Уже доступно! Исследование Telegram 2025 — ключевые инсайты года 
Codeby
Открыть в Telegram
Блог сообщества Кодебай Чат: @codeby_one Форум: codeby.net Обучение: codeby.academy CTF: hackerlab.pro VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Реклама: @Savchenkova_Valentina
Больше📈 Аналитический обзор Telegram-канала Codeby
Канал Codeby (@codeby_sec) языкового сегмента Русский является активным участником. Сейчас сообщество объединяет 36 579 подписчиков, занимая 3 750 место в категории Технологии и приложения и 17 801 место в регионе Россия.
📊 Показатели аудитории и динамика
С момента создания невідомо проект демонстрирует стремительный рост, собрав аудиторию из 36 579 подписчиков.
Согласно последним данным от 09 июня, 2026, канал показывает стабильную активность. За последние 30 дней изменение числа участников составило 199, а за последние 24 часа — 2, при этом общий охват остаётся высоким.
- Статус верификации: Не верифицирован
- Уровень вовлечённости (ER): Средний показатель вовлечённости аудитории составляет 7.71%. В первые 24 часа после публикации контент обычно набирает 4.19% реакций от общего числа подписчиков.
- Охват публикаций: В среднем каждый пост получает 2 819 просмотров. В течение первых суток публикация набирает 1 534 просмотров.
- Реакции и взаимодействия: Аудитория активно поддерживает контент: среднее количество реакций на один пост — 19.
- Тематические интересы: Контент сосредоточен на ключевых темах, таких как edr, api, вектор, mitre, att&ck.
📝 Описание и контентная политика
Автор описывает ресурс как площадку для выражения субъективного мнения:
“Блог сообщества Кодебай
Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.academy
CTF: hackerlab.pro
VK: vk.com/codeby
YT: clck.ru/XG99c
Сотрудничество: @KinWiz
Реклама: @Savchenkova_Valentina”
Благодаря высокой частоте обновлений (последние данные получены 10 июня, 2026) канал поддерживает актуальность и высокий уровень охвата публикаций. Аналитика показывает, что аудитория активно взаимодействует с контентом, что делает его важной точкой влияния в категории Технологии и приложения.
36 579
Подписчики
+224 часа
+87 дней
+19930 день
Архив постов
36 583
☄️ Масштабная атака через Google Play: 60+ млн загрузок вредоносных приложений
Исследователи обнаружили 331 поддельное приложение в Google Play, которые под видом полезных программ показывали навязчивую рекламу, блокировали устройства и ворвали данные.
Что известно:
✅ Кампания Vapor действует с 2024 года, маскируясь под фитнес-приложения и утилиты
✅ 60+ миллионов загрузок — злоумышленники зарабатывали на агрессивной рекламе
✅ Вредоносный код добавляли через обновления, обходя проверки Google
✅ Некоторые приложения крали данные карт через фишинговые страницы
Советы для пользователей:
▪️ Проверяйте отзывы и рейтинги перед установкой
▪️ Отключайте автозапуск рекламы в настройках
▪️ Удалите подозрительные приложения
Google уже удалил зараженные программы, но угроза может вернуться в новых оболочках.
📍 Подробности атаки в новой статье
36 583
Repost from Codeby One — пентест глазами исполнителя
Вы получили письмо от банка с просьбой срочно подтвердить данные? Или сообщение от друга с подозрительной ссылкой? Это может быть фишинг — опасная схема мошенничества, на которую ежедневно попадают тысячи людей.
В новой статье — всё, что нужно знать о фишинге в 2025 году:
✅ Что такое фишинг простыми словами — как работают схемы обмана
✅ 7 главных видов фишинга (почтовый, звонки, соцсети, смс и другие) + реальные примеры
✅ Как распознать подделку — 10 явных признаков мошенничества
✅ Чем опасен фишинг для бизнеса — утечки данных, миллионные убытки и репутационные риски
✅ Что делать, если вас взломали — пошаговый план действий
✅ Как защититься — проверенные методы и инструменты
Важно: Фишинговые атаки становятся всё изощрённее — мошенники используют нейросети, поддельные сайты-двойники и даже звонки с "робоголосами".
🔴 Читать полное руководство
36 583
Разгадай загадку безопасности с Bully
🫠 Bully — это специализированный инструмент для атаки на WPS PIN, который ориентирован на устранение проблем совместимости с маршрутизаторами и повышения надежности проверки. Давайте исследуем его возможности шаг за шагом, как кусочки головоломки.😈 Первый шаг: Разведка Прежде чем начать атаку, важно понять, с чем мы работаем. Для этого можно использовать утилиту
iwconfig для идентификации доступных интерфейсов. Выполните команду:
iwconfigwlan0).
😈 Второй шаг: Выбор цели
Далее с помощью утилиты airodump-ng определяем, какие сети поддерживают WPS:
airodump-ng wlan0WPS. Это наши цели. Запишите BSSID и канал (CH) интересующей сети.
😈 Третий шаг: Настройка Bully
Теперь мы готовы запустить Bully. Для атаки на конкретный BSSID используется следующая команда:
bully -b <BSSID> -c <канал> -v wlan0
bully -b 11:22:33:44:55:66 -c 6 -v wlan0-b — указывает BSSID цели.
- -c — канал сети.
- -v — включает подробный вывод для мониторинга процесса.
Разбираем загадку атаки
Bully использует уязвимость WPS PIN, перебирая возможные комбинации PIN-кодов. Он автоматически обрабатывает ошибки, такие как тайм-ауты или повторные запросы, что делает его эффективным инструментом для таких атак.36 583
📣 БЕСПЛАТНЫЙ ВЕБИНАР: "Хакерский планшет — Kali Linux в вашем кармане"
Обычный планшет или смартфон можно превратить в мощный инструмент для пентеста! Покажем, как развернуть Kali Linux/Nethunter и использовать его для реальных задач.
Ждем вас 14 апреля в 19:00 (МСК)
🔴Зарегистрироваться
Что будет на вебинаре?
🔸 Сборка хакерского планшета — выбор железа и прошивки
🔸 Wi-Fi-атаки (Aircrack-ng, Evil Twin)
🔸 Перехват трафика (MITM, Wireshark)
🔸 Скрытность и анонимность (TOR, VPN, анти-обнаружение)
🔸 Разбор реальных кейсов
Бонусы для участников:
✅ Запись вебинара
✅ Чек-лист "Must-have инструменты для мобильного пентеста"
✅ Специальный подарок для всех зрителей!
Спикер: Андрей Бирюков
🌟 CISSP, 15+ лет в ИБ
🌟 Руководитель защиты АСУ ТП
🌟 Автор 4 книг и 200+ статей по кибербезопасности
Не пропустите! 😎 Регистрация здесь.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
36 583
А вы знали что...
🔸85% мобильных приложений содержат критические уязвимости (отчет OWASP 2024)
🔸Каждое 3-е приложение в Google Play имеет уязвимости, связанные с хранением данных (исследование Positive Technologies).
🔸Хакерские атаки на Android выросли на 50% за последние 2 года (данные Kaspersky Lab).
Знание этих рисков – первый шаг к безопасности. Второй – освоить инструменты, которые помогут их устранить. Стартуем 21 апреля! 👩💻
🔴Записаться
Рассмотрим устройство приложений под ОС Android, этапы создания мобильного приложения, приемы реверса и изменения кода. Подробно изучим поиск и эксплуатацию уязвимостей.
Курс создан для:
🌟 Сотрудников подразделений ИБ для повышения квалификации, новичков в сфере анализа мобильных приложений, реверс-инженеров для повышения квалификации в области мобильных приложений
🚀 По всем вопросам пишите @Codeby_Academy
36 583
💻💻💻 HackBrowserData — инструмент командной строки, написанный на Go, для расшифровки и экспорта паролей, истории, cookie, закладок, кредитных карт, истории загрузок, localStorage и расширений из браузера. Поддерживает самые популярные браузеры на рынке и работает на Windows, macOS и Linux.
😡 Поддерживаемые браузеры
⏺️ Windows: Google Chrome, Google Chrome Beta, Chromium, Microsoft Edge, 360 Speed, QQ, Brave, Opera, OperaGX, Vivaldi, Yandex, CocCoc, Firefox, Firefox Beta, Firefox Dev, Firefox ESR, Firefox Nightly;
⏺️ Linux: Google Chrome, Google Chrome Beta, Chromium, Microsoft Edge Dev, Brave, Opera, Vivaldi, Firefox, Firefox Beta, Firefox Dev, Firefox ESR, Firefox Nightly;
⏺️ MacOS: Google Chrome, Google Chrome Beta, Chromium, Microsoft Edge, Brave, Opera, OperaGX, Vivaldi, CocCoc, Yandex, Arc, Firefox, Firefox Beta, Firefox Dev, Firefox ESR, Firefox Nightly.
💻 Установка
Из исходного кода:
git clone https://github.com/moonD4rk/HackBrowserData
cd HackBrowserData/cmd/hack-browser-data
go build.\hack-browser-data.exe -b all -f json --dir results --zip.\hack-browser-data.exe -b chrome -p "C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default"36 583
Как мы отбивались от DDoS-атак и другой хакерской нечисти
Когда мой товарищ запустил блог на WordPress и форум на XenForo, он даже не подозревал, сколько "внимания" привлекут его ресурсы. Конкуренты и просто злоумышленники начали атаковать сайт: SQL-инъекции, брутфорс, DDoS — всё по полной программе.В этой заметке — практические шаги, которые помогли нам отбиться от атак: 🔸 Жесткая настройка WordPress (отключение лишних функций, блокировка wp-login.php) 🔸 Фильтрация трафика через Cloudflare (правила для защиты от ботов и сканеров) 🔸 Блокировка прямых IP-подключений (чтобы не завалили сервер запросами) 🔸 Быстрое обнаружение и блокировка злоумышленников (UFW + анализ логов) А ещё — личный опыт с разными CDN (включая StormWall) и советы, как не дать хакерам ни единого шанса. 🔴 Читать полную версию
36 583
Есть повод встретиться и обсудить кибербезопасность ☄️
Собираемся 29 апреля в 19:00 на Avito Security meetup!
Место встречи: офис Авито (но можно и подключиться онлайн). Со своими докладами выступят сотрудники команд кибербезопасности, Application Security, LLM-core и SOC в Авито:
➡️Что делать с сотнями задач на исправление одинаковых уязвимостей;
➡️Как снять часть рутинной нагрузки при помощи LLM;
➡️Почему корпоративный WiFi – это большая брешь в защите, и как строить аутентификацию по сертификатам.
Кажется, ничего не забыли… Кроме ссылки на регистрацию.
36 583
dnsx - быстрый и универсальный набор инструментов DNS, предназначенный для запуска различных проверок с помощью библиотеки retryabledns. Он поддерживает запросы A, AAAA, CNAME, PTR, NS, MX, TXT, SRV, SOA, пользовательские резолверы, фильтрацию DNS по шаблонам, например shuffledns, и т. д.
Для успешной установки требуется go1.21. Для установки последней версии выполните следующую команду:
go install -v github.com/projectdiscovery/dnsx/cmd/dnsx@latest
☄️ Примеры использования:
Вывод А записей для заданного списка поддоменов:
subfinder -silent -d hackerone.com | dnsx -silent -a -respsubfinder -silent -d hackerone.com | dnsx -silent -rcode noerror,servfail,refusedecho 173.0.84.0/24 | dnsx -silent -resp-only -ptrdnsx -silent -d domains.txt -w jira,grafana,jenkinsdnsx -d google.FUZZ -w tld.txt -resp36 583
Аналитики Silent Push обнаружили новую фишинговую кампанию, использующую атаку Browser-in-the-Browser и нацеленную на игроков в Counter-Strike 2. Эти атаки включают в себя поддельные, но реалистично выглядящие всплывающие окна браузера, которые служат убедительной приманкой, чтобы заставить жертв войти в систему.
🎯 Цель кампании — заставить пользователя чувствовать себя в безопасности, полагая, что всплывающие окна являются частью реальных сайтов. Как только потенциальная жертва пытается войти на поддельный портал Steam (который открывается в "новом браузере"), злоумышленник крадет учетные данные и, вероятно, пытается завладеть учетной записью для последующей перепродажи. Наряду с попытками скомпрометировать учётные записи игроков в Steam, часть тактики кампании также включает использование названий профессиональной киберспортивной команды Navi для повышения доверия пользователей.
🚨 В ходе атаки на видном месте фишингового сайта отображается URL-адрес реального ресурса (в данном случае Steam), что заставляет пользователя поверить, что это настоящее всплывающее окно для входа в систему. Злоумышленник, стоящий за этим, также пытается распространить свою фишинговую схему на YouTube.
💡 Данный тип атак был изучен изучен исследователями и некоторые из них даже опубликовали пример с открытым исходным кодом.
Атаки BitB наиболее убедительны для пользователей настольных компьютеров, так как всплывающие окна рассчитаны на просмотр в более высоком разрешении.
❗️Рекомендации:
⏺️Специалисты рекомендуют пользователям обращать внимание на поддельные URL-адреса во всплывающих окнах для входа в систему;
⏺️Если вы видите URL-адрес, всегда старайтесь перетащить это окно за пределы браузера, в котором находитесь. Это лучший способ легко убедиться, что всплывающее окно настоящее и, следовательно, URL-адрес в строке будет корректно отображать URL-адрес всплывающего окна.
36 583
🚩 HackerLab — 1 место в квалификации Standoff 15!
По итогам квалификационного этапа крупнейших киберучений Standoff 15, команда Hackerlab заняла первое место! За этим результатом — мощная связка: практикующие пентестеры компании Кодебай и разработчики заданий HackerLab.
Для команды это был дебют, и мы гордимся тем, что смогли сразу продемонстрировать высокий результат на уровне сильнейших участников.
➡️ Scoreboard
Впереди — финал Standoff 15. Не расслабляемся и двигаемся дальше!
36 583
interactsh
Инструмент с открытым исходным кодом предназначенный для обнаружения Out-of-Band уязвимостей. Interactsh генерирует динамические URL-адреса, которые при запросе целевой системой инициируют обратный вызов на сервер. Эти вызовы можно отслеживать и анализировать для выявления потенциальных проблем безопасности.
👀 Компоненты:
🌟interactsh-client — генерирует уникальные URL-адреса и выполняет опрос для получения данных о взаимодействиях. Установка:
go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-client@latest
🌟interactsh-server — сервер, который фиксирует обратные вызовы от сгенерированных URL-адресов. Публичные серверы доступны по умолчанию (oast.pro и др.), но для стабильной работы рекомендуется использовать собственный сервер. Установка: go install -v github.com/projectdiscovery/interactsh/cmd/interactsh-server@latest
🌟Interactsh-web — бесплатный веб-клиент с открытым исходным кодом, который отображает взаимодействия на удобной панели управления в браузере. Он использует локальное хранилище браузера для хранения и отображения всех входящих взаимодействий.
💥 Характеристики:
⏺️Обеспечивает взаимодействие с DNS/HTTP(S)/SMTP(S)/LDAP и др. протоколами;
⏺️Отображает взаимодействия с полезными нагрузками в реальном времени;
⏺️Интегрируется с OWASP ZAP, Burp;
⏺️Поддерживает фильтрацию, сопоставление и настройку вывода данных.
Примеры использования:
1️⃣ Базовый запуск: interactsh-client. Генерирует один URL и начинает опрос взаимодействий с интервалом 5 секунд.
2️⃣ Использование защищенного автономного сервера: interactsh-client -server hackwithautomation.com -token XXX.
3️⃣ С помощью флага -sf можно сохранять/считывать информацию о текущем сеансе из пользовательского файла, что полезно для возобновления того же сеанса для опроса взаимодействий даже после остановки или закрытия клиента: interactsh-client -sf interact.session.
Для работы требуется получить бесплатный API ключ, зарегистрировавшись на https://cloud.projectdiscovery.io. После этого передаем API ключ в интерактивном режиме: interactsh-client -auth.36 583
+6
🌩 Как хакеры взламывают облака: от открытых S3 до взломанных Kubernetes
Облачные сервисы — удобно, но опасно. Каждый день хакеры находят открытые базы данных, крадут ключи API и получают полный контроль над Kubernetes. Подробнее в карточках.
36 583
🚩 Новые задания на платформе HackerLab!
🔑 Категория Криптография — Напиши мне
🔎 Категория OSINT — Это легально?
Приятного хакинга!
36 583
Скрытые профили, поддомены, старые коммиты — как найти то, что спрятано?
В новой статье из цикла "ШХ" разбираем три мощных инструмента для сбора информации:
1⃣ Amass — ищем поддомены и точки входа (пассивно/активно).
2⃣ youtube-handles-fuzz — проверяем YouTube-каналы по имени.
3⃣ OSGINT — вытягиваем данные GitHub-профилей (репы, PGP, почты).
Зачем это нужно?
🔸Анализ инфраструктуры сайта.
🔸Поиск целевых аккаунтов.
🔸Проверка цифрового следа.
✅Все методы — на основе открытых данных.
🔴 Читайте статью и пробуйте инструменты
🔴 Прокачайте скиллы по OSINT. Подробности здесь
36 583
Друзья, напоминаем, на каких курсах начинается обучение в апреле ⤵️
Запись до конца дня:
🌟 Курс «Python для Пентестера» — освоим парсинг, фаззинг, аргументы командной строки и другие инструменты.
🌟 Курс «Профессия пентестер» — изучаем инструменты: сканеры, Bash-скрипты, пентест AD.
Запись до 13 апреля:
🌟Курс «Тестирование Веб-приложений на проникновение» — изучаем пассивный и активный фаззинг, фингерпринт, уязвимости, пост-эксплуатацию и другие техники.
Старт 7 апреля:
🌟Курс «Основы программирования на Python» — овладеем самым популярным ЯП за 2 месяца.
Старт 14 апреля:
🌟Курс «Django - разработка веб-приложений» — разработаем с нуля сайты на Django, сверстаем интерфейсы, и создадим интеграцию с бэкендом приложения.
Старт 17 апреля:
🌟Курс «Специалист центра мониторинга инцидентов информационной безопасности (SOC)» — рассмотрим тему администрирования средств защиты информации.
Старт 21 апреля:
🌟Курс «Устройства для тестирования на проникновение» — изучим различные типы микроконтроллеров и микрокомпьютеров.
🌟Курс «Анализ защищенности приложений Андроид» — изучим этапы создания мобильного приложения, приемы реверса и изменения кода и рассмотрим возможные уязвимости.
🌟Курс «Git. Система контроля версий» — освоим продвинутую работу с системой контроля версий Git.
🔔 Запишитесь у нашего менеджера @Codeby_Academy 🚀 или узнайте подробности на сайте!
36 583
📎 httpx — быстрый и универсальный набор инструментов для работы с HTTP, созданный для поддержки запуска разных запросов с использованием общедоступной библиотеки. Запросы — это специальные тесты или проверки для сбора информации о веб-серверах, URL-адресах или других элементах HTTP. Используется для эффективного выявления и анализа конфигураций веб-серверов, проверки HTTP-ответов и диагностики потенциальных уязвимостей или неправильных настроек.
💻 Для успешной установки требуется go1.21. Установка:
go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest. Другой вариант:
git clone https://github.com/projectdiscovery/httpx.git; \
cd httpx/cmd/httpx; \
go build; \
mv httpx /usr/local/bin/; \
httpx -version;httpx -l urls.txt -path /v1/api -scЗапуск httpx с флагом -probe для всех доменов в файле hosts.txt, чтобы получить URL-адреса с проверенным статусом:
httpx -list hosts.txt -silent -probesubfinder -d hackerone.com -silent| httpx -title -tech-detect -status-code36 583
▶️ Друзья, уже через час стартует бесплатный вебинар по пентесту веба, где мы разберем:
🔸 Поиск уязвимостей через фаззинг
🔸 Реальные SQL- и командные инъекции (с выводом RCE)
🔸 Эскалация привилегий после взлома
🔸 Разбор похожих задач из курсов WAPT и SQLiM
Вы еще успеваете присоединиться!
Через час — взломаем веб как профессионалы. 🔴 Регистрируйтесь здесь и получите ссылку на эфир в ответном письме.
🚀 По всем вопросам пишите @Codeby_Academy
36 583
«СёрчИнформ» приглашает ИБ-руководителей на закрытую межотраслевую конференцию.
24 апреля в Москве более 300 директоров по безопасности крупнейших финансовых, промышленных, нефтегазовых компаний, организаций из ритейла, строительной и транспортной отрасли соберутся на конференции «Про ИБ без воды: Практика. Тренды. Решения».
👉 В программе мероприятия 10 часов обмена опытом с профессионалами по информационной безопасности! Нетворкинг за ужином и тет-а-тет с регуляторами прилагаются.
Участие бесплатное, но по приглашению! Посмотреть программу, выбрать отрасль и отправить заявку на участие можно по ссылке.
36 583
🔗 URLFinder — высокоскоростной инструмент для пассивного сбора URL-адресов, оптимизированный для эффективного поиска веб-ресурсов без активного сканирования.
Имеет тщательно подобранные пассивные источники для максимально полного обнаружения URL-адресов, поддерживает несколько выходных форматов (JSON, file, стандартный вывод), поддержка STDIN/ OUT для легкой интеграции в существующие рабочие процессы.
💻 Установка возможна одной командой
go install -v github.com/projectdiscovery/urlfinder/cmd/urlfinder@latest
🖥 Примеры использования:
🌟 Базовое использование для перечисления URL-адреса целевого домена codeby.net:
urlfinder -d codeby.neturlfinder -d codeby.net -m threads,hackurlfinder -d codeby.net -f nothack