3 декабря 2025 года критическая уязвимость в серверных компонентах React потрясла сообщество веб-разработчиков. Была обнаружена уязвимость React2Shell/React4Shell с оценкой CVSS 10.0, что является максимальным баллом для уязвимостей.
React2Shell - это ошибка десериализации в процессе, когда RSC восстанавливают серверные данные из полезной нагрузки (payload) Flight.
— В этой статье подробно разбирается, что и почему произошло, а также как незначительное, на первый взгляд, проектное решение в протоколе React Flight превратилось в одну из самых серьезных уязвимостей React в 2025 году.
Мы также обсудим, как защитить себя и как эта уязвимость подчеркивает важнейшие принципы безопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Когда кажется, что в браузерах уже нечему удивлять, кто то берет и возвращает интернет в терминал.
Только не как в эпоху Lynx с голым текстом, а с полноценной графикой и современными сайтами, которые реально выглядят как «обычный» браузер.
Проект называется brow6el, и он целиком работает внутри терминального окна, если ваш эмулятор терминала умеет показывать графику в формате Sixel.
— Секрет в том, что Sixel это способ рисовать растровые картинки прямо в терминале через управляющие последовательности, по сути из «плиток» символов, где каждая кодирует узкую колонку пикселей.
Please open Telegram to view this post
VIEW IN TELEGRAM
Wristkey
Это бесплатное и открытое приложение для двухфакторной аутентификации (2FA), разработанное для смарт-часов на базе Wear OS.
Приложение позволяет генерировать одноразовые пароли (OTP) непосредственно на смарт-часах, обеспечивая дополнительный уровень безопасности при входе в учетные записи.
Wristkey функционирует автономно, не требуя постоянного подключения к смартфону или интернету для генерации кодов.
Приложение поддерживает стандартные протоколы TOTP и HOTP, что делает его совместимым с большинством сервисов, использующих двухфакторную аутентификацию.
Lang: Kotlin
https://github.com/0x4f53/Wristkey
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
Это бесплатное и открытое приложение для двухфакторной аутентификации (2FA), разработанное для смарт-часов на базе Wear OS.
Приложение позволяет генерировать одноразовые пароли (OTP) непосредственно на смарт-часах, обеспечивая дополнительный уровень безопасности при входе в учетные записи.
Wristkey функционирует автономно, не требуя постоянного подключения к смартфону или интернету для генерации кодов.
Приложение поддерживает стандартные протоколы TOTP и HOTP, что делает его совместимым с большинством сервисов, использующих двухфакторную аутентификацию.
Lang: Kotlin
https://github.com/0x4f53/Wristkey
================
Please open Telegram to view this post
VIEW IN TELEGRAM
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
Утёкший промпт для Claude Code
https://github.com/x1xhlol/system-prompts-and-models-of-ai-tools/blob/main/Anthropic/Claude%20Code/Prompt.txt
https://github.com/x1xhlol/system-prompts-and-models-of-ai-tools/blob/main/Anthropic/Claude%20Code/Prompt.txt
GitHub
system-prompts-and-models-of-ai-tools/Anthropic/Claude Code/Prompt.txt at main · x1xhlol/system-prompts-and-models-of-ai-tools
FULL Augment Code, Claude Code, Cluely, CodeBuddy, Comet, Cursor, Devin AI, Junie, Kiro, Leap.new, Lovable, Manus, NotionAI, Orchids.app, Perplexity, Poke, Qoder, Replit, Same.dev, Trae, Traycer AI...
Как Nintendo выманила и посадила главного взломщика их приставок.
Смотрите какой старичок зашел с проблемой в ПО.
Если кто не знает это лого одних из самых первых чипов для взлома консолей Nintendo switch разработанные группой team Xecuter.
Герри Боузер - так зовут одного из главных членов команды team Xecuter. Именно он ответственен за разработку и наладку массового производства подобных чипов.
Естественно, такое положение дел не могло понравиться компании Нинтендо. Да так сильно не понравилось, что Нинтендо пришлось договариваться с властями США, чтобы они в свою очередь договорились с властями Доминиканы, где скрывался Гарри, для его поимки и экстрадиции.
По итогу поимка прошла успешно. Гарри был экстрадирован и приговорен к 40 месяцам тюремного заключения и штрафу в 14,5 млн. долларов. Изначально следствие просило 5 лет, но юристам удалось скостить срок.
Смотрите какой старичок зашел с проблемой в ПО.
Если кто не знает это лого одних из самых первых чипов для взлома консолей Nintendo switch разработанные группой team Xecuter.
Герри Боузер - так зовут одного из главных членов команды team Xecuter. Именно он ответственен за разработку и наладку массового производства подобных чипов.
Естественно, такое положение дел не могло понравиться компании Нинтендо. Да так сильно не понравилось, что Нинтендо пришлось договариваться с властями США, чтобы они в свою очередь договорились с властями Доминиканы, где скрывался Гарри, для его поимки и экстрадиции.
По итогу поимка прошла успешно. Гарри был экстрадирован и приговорен к 40 месяцам тюремного заключения и штрафу в 14,5 млн. долларов. Изначально следствие просило 5 лет, но юристам удалось скостить срок.
Платить или не платить выкуп? Статистика, которую нужно знать
Внимание: только 16% заплативших полностью восстановили данные. Это означает, что в 84% случаев оплата не решает проблему. Ключи расшифрования работают медленно, часть файлов повреждена, некоторые системы приходится восстанавливать из бэкапов всё равно.
А какие у вас были случаи с криптолокерами и вымогателями?
Внимание: только 16% заплативших полностью восстановили данные. Это означает, что в 84% случаев оплата не решает проблему. Ключи расшифрования работают медленно, часть файлов повреждена, некоторые системы приходится восстанавливать из бэкапов всё равно.
А какие у вас были случаи с криптолокерами и вымогателями?
Forwarded from Чёрный Треугольник
This media is not supported in your browser
VIEW IN TELEGRAM
☝🏻Японский разработчик создал вирусное приложение, которое заставляет экран MacBook "выплывать" за пределы корпуса
Концепция быстро разлетелась по социальным сетям, собирая тысячи репостов от удивлённых пользователей.
Технически это реализовано через управление позиционированием окон, настройку прозрачности, получение данных со встроенной камеры и грамотную работу с перспективой — никакого специального оборудования не требуется, только программный трюк для macOS.
Когда вы двигаете головой, картинка "реагирует" на ваше положение, и возникает иллюзия, что обои или элементы интерфейса буквально парят над физической рамкой дисплея, выходя за границы экрана.
================
💎 мMм | 👁 Soft | 👁 Gear | 🌐 Links
Концепция быстро разлетелась по социальным сетям, собирая тысячи репостов от удивлённых пользователей.
Технически это реализовано через управление позиционированием окон, настройку прозрачности, получение данных со встроенной камеры и грамотную работу с перспективой — никакого специального оборудования не требуется, только программный трюк для macOS.
Когда вы двигаете головой, картинка "реагирует" на ваше положение, и возникает иллюзия, что обои или элементы интерфейса буквально парят над физической рамкой дисплея, выходя за границы экрана.
================
Please open Telegram to view this post
VIEW IN TELEGRAM
🖥 Репозиторий: Raccoon — инструмент наступательной безопасности для разведки и сканирования уязвимостей
Raccoon — это инструмент для автоматизации процесса поиска уязвимостей в веб-приложениях, который помогает специалистам по безопасности выявлять и эксплуатировать слабые места в приложениях
— Он предлагает функции для сканирования, анализа и эксплуатации уязвимостей, таких как инъекции и ошибки в аутентификации.
Raccoon использует современный подход к обнаружению уязвимостей и поддерживает различные методы, включая сканирование по словарям и автоматизированное тестирование.
⏺ Ссылка на GitHub (https://github.com/evyatarmeged/Raccoon)
#WebSecurity #PenTesting #Linux #VulnerabilityDetection #OpenSource
Raccoon — это инструмент для автоматизации процесса поиска уязвимостей в веб-приложениях, который помогает специалистам по безопасности выявлять и эксплуатировать слабые места в приложениях
— Он предлагает функции для сканирования, анализа и эксплуатации уязвимостей, таких как инъекции и ошибки в аутентификации.
Raccoon использует современный подход к обнаружению уязвимостей и поддерживает различные методы, включая сканирование по словарям и автоматизированное тестирование.
⏺ Ссылка на GitHub (https://github.com/evyatarmeged/Raccoon)
#WebSecurity #PenTesting #Linux #VulnerabilityDetection #OpenSource
🖥 Репозиторий: SSLstrip — инструмент проведения MITM-атак
SSLstrip — инструмент, который реализует атаку «человек посередине» (MITM) на HTTPS.
— Он незаметно перехватывает HTTP-трафик в сети, следит за HTTPS-ссылками и редиректами, а затем сопоставляет эти ссылки их HTTP-двойникам или омографически сходным HTTPS-ссылкам.
Принцип работы:
Злоумышленник занимает позицию между пользователем и предполагаемым веб-сайтом (обычно через незащищённую публичную сеть) и перехватывает начальный HTTPS-запрос пользователя
Вместо того чтобы позволить браузеру установить безопасное соединение по протоколу HTTPS, злоумышленник перенаправляет запрос на версию сайта, обслуживаемую по протоколу HTTP. (https://www.ssldragon.com/ru/blog/ssl-stripping/)
В результате злоумышленник нарушает безопасное рукопожатие, которое обычно устанавливает шифрование между браузером и веб-сайтом
⏺ Ссылка на GitHub (https://github.com/moxie0/sslstrip)
#Attack #MITM #SSL #HTTP #Network #Python
SSLstrip — инструмент, который реализует атаку «человек посередине» (MITM) на HTTPS.
— Он незаметно перехватывает HTTP-трафик в сети, следит за HTTPS-ссылками и редиректами, а затем сопоставляет эти ссылки их HTTP-двойникам или омографически сходным HTTPS-ссылкам.
Принцип работы:
Злоумышленник занимает позицию между пользователем и предполагаемым веб-сайтом (обычно через незащищённую публичную сеть) и перехватывает начальный HTTPS-запрос пользователя
Вместо того чтобы позволить браузеру установить безопасное соединение по протоколу HTTPS, злоумышленник перенаправляет запрос на версию сайта, обслуживаемую по протоколу HTTP. (https://www.ssldragon.com/ru/blog/ssl-stripping/)
В результате злоумышленник нарушает безопасное рукопожатие, которое обычно устанавливает шифрование между браузером и веб-сайтом
⏺ Ссылка на GitHub (https://github.com/moxie0/sslstrip)
#Attack #MITM #SSL #HTTP #Network #Python
Forwarded from Похек (Сергей Зыбнев)
MacSync Stealer: Как подписанное Apple приложение обходит Gatekeeper
#macos #malware #stealer #gatekeeper #cybersecurity
➡️ Как это работает?
Вредонос распространяется под видом установщика мессенджера
1. Обход Gatekeeper: Приложение подписано легитимным (уже отозванным) Apple Developer ID (GNJLS3UYZ4) и нотариально заверено. Gatekeeper видит валидную подпись и не показывает никаких страшных окон. Пользователь спокоен.
2. Загрузка полезной нагрузки: После запуска приложение, написанное на Swift, проверяет доступ в интернет и незаметно скачивает с C2-сервера (
3. Исполнение: Скрипт сохраняется в
❗️ Эволюция угрозы
Раньше подобные стиллеры требовали от пользователя ручных действий (перетащить скрипт в терминал, вставить команду). Теперь всё автоматизировано. Это показывает, что авторы малвари становятся хитрее и профессиональнее. А с приходом AI атаки становятся проще, масштабнее и иногда быстрее.
😉 Apple уже отозвала сертификат, но это не мешает атакующим получить новый и повторить атаку. Техника остаётся рабочей.
🔗 Источник
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#macos #malware #stealer #gatekeeper #cybersecurity
Думали, что Gatekeeper и нотаризация Apple — это непробиваемая стена? Как бы не так. Новый вариант стилера MacSync показывает, что даже "проверенное" приложение может оказаться трояном, который система macOS с радостью пропустит без единого предупреждения.
Вредонос распространяется под видом установщика мессенджера
zk-call-messenger-installer-3.9.2-lts.dmg. Жертва скачивает, монтирует образ и запускает приложение. И тут начинается самое интересное:1. Обход Gatekeeper: Приложение подписано легитимным (уже отозванным) Apple Developer ID (GNJLS3UYZ4) и нотариально заверено. Gatekeeper видит валидную подпись и не показывает никаких страшных окон. Пользователь спокоен.
2. Загрузка полезной нагрузки: После запуска приложение, написанное на Swift, проверяет доступ в интернет и незаметно скачивает с C2-сервера (
gatemaden.space) вторую стадию — обфусцированный zsh-скрипт.3. Исполнение: Скрипт сохраняется в
/tmp/runner, с него снимается атрибут карантина, и он запускается. Этот скрипт — и есть сам стилер, который работает в памяти, воруя пароли, куки и данные из Keychain.Раньше подобные стиллеры требовали от пользователя ручных действий (перетащить скрипт в терминал, вставить команду). Теперь всё автоматизировано. Это показывает, что авторы малвари становятся хитрее и профессиональнее. А с приходом AI атаки становятся проще, масштабнее и иногда быстрее.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from overbafer1
На CES 2026 выкатили гаджет, который делает первый шаг к реальной киборгизации. SwitchBot AI MindClip - внешний жесткий диск для вашей дырявой памяти.
🛠 Суть проста: Невесомая клипса (18 г) висит на одежде и нон-стоп пишет всё вокруг: рабочие созвоны, пьяные разговоры на кухне и ваши мысли вслух.
ИИ на лету переваривает 100+ языков, транскрибирует аудио и складывает всё в личную базу данных с умным поиском.
Симбиоз с ИИ уже начался
@overbafer1
Please open Telegram to view this post
VIEW IN TELEGRAM
Групповые политики Active Directory.pdf
571.4 KB
• Групповые политики — инструмент, позволяющий системным администраторам управлять настройками клиентских систем в домене. В этих заметках содержится информация по поиску и эксплуатации уязвимостей в групповых политиках (GPO) AD. Сохраняйте в закладки и берите на вооружение.
#AD #Пентест
Please open Telegram to view this post
VIEW IN TELEGRAM
WEF
Wi-Fi Exploitation Framework (WEF) — это инструмент для аудита и тестирования безопасности Wi-Fi сетей.
Он предоставляет возможности для анализа уязвимостей, проведения атак и оценки защиты беспроводных сетей.
Разработан с целью помочь специалистам по безопасности выявлять и устранять потенциальные угрозы в Wi-Fi инфраструктуре.
Lang: Shell
https://github.com/D3Ext/WEF
================
👁 News | 👁 Soft | 👁 Gear | 👁 Links
Wi-Fi Exploitation Framework (WEF) — это инструмент для аудита и тестирования безопасности Wi-Fi сетей.
Он предоставляет возможности для анализа уязвимостей, проведения атак и оценки защиты беспроводных сетей.
Разработан с целью помочь специалистам по безопасности выявлять и устранять потенциальные угрозы в Wi-Fi инфраструктуре.
Lang: Shell
https://github.com/D3Ext/WEF
================
Please open Telegram to view this post
VIEW IN TELEGRAM
🖥 Репозиторий: SELinux — инструмент безопасности в Linux
SELinux (Security-Enhanced Linux) — это механизм контроля доступа с политиками безопасности, встроенный в ядро Linux.
— Он обеспечивает жесткий контроль за доступом процессов и пользователей к ресурсам системы, значительно повышая уровень безопасности.
SELinux был разработан Агентством национальной безопасности США (NSA) и интегрирован в большинство современных дистрибутивов Linux (Red Hat, CentOS, Fedora, Debian и др.).
Основные возможности SELinux:
⏺Использование политик Mandatory Access Control (MAC), которые ограничивают привилегии приложений даже от имени root
⏺Разграничение прав доступа к файлам, процессам, портам и другим ресурсам
⏺Позволяет предотвратить атаки типа escalation of privileges и ограничить возможный ущерб от скомпрометированных программ
⏺ Ссылка на GitHub (https://github.com/SELinuxProject/selinux)
#Linux #Kernel #AccessControl #SELinux
SELinux (Security-Enhanced Linux) — это механизм контроля доступа с политиками безопасности, встроенный в ядро Linux.
— Он обеспечивает жесткий контроль за доступом процессов и пользователей к ресурсам системы, значительно повышая уровень безопасности.
SELinux был разработан Агентством национальной безопасности США (NSA) и интегрирован в большинство современных дистрибутивов Linux (Red Hat, CentOS, Fedora, Debian и др.).
Основные возможности SELinux:
⏺Использование политик Mandatory Access Control (MAC), которые ограничивают привилегии приложений даже от имени root
⏺Разграничение прав доступа к файлам, процессам, портам и другим ресурсам
⏺Позволяет предотвратить атаки типа escalation of privileges и ограничить возможный ущерб от скомпрометированных программ
⏺ Ссылка на GitHub (https://github.com/SELinuxProject/selinux)
#Linux #Kernel #AccessControl #SELinux
Linux Exploit Suggester — скрипт на Python, который анализирует конфигурацию и версию ядра Linux, а также системные библиотеки, чтобы подобрать возможные известные эксплоиты для эскалации привилегий.
Помогает быстро выявлять потенциальные уязвимости локального окружения.
— Инструмент использует обновляемую базу известных уязвимостей, облегчая поиск эксплойтов, применимых к конкретной версии ядра и установленным компонентам системы.
#Linux #Pentest #Exploit #PrivilegeEscalation #Python
Please open Telegram to view this post
VIEW IN TELEGRAM
— Она включает в себя команды для работы с сетью, образами, дисками, реестрами, контейнерами и многое другое
На русском языке!
Please open Telegram to view this post
VIEW IN TELEGRAM