Деплой в пятницу

Давно хотел познакомиться с опенсорс проектом n8n, и тут как раз подвернулся хороший повод. Для тех, кто не в курсе: n8n - это оркестратор бэкенда с крутым визуалом. Его можно в пару кликов поднять локально и собирать пайплайны из разных операций без написания кода. За вечер собрал несколько воркфлоу вообще без единой строки кода, самый первый из них выглядел так: 1. вытащить user_id из базы данных 2. проверить, подписаны ли они на мой тг-канал 3. тем, кто не подписан, отправить сообщение с приглашением. Сами задачи не суперсложные, но с учётом отладки и тестов на том же Python я бы однозначно потратил больше времени. При этом, если нужна кастомная логика - ее всегда можно вынести в отдельный сервис или API и просто дергать его из воркфлоу. В общем, первое касание с n8n считаю положительным. P.S. если хотите попробовать, но не знаете с чего начать, чатгпт дает просто идеальные инструкции.

Подводить итоги года не буду, нужно резать салатики. Пусть все плохое останется в 25м, а все хорошее нас ждет в 26м, с наступающим! ❤️

Чуток освежил аву

Хочу поделиться мощным бесплатным курсом по веб-безопасности. Курсы такого объема и качества стоят от 100к рублей и выше (я сам чуть не купил аналог на кодебай) Все разделено на 17 разделов, в каждом есть практическая часть с лабораторками, где вы учитесь выявлять и эксплуатировать уязвимости. Единственный минус - курс на английском, но я в браузере жму правой кнопкой мыши - "перевести на русский". Смело заявляю, что встроенного перевода более чем достаточно. Сохраняем: https://portswigger.net/web-security/learning-paths

Тут мини-ctf от журнала xakep, каждый день присылают новую таску в бота @HLxXakepBot За каждое успешное решение дают ключик, говорят потом эти ключики можно будет обменять на подарки, пока не знаю какие. К сегодняшней таске дам мини-хинт: нужно сбрутить secret-key для токена, чтобы подменить роль на admin, в админке лежит флаг. Если нужен детальный разбор или инструкция - только скажите)

Продано

Я тут провожу инвентаризацию проектов, и многое хочу поотключать. Этого бота могу продать вместе с юзернеймом и полной передачей прав за символическую сумму. Если кто заинтересован, го в лс @everbots

Свежее исследование за 2025 год звучит как приговор: ваши любимые ИИ-шки выбросили в атмосферу 80 млн тонн CO2. Чтобы охлаждать свои кипящие серваки, дата-центры высосали 760 млрд литров воды. Пока мир стоит на пороге засухи, бигтехи просто сливают реки в систему охлаждения и ситуация только набирает обороты. При этом корпорации в наглую шифруются. Реальные цифры могут быть намного хуже... Мы убиваем экосистему и ускоряем глобальное потепление стахановскими темпами. Зато теперь можно сгенерировать видос с нейро-котятами и бабульками...

Чатгпт по подписке:

Чатгпт по подписке:

Знаю что поздно, но не мог не поделиться. Публикую без уведомлений, надеюсь никто не проснется Читаем 👉 https://telegra.ph/Povyshenie-privelegij-cherez-komprometaciyu-podpisi-12-17

Ну какова красота, запилил вчера вечером свой первый отчет 👾 Пока все не пофиксят фулл скинуть не могу, но думаю после праздников смогу рассказать тут все в деталях

Впервые провел аудит безопасности на коммерческой основе. Проект крупный: набор миниаппов в тг и сайт. Что удалось сделать: 1. Повысить свои привелегии до администратора проекта 2. Захватить сессию суперпользователя и получить полный контроль над всеми дочерними миниаппами 3. Загрузить рабочий эксплоит на сервера заказчика 4. Найти способ быстро положить прод В качестве пруфа отправил сообщение от лица их главного бота самому себе и наделал разных скринов с чувствительной информацией. Очень доволен собой и проделанной работой. По согласованию с заказчиком, я смогу опубликовать обзор проделанных работ, после того как они все пофиксят.

А работать в итоге некому

Мой первый райтап на таску, где эксплуатируется сразу 2 дыры в безопасности 👇 https://telegra.ph/Pervyj-rajtap-Zahvat-akkaunta--sql-injection-11-23

Все, решил 100% задач по вебу, последняя задача была самой интересной и включала в себя сразу 2 уязвимости. Готовлюсь написать первый в жизни райтап

Часто, после завершения соревнований по кибербезопасности, участники (и иногда организаторы) публикуют разборы задач. Такие разборы называются райтапы (write-up), и вот почему они для нас полезны: - с их помощью мы сможем понять, какие подходы и инструменты используются сейчас в информационной безопасности - некоторые уязвимости и особенно их эксплуатация может быть настолько хитрой, что без примера их сложно обуздать - такой обмен опытом развивает сферу безопасности: участники все опытнее и новые задачи вынуждены становиться качественнее Кстати, участники CTF соревнований описывают райтапы еще и в качестве доказательства решения, потому что некоторые задания могут быть ну очень сложными, и их решаемость у других участников может вызывать вопросики. На данный момент, я решил 96% задач по вебу с duckerz и могу опубликовать разбор пары самых интересных на мой взгляд (не говоря их названия). Делаем?

Легальный взлом, реальные уязвимости, применение эксплойтов - и все это абсолютно бесплатно в формате игры за набор очков и топ рейтинга. Я не проходил никаких тематических курсов, но любопытство и некий опыт в разработке позволили решить 80% задач по вебу. А кроме веба там еще куча разделов, я даже не знал что в кибербезе столько всего. Платформу запустила питерская CTF-команда DUCKERZ, активные участники (и часто победители) соревнований по информационной безопасности. Для меня это хороший пример того, как игроки вносят вклад в развитие индустрии. Ссылка на платформу - duckerz.ru, там же найдете их канал и чат. Сохраняйте, а лучше регайтесь и попробуйте захватить свой первый флаг 👾

Есть такое направление - CTF (Capture The Flag), в переводе «захват флага». Это игровой формат проверить свои навыки в информационной безопасности. Цель - не только найти и определить уязвимость, но и эксплуатировать ее, чтобы захватить флаг. Сам флаг - секретная строка, у нее есть строгий формат, например FLAG{тут текст флага}. Формат флага определяет организатор игр. Выглядит так: например дается сайт задания, ты там регаешься и находишь уязвимость, с помощью которой повышаешь свои привелегии до владельца ресурса и в конфигурациях видишь техническую учетку от базы данных. Подключаешься к ней и видишь таблицу s3cret, в которой одна строчка FLAG{y0u_d1d_1t} Это и есть флаг, и ты выполнил задание. В следующем посте расскажу про одну крутую CTF команду, которая развернула собственную тренировочную площадку. Все уязвимости на ней - реальные, и с некоторыми из них я сталкивался на реальных проектах.

Выходные проходят, а я так и не успел подготовить пост про уязвимости