uz
Feedback
White Hat

White Hat

Kanalga Telegram’da o‘tish

Пишем про информационную безопасность и белый хакинг. Сотрудничество: @workhouse_price Канал на бирже: https://telega.in/c/kind_hack Канал в реестре РКН: https://clck.ru/3FtTnR

Ko'proq ko'rsatish

📈 Telegram kanali White Hat analitikasi

White Hat (@kind_hack) Rus til segmentidagi kanali faol ishtirokchi. Hozirda hamjamiyat 11 975 obunachidan iborat bo'lib, Texnologiyalar & Aralashmalar toifasida 10 382-o'rinni va Rossiya mintaqasida 54 437-o'rinni egallagan.

📊 Auditoriya ko‘rsatkichlari va dinamika

невідомо sanasidan buyon loyiha tez o‘sib, 11 975 obunachiga ega bo‘ldi.

14 Iyul, 2026 dagi oxirgi ma’lumotlarga ko‘ra kanal barqaror faollikka ega. Oxirgi 30 kunda obunachilar soni 290 ga, so‘nggi 24 soatda esa 10 ga o‘zgardi va umumiy qamrov yuqori darajada qolmoqda.

  • Tasdiqlash holati: Tasdiqlanmagan
  • Jalb etish (ER): Auditoriya o‘rtacha 7.02% darajada jalb etiladi. Nashrdan keyingi dastlabki 24 soatda kontent odatda umumiy obunachilar sonining 3.29% ini tashkil etuvchi reaksiyalarni to‘playdi.
  • Post qamrovi: Har bir post o‘rtacha 840 marta ko‘riladi; birinchi sutkada odatda 393 ta ko‘rish yig‘iladi.
  • Reaksiyalar va o‘zaro ta’sir: Auditoriya faol: har bir postga o‘rtacha 3 ta reaksiya keladi.
  • Tematik yo‘nalishlar: Kontent взлом, шпаргалка, обнаружение, протокол, хакер kabi asosiy mavzularga jamlangan.

📝 Tavsif va kontent siyosati

Muallif resursni shaxsiy fikrni ifoda etish maydoni sifatida ta’riflaydi:
Пишем про информационную безопасность и белый хакинг. Сотрудничество: @workhouse_price Канал на бирже: https://telega.in/c/kind_hack Канал в реестре РКН: https://clck.ru/3FtTnR

Yuqori yangilanish chastotasi (oxirgi ma’lumot 15 Iyul, 2026 da olingan) sababli kanal doimo dolzarb va katta qamrovli bo‘lib qoladi. Analitika auditoriya kontent bilan faol hamkorlik qilishini, uni Texnologiyalar & Aralashmalar toifasidagi muhim ta’sir nuqtasiga aylantirishini ko‘rsatadi.

11 975
Obunachilar
+1024 soatlar
+1067 kunlar
+29030 kunlar
Postlar arxiv
White Hat
11 974
🤒 Книга «Продвинутые алгоритмы и структуры данных» Книга Марчелло Ла Рокки про то, что начинается за пределами базового курс
🤒 Книга «Продвинутые алгоритмы и структуры данных» Книга Марчелло Ла Рокки про то, что начинается за пределами базового курса: не «что такое массив», а какие структуры выбирать, когда данных много, а требования к скорости и памяти жёсткие.
Для пентестера и разработчика инструментов это недооценённый скилл – понимать, почему одна структура даёт, а другая кладёт вашу тулзу на реальном объёме данных.
— Разбираются продвинутые деревья и кучи, префиксные деревья и структуры для строк, фильтры Блума, дисджойнт-сеты, пространственные индексы вроде k-d деревьев для поиска ближайших соседей, кластеризация и графовые алгоритмы. 🎤 Книга #Algorithms #DataStructures #DevTools / White Hat / max.ru/kind_hack

White Hat
11 974
🤒 Аэрофотосъёмка веб-периметра Gowitness – утилита на Go от Леона Джейкобса из SensePost, которая через headless-Chrome масс
🤒 Аэрофотосъёмка веб-периметра Gowitness – утилита на Go от Леона Джейкобса из SensePost, которая через headless-Chrome массово снимает скриншоты веб-интерфейсов. — Вместо того чтобы вручную открывать сотни хостов из скоупа, вы одним прогоном фотографируете их все и глазами выцепляете забытые админки, дефолтные страницы и старые панели, с которых удобно начинать.
Что умеет: — Скринить одиночный URL, целые подсети CIDR или список из файла и stdin; — Жевать результаты Nmap и Nessus как источник целей; — Попутно снимать заголовки, куки, TLS-сертификаты и определять технологии; — Складывать всё в SQLite и показывать в веб-отчёте с галереей и API.
🎤 Репозиторий #Recon #WebPentest #OSINT / White Hat / max.ru/kind_hack

White Hat
11 974
Рабочее приложение, которое прошло ревью, всё ещё можно взломать через форму логина. Большинство уязвимостей в вебе — это тип
Рабочее приложение, которое прошло ревью, всё ещё можно взломать через форму логина. Большинство уязвимостей в вебе — это типовые ошибки, которые находят уже после инцидента. Курс WAPT от Codeby учит находить их раньше — с позиции атакующего. Этот курс максимально заточен на практику: 65 заданий в лаборатории, где вы отрабатываете каждую технику на реальных сценариях. Что внутри: ⏺️Эксплуатация актуальных классов уязвимостей, активный и пассивный фаззинг ⏺️SQL Injection, CMD Injection, XSS, PHP Injection, Server-Side Template Injection ⏺️Повышение привилегий и client-side атаки (XSS, CSRF) Каждую неделю — вебинары с куратором. Навыки применимы и в рабочих задачах по пентесту, и в Bug Bounty. Курс стартует 16 июля. 😀☺️😚🥲😎При покупке курса — месяц бесплатной подписки на hackerlab.pro в подарок ➡️ Запись на курс По всем вопросам: @CodebyAcademyBot

White Hat
11 974
✔️ OpenClaw взломали через WhatsApp | ИИ-ассистент мог отдать доступ к хосту В OpenClaw обнаружены три критические уязвимости
✔️ OpenClaw взломали через WhatsApp | ИИ-ассистент мог отдать доступ к хосту В OpenClaw обнаружены три критические уязвимости, позволявшие красть SSH-ключи, токены и GPG-секреты, а также выполнять произвольный код через обход фильтрации команд и песочницы. — Атака могла запускаться через внешние сообщения, например, WhatsApp, без предварительного доступа к системе.
Разработчики закрыли дыры в версии 2026.6.6 – пользователям настоятельно рекомендуется срочно обновиться и усилить ограничения песочницы и инструментов.
🎤 Чтиво #Vulnerability #PrivilegeEscalation #Exploit / White Hat / max.ru/kind_hack

White Hat
11 974
В 2025 году DDoS-атаки длились десятки тысяч часов. А как активность злоумышленников изменилась в 2026 году? На практическом
В 2025 году DDoS-атаки длились десятки тысяч часов. А как активность злоумышленников изменилась в 2026 году? На практическом вебинаре эксперты Selectel и Curator детально разберут, как изменился ландшафт DDoS-атак в первом полугодии 2026. Вы узнаете самую актуальную статистику атак на публичные сервисы и обсудите с экспертами работающие инструменты защиты. После вебинара сможете: • Выстроить надежную многоуровневую защиту для веб-приложений. • Обеспечить стабильную работу сервисов даже во время мощных DDoS-атак. 📍 Онлайн ⏰ 21 июля в 12:00 👥 Для руководителей ИБ и технических направлений, инженеров по безопасности, сетевых и системных администраторов. Регистрируйтесь ➡️ https://slc.tl/0kclb Больше мероприятий для ИТ-специалистов в канале @selectel_events. Подписывайтесь! Реклама. АО "Селектел". erid:2W5zFFwMZw7

White Hat
11 974
🖥 Книга «Фулстек JаvaScript» В книге рассматриваются практические аспекты fullstack-разработки на JavaScript, выходящие за р
🖥 Книга «Фулстек JаvaScript» В книге рассматриваются практические аспекты fullstack-разработки на JavaScript, выходящие за рамки базовых туториалов: от архитектуры клиент-серверного взаимодействия и управления состоянием до продвинутых паттернов проектирования, работы с асинхронностью, оптимизации производительности и безопасности. — Автор делает акцент на том, что действительно важно для разработчика среднего уровня: как принимать архитектурные решения, отлаживать сложные сценарии, работать с легаси-кодом, настраивать CI/CD и эффективно использовать экосистему.
Книга также затрагивает неочевидные «секреты»: типичные ошибки, подводные камни и подходы, которые помогают перейти от простого написания кода к осознанному проектированию надёжных и масштабируемых систем.
🎤 Книга #FullStack #JavaScript #CleanCode / White Hat / max.ru/kind_hack

White Hat
11 974
🤒 Kогда шаблонизатор путает данные с кодом | Server-Side Template Injection | От {{7*7}} до захвата сервера SSTI – недооценё
🤒 Kогда шаблонизатор путает данные с кодом | Server-Side Template Injection | От {{7*7}} до захвата сервера SSTI – недооценённый класс уязвимостей, который легко спутать с безобидной XSS: и там, и там пользовательский ввод попадает на страницу.
Точкой входа является любое место, где ввод попадает в шаблон: поля форм, wiki-разметка, письма, CMS.
— В данной статье мы разберем как найти инъекцию, по реакции сервера определить движок, дойти через его внутренние объекты до чтения файлов и выполнения команд, чем автоматизировать вроде Tplmap и где грань дозволенного при тестировании. 🎤 Чтиво #WebSecurity #SSTI #RCE / White Hat / max.ru/kind_hack

White Hat
11 974
❤️ Kак жить за счёт самой Windows LOLBAS – открытый справочник Оддвара Моэ и сообщества, каталогизирующий подписанные Microso
❤️ Kак жить за счёт самой Windows LOLBAS – открытый справочник Оддвара Моэ и сообщества, каталогизирующий подписанные Microsoft бинари, скрипты и библиотеки Windows с «незапланированной» функциональностью. — Зачем тащить свой малварь и палиться перед EDR, если нужное умеют штатные доверенные утилиты вроде certutil, bitsadmin, regsvr32 и mshta. Именно поэтому такие приёмы сливаются с обычной работой админа и почти не поднимают тревогу.
Что можно найти по каждому бинарю: — Скачивание и запуск чужого кода; — Обход UAC и белых списков приложений; — Кража учёток и дамп памяти процессов; — Закрепление и скрытие данных в потоках NTFS; — Привязка к MITRE ATT&CK и правила детекта.
🎤 Шпаргалка #LOLBins #Windows #RedTeam / White Hat / max.ru/kind_hack

White Hat
11 974
🤒 Oдин токен, ключ ко всему Microsoft 365 GraphRunner – набор инструментов на PowerShell от Бо Буллока из Black Hills для по
🤒 Oдин токен, ключ ко всему Microsoft 365 GraphRunner – набор инструментов на PowerShell от Бо Буллока из Black Hills для пост-эксплуатации Microsoft Entra ID и M365 через Graph API.
Graph – это невидимый API, на котором держатся Outlook, SharePoint, Teams и вся облачная идентичность.
— Получив один пользовательский токен, атакующий превращает его в отмычку ко всему тенанту и прочёсывает почту, файлы и чаты в поисках секретов. Большинству модулей даже не нужны права администратора. 🎤 Репозиторий #СloudSecurity #AzureAD #Pentest / White Hat / max.ru/kind_hack

White Hat
11 974
◼️ Одна звёздочка в конфиге Gitea превращает гостя в админа В Docker-образах Gitea до 1.26.2 нашли критическую ошибку конфигу
◼️ Одна звёздочка в конфиге Gitea превращает гостя в админа В Docker-образах Gitea до 1.26.2 нашли критическую ошибку конфигурации CVE с рейтингом 9.8: доверенным прокси по умолчанию стоит вайлдкард, и сервер верит заголовкам от кого угодно. — Механика обидно проста: раз прокси «доверяет всем», атакующий сам проставляет в HTTP-заголовке нужный внутренний IP и выдаёт себя за легитимного пользователя, поднимаясь до администратора без единого пароля. Звёздочка в настройке работает как универсальный пропуск, отпирающий любую дверь.
Sysdig зафиксировала первые попытки эксплуатации через 13 дней после раскрытия бага, причём с адреса сервиса анонимизации, пока это похоже на разведку, но окно для патча закрывается.
🎤 Чтиво #Gitea #Misconfig #Privesc / White Hat / max.ru/kind_hack

White Hat
11 974
🎯 Небезопасная десериализация | Как приложение собирает эксплойт из своих же деталей | ysoserial и phpggc Небезопасная десер
🎯 Небезопасная десериализация | Как приложение собирает эксплойт из своих же деталей | ysoserial и phpggc Небезопасная десериализация – недооценённый класс уязвимостей: снаружи это выглядит безобидно, приложение просто восстанавливает объект из строки или base64 в куке.
Но если данные пришли от пользователя без валидации, атакующий подсовывает «правильный мусор», и сервер сам, шаг за шагом, вызывает нужные методы — как машина Голдберга, собранная из легитимных классов приложения.
— В данной статье мы разберем как строится gadget chain, чем ysoserial выручает в Java, а phpggc в PHP, почему без исходников поиск гаджетов труден и где граница между тестом и реальным взломом. 🎤 Чтиво #Deserialization #RCE #Appsec / White Hat / max.ru/kind_hack

White Hat
11 974
📱 Вся операция на одной карте RedTeaming CheatSheet – открытый сборник команд и техник от пентестера Йони Схатса, который он
📱 Вся операция на одной карте RedTeaming CheatSheet – открытый сборник команд и техник от пентестера Йони Схатса, который он ведёт как личный конспект по наступательной безопасности. — По сути это маршрутная карта атаки, на каждой развилке, от разведки до закрепления в сети, уже лежит нужная команда, а рядом заметки по OPSEC, чтобы действия оператора не всплыли в логах защиты.
Внутри собрано всё по этапам: разведка, первичный доступ и фишинг, внушительный блок по Windows AD с перечислением, эскалацией привилегий, relaying и латеральным перемещением, отдельные разделы по облакам Azure и AWS, а также OPSEC для Cobalt Strike и методичка по перебору хешей в Hashcat.
🎤 Шпаргалка #ActiveDirectory #Pentest CheatSheet / White Hat / max.ru/kind_hack

White Hat
11 974
🤒 Книга «Базы данных. Инжиниринг надежности» Эта книга – не сухая теория о базах данных, а живое руководство по тому, как сд
🤒 Книга «Базы данных. Инжиниринг надежности» Эта книга – не сухая теория о базах данных, а живое руководство по тому, как сделать хранение данных по-настоящему надёжным в реальных условиях. — Вы узнаете, как выбирать между реляционными и NoSQL-решениями, настраивать репликацию и шардирование, проводить миграции без даунтайма и автоматизировать бэкапы так, чтобы они реально восстанавливались, когда это нужно.
Отдельный блок посвящён тому, как мониторить производительность, предсказывать узкие места, расследовать сбои и внедрять культуру post-mortem, превращая каждую ошибку в урок для всей команды.
🎤 Книга #IncidentManagement #Database #PostMortem / White Hat / max.ru/kind_hack

White Hat
11 974
⚔️ Атака через IPv6, о котором все забыли Mitm6 – пентест-инструмент Дирка-Яна Моллемы, который эксплуатирует то, что в Windo
⚔️ Атака через IPv6, о котором все забыли Mitm6 – пентест-инструмент Дирка-Яна Моллемы, который эксплуатирует то, что в Windows IPv6 включён по умолчанию, но сетью почти никто не управляет. — Это пустующее кресло за столом переговоров, mitm6 садится в него первым, отвечает на DHCPv6-запросы и объявляет себя DNS-сервером для IPv6, который Windows предпочитает поверх IPv4.
Что умеет: — Раздавать жертвам link-local IPv6 и подменять DNS-ответы; — Спуфить WPAD для сбора учёток; — Релеить аутентификацию по LDAP и SMB вплоть до создания аккаунта в домене; — Работать точечно по фильтрам с коротким TTL, чтобы не ронять сеть.
🎤 Репозиторий #NTLMrelay #ActiveDirectory #IPv6 / White Hat / max.ru/kind_hack

White Hat
11 974
🤒 Книга «Эффективный разговорный ИИ. Создаем чат-ботов, которые действительно работают» В данной книге авторы проходят весь
🤒 Книга «Эффективный разговорный ИИ. Создаем чат-ботов, которые действительно работают»
В данной книге авторы проходят весь путь создания диалогового ИИ – от идеи до продакшена.
— Вы узнаете, как проектировать сценарии, которые не раздражают пользователя, как обучать модели распознавать намерения и сущности, а также как управлять сложными диалогами с ветвлениями и контекстом. Отдельные главы посвящены оценке качества, интеграции с внешними системами и типичным ошибкам, которые превращают удобный интерфейс в источник фрустрации. 🎤 Чтиво #ConversationalAI #ContextualDialogs #DigitalAssistants / White Hat / max.ru/kind_hack

White Hat
11 974
🤒 Blind Eagle | APT-C-36 учится прятаться от аналитиков Группировка APT-C-36, она же Blind Eagle, известная фишингом против
🤒 Blind Eagle | APT-C-36 учится прятаться от аналитиков Группировка APT-C-36, она же Blind Eagle, известная фишингом против финансового сектора минимум с 2018 года, впервые добавила многоуровневую антивиртуализацию и тяжёлую обфускацию, серьёзно осложнив разбор в песочницах и ручной реверс. — Заражение стартует с письма и вложения SVG под тему колумбийского суда: внутри ссылка на Bitbucket и пароль к архиву с легитимным exe и тремя DLL.
Приём не нов по частям, но собранный вместе выводит Blind Eagle из ниши шумного фишинга в лигу групп, всерьёз затачивающихся под обход анализа.
🎤 Чтиво #APT #AntiVM #DLLsideloading / White Hat / max.ru/kind_hack

White Hat
11 974
☁️ HTTP Request Smuggling | Контрабанда запроса мимо фронтенда | CL.TE и TE.CL HTTP Request Smuggling – недооценённый класс в
☁️ HTTP Request Smuggling | Контрабанда запроса мимо фронтенда | CL.TE и TE.CL HTTP Request Smuggling – недооценённый класс веб-атак: кажется, что за длину запроса отвечает один общий стандарт, но фронтенд-прокси и бэкенд по-разному решают, где кончается один запрос и начинается следующий.
Корень – конфликт заголовков Content-Length и Transfer-Encoding: фронтенд верит одному, бэкенд другому, и атакующий склеивает свой запрос с началом чужого.
— На лабораторных PortSwigger разбирается, как возникает рассинхрон, чем различаются CL TE и TE CL, как раскрутить смаглинг до отравления кэша и перехвата чужих сессий и почему нормализация запросов на прокси закрывает дыру. 🎤 Чтиво #Websecurity #Smuggling #Appsec / White Hat / max.ru/kind_hack

White Hat
11 974
🤒 Oтмычки для железа и IoT HardwareAllTheThings – открытая шпаргалка по пентесту железа и IoT от Swissky, автора легендарног
🤒 Oтмычки для железа и IoT HardwareAllTheThings – открытая шпаргалка по пентесту железа и IoT от Swissky, автора легендарного PayloadsAllTheThings. Там, где софтовые чек-листы заканчиваются, начинается плата и эта вики продолжает: пейлоады и приёмы обхода для мира UART, SPI и JTAG, где работают не мышкой, а паяльником и логическим анализатором.
Что внутри: — Дамп прошивки по SPI через Bus Pirate и разбор образа на секреты; — Доступ к отладочным интерфейсам UART и JTAG; — Приёмы под конкретные гаджеты: Raspberry Pi, Bruschetta board, FTDI; — Обходы защит и подборки железа для домашней лаборатории.
🎤 Шпаргалка #Hardware #IoT #Pentest #CheatSheet / White Hat / max.ru/kind_hack

White Hat
11 974
💻 Логово Сфинкса - одно из самых активных ИБ-комьюнити во всём телеграме! Сам Сфинкс очень умелый молодой ИБ специалист И на
💻 Логово Сфинкса - одно из самых активных ИБ-комьюнити во всём телеграме! Сам Сфинкс очень умелый молодой ИБ специалист И на своём канале он освещает такие темы, как: — атаки на актив директори — атаки на инфру — обход различных средств защиты и фишинг — C2 Фреймворки — И много опыта из жизни и работы Посуди сам: 🐈‍⬛ Дорожная карта со стажёра до мидла 🐈‍⬛ О важности методологии в ИБ 🐈‍⬛ Переиграли мошенника и угнали его акк Так же он помогает своим подписчикам обучиться ИБ и грамотно войти в профессию не тратясь на бесполезные курсы Подпишись чтобы стать классным спецом👍

White Hat
11 974
🔸 Книга «Строим LLM с нуля» В книге Себастьян Рашка предлагает практическое пошаговое руководство по созданию собственной яз
🔸 Книга «Строим LLM с нуля» В книге Себастьян Рашка предлагает практическое пошаговое руководство по созданию собственной языковой модели с нуля на PyTorch, начиная с основ архитектуры трансформеров, механизма внимания и токенизации. — Мы последовательно пройдем все этапы: реализуете модель, обучите её на текстовом корпусе, настроите гиперпараметры, а затем освоите методы тонкой настройки, включая инструкционное обучение и применение для генерации текста.
Книга даёт не только теорию, но и готовый, объяснённый код, позволяя буквально собрать работающую LLM на своём компьютере и понять её внутреннее устройство до уровня байтов.
🎤 Книга #PyTorch #MachineLearning #DeepLearning / White Hat / max.ru/kind_hack