🥸 Фреймворк для масштабной сетевой разведки и анализа поверхности атаки

IVRE (Instrument de Veille et de Réponse aux Événements) – это твой личный аналог Shodan или Censys, мощная аналитическая платформа для инвентаризации и визуализации сетевых активов.

— Объединяет результаты активного сканирования (Nmap, ZMap) и пассивного анализа трафика (Zeek/Bro) в единую базу данных MongoDB, позволяя строить детальные карты сетей, отслеживать изменения в инфраструктуре и находить уязвимые устройства в глобальном или локальном масштабе.

Репозиторий на GitHub – линк.

🙇 404 Not Found

📰 iOS App Reverse Engineering

Книга построена по принципу «теория — практика — теория — практика» и состоит из четырёх частей, которые последовательно ведут читателя от основ к реальным кейсам реверс‑инжиниринга iOS‑приложений.

Книга подойдёт:
⏺iOS‑разработчикам, желающим понять уязвимости своих приложений;
⏺пентестерам и специалистам по кибербезопасности, изучающим анализ мобильных угроз;
⏺исследователям и энтузиастам, интересующимся внутренней работой iOS;
⏺реверс‑инженерам с опытом на других платформах, осваивающим iOS.

Книга в Max – линк.

🙇 404 Not Found

⚡️Теперь криптой можно пользоваться в обычной жизни без обменников и P2P⚡️

🌟PGON Wallet позволяет быстро и без лишних сервисов:
🛒 платить по QR СБП
💱 покупать крипту за рубли
🛫 выводить на карту и по СБП
🐸 продавать Telegram-подарки
💳 выпустить виртуальную зарубежную карту

Деньги при выводе приходят от юрлица, а не от случайных физлиц.Для банка это выглядит как перевод между вашими личными счетами и считается полностью законным.

Пополнение: 🌟 криптой 0% • 🐸 подарками 0% • 🌟 QR СБП (пополнение и оплата) 3% • 💸 вывод СБП 3,5%

🌟Оцените сами: @PGON

🌟🌟🌟🌟🌟🌟

☁ Взломать правительственное облако США? Легко. Просто зайдите на GitHub и скачайте папку с паролями

Американское Агентство по кибербезопасности и защите инфраструктуры оказалось в центре крупной утечки. Подрядчик ведомства держал в открытом доступе на GitHub закрытый архив с паролями, ключами доступа и внутренними файлами CISA.

— По словам специалистов, утечка затронула учетные данные для высоко привилегированных учетных записей AWS GovCloud и десятков внутренних систем агентства.

Открытый репозиторий назывался Private-CISA. Его обнаружила компания GitGuardian, которая ищет опубликованные в открытом коде секреты и предупреждает владельцев учетных записей. Специалист GitGuardian Гийом Валадон сообщил, что владелец репозитория не отвечал на уведомления, а найденные данные выглядели крайне чувствительными.

Новость на Habr – линк.

🙇 404 Not Found

🤠 Что такое I2P сеть: чем отличается от Tor и зачем нужна

I2P часто называют альтернативой Tor, но сходство ограничивается общей идеей анонимной маршрутизации.

I2P, или Invisible Internet Project, работает как анонимная overlay-сеть поверх обычного интернета.
Tor чаще используют как защищённый маршрут к внешним сайтам.

— I2P и Tor закрывают разные задачи. Tor удобнее для приватного выхода к внешним сайтам и .onion-сервисам. I2P лучше подходит для .i2p-ресурсов, внутренних сообществ и сервисов, которым не нужен выход в публичный интернет.

Статья на SecurityLab – линк.

🙇 404 Not Found

🗺 Скрипт для полной автоматизации аудита беспроводных сетей

Wifite2 – это обновленный и полностью переписанный на Python инструмент, который автоматизирует процесс тестирования безопасности Wi-Fi сетей (WPA/WPA2/WEP и WPS).

— Скрипт самостоятельно управляет сторонними утилитами (Aircrack-ng, Reaver, Bully, Pixiewps, Hashcat), находит доступные цели, захватывает PMKID/Handshake и проводит атаки в автоматическом режиме по принципу «запустил и забыл».

Репозиторий на GitHub – линк.

🙇 404 Not Found

📢 OWASP Mobile Application Security Checklist

Инструмент для оценки безопасности мобильных приложений, основанный на стандартах OWASP (Open Web Application Security Project).

Он помогает систематизировать проверку ключевых аспектов безопасности и обеспечивает соответствие отраслевым требованиям.

— Документы содержат детальные рекомендации и чек-листы для разработчиков и специалистов по безопасности.

Книга в Max – линк.

🙇 404 Not Found

👏 Microsoft конфисковала домен сервиса, который использовался для подписи вредоносного ПО

Специалисты Microsoft сообщили о ликвидации крупного сервиса, который использовался преступниками для подписания малвари (malware-signing-as-a-service, MSaaS) и позволял маскировать вредоносное ПО под легитимные приложения.

— Платформа signspace[.]cloud злоупотребляла облачным сервисом Artifact Signing (ранее Azure Trusted Signing), предназначенным для подписания программного обеспечения.

Новость на Xakep – линк.

🙇 404 Not Found

🔪 UEFI буткит и защита Secure Boot: разбор BlackLotus, CosmicStrand и атак на цепочку загрузки

Привыкли работать на уровне ring 0? BlackLotus обходит Secure Boot на полностью обновлённой Windows 11, а CosmicStrand прописывается в SPI-флеше материнской платы – переустановка ОС и замена диска ему безразличны. Persistence ниже всего, что ты привык мониторить.

Разбираем boot flow от SEC до TSL, точки внедрения в цепочку загрузки, механику CVE-2022-21894 и почему патч Microsoft не помог.

— Плюс практика: CHIPSEC, UEFITool, мониторинг ESP и TPM attestation – с командами из реального стенда.

Статья на Codeby – линк.

🙇 404 Not Found

🔥 Pentest Award 2026: Ежегодная премия для пентестеров

Система всегда была для нас полем битвы. Ты привык работать в тени, разбирая инфраструктуры на атомы и находя те лазейки, которые другие пропустили. Но иногда стоит выйти на свет, чтобы заявить о себе.

Pentest Award 2026 открыл прием заявок.

Что на кону?
За первое место – заветная статуэтка и новенький MacBook.
За вторые и третьи места – iPhone и смарт-часы.

Никто не просит тебя сливать эксплоиты или нарушать NDA. Заявка – это история твоего самого элегантного проекта в свободной форме. Ты можешь остаться анонимным, скрыть все чувствительные детали и цепочки. Важна сама идея: как ты мыслил, как обошел защиту и какой уникальный вектор атаки придумал.

Церемония награждения пройдет 14 августа на Красном Октябре. Место, где соберутся те, кто действительно понимает цену безопасности.

Регистрация на премию – линк.

🙇 404 Not Found

👋 Фреймворк для пост-эксплуатации с шифрованным C2-каналом на основе Chisel и Cloudflare

Chisel-Strike – это инструмент для пост-эксплуатационного доступа, использующий Chisel для создания зашифрованного туннеля и Cloudflare для обхода сетевых ограничений и маскировки трафика.

— Автоматизирует развертывание C2-инфраструктуры, генерирует полезные нагрузки и обеспечивает устойчивое подключение к целевой системе с минимальным количеством логов.

Репозиторий на GitHub – линк.

🙇 404 Not Found

👏 Hacking Exposed Industrial Control Systems: ICS and Scada Security Secrets and Solutions

Практическое руководство по защите промышленных систем управления (ICS) и систем сбора данных (SCADA) от кибератак.

— Книга написана в стиле серии Hacking Exposed и предназначена для специалистов по кибербезопасности, инженеров и всех, кто работает с критическими инфраструктурами. 

Книга в Max – линк.

🙇 404 Not Found

😉 Как узнать SSID скрытой точки доступа Wi-Fi

При проведении тестирования на проникновения вы можете столкнутся со скрытой точкой доступа.

В таких ситуация необходимо определить SSID точки доступа.

— В сегодняшней статье мы рассмотрим, как узнать скрытый SSID точки доступа WiFi.

Статья на SPY-SOFT – линк.

🙇 404 Not Found

🔥 Обширная коллекция полезных инструментов, скриптов и ресурсов по информационной безопасности

Infosec – это обширный сборник ресурсов и инструментов для специалистов по кибербезопасности, пентестеров, исследователей и всех, кто интересуется вопросами ИБ, служащий единой точкой доступа к актуальной информации и практическим решениям.

— Содержит скрипты, чит-листы, шаблоны, ссылки на инструменты и документацию, охватывая широкий спектр доменов ИБ: от тестирования на проникновение и анализа вредоносного ПО до облачной безопасности, OSINT и Active Directory.

Репозиторий на GitHub – линк.

🙇 404 Not Found

📰 The Ghidra Book: The Definitive Guide (Chris Eagle, Kara Nance)

Ghidra – это мощный инструмент реверса от АНБ, который изменил правила игры.

Если ты решил заниматься реверс-инжинирингом всерьез, эта книга станет твоей инструкцией по эксплуатации.

— От основ интерфейса до написания скриптов автоматизации и анализа сложных бинарных файлов.

Книга в Max – линк.

🙇 404 Not Found

☎️ У веб-сайтов появился новый способ слежки за посетителями — анализ активности их SSD-накопителей

Сайты получили еще один скрытый способ следить за посетителями.

Для этого не нужны камера, микрофон или вредоносное расширение. Достаточно обычного кода на JavaScript, который замечает едва уловимые задержки в работе твердотельного накопителя.
Новый метод получил название FROST, или fingerprinting remotely using OPFS-based SSD timing.

— Специалисты показали, что сайт может по активности накопителя понять, какие другие сайты открыты у пользователя, в том числе в другом браузере, а также какие приложения запущены на устройстве.

Новость на SecurityLab – линк.

🙇 404 Not Found

🔪 Обзор публичного облака NGENIX: единого решения для защиты и ускорения сайтов и приложений

Российские веб-ресурсы постоянно находятся под давлением, что требует ужесточения мер ИБ. Однако пожертвовать их быстродействием и доступностью недопустимо.

— В этом случае следует использовать «Публичное облако NGENIX», которое обеспечивает защиту без потери производительности.

Статья на Anti-Malware – линк.

🙇 404 Not Found

🔍 Специализированная виртуальная среда для анализа безопасности и реверс-инжиниринга Android-приложений

Androl4b – это готовая к использованию виртуальная машина на базе Ubuntu, предназначенная для тестирования на проникновение, анализа вредоносного ПО и проведения криминалистических исследований мобильной платформы Android.

— Содержит внушительный набор предустановленных инструментов (таких как Bytecode Viewer, Jadx, Apktool, MobSF, Frida и другие), а также коллекции образцов вредоносного кода и уязвимых приложений для обучения и практики.

Репозиторий на GitHub – линк.

🙇 404 Not Found

👏 Web Hacking Arsenal: A Practical Guide to Modern WebPentesting

Книга эксперта по кибербезопасности Rafay Baloch, посвящённая тестированию веб-приложений на уязвимости.

Это практическое руководство по пентестингу веб-приложений, которое сочетает теорию и реальныекейсы.

— Автор делает акцент на современных угрозах итехниках, актуальных для 2020-х годов, а не наустаревших симуляциях.

Книга в Max – линк.

🙇 404 Not Found

😖 Обход блокировок внутри iOS-приложения: VLESS + Reality через sing-box, и грабли по дороге

Мы делаем мессенджер. Весной 2026 наш бэкенд начал отваливаться у части пользователей из России: HTTPS-запросы к API таймаутятся, WebSocket не поднимается. Картина знакомая всем, кто держит сервис с одним доменом и одним IP.

Для мессенджера это приговор. Не «неудобно», а именно приговор: приложение, которое не может даже подключиться, бесполезно.

— В статье разберем, почему автор в итоге встроили обход прямо в приложение, на чём он работает и на какие грабли они наступили. Без маркетинга, по делу.

Статья на Habr – линк.

🙇 404 Not Found

🔪 Инструмент для извлечения и расшифровки сохраненных паролей TeamViewer

DecryptTeamViewer – это специализированная утилита для восстановления, извлечения и дешифрования паролей доступа, хранящихся в конфигурационных файлах или реестре популярного ПО для удаленного управления TeamViewer.

— Автоматически находит зашифрованные ключи в реестре Windows (такие как SecurityPasswordAES или OptionsPasswordAES) и расшифровывает их с помощью известных алгоритмов и статических ключей, помогая специалистам по форензике и пентестерам в аудите систем.

Репозиторий на GitHub – линк.

🙇 404 Not Found