Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
Hacking & InfoSec
Yopiq kanal
Этичный хакинг, информационная безопасность, программирование. Ссылка: @Portal_v_IT Сотрудничество: @oleginc, @tatiana_inc Канал на бирже: telega.in/c/hackinevo РКН: clck.ru/3Jb7XH
Ko'proq ko'rsatish8 776
Obunachilar
-124 soatlar
-107 kunlar
-5330 kunlar
Ma'lumot yuklanmoqda...
O'xshash kanallar
Ma'lumot yo'q
Muammo bormi? Iltimos, sahifani yangilang yoki bizning qo'llab-quvvatlash boshqaruvchimizga murojaat qiling>.
Taglar buluti
Kirish va chiqish esdaliklari
---
---
---
---
---
---
Obunachilarni jalb qilish
Iyun '26
Iyun '26
+1
0 kanalda
May '26
+1
0 kanalda
Get PRO
Aprel '26
+5
1 kanalda
Get PRO
Mart '26
+8
0 kanalda
Get PRO
Fevral '26
+3
0 kanalda
Get PRO
Yanvar '26
+1
0 kanalda
Get PRO
Dekabr '25
+2
0 kanalda
Get PRO
Noyabr '25
+4
0 kanalda
Get PRO
Oktabr '25
+1
0 kanalda
Get PRO
Sentabr '25
+3
0 kanalda
Get PRO
Avgust '25
+2
0 kanalda
Get PRO
Iyul '25
+1
0 kanalda
Get PRO
Iyun '25
+24
0 kanalda
Get PRO
May '25
+5
0 kanalda
Get PRO
Aprel '25
+22
0 kanalda
Get PRO
Mart '25
+14
0 kanalda
Get PRO
Fevral '25
+10
0 kanalda
Get PRO
Yanvar '25
+8
0 kanalda
Get PRO
Dekabr '24
+9
1 kanalda
Get PRO
Noyabr '24
+2
0 kanalda
Get PRO
Oktabr '24
+5
1 kanalda
Get PRO
Sentabr '24
+3
1 kanalda
Get PRO
Avgust '24
+6
0 kanalda
Get PRO
Iyul '24
+28
0 kanalda
Get PRO
Iyun '24
+28
0 kanalda
Get PRO
May '24
+25
0 kanalda
Get PRO
Aprel '24
+30
0 kanalda
Get PRO
Mart '24
+18
1 kanalda
Get PRO
Fevral '24
+22
0 kanalda
Get PRO
Yanvar '24
+39
0 kanalda
Get PRO
Dekabr '23
+37
0 kanalda
Get PRO
Noyabr '23
+57
0 kanalda
Get PRO
Oktabr '23
+41
0 kanalda
Get PRO
Sentabr '23
+72
0 kanalda
Get PRO
Avgust '23
+32
0 kanalda
Get PRO
Iyul '23
+19
0 kanalda
Get PRO
Iyun '23
+27
0 kanalda
Get PRO
May '23
+19
0 kanalda
Get PRO
Aprel '23
+22
0 kanalda
Get PRO
Mart '23
+21
0 kanalda
Get PRO
Fevral '23
+32
0 kanalda
Get PRO
Yanvar '23
+42
0 kanalda
Get PRO
Dekabr '22
+31
0 kanalda
Get PRO
Noyabr '22
+38
0 kanalda
Get PRO
Oktabr '22
+38
0 kanalda
Get PRO
Sentabr '22
+215
0 kanalda
Get PRO
Avgust '22
+1 455
0 kanalda
Get PRO
Iyul '22
+126
0 kanalda
Get PRO
Iyun '22
+64
0 kanalda
Get PRO
May '22
+4 046
0 kanalda
Get PRO
Aprel '22
+908
0 kanalda
Get PRO
Mart '22
+13 699
0 kanalda
Get PRO
Fevral '22
+1 146
0 kanalda
Get PRO
Yanvar '22
+3 594
0 kanalda
| Sana | Obunachilarni jalb qilish | Esdaliklar | Kanallar | |
| 15 Iyun | 0 | |||
| 14 Iyun | 0 | |||
| 13 Iyun | 0 | |||
| 12 Iyun | 0 | |||
| 11 Iyun | 0 | |||
| 10 Iyun | 0 | |||
| 09 Iyun | 0 | |||
| 08 Iyun | +1 | |||
| 07 Iyun | 0 | |||
| 06 Iyun | 0 | |||
| 05 Iyun | 0 | |||
| 04 Iyun | 0 | |||
| 03 Iyun | 0 | |||
| 02 Iyun | 0 | |||
| 01 Iyun | 0 |
Kanal postlari
Если в ходе анализа веб-приложения вы обнаружили, что чувствительные данные кэшируются, обратите внимание на синтаксический анализ URL-адресов для эксплуатации path traversal. ChatGPT CDN (Cloudflare) и веб-сервер, например, по-разному обрабатывали пути URL:
CDN не декодировал и не нормализовал %2F (закодированный /).
Веб-сервер, напротив, распознавал %2F..%2F как ../, что приводило к path traversal.
Используя этот обход, злоумышленник мог запросить чувствительные API-эндпоинты, содержащие токены аутентификации:
https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123CDN видел это как обычный кэшируемый путь. Веб-сервер обрабатывал его как запрос к API /api/auth/session, содержащему токен авторизации. Токен кешировался и становился доступным злоумышленнику. Подробнее #security | Hacking & InfoSec
| 2 | 24 января 1964 года - инженер работает с аналоговым компьютером в General Dynamics Astronautics (крупнейшая американская компания - производитель военной и аэрокосмической техники).
Судя по патч-панелям и проводам - это настройка (программирование) аналоговой вычислительной схемы: коммутационными шнурами соединяли входы и выходы блоков аналогового компьютера, чтобы создать физико-математическую симуляцию полета ракеты (ну или космического аппарата). Такая симуляция позволяла "прогнать" запуск ракеты или ее вход в атмосферу непосредственно в лаборатории - до реального испытания, без риска потерять ракету.
Программирование аналогового компьютера включало разводку патч-панели, а крупные аналоговые машины соединяли сотни патч-кордов для связи компонентов.
Источник (фото).
#security | Hacking & InfoSec | 146 |
| 3 | 📣 Подушка ортопедическая для сидения на стул с эффектом памяти
Цена: ~1000 руб. (без скидки 4900 руб.)
Доставка: бесплатная
🖱 Заказать
Ортопедическая подушка La fete является отличным средством улучшения качества жизни. Она изготовлена из плотного материала пенополиуретан с эффектом памяти.
Подушка поддерживает правильную позицию тела и уменьшает нагрузку на суставы.
#подушка #кресло
Больше полезных товаров в Находки Программиста | 103 |
| 4 | Подросток из Канады несколько лет скамил пользователей в сети представляясь сотрудником технической поддержки Coinbase, Trezor и Google. Используя методы социальной инженерии он получал доступ к аккаунтам своих жертв и выводил все имеющиеся средства. В общей сложности он сумел вывести и отмыть более 13 млн. баксов.
Юный Трентон Джонстон, которому недавно исполнилось 20 лет, признал себя виновным в кибермошенничестве и отмывании денег. Его поймали в марте этого года в США, когда полиция остановила его автомобиль для проверки документов. Выяснилось, что у нашего героя была просрочена виза, а при осмотре автомобиля в багажнике нашли запрещенные вещества... В конечном итоге Трентона задержали и забрали у него телефон и ноутбук, которые при осмотре спецслужбами связали его с мошенничеством.
Все деньги Трентон тратил на роскошную жизнь в Майами и Лос-Анджелесе. Среди его трат были машины Lamborghini Aventador, два BMW, ювелирные украшения, путешествия на частных самолетах
#security | Hacking & InfoSec | 195 |
| 5 | Слушай, а ловко ты это придумал... Разработчики вредоносного ПО зашили в код малвари своеобразные промты, которые требуют от LLM написать рецепт биологического оружия (подробнее на втором скриншоте). Соль состоит в том, что такие промты вызывают сбой ИИ-сканеров безопасности - это позволяет атакующим успешно проводить атаку.
К слову, данный промт был замечен при атаке на цепочку поставок с помощью Mini Shai-Hulud, получивших названия Miasma и Hades. Более подробно по ссылке ниже:
https://socket.dev/
#security | Hacking & InfoSec | 207 |
| 6 | Хорошая статья про процессы в Linux! Понимание того, как процессы создаются, живут, взаимодействуют с ядром и завершаются - это база для понимания и диагностики Linux-систем. Цель этого материала - рассказать кратко и простым языком всю нужную информацию как для начинающих, так и для опытных пользователей и админов, чтобы освежить знания.
Отмечу, что это 4-я часть небольшого курса по изучению Linux для DevOps-специалистов. В будущем автор планирует опубликовать еще 7 статей и разобрать следующие темы: сеть, логи и мониторинг, hardening и безопасность, пакеты и обновления, скриптинг и автоматизация, криптография и сертификаты, контейнеры (Linux-уровень)!
Все 4 части можно изучить по ссылке ниже. Что касается всего "курса", то я опубликую информацию в канале, когда материал будет готов полностью.
https://opensophy.com/article/linux/linux-processes/
#security | Hacking & InfoSec | 209 |
| 7 |  А помните новость, когда взломали Instagram* аккаунт 44 президента США Барака Обамы? Тут bleepingcomputer пишет, что в общей сложности атакующие смогли взломать более 20.000 аккаунтов!
Напомню, что для получения доступа к аккаунту нужно было только написать в техническую поддержку и попросить ИИ отправить ссылку для восстановления пароля на свой адрес электронной почты.
Некоторые умельцы даже автоматизировали процесс и создали Telegram-бота, который сам направлял нужные промты в поддержку инсты* и восстанавливал пароли. Помимо автоматизации умельцы создали чекер редких имен, который отслеживал свап юзернеймов от одного аккаунта к другому! Редкие имена продавались за тысячи и сотни тысяч баксов...
После того как об ошибке узнали в Meta*, ИИ поддержка была отключена, а взломанные аккаунты перевели на обязательную проверку и смену пароля.
Вот до чего довело увольнение сотрудников технической поддержки и внедрение ИИ в качестве замены.
https://www.bleepingcomputer.com/news/
#security | Hacking & InfoSec | 211 |
| 8 | Нейросети уже заменяют целые контент-команды. Но пока этим пользуются не все.
Пока одни тратят недели на дизайнеров, копирайтеров и съемки — другие делают продающий контент через нейросети за пару часов. А бизнес платит за это десятки тысяч, даже без опыта.
Сегодня с ИИ за вечер можно сделать:
— стильные рекламные визуалы
— продающие тексты
— персонажей и маскотов
— контент для соцсетей и карточек товаров
Освоить базовый навык можно за 3 для без сложных программ. На бесплатном мини-курсе вам покажут, как работать с ИИ так, чтобы получать качественный контент, который можно использовать для себя или продавать клиентам.
👉 Пока многие только смотрят ИИ-контент — вы можете начать его создавать. Переходите по ссылке и забирайте бесплатный доступ.
Реклама. Информация о рекламодателе по ссылкам в посте. | 180 |
| 9 | Нашел хороший ресурс, который содержит интерактивные лабы для начинающих DevOps инженеров. Все задания были составлены и проверены экспертами, которые имеют огромный опыт в различных направлениях.
На данный момент доступно 37 лаб (скоро будет еще 5). Можно отслеживать свой прогресс и получать ачивки.
https://devops-daily.com/games
#security | Hacking & InfoSec | 184 |
| 10 |  Race Condition / TOCTOU — шпаргалка
TOCTOU (Time of Check to Time of Use) — класс уязвимостей, при котором между проверкой объекта и последующим действием появляется временное окно для атаки.
Классический пример:
// Проверка
if (access("/tmp/file", W_OK) == 0) {
// Использование
fp = fopen("/tmp/file", "w");
}
Если объект успеет измениться между access() и fopen(), программа может работать уже не с тем файлом, который проверяла изначально.
Где встречается:
— файловые операции;
— временные файлы;
— симлинки;
— проверки прав доступа;
— многопоточные приложения;
— сервисы с привилегированными процессами.
#security | Hacking & InfoSec | 193 |
| 11 | 9 лет аптайма: один из пользователей Reddit опубликовал пост, в котором рассказал о работе своей Raspberry Pi 3B!
Малинка работает без перезагрузок и сбоев уже более 9 лет (3287 дней), а используется для стриминга аудиопотока в Broadcastify (трансляция и прослушивание радиопереговоров в реальном времени).
Еще немного и будет юбилей =)
https://www.reddit.com/r/raspberry_pi/9_years_uptime/
#security | Hacking & InfoSec | 219 |
| 12 |  Nightmare Eclipse: исследователь, который держит Microsoft в тонусе
С апреля 2026 анонимный исследователь Nightmare Eclipse, также известный как Chaotic Eclipse, публикует PoC для уязвимостей Windows почти сразу после Patch Tuesday.
Часть багов уже получила CVE, а несколько уязвимостей попали в каталог CISA KEV из-за эксплуатации in the wild.
Паттерн:
Microsoft закрывает одни дыры — через несколько часов или дней появляется новый PoC. Это уже не обычный ресерч, а затяжной конфликт между вендором и исследователем, где крайними становятся пользователи Windows.
Даже встроенные защитные компоненты вроде Defender сами остаются частью attack surface. А публичный PoC без coordinated disclosure быстро превращает уязвимость из «интересной находки» в реальный риск для инфраструктуры.
Герой, нарушитель или симптом проблемы в индустрии — решайте сами.
Источник
#security | Hacking & InfoSec | 231 |
| 13 |  Инструмент для сложных blind SQLi
BBQSQL — фреймворк для эксплуатации blind SQL-инъекций, когда данные приходится извлекать по косвенным признакам: времени ответа, размеру страницы, коду ответа и другим изменениям в приложении.
Что умеет:
— time-based и boolean-based SQLi;
— поддержка разных СУБД;
— настройка собственных шаблонов инъекций;
— параллельное выполнение запросов для ускорения извлечения данных;
— работа через прокси, куки, заголовки и авторизацию;
— кастомные Python-хуки для нестандартных сценариев.
Особенно полезен в ситуациях, когда sqlmap не справляется и требуется гибко адаптировать логику эксплуатации под конкретную уязвимость.
Ссылка на GitHub
#security | Hacking & InfoSec | 225 |
| 14 | ИИ больше не про хобби — он становится обязательным навыком, чтобы оставаться востребованным на рынке труда.
По оценкам экспертов, в ближайшее время до 80% вакансий будут требовать умения работать с нейросетями:
— генерировать визуал, видео, тексты для любых ниш;
— создавать реалистичный ИИ-контент;
— автоматизировать рутину.
Хорошие новости — освоить базовый минимум в создании контента с помощью ИИ можно всего за 3 дня. Вы сделаете ИИ своим рабочим инструментом и сократите рабочее время без потери качества.
Переходите по ссылке и получайте персональный доступ к урокам и бонусным материалам.
Реклама. Информация о рекламодателе по ссылкам в посте. | 183 |
| 15 | А ведь и правда, зачем вообще нужен смартфон, на который нельзя установить самый "безопасный" в мире мессенджер?
Источник [1], [2].
#security | Hacking & InfoSec | 246 |
| 16 |  Как обычный саундбар превратили в инструмент для взлома ПК
Исследователь изучал прошивку Creative Sound Blaster Katana V2X, а в итоге обнаружил цепочку уязвимостей, позволяющую удалённо перепрошить устройство по Bluetooth без сопряжения.
После модификации прошивки саундбар мог:
— выполнять роль HID-клавиатуры;
— автоматически вводить команды на подключённом компьютере;
— фактически работать как беспроводной Rubber Ducky.
Атака не требовала физического доступа к ПК или самому устройству.
статье: реверс прошивки, анализ BLE-протокола, обход механизмов защиты и создание собственного payload для устройства.
#security | Hacking & InfoSec | 267 |
| 17 | Эксплуатация race condition с помощью Turbo Intruder: гайд для начинающего этичного хакера
Уязвимости race condition часто встречаются в веб-приложениях и приносят достойные вознаграждения в рамках багбаунти. Под катом вас ждет гайд по эксплуатации данного бага на примере Vulnerable PHP App (Race Condition).
Читать
#security | Hacking & InfoSec | 266 |
| 18 | РАНХиГС выстраивает проактивный процесс управления киберугрозами.
Сегодня государственные и образовательные организации остаются одной из приоритетных целей для атак, которые становятся сложнее, автоматизируются и всё чаще используют ИИ.
В этих условиях проактивная модель защиты с анализом маршрутов атак становится необходимостью, позволяя повышать киберустойчивость и удорожать действия злоумышленников.
Академия уже несколько лет использовала MaxPatrol VM от Positive Technologies для управления уязвимостями в распределенной инфраструктуре с более чем 50 филиалами.
В конце прошлого года РАНХиГС внедрил решение класса Exposure Management MaxPatrol Carbon, который переводит защиту от простого списка уязвимостей к пониманию реальных сценариев атак на критически важные системы.
Решение моделирует маршруты злоумышленника к ключевым ресурсам и выявляет опасные комбинации угроз: уязвимости, ошибки конфигурации, избыточные права доступа, особенности сетевой архитектуры.
➡️Источник.
#security | Hacking & InfoSec | 260 |
| 19 |  ATG под атакой: хакеры добрались до топливной инфраструктуры США
CISA, ФБР, NSA и Министерство энергетики США выпустили совместный алерт о кибератаках на ATG — системы мониторинга топливных резервуаров.
🔜 Такие устройства показывают уровень топлива, температуру и возможные утечки. Их ставят на заправках, промышленных объектах, в энергетике и транспортной инфраструктуре.
Что известно:
#security | Hacking & InfoSec | 262 |
| 20 |  Как DPI распознаёт MTProto-прокси
Полезный технический разбор про то, почему одной маскировки под TLS уже недостаточно.
В статье объясняют:
— как работает Fake-TLS в MTProto;
— почему JA3/JA4 fingerprint помогает находить неидеальный TLS;
— как DPI анализирует размеры пакетов, тайминги и keep-alive;
— почему зашифрованный payload всё равно оставляет сетевые метаданные;
— где упирается предел DPI из-за стоимости глубокого анализа.
Читать подробнее
#security | Hacking & InfoSec | 286 |
