📎 Инструмент недели: Trivy

Один инструмент для поиска всего: уязвимостей в контейнерах, секретов в коде, misconfigurations в Kubernetes и IaC. Сканирует образы, файлы, репозитории и даже целые кластеры.

➡️ Что умеет:

— Находит CVE в OS-пакетах и зависимостях (Python, Node.js, Java, Go и ещё 20+ языков)

— Генерирует SBOM (CycloneDX, SPDX) для supply chain security

— Ловит секреты (API keys, tokens, credentials) в коде и образах

— Проверяет IaC на ошибки конфигурации (Terraform, K8s YAML, Dockerfiles)

— Сканирует Kubernetes кластеры и генерирует KBOM

— Работает локально, в CI/CD, интегрируется с GitHub Security, Harbor, GitLab

➡️ Пример запуска:

# Проверить Docker-образ
trivy image nginx:latest

# Сгенерировать SBOM
trivy image --format cyclonedx -o sbom.json myapp:latest

# Найти секреты в репозитории
trivy fs --scanners secret ./

# Проверить Kubernetes кластер
trivy k8s cluster

💡 Зачем нужно:

DevSecOps без боли. Вместо десятка разных инструментов — один Trivy. Быстрый (секунды), точный (низкий false-positive), бесплатный. Один скан → видишь все риски: от outdated библиотек до hardcoded паролей.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

🔐 Secrets Scanning

🕵️ TruffleHog:

— Сканит Git историю, Docker образы, S3, файловые системы
— 800+ детекторов секретов с верификацией
— Находит токены AWS, GitHub, API ключи с проверкой валидности
— Интеграция в CI/CD, pre-commit hooks
— Но: много false-positive без точной настройки

🔍 Gitleaks:

— Легковесный, быстрый (Go)
— Кастомные regex правила
— SARIF отчеты для DevOps
— Меньше жрет ресурсов
— Но: нет автоматической верификации найденных секретов

❓ Чем ловите утёкшие токены:

❤️ — TruffleHog
🔥 — Gitleaks

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#tool_vs_tool

📎 Инструмент недели: AltSendme

Быстрые P2P-передачи без облаков и без регистрации. AltSendme — открытый инструмент, который отправляет файлы напрямую между устройствами, шифруя всё по пути.

➡️ Что умеет:

— Прямое P2P без хранения на серверах
— E2E-шифрование (QUIC + TLS 1.3 + BLAKE3)
— Работает в локалке и через интернет
— Любые файлы и папки, без лимитов
— Возобновление прерванных загрузок
— Очень быстро — до многогигабитных скоростей
— Нет аккаунтов, логов и трекинга
— Есть CLI и готовые билды под Win/macOS/Linux

➡️ CLI пример:

# Отправить файл
sendme send ./video.mp4

# Получить файл по коду
sendme receive ABC-123

# Передать директорию
sendme send ./project

➡️ Зачем нужно:

Чтобы передавать большие файлы быстро, приватно и без зависания на облаках. Идеально для разработчиков и тех, кто ценит безопасность.

🔗 Ссылка на GitHub

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#tool_of_the_week

⚡️ Быстрый опрос для пентестеров

Кастомные скрипты для атак — вы:

❤️ — Пишу постоянно (почти каждый проект)
👍 — Пишу иногда (когда тулзы не подходят)
👾 — Писал пару раз (в основном готовые)
🔥 — Никогда не писал (зачем, если есть Metasploit?)

Интересно, сколько реально кодят vs просто запускают готовое.

🤌 Бонусы для подписчиков:
— Скидка 40% на все курсы Академии
— Розыгрыш Apple MacBook
— Бесплатный тест на знание математики

🐸 Библиотека хакера

#tool_vs_tool

📎 Magic Wormhole

Утилита для безопасной передачи файлов и текстовых сообщений между устройствами, используя одноразовый код. Она ориентирована на простоту, безопасность и независимость от облачных сервисов.

🔤 Что умеет:
— Прямой обмен через зашифрованный канал (P2P там, где возможно).
— Одноразовые коды для установления соединения — обеспечивает безопасность без предварительных настроек.
— E2E-шифрование на базе PAKE-протокола SPAKE2.
— Минимальная зависимость от инфраструктуры — только координационный сервер.
— Работа через NAT и межсетевые барьеры.
— CLI-интерфейс под все основные ОС.
— Передача файлов, директорий и текстовых сообщений.

🔤 Пример CLI:

# Отправить файл
wormhole send ./archive.zip

# Получить файл по коду
wormhole receive 7-horse-battery

# Отправить текст
wormhole send --text "Секретное сообщение"

🔤 Где полезен:

— Передача файлов между рабочими машинами без облаков.
— Безопасные одноразовые пересылки данных.
— Быстрый обмен внутри команды без поднятия серверов.

🔗 Ссылка на GitHub

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#tool_of_the_week

📎 365-Stealer

Инструмент для безопасной симуляции Illicit Consent Grant Attack в Microsoft 365. Показывает, что произойдёт, если пользователь согласится на вредоносное OAuth-приложение.

🔤 Что умеет:

— Моделирует фишинговый запрос OAuth-разрешений.
— Демонстрирует, какие данные может получить злоумышленник (почта, файлы, контакты).
— Работает через Microsoft Graph и готовые профили разрешений.
— Сохраняет артефакты в удобной структуре (yourVictims/).
— Python-скрипт с минимальными зависимостями.

🔤 CLI:

python3 365-Stealer.py
python3 app_registration.py
ls ./yourVictims/

🔤 Где полезен:

— Проверка политики consent-grant.
— Тренировки для blue team и red team.
— Демонстрация рисков для руководства.
— Учебные лаборатории SOC.

📎 Ссылка на GitHub

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#tool_of_the_week

⚡️ Быстрый опрос для пентестеров

Bug Bounty vs Пентест-проекты:

❤️ — Только BB (свобода и азарт)
👍 — В основном BB, проекты редко
👾 — В основном проекты, BB для души
🔥 — Только проекты (стабильность решает)

Кто где зарабатывает?

🐸 Библиотека хакера

#tool_vs_tool

📎 pydictor

Мощный генератор словарей для брутфорса и пентеста. Создаёт кастомные wordlist'ы на основе шаблонов, правил и комбинаций — от простых до сложных сценариев.

🔤 Что умеет:

— Генерирует словари по charset (цифры, буквы, спецсимволы, китайские иероглифы).
— Поддерживает сложные шаблоны с подстановками (@, %, ^).
— Комбинирует слова из файлов (extend, chunk режимы).
— Применяет правила мутации (leet speak, регистр, вставки).
— Работает с именами, пинами, датами рождения (social engineering).
— Встроенные плагины: слабые пароли, телефоны, Wi-Fi PIN, сейфы.
— Экспорт в текст или сжатый формат.

🔤 CLI:

python pydictor.py -base d --len 4 4
python pydictor.py --extend /tmp/word.txt
python pydictor.py --sedb
python pydictor.py --chunk abc 123 @ --head Pa5sw0rd

🔤 Где полезен:

— Тестирование слабых паролей в инфраструктуре.
— Подготовка словарей под конкретную цель (OSINT + social engineering).
— Обход парольных политик с предсказуемыми паттернами.
— Аудит Wi-Fi, веб-форм, SSH, FTP.

📎 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

🔥 Золотая жила для взлома ядра Linux

50+ разобранных CTF-задач по эксплуатации ядра Linux с writeup'ами — от beginner до hardcore.

Что внутри:

SMEP/SMAP/KPTI/KASLR/FGKASLR bypass техники
Race conditions, heap, eBPF, Docker escape
Чеклист kernel config'ов для проверки

Топ задачи:

🎯 corjail — Docker escape + hardened heap
🎯 Fire of Salvation — FGKASLR bypass через msg_msg
🎯 kone_gadget — shellcode в JIT seccomp фильтре

Есть раздел для новичков с простыми UAF и race'ами.

📎 Ссылка на GitHub

🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса

🐸 Библиотека хакера

#tool_of_the_week

📎 EllipticCurveKeyPair

Мини-фреймворк для iOS и macOS, упрощающий работу с Secure Enclave и эллиптической криптографией через понятный Swift-API.

🔤 Что умеет:

— Создаёт пару ECC-ключей (private / public).
— Хранит private key в Secure Enclave.
— Требует Face ID / Touch ID / PIN при каждом использовании private key.
— Подписывает и проверяет данные (ECDSA).
— Шифрует и расшифровывает данные (ECIES).
— Экспортирует public key в DER / PEM (X.509).
— Работает с Cocoapods, Carthage и вручную.
— Есть fallback в Keychain без Secure Enclave.

🔤 Где полезен:

— Подтверждение платежей и соглашений.
— Криптографическая идентификация пользователя.
— FinTech и secure auth-flows.

Инструмент для случаев, когда нужна аппаратная безопасность, а не абстрактная криптография.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week