🕵️ ezXSS — контроль blind XSS

Blind XSS срабатывает не сразу и не там, где его ждут. ezXSS решает эту проблему: вы вставляете payload, а инструмент сам отслеживает момент его выполнения — админом, модератором или фоновым процессом.

При триггере ezXSS собирает контекст страницы, браузер, cookies, storage, DOM, время выполнения и скриншот.

🔗 Ссылка на GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week

🖥 Триллион на «советский Intel»

Государство решило собрать микроэлектронику в один кулак. Появится Объединённая микроэлектронная компания — до 2030 года туда зальют около 1 трлн ₽ (бюджет + Сбербанк).

На словах — «свои процессоры». По факту — контроль и выживание отрасли.

28 нм — это не гонка с Intel и не про массовый рынок. Это уровень, на котором можно стабильно делать чипы для гос-ИТ, промышленности и критической инфраструктуры — без зависимости от внешних поставок.

🔤 Но есть нюанс: всё сводят в одну точку. Производство, кадры, поставщиков, деньги. С точки зрения ИБ это классическая точка максимального риска. Если что-то ломается или компрометируется — падает сразу весь контур. И именно такие системы чаще всего становятся целью атак через цепочки поставок, оборудование и подрядчиков.

Деньги тоже не «бесплатные»: с 2026 вводят техсбор с электроники — рынок сам оплачивает этот эксперимент. При этом отрасль уже в минусе, производство падает, оборотки не хватает.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

💳 Must-have инструменты пентестера

1️⃣ Burp Suite (Pro / Community) — de-facto стандарт веб-пентеста, используется в bug bounty и enterprise.

— proxy, repeater, intruder
— ручное тестирование логики и auth
— расширения под OWASP Top 10 и beyond

2️⃣ Caido — активно вытесняет Burp у solo-исследователей за счёт UX и скорости.

— современный HTTP proxy
— удобный UI для ручного анализа
— активное развитие под pentest / bounty

3️⃣ httpx — используется в большинстве публичных recon-скриптов.

— проверка живых хостов
— TLS, headers, status codes
— база для recon-пайплайнов

4️⃣ Nmap — стандарт индустрии, без альтернатив по зрелости.

— discovery, port-scan, service detection
— NSE-скрипты под CVE и misconfig

5️⃣ Nuclei — основа автоматизации infra/web-сканирования.

— шаблонный vulnerability scanner
— CVE, misconfig, exposures
— легко кастомизируется

6️⃣ CrackMapExec — must-have для internal pentest и red team.

— AD / SMB / WinRM
— lateral movement
— credential reuse

7️⃣ Prowler — используется security-командами и пентестерами для cloud-review.

— AWS / Azure / GCP
— CIS Benchmarks
— IAM и cloud-misconfig

8️⃣ ScoutSuite — популярен для black-box cloud-assessments.

— multi-cloud security auditing
— граф связей ресурсов
— отчёты для клиентов

9️⃣ CloudSploit (open-source rules) — база для понимания cloud-risk без CSPM-комбайнов.

— поиск dangerous cloud-configs
— читаемые правила

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_vs_tool

❓ Почему IDOR — это архитектурная уязвимость, а не «забыли проверку»

IDOR — это не баг уровня junior. Это системная ошибка доверия клиенту и одна из причин OWASP Top 10: Broken Access Control.

Как думают:

«Пользователь же не станет подставлять чужой ID».

ℹ️ Как на самом деле:

Клиент контролирует все параметры запроса. Если сервер доверяет user_id, order_id, document_id — контроля доступа нет.

ℹ️ Чем это заканчивается:

— доступ к чужим данным
— изменение заказов и счетов
— массовые утечки через перебор ID

➡️ В следующем посте — разберём, как выглядит IDOR в коде, почему его пропускают на ревью и как правильно закрывать такие баги на уровне бэкенда и БД.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🐸 Библиотека хакера

#hack_humor

🚶‍♂️ Углублённый разбор IDOR

В первой части мы разобрали, почему IDOR — это не «забыли проверку», а системная ошибка доверия клиенту. Теперь — как эта ошибка выглядит в реальном коде:

@app.route('/api/orders/<order_id>')
def get_order(order_id):
    order = db.query(f"SELECT * FROM orders WHERE id={order_id}")
    return jsonify(order)
# Любой может запросить GET /api/orders/12345

// Frontend
fetch(`/api/profile/${userId}`)
// userId взят из URL или localStorage — легко подменить

Проблема в том, что сервер:

— доверяет идентификатору от клиента

— не проверяет владение ресурсом

— считает факт доступа достаточным основанием для ответа

✅ Как правильно закрывать IDOR:

@app.route('/api/orders/<order_id>')
@login_required
def get_order(order_id):
    order = Order.query.get_or_404(order_id)
    if order.user_id != current_user.id:
        abort(403)
    return jsonify(order)

SELECT * FROM orders
WHERE id = ? AND user_id = ?

Ключевой принцип: каждый запрос к объекту = отдельная проверка прав.

Почему такие баги проходят мимо:

— функционал корректен для «нормального» пользователя

— тесты не проверяют доступ к чужим объектам

— бизнес-логика не формализована

— ревью смотрит на код, а не на модель доступа

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

🤔 Что будет, если объединить условный ffuf с LLM? Получится инструмент, при использовании которого не надо париться со словарями и вот этим всем. Именно так и сделала команда Invicti Security!

brainstorm — инструмент для веб-фаззинга, который объединяет локальные модели LLM (через Ollama) и ffuf для оптимизации обнаружения директорий и файлов. Пользуйтесь👇

👩‍💻 GitHub

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#tool_of_the_week