CodeGuard: CyberSec Edition
Канал по ИБ и этичному хакингу. Связь: @Arakcheev_Ruslan Ссылка: @invite_CodeGuard Биржа: https://telega.in/c/+3X56uL4A-UM3Njgy
Больше📈 Аналитический обзор Telegram-канала CodeGuard: CyberSec Edition
Канал CodeGuard: CyberSec Edition является активным участником. Сейчас сообщество объединяет 12 808 подписчиков, занимая 9 852 место в категории Технологии и приложения и 51 245 место в регионе Россия.
📊 Показатели аудитории и динамика
С момента создания невідомо проект демонстрирует стремительный рост, собрав аудиторию из 12 808 подписчиков.
Согласно последним данным от 06 июля, 2026, канал показывает стабильную активность. За последние 30 дней изменение числа участников составило 445, а за последние 24 часа — 14, при этом общий охват остаётся высоким.
- Статус верификации: Не верифицирован
- Уровень вовлечённости (ER): Средний показатель вовлечённости аудитории составляет 11.82%. В первые 24 часа после публикации контент обычно набирает 6.28% реакций от общего числа подписчиков.
- Охват публикаций: В среднем каждый пост получает 1 514 просмотров. В течение первых суток публикация набирает 804 просмотров.
- Реакции и взаимодействия: Аудитория активно поддерживает контент: среднее количество реакций на один пост — 5.
- Тематические интересы: Контент сосредоточен на ключевых темах, таких как codeguard, pysec, docker, grep, контейнер.
📝 Описание и контентная политика
Автор описывает ресурс как площадку для выражения субъективного мнения:
“Канал по ИБ и этичному хакингу.
Связь: @Arakcheev_Ruslan
Ссылка: @invite_CodeGuard
Биржа: https://telega.in/c/+3X56uL4A-UM3Njgy”
Благодаря высокой частоте обновлений (последние данные получены 06 июля, 2026) канал поддерживает актуальность и высокий уровень охвата публикаций. Аналитика показывает, что аудитория активно взаимодействует с контентом, что делает его важной точкой влияния в категории Технологии и приложения.
git push в репозиторий
2. Система сама собирает проект
3. Запускаются тесты
4. Если всё ок — код автоматически публикуется на сервер, без твоего участия, Бро!
- Минимум ошибок при ручной сборке
- Быстрая доставка фич и багфиксов
- Возможность отката до рабочей версии
- Удобно масштабировать
👩💻 Популярные инструменты:
- GitHub Actions
- GitLab CI/CD
- Jenkins
- Travis CI
- Docker + Kubernetes (для автоматизации развёртывания)
Отлично подходит для DevOps и любого проекта, который хочешь развивать быстро и стабильно.
😈 CodeGuard | #DevOps #CI_CDАгент имеет доступ к следующим инструментам: 1. Read Читает содержимое файла. Может отображать изображения (PNG, JPG) и работать с временными файлами скриншотов. Рекомендуется читать сразу несколько потенциально полезных файлов. 2. Write Записывает новое содержимое в файл, полностью перезаписывая его. Если файл уже существует, его необходимо предварительно прочесть. 3. Edit Выполняет точечную замену строк в файле. Требует точного совпадения заменяемой строки, включая отступы. Перед редактированием файл нужно обязательно прочитать. 4. MultiEdit Позволяет выполнить несколько операций замены в одном файле за один шаг. Правки применяются последовательно и атомарно: либо все, либо ни одна. 4. NotebookRead Специализированный инструмент для чтения ячеек и их вывода из файлов Jupyter Notebook (.ipynb). 6. NotebookEdit Редактирует ячейки в Jupyter Notebook, поддерживая операции вставки, замены и удаления😎 Можно глянуть позже 😈 CodeGuard | #programming
Имя: [ввод] Email: [ввод] Сообщение: [ввод]Обычный пользователь вводит данные — сообщение сохраняется в админке. Но если ты — разработчик или тестер безопасности, ты сразу задаёшь себе вопрос: А что будет, если ввести не текст, а HTML? Проверяем:
<script>alert(1)</script>
Заходим в админку (у нас же есть доступ, мы же легально тестим сайт) → скрипт выполнился?!
💥 Это Stored XSS — один из самых опасных типов межсайтового скриптинга.
📦Что это значит?
Ты нашёл точку входа, где можно выполнить JS-код в браузере администратора.
Это может привести к:
- Краже cookies (например, сессии админа)
- Перенаправлению на фишинговый сайт
- Выполнению фоновых запросов от имени пользователя
- Получению доступа к внутренним системам
И всё это — из-за одного поля формы, которое не экранирует вывод.
XSS — одна из самых распространённых уязвимостей.
Она позволяет выполнять произвольный код в браузере других пользователей.
Если у тебя:
- Форма обратной связи
- Комментарии
- Профиль пользователя
- Поиск
- Логирование ошибок
👉 То ты обязан экранировать всё, что выводишь на экран.
🛡 Как защититься?
1. Экранируй всё при выводе
- В шаблонах используй безопасные методы:
- Django: {{ user_input|escape }}
- Jinja2: {{ user_input }} уже безопасно по умолчанию
- Flask: автоматически экранирует переменные
2. Content-Security-Policy (CSP)
Добавь заголовок:
Content-Security-Policy: default-src 'self'; script-src 'self'Это запретит выполнение inline-скриптов. 3. Фильтрация ввода Не позволяй вводить HTML, если это не нужно. Используй белые списки, например для редакторов. 4. Тестирование Простая проверка:
<b>Test</b>
Если текст стал жирным — вывод не экранируется → потенциальная проблема.
📬 Что делать после обнаружения?
Если ты тестируешь чужой сайт (Бро, я надеюсь легально), вот как сообщить о найденной проблеме:
> Здравствуйте! > Обнаружил потенциальную уязвимость XSS в разделе контактов. > При вводе JavaScript-кода он сохраняется и выполняется при просмотре. > Рекомендую экранировать вывод или использовать CSP.🤔 XSS — не только для хакеров. Это дыра, которую можно найти где угодно. И твоя задача — закрыть её до того, как кто-то этим воспользуется. Расскажи другу, что бы не был мемом в чате пентестеров 😂 😈 CodeGuard | #security #bugbounty #websecurity #xss #ethicalhacking
nmap -sV 192.168.1.10
Обнаружил открытые порты:
- 22 — SSH
- 80 — HTTP
- 3306 — MySQL
Стандартно? Возможно.
Но на порту 80 висел старый сайт на WordPress версии 4.7.
Известные уязвимости? Да. Возможности для эксплуатации? Много.
🖥 Шаг 2. Уязвимость в WordPress
Использовал WPScan:
wpscan --url http://192.168.1.10 --enumerate u
Нашёл пользователя: admin
Форсить пароль не стал — он был где-то рядом…
В /backup.zip лежала старая копия сайта.
А в ней — файл .env, где был указан пароль от базы данных.
А в базе — хэш от админки WordPress.
🔓 Шаг 3. Вход в систему
С помощью john the ripper расколол хэш за 10 минут.
Залогинился в админку WP.
Установил plugin с reverse-shell.
Получил доступ к серверу под пользователем www-data.
💪 Шаг 4. Повышение привилегий
Внутри нашёл файл /etc/passwd.
Пользователь developer был добавлен без прав sudo.
Но в его домашней директории лежал .ssh/id_rsa.
SSH-ключ без passphrase.
Я подключился:
ssh developer@192.168.1.10
🥰 Что я сделал потом?
КОНЕЧНО, остановился.
Скриншоты, логи — всё отправил владельцу.
Не ради славы. А потому что это был тестовый стенд, который кто-то забыл закрыть.
🛡Чему эта история учит?
- Не оставляйте старые резервные копии в публичном доступе
- Обновляйте CMS и плагины
- Используйте strong passwords и .htaccess для защиты чувствительных файлов
- SSH-ключи должны быть защищены или удалены
- Аудит безопасности — это не шутки
👩💻 Это не про злоумышленников.
Это про то, как одна ошибка может стать дверью в вашу систему.
И как важно видеть уязвимость до того, как её найдёт кто-то другой.
Поставь 👍 - тебе не сложно, мне понятно что пост зашел
😈 CodeGuard | #hacking #linux #ethicalhackinggit clone https://github.com/Tuhinshubhra/RED_HAWK
cd RED_HAWK
2. Запускаем:
php rhawk.php
3. Если чего-то не хватает, просто введи:
fix
Это установит недостающие зависимости.
💡 Как использовать?
Запустив php rhawk.php, ты увидишь командную строку.
Просто введи домен, например:
example.comДалее ты можешь выбрать: - Протокол: HTTP или HTTPS? - Тип сканирования: базовое, углублённое или конкретная цель? Инструмент сам проведёт анализ и выдаст тебе структурированный отчёт. 🛠 Настройка API для Bloggers View Чтобы использовать расширенный режим анализа блогов (
Bloggers View), нужно получить API-ключи от [Moz]
1. Создай аккаунт на [moz.com]
2. Перейди в раздел Mozscape API
3. Скопируй AccessID и SecretKey
4. Открой файл config.php и замени значения:
$accessID = "your-access-id";
$secretKey = "your-secret-key";
Для самостоятельного изучения
📱 GitHub
📌 RED HAWK — отличный выбор для фазы рекогнайзанса при пентестах и баг-баунти.
С ним ты получишь максимум информации о цели без лишней магии.
😈 CodeGuard | #opensourse #ethicalhacking🤖 Изучаем Arduino: 65 проектов своими руками Автор: Джереми Бокселл Год издательства: 2017«Понимание электроники начинается с практики» Если ты хочешь научиться создавать устройства, которые взаимодействуют с окружающим миром — от простого термометра до умного дома, — эта книга станет твоей личной лабораторией. Что внутри? 🗣Основы работы с Arduino Uno 🗣Подключение датчиков, экранов и двигателей 🗣Управление через Wi-Fi и Bluetooth 🗣Взаимодействие с ПК и обмен данными 🗣 Проекты с SD-картой, Ethernet и Serial-портом 🗣Схемы, код и объяснение каждого шага 📌Подходит: - Начинающим в мире электроники и робототехники - Любителям DIY и домашних автоматизаций - Тем, кто хочет понять, как работает IoT «изнутри» Все примеры — с рабочими схемами и подробным описанием. Даже если ты раньше только мигал светодиодом — разберёшься. 📲 Бери книгу → [Code Guard: Archive] 🫡 CodeGuard | #book #arduino
Всё началось с обычного вечера, когда я, вооружившись чашкой кофе, проводил первичную разведку баг-баунти скоупа beget.com. Среди сотен доменов, в SSL сертификате одного из них мелькнул любопытный хост. Это был почтовый клиент, который компания предоставляла своим зарегистрированным пользователям, на саб-домене вида fancy.beget.email, с установленным приложением RainLoop. Что показалось мне довольно странным, так как основным их веб-мейлером выступал Roundcube. И тут я просто не смог устоять перед соблазном покопаться в исходниках. Приложение которое я впервые увидел, открытые исходники, не самая свежая версия (1.12.1). Анализ кода - моя страсть, а возможность найти что-то интересное уже сама по себе мотивация...Тебя ждёт увлекательное путешествие по лабиринтам кода, щепотке криптографии и паре трюков, превративших, казалось бы, не входящий в скоуп хост в настоящий джекпот. В общем, не переключаемся, будет весело! Продолжение по ссылке ниже. 😵💫Интересно? Тогда на habr 😈CodeGuard | #cybersecurity
🔒Linux. Руководство программиста** Автор: Джон Фуско Год издания: 2020«Понимание Linux начинается с понимания его инструментов» Если ты хочешь работать с Linux не как пользователь, а как разработчик — эта книга станет твоей настольной. Ты не просто прочитаешь о системе — ты научишься ею управлять. Что внутри? 🗣Основы сборки и установки из исходников 🗣Как устроены open-source проекты и где искать нужные инструменты 🗣 Взаимодействие с ядром и библиотеками Linux 🗣 Инструменты разработчика:
gcc, make, gdb, autotools, pkg-config
🗣 Отладка, оптимизация производительности и работа с процессами
Подходит:
- Тем, кто хочет глубже понять Linux
- Программистам на C/C++ под Linux
- DevOps-инженерам и энтузиастам системного уровня
Все примеры — рабочие, понятные и готовы к использованию в своих проектах.
➡️Бери книгу → [Code Guard: Archive]
😈 CodeGuard | #book #linux #devops
Уже доступно! Исследование Telegram 2025 — ключевые инсайты года 
