Кнопка «Форматировать» создаёт иллюзию безопасности, но не удаляет данные.
Полная история и детали эксперимента — в статье по ссылке
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🥰2
XSS Testing Tools HD.png
1.3 MB
XSS — уязвимость, позволяющая выполнить произвольный JavaScript в браузере пользователя через некорректно обработанный ввод.
• reflected / stored / DOM-based XSS
• blind-XSS и отслеживания коллбеков
• анализа sources / sinks и payload’ов
Автоматизация ускоряет поиск, но ключевое — понимание контекста и логики браузера. Шпаргалка помогает быстро выбрать нужный инструмент под задачу.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3❤1
This media is not supported in your browser
VIEW IN TELEGRAM
❤3
Безопасный RAG: как защитить данные при работе с LLM?
23 января в 19:00 на открытом уроке к курсу «Разработка ИИ агентов» разберём архитектуры работы с контекстом. Узнаем, как научить модель отвечать по вашим документам, сохраняя данные в закрытом контуре и избегая «галлюцинаций».
Занятие ведёт Игорь Стурейко, тимлид в «Газпроме» и AI-архитектор. Игорь подготовил видео о том, как проектировать агентов с учётом безопасности и какие практики будут изучены в рамках программы обучения.
В программе занятия:
— концепции
— работа с локальными векторными базами (
— использование
📅 Когда: 23.01 в 19:00 МСК
Узнать подробности
23 января в 19:00 на открытом уроке к курсу «Разработка ИИ агентов» разберём архитектуры работы с контекстом. Узнаем, как научить модель отвечать по вашим документам, сохраняя данные в закрытом контуре и избегая «галлюцинаций».
Занятие ведёт Игорь Стурейко, тимлид в «Газпроме» и AI-архитектор. Игорь подготовил видео о том, как проектировать агентов с учётом безопасности и какие практики будут изучены в рамках программы обучения.
В программе занятия:
— концепции
RAG vs Fine-tuning с точки зрения контроля данных;— работа с локальными векторными базами (
FAISS, Chroma);— использование
LangChain для фильтрации и обработки запросов.📅 Когда: 23.01 в 19:00 МСК
Узнать подробности
🥰3❤1
В дампе нашли строку. Она не зашифрована, но и не читается. Её уже кто-то трогал. Несколько раз. Каждый раз — «чтобы было удобнее передать».
— данные прошли несколько стандартных преобразований
— ни одного кастомного алгоритма
— итог — обычный ASCII
— флаг имеет формат: flag{...}
Vm0wd2QyUXlWa1pPVldoV1YwZG9WRmx0ZUdGV01XeHlVMGRHYWxKdGVEQmFSbEpYVmpKS1ZXSkdjR0ZTYXpWVVZsZDRXRmxVU205aVJscFlZbGh3
Не «подобрать кодировку». А восстановить цепочку действий, которые с ней сделали. Каждый шаг — стандартный. Порядок — нет.
#ctf_challange
Please open Telegram to view this post
VIEW IN TELEGRAM
😁3🥰2👍1
Какая цепочка наиболее правдоподобна ❔
Anonymous Quiz
38%
base64 → base32 → hex
35%
base64 → gzip → base64
22%
base64 → rot → base64
5%
пока не уверен/а
🌚4
Как разыменовать NULL-указатель, если очень хочется
Работа с виртуальной памятью в защищённом режиме — фундамент для анализа руткитов, буткитов и сложных уязвимостей в ядре Windows. Понимание того, как реально устроены таблицы страниц и права доступа, критично для реверса и системного анализа.
На открытом уроке разберём различия между физической и виртуальной памятью, устройство таблиц страниц (PTE/PDE) и возможности их модификации из драйвера. Поговорим об исключениях, обработке падений и покажем упрощённую практическую демонстрацию разыменования NULL-указателя.
Урок подойдёт вирусным аналитикам, исследователям ИБ и разработчикам системного ПО, которым важно понимать внутренние механизмы ядра Windows.
→ Этот вебинар проходит в формате открытого урока курса «Reverse Engineering»: https://clc.to/n2L-NA
Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576
Работа с виртуальной памятью в защищённом режиме — фундамент для анализа руткитов, буткитов и сложных уязвимостей в ядре Windows. Понимание того, как реально устроены таблицы страниц и права доступа, критично для реверса и системного анализа.
На открытом уроке разберём различия между физической и виртуальной памятью, устройство таблиц страниц (PTE/PDE) и возможности их модификации из драйвера. Поговорим об исключениях, обработке падений и покажем упрощённую практическую демонстрацию разыменования NULL-указателя.
Урок подойдёт вирусным аналитикам, исследователям ИБ и разработчикам системного ПО, которым важно понимать внутренние механизмы ядра Windows.
→ Этот вебинар проходит в формате открытого урока курса «Reverse Engineering»: https://clc.to/n2L-NA
Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576
🤩4
Please open Telegram to view this post
VIEW IN TELEGRAM
💯5
В ядре Linux до сих пор есть ошибки, которые никто ещё не нашёл. Не из-за халтуры, а из-за сложности: race condition, refcount-баги и утечки могут годами не проявляться и не ловиться инструментами.
В карточках:
— сколько реально живут баги
— какие подсистемы самые рискованные
— почему статистика за один год искажает картину
— где чаще всего прячутся «древние» уязвимости
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🥰2
🕵️ ezXSS — контроль blind XSS
Blind XSS срабатывает не сразу и не там, где его ждут. ezXSS решает эту проблему: вы вставляете payload, а инструмент сам отслеживает момент его выполнения — админом, модератором или фоновым процессом.
🔗 Ссылка на GitHub
📍 Навигация: [Вакансии]
🐸 Библиотека хакера
#tool_of_the_week
Blind XSS срабатывает не сразу и не там, где его ждут. ezXSS решает эту проблему: вы вставляете payload, а инструмент сам отслеживает момент его выполнения — админом, модератором или фоновым процессом.
При триггере ezXSS собирает контекст страницы, браузер, cookies, storage, DOM, время выполнения и скриншот.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🥰2🔥1
Государство решило собрать микроэлектронику в один кулак. Появится Объединённая микроэлектронная компания — до 2030 года туда зальют около 1 трлн ₽ (бюджет + Сбербанк).
На словах — «свои процессоры». По факту — контроль и выживание отрасли.
28 нм — это не гонка с Intel и не про массовый рынок. Это уровень, на котором можно стабильно делать чипы для гос-ИТ, промышленности и критической инфраструктуры — без зависимости от внешних поставок.
Деньги тоже не «бесплатные»: с 2026 вводят техсбор с электроники — рынок сам оплачивает этот эксперимент. При этом отрасль уже в минусе, производство падает, оборотки не хватает.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚6🤔3🔥2
— proxy, repeater, intruder
— ручное тестирование логики и auth
— расширения под OWASP Top 10 и beyond
— современный HTTP proxy
— удобный UI для ручного анализа
— активное развитие под pentest / bounty
— проверка живых хостов
— TLS, headers, status codes
— база для recon-пайплайнов
— discovery, port-scan, service detection
— NSE-скрипты под CVE и misconfig
— шаблонный vulnerability scanner
— CVE, misconfig, exposures
— легко кастомизируется
— AD / SMB / WinRM
— lateral movement
— credential reuse
— AWS / Azure / GCP
— CIS Benchmarks
— IAM и cloud-misconfig
— multi-cloud security auditing
— граф связей ресурсов
— отчёты для клиентов
— поиск dangerous cloud-configs
— читаемые правила
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥2🥰2🌚1