Life-Hack - Хакер
Сообщество по информационной безопасности (кибербезопасности). Статьи, гайды, обучения, рекомендации, обзоры, новости, подборки полезного софта! #linux #pentest #hack @LifeHackmedia РКН: https://clck.ru/3GLmbM Связь - @adm1nLH
Больше📈 Аналитический обзор Telegram-канала Life-Hack - Хакер
Канал Life-Hack - Хакер (@haccking) языкового сегмента Русский является активным участником. Сейчас сообщество объединяет 63 306 подписчиков, занимая 2 066 место в категории Технологии и приложения и 9 561 место в регионе Россия.
📊 Показатели аудитории и динамика
С момента создания невідомо проект демонстрирует стремительный рост, собрав аудиторию из 63 306 подписчиков.
Согласно последним данным от 08 июля, 2026, канал показывает стабильную активность. За последние 30 дней изменение числа участников составило -30, а за последние 24 часа — -1, при этом общий охват остаётся высоким.
- Статус верификации: Не верифицирован
- Уровень вовлечённости (ER): Средний показатель вовлечённости аудитории составляет 7.53%. В первые 24 часа после публикации контент обычно набирает 4.19% реакций от общего числа подписчиков.
- Охват публикаций: В среднем каждый пост получает 4 769 просмотров. В течение первых суток публикация набирает 2 652 просмотров.
- Реакции и взаимодействия: Аудитория активно поддерживает контент: среднее количество реакций на один пост — 17.
- Тематические интересы: Контент сосредоточен на ключевых темах, таких как osint, github, linux, bugbounty, обнаружение.
📝 Описание и контентная политика
Автор описывает ресурс как площадку для выражения субъективного мнения:
“Сообщество по информационной безопасности (кибербезопасности).
Статьи, гайды, обучения, рекомендации, обзоры, новости, подборки полезного софта!
#linux #pentest #hack
@LifeHackmedia
РКН: https://clck.ru/3GLmbM
Связь - @adm1nLH”
Благодаря высокой частоте обновлений (последние данные получены 09 июля, 2026) канал поддерживает актуальность и высокий уровень охвата публикаций. Аналитика показывает, что аудитория активно взаимодействует с контентом, что делает его важной точкой влияния в категории Технологии и приложения.
Загрузка данных...
| Дата | Привлечение подписчиков | Упоминания | Каналы | |
| 09 июля | +7 | |||
| 08 июля | +10 | |||
| 07 июля | +17 | |||
| 06 июля | +14 | |||
| 05 июля | +13 | |||
| 04 июля | +8 | |||
| 03 июля | +10 | |||
| 02 июля | +19 | |||
| 01 июля | +7 |
| 2 | Из CTF в багбаунти: как я заработал 7 миллионов рублей за полтора месяца и причем тут ИИ
#статья #ai
Пока одни специалисты спорят в комментариях, способны ли нейросети эффективно искать уязвимости, я решил проверить это на практике. На связи Nuit, мне 18 лет, я учусь и в этом году сдаю ЕГЭ и планирую двигаться дальше в ИБ. Параллельно с этим увлекаюсь багбаунти. За последние полтора месяца мне удалось заработать более 7 миллионов рублей на поиске уязвимостей. Ниже я расскажу о своем пути: как я выгорел в CTF и начал багхантить, как использую нейросети для поиска уязвимостей – а еще разберу кейс, который принес мне полтора миллиона рублей.
Ссылка на статью
LH | News | OSINT | AI | 2 602 |
| 3 | 🤖 ИИ врёт в проде
А ещё может ломать процессы, уводить данные не туда и уверенно предлагать неверные решения.
⭐Слёрм запускает БЕСПЛАТНУЮ вечернюю школу «ИИ для инженеров: польза и риски».
Это серия онлайн-занятий о том, как использовать ИИ в инженерной работе осознанно, безопасно и с понятной пользой.
🧩 Будем разбирать реальные инженерные сценарии:
— как ИИ помогает DevOps-, SRE- и infrastructure-командам
— как использовать LLM для алёртов, инцидентов, логов, тикетов и документации
— где ИИ реально экономит время, а где создаёт новые риски
— как проверять результат модели и не ловить галлюцинации в проде
— что делать с безопасностью, данными, compliance и юридическими ограничениями
— как встроить ИИ в рабочий процесс, а не просто иногда спрашивать у него команды.
🧩 В программе — шесть онлайн-занятий с практиками из ИТ:
— ИИ для разбора метрик и шумных алёртов
— автофикс проблем прода с ИИ
— ИИ-агенты в бизнес-задачах
— юридические риски использования ИИ
— LLM в SOC и борьба с alert fatigue
— инженерное мышление в эпоху LLM
Школа подойдёт DevOps-, SRE-, infrastructure-, platform- и security-инженерам, а также всем, кто уже пробовал ИИ в работе и хочет понять, как использовать его системнее и безопаснее.
📅 Старт — 21 июля.
💸 Участие бесплатное, занятия проходят онлайн.
👉🏻 Узнать подробнее и зарегистрироваться в боте | 2 373 |
| 4 | Calculator-Hide-Files
#полезное #Android
Защищенная область для хранения личных файлов, доступная по паролю. Безопасный доступ к вашим личным файлам с помощью заданного пользователем кода. Все файлы хранятся на устройстве, обеспечивая контроль и конфиденциальность пользователя. В общем, простой (очень) классический сейф для хранения файлов под видом калькулятора.
Ссылка на GitHub
LH | News | OSINT | AI | 2 571 |
| 5 | Как DPI вычисляет MTProto-прокси: технический разбор детекции протоколов по сигнатурам
#статья #полезное
Это разбор теории обнаружения протоколов — области на стыке сетевого анализа, статистики и DPI. Это не инструкция по обходу блокировок: конкретных рецептов «как сделать так, чтобы у вас работало» здесь не будет, для этого есть профильные ресурсы. Цель — понять, как технически устроена детекция, потому что это интересная инженерная задача сама по себе, и понимание механики полезно любому, кто работает с сетями.
Ссылка на статью
LH | News | OSINT | AI | 3 403 |
| 6 | TubePilot
#AI #OSINT
Набор AI-инструментов для работы с YouTube. Помогает анализировать видео и каналы, расшифровывать транскрипты, находить нужные эпизоды и таймкоды, проводить аудит канала, получать контекст без полного просмотра материала и оценивать динамику роста. Пригодится в области OSINT на этапе первичного сбора информации по YouTube. Позволяет быстро понять содержание видео, вытащить цитаты и таймкоды, оценить канал и собрать контекст по теме без полного просмотра материала.
Ссылка на сервис
LH | News | OSINT | AI | 3 116 |
| 7 | 👀 Обеспечить защиту всех устройств компании за один день
Для MaxPatrol Endpoint Security это не проблема — установка и настройка агентов больше не растягиваются на недели. И это лишь одно из нововведений релиза 10, который анонсировали Positive Technologies 17 июня.
А 9 июля команда проведет вебинар, где подробно разберет все обновления, которые вошли в продукт.
В программе:
▪️ Контроль приложений и подключаемых устройств для сокращения поверхности атаки
▪️ Новый модуль «АнтиШифровальщик» — восстановление файлов в случае атаки
▪️ Сдерживание сетевых угроз — интеграция с PT NAD
📅 9 июля, 14:00
➡️ Регистрация | 2 803 |
| 8 | Скрытый майнер на компьютере: как найти и удалить
#статья #полезное
Компьютер может шуметь, греться и тормозить по обычным причинам: тяжелая игра, монтаж видео, десятки вкладок в браузере, старый ноутбук с пылью внутри. Но если вентиляторы разгоняются без видимой нагрузки, процессор или видеокарта заняты почти постоянно, а батарея ноутбука уходит за час, стоит проверить систему на скрытый майнер.
Ссылка на статью
LH | News | OSINT | AI | 3 375 |
| 9 | WireTapper
#OSINT #wifi #Bluetooth
OSINT-инструмент предназначенный для обнаружения и картирования различных беспроводных сигналов. Способен идентифицировать и отображать Wi-Fi сети, Bluetooth устройства, камеры видеонаблюдения (CCTV), автомобили, наушники, телевизоры, IoT-устройства и сотовые вышки. Программа преобразует окружающие радиосигналы в понятную ситуационную информацию, предоставляя пользователю детальное представление о ближайших беспроводных устройствах.
Ссылка на GitHub
LH | News | OSINT | AI | 3 471 |
| 10 | ⚡️ Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):
1. Предыдущий топ статей
2. Система интеллектуального видеонаблюдения работающая с видеопотоками в реальном времени
3. ⚡️ Пентест на заказ (Сделаем качественно и не дорого)
4. Платформа для визуальной разработки агентных систем
5. Разведка по открытым источникам (OSINT): Распознавание лиц в расследованиях
6. Набор простых онлайн-инструментов для работы с аудиофайлами
7. ⚡️Мы пишем топовые статьи (большой опыт и реальные кейсы)
8. Инструмент для извлечения токенов, cookie, сохранённых учётных данных, банковских карт, истории посещений и закладок из современных браузеров на базе Chromium и Gecko
#информационнаябезопасность #ИБ #хакинг #кибербезопасность #багбаунти #пентест #багхантинг | 7 316 |
| 11 | Дипфейки: что это такое, как создаются и как распознать подделку
#ai #статья #полезное
Дипфейки бывают не только видео с подмененным лицом. Подделать можно фото, голос, движение губ, мимику, жесты и целую сцену. Для обычного пользователя разница важна потому, что у каждого типа подделки свои признаки и способы проверки.
Ссылка на статью
LH | News | OSINT | AI | 3 603 |
| 12 | Copy Fail — Локальное повышение привилегий в Linux (CVE-2026-31431)
#linux #lpe #pentest #cve
Свежая LPE уязвимость, которой подверженны большинство дистрибутивов Linux, начиная с 2017 года. Криптографический алгоритм authencesn во время работы использует часть выделенной памяти в качестве «черновика» и записывает четыре байта прямо в страницы кеша файла. Это даёт атакующему возможность модифицировать кеш любого читаемого файла. Эксплоит представляет собой 732-байтный Python-скрипт, который последовательно вызывает операции AF_ALG и splice для записи четырёх контролируемых байт в кеш, например, setuid-приложения. В результате модифицируется исполняемый код в памяти и запускается шелл с рутовыми правами.
Ссылка на статью
Ссылка на GitHub
LH | News | OSINT | AI | 3 578 |
| 13 | Золотой VPN и изоляция от мира. К чему привела новая государственная политика контроля сетей
#блокировки
Согласно новому отчёту организации Miaan, с июля 2025 по март 2026 года в Иране зафиксировано более 1500 киберинцидентов, а на фоне протестов и «Войны Эсфанда» количество нарушений цифровых прав выросло на 500%. Около трети атак направлены против целей за рубежом — журналистов и активистов в Великобритании, США, Швеции, Турции, Германии и Франции; среди методов — фишинг, подделка Meta* и Telegram и Android-вредонос.
Власти постепенно переходят от цензуры к модели «белого списка», из-за чего стоимость VPN в стране выросла в 5–20 раз относительно мировых цен.
*Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Ссылка на статью
LH | News | OSINT | AI | 3 802 |
| 14 | CircleToSearch
#полезное #Android #анонимность
Полезный open-source клон Google Circle to Search для любого Android 10+. Не привязан к эко-системе Google и не требует его сервисов. Не отправляет на чужой сервер весь экран (если не используете соответствующую кнопку), как это делает Google. Только то что вы поместили в "круг". Еще есть автономное распознавание текста, работает на 100% локально на вашем устройстве, распознавание QR, несколько поисковиков на выбор и тд.
Ссылка на GitHub
LH | News | OSINT | AI | 3 878 |
| 15 | «Красный Атлас», или как создавались самые детальные карты в истории человечества
#статья
В 1993 году британский разработчик Джон Дэвис случайно наткнулся на пыльную коллекцию карт в книжном магазине в Риге. На них были изображены небольшие города в Канзасе, сельские дороги в Танзании, валлийские деревни, которых нет ни на одной карте, неработающие трамвайные линии в Великобритании. Карты имели информацию о грузоподъемности мостов, глубине водоемов, составе дорожных покрытий и даже расстоянии между деревьями в лесу. Они были точнее, чем лучшие западные военные карты того времени.
На протяжении десятилетий, в условиях полной секретности, Советский Союз скрупулезно картографировал не только собственную обширную территорию, но и весь мир. Эти карты — одно из самых амбициозных картографических начинаний в истории человечества.
Ссылка на статью
LH | News | OSINT | AI | 4 047 |
| 16 | DumpBrowserSecrets
#pentest #credentials
Инструмент для извлечения токенов, cookie, сохранённых учётных данных, банковских карт, истории посещений и закладок из современных браузеров на базе Chromium и Gecko (Chrome, Microsoft Edge, Firefox, Opera, Opera GX и Vivaldi).
Ссылка на GitHub
LH | News | OSINT | AI | 4 152 |
| 17 | Большинство материалов про пентест в интернете — это отдельные техники: один ролик про SQLi, другой про Kerberos, третий про Burp. Смотреть интересно, но в итоге остаётся ощущение, что ты знаешь куски, а целой картины нет.
Как провести внешний и внутренний аудит, найти уязвимость, эксплуатировать её, закрепиться в инфраструктуре и оформить результат так, чтобы заказчик понял риск
Курс «Профессия Пентестер» от Codeby — это 10 месяцев практики с практической лабораторией: от основ до комплексных атак на сети, веб, ОС и Active Directory.
Что вы изучите:
⏺️полный цикл пентеста — разведка, эксплуатация, повышение привилегий, закрепление в сети
⏺️атаки на сети, веб-приложения, операционные системы и устройства
⏺️работу с Kali Linux, Metasploit, Burp Suite и инструментами эксплуатации
⏺️навыки написания эксплойтов, шелл-кода и обхода защитных решений
⏺️практику во внутреннем и внешнем пентесте — с отчётностью
Программа выстроена последовательно: от администрирования и сетевой разведки — к эксплуатации уязвимостей, атакам на AD и работе в реальных сценариях.
Если вы давно думаете про offensive security, но не понимаете, с чего собрать навыки в одну профессию, — посмотрите в сторону длинных практических курсов.
Ближайший старт — 24 августа
➡️Посмотреть программу и записаться
По вопросам — @CodebyAcademyBot | 3 208 |
| 18 | Уязвимости в Adobe ColdFusion (APSB26-68): чтение, запись и RCE через RDS и CKEditor
#cve #Adobe #RCE #RDS
30 июня 2026 года Adobe закрыла как минимум 11 CVE в ColdFusion 2025 (Update 9 и ниже) и 2023 (Update 20 и ниже). Это критическое обновление затрагивает тысячи организаций, использующих ColdFusion для корпоративных порталов и внутренних приложений. Большинство уязвимостей связаны с выполнением кода, чтением файлов и повышением привилегий. Исследователи watchTowr детально разобрали ключевые проблемы в модуле RDS и компоненте CKEditor.
RDS позволяет разработчикам просматривать файлы, выполнять SQL-запросы и отлаживать код через HTTP. По умолчанию RDS отключён, но если администратор включает его без пароля, сервер становится уязвимым. Злоумышленник может отправлять POST-запросы к /CFIDE/main/ide.cfm с параметром ACTION=FILEIO и управлять файловыми операциями — читать и записывать любые файлы на сервере. Проверка путей отсутствует, что позволяет читать конфиденциальные файлы и записывать веб-шеллы в исполняемые директории.
В уязвимой версии метод FileReadOperator() передавал имя файла напрямую в getFile() без проверки пути (CVE-2026-48313). Это позволяло читать любые файлы, например C:\Windows\win.ini. Операция WRITE (CVE-2026-48282) также не проверяла путь, давая возможность записать веб-шелл в wwwroot и выполнить его через HTTP запросы (RCE).
Дополнительная уязвимость найдена в CKEditor: загрузка файлов через /cf_scripts/scripts/ajax/ckeditor/plugins/filemanager/upload.cfm. При включённой загрузке endpoint доступен без аутентификации. Атакующий отправляет multipart-запрос с параметром path, содержащим обход директорий, и записывает файл в любую папку с правами SYSTEM. Это позволяет не только разместить вредоносный код, но и перезаписать системные библиотеки. Этот же патч исправляет листинг директорий через filemanager.cfc?method=getfmfiles.
Бюллетень также устраняет XSLT-инъекции, SSRF и XXE, но их эксплуатация требует доступа к кастомным .cfm-страницам с контролируемым вводом, что менее тривиально.
Это не первый случай с RDS — watchTowr отмечают, что исправление одного пути закрыло чтение, запись, перемещение, удаление и создание директорий, но Adobe «забыла» исправить остальные. Уязвимости затрагивают тысячи организаций, использующих ColdFusion для критических приложений.
LH | News | OSINT | AI | 4 333 |
| 19 | Атаки на SWIFT и межбанковские системы: kill chain от фишинга до вывода средств
#статья #redteam #apt
На внутреннем red team для банка из топ-30 мы дошли от spear-phishing письма до операторского АРМ SWIFT за 19 дней - при двух файрволах и выделенном VLAN для secure zone. Один сервисный аккаунт с правами на обе зоны превратил формальную сегментацию в декорацию. Этот сценарий один в один повторяет kill chain Lazarus Group в инциденте с Bangladesh Bank и группировки Cobalt в атаке на российский «Глобэкс»: атаки на SWIFT межбанковские системы - не эксплуатация уязвимости в протоколе, а многонедельная APT-операция через слабейшее звено - людей и корпоративную сеть вокруг secure zone. Ниже - полная цепочка от initial access до Financial Theft (T1657) с маппингом MITRE ATT&CK, разбором реальных инцидентов и конкретными Sigma-правилами для детекта.
Ссылка на статью
LH | News | OSINT | AI | 4 067 |
| 20 | Excel-опросники врут, а сканировать нельзя. Как реально контролировать ИБ контрагентов и ДЗО?
Любой опытный CISO знает: аудит третьих сторон - это вечная головная боль.
• Контрагенты присылают отписки: в анкетах у всех «всё защищено», а на деле - внутренние процессы "на нуле".
• Активный аудит нелегален: сканировать инфраструктуру подрядчика без письменного разрешения нельзя (чревато ст. 272 УК РФ), а ставить агенты в их сеть никто не позволит.
• Ресурсы ограничены: вручную проверить безопасность 200+ поставщиков силами ИБ-отдела физически невозможно.
Приглашаем на вебинар CICADA8, где мы без маркетингового хайпа обсудим методологию и автоматизацию контроля внешней экосистемы бизнеса.
🗓 Когда: 16 июля, 11.00 (МСК)
📍 Формат: Онлайн-трансляция для практиков (CISO, GRC, ИБ-аудиторов)
Кейс CICADA8: архитектура экспресс-аудита ИБ в холдинге с распределенной сетью ДЗО.
Регистрируйтесь уже сейчас
#реклама
О рекламодателе | 2 463 |
