоматизировали процесс и создали Telegram-бота, который сам направлял нужные промты в поддержку инсты* и восстанавливал пароли. Помимо автоматизации умельцы создали чекер редких имен, который отслеживал свап юзернеймов от одного аккаунта к другому! Редкие имена продавались за тысячи и сотни тысяч баксов... После того как об ошибке узнали в Meta*, ИИ поддержка была отключена, а взломанные аккаунты перевели на обязательную проверку и смену пароля. Вот до чего довело увольнение сотрудников технической поддержки и внедрение ИИ в качестве замены. https://www.bleepingcomputer.com/news/ #security | Hacking & InfoSec
236
11
Нейросети уже заменяют целые контент-команды. Но пока этим пользуются не все. Пока одни тратят недели на дизайнеров, копирайтеров и съемки — другие делают продающий контент через нейросети за пару часов. А бизнес платит за это десятки тысяч, даже без опыта. Сегодня с ИИ за вечер можно сделать: — стильные рекламные визуалы — продающие тексты — персонажей и маскотов — контент для соцсетей и карточек товаров Освоить базовый навык можно за 3 для без сложных программ. На бесплатном мини-курсе вам покажут, как работать с ИИ так, чтобы получать качественный контент, который можно использовать для себя или продавать клиентам. 👉 Пока многие только смотрят ИИ-контент — вы можете начать его создавать. Переходите по ссылке и забирайте бесплатный доступ. Реклама. Информация о рекламодателе по ссылкам в посте.
180
12
Нашел хороший ресурс, который содержит интерактивные лабы для начинающих DevOps инженеров. Все задания были составлены и пров
Нашел хороший ресурс, который содержит интерактивные лабы для начинающих DevOps инженеров. Все задания были составлены и проверены экспертами, которые имеют огромный опыт в различных направлениях. На данный момент доступно 37 лаб (скоро будет еще 5). Можно отслеживать свой прогресс и получать ачивки. https://devops-daily.com/games #security | Hacking & InfoSec
206
13
Race Condition / TOCTOU — шпаргалка TOCTOU (Time of Check to Time of Use) — класс уязвимостей, при котором между проверкой об
Race Condition / TOCTOU — шпаргалка TOCTOU (Time of Check to Time of Use) — класс уязвимостей, при котором между проверкой объекта и последующим действием появляется временное окно для атаки. Классический пример: // Проверка if (access("/tmp/file", W_OK) == 0) { // Использование fp = fopen("/tmp/file", "w"); } Если объект успеет измениться между access() и fopen(), программа может работать уже не с тем файлом, который проверяла изначально. Где встречается: — файловые операции; — временные файлы; — симлинки; — проверки прав доступа; — многопоточные приложения; — сервисы с привилегированными процессами. #security | Hacking & InfoSec
207
14
9 лет аптайма: один из пользователей Reddit опубликовал пост, в котором рассказал о работе своей Raspberry Pi 3B! Малинка раб
9 лет аптайма: один из пользователей Reddit опубликовал пост, в котором рассказал о работе своей Raspberry Pi 3B! Малинка работает без перезагрузок и сбоев уже более 9 лет (3287 дней), а используется для стриминга аудиопотока в Broadcastify (трансляция и прослушивание радиопереговоров в реальном времени). Еще немного и будет юбилей =) https://www.reddit.com/r/raspberry_pi/9_years_uptime/ #security | Hacking & InfoSec
248
15
Nightmare Eclipse: исследователь, который держит Microsoft в тонусе С апреля 2026 анонимный исследователь Nightmare Eclipse,
Nightmare Eclipse: исследователь, который держит Microsoft в тонусе С апреля 2026 анонимный исследователь Nightmare Eclipse, также известный как Chaotic Eclipse, публикует PoC для уязвимостей Windows почти сразу после Patch Tuesday. Часть багов уже получила CVE, а несколько уязвимостей попали в каталог CISA KEV из-за эксплуатации in the wild. Паттерн: Microsoft закрывает одни дыры — через несколько часов или дней появляется новый PoC. Это уже не обычный ресерч, а затяжной конфликт между вендором и исследователем, где крайними становятся пользователи Windows. Даже встроенные защитные компоненты вроде Defender сами остаются частью attack surface. А публичный PoC без coordinated disclosure быстро превращает уязвимость из «интересной находки» в реальный риск для инфраструктуры. Герой, нарушитель или симптом проблемы в индустрии — решайте сами. Источник #security | Hacking & InfoSec
252
16
Инструмент для сложных blind SQLi BBQSQL — фреймворк для эксплуатации blind SQL-инъекций, когда данные приходится извлекать п
Инструмент для сложных blind SQLi BBQSQL — фреймворк для эксплуатации blind SQL-инъекций, когда данные приходится извлекать по косвенным признакам: времени ответа, размеру страницы, коду ответа и другим изменениям в приложении. Что умеет: — time-based и boolean-based SQLi; — поддержка разных СУБД; — настройка собственных шаблонов инъекций; — параллельное выполнение запросов для ускорения извлечения данных; — работа через прокси, куки, заголовки и авторизацию; — кастомные Python-хуки для нестандартных сценариев. Особенно полезен в ситуациях, когда sqlmap не справляется и требуется гибко адаптировать логику эксплуатации под конкретную уязвимость. Ссылка на GitHub #security | Hacking & InfoSec
253
17
ИИ больше не про хобби — он становится обязательным навыком, чтобы оставаться востребованным на рынке труда. По оценкам экспертов, в ближайшее время до 80% вакансий будут требовать умения работать с нейросетями: — генерировать визуал, видео, тексты для любых ниш; — создавать реалистичный ИИ-контент; — автоматизировать рутину. Хорошие новости — освоить базовый минимум в создании контента с помощью ИИ можно всего за 3 дня. Вы сделаете ИИ своим рабочим инструментом и сократите рабочее время без потери качества. Переходите по ссылке и получайте персональный доступ к урокам и бонусным материалам. Реклама. Информация о рекламодателе по ссылкам в посте.
183
18
А ведь и правда, зачем вообще нужен смартфон, на который нельзя установить самый "безопасный" в мире мессенджер? Источник [1]
А ведь и правда, зачем вообще нужен смартфон, на который нельзя установить самый "безопасный" в мире мессенджер? Источник [1], [2]. #security | Hacking & InfoSec
267
19
Как обычный саундбар превратили в инструмент для взлома ПК Исследователь изучал прошивку Creative Sound Blaster Katana V2X, а
Как обычный саундбар превратили в инструмент для взлома ПК Исследователь изучал прошивку Creative Sound Blaster Katana V2X, а в итоге обнаружил цепочку уязвимостей, позволяющую удалённо перепрошить устройство по Bluetooth без сопряжения. После модификации прошивки саундбар мог: — выполнять роль HID-клавиатуры; — автоматически вводить команды на подключённом компьютере; — фактически работать как беспроводной Rubber Ducky. Атака не требовала физического доступа к ПК или самому устройству. статье: реверс прошивки, анализ BLE-протокола, обход механизмов защиты и создание собственного payload для устройства. #security | Hacking & InfoSec
278
20
Эксплуатация race condition с помощью Turbo Intruder: гайд для начинающего этичного хакера Уязвимости race condition часто вс
Эксплуатация race condition с помощью Turbo Intruder: гайд для начинающего этичного хакера Уязвимости race condition часто встречаются в веб-приложениях и приносят достойные вознаграждения в рамках багбаунти. Под катом вас ждет гайд по эксплуатации данного бага на примере Vulnerable PHP App (Race Condition). Читать #security | Hacking & InfoSec
273
View all posts