Please open Telegram to view this post
VIEW IN TELEGRAM
😁7💯2🌚1
В первой части мы разобрали, почему IDOR — это не «забыли проверку», а системная ошибка доверия клиенту. Теперь — как эта ошибка выглядит в реальном коде:
@app.route('/api/orders/<order_id>')
def get_order(order_id):
order = db.query(f"SELECT * FROM orders WHERE id={order_id}")
return jsonify(order)
# Любой может запросить GET /api/orders/12345
// Frontend
fetch(`/api/profile/${userId}`)
// userId взят из URL или localStorage — легко подменить
Проблема в том, что сервер:
— доверяет идентификатору от клиента
— не проверяет владение ресурсом
— считает факт доступа достаточным основанием для ответа
@app.route('/api/orders/<order_id>')
@login_required
def get_order(order_id):
order = Order.query.get_or_404(order_id)
if order.user_id != current_user.id:
abort(403)
return jsonify(order)
SELECT * FROM orders
WHERE id = ? AND user_id = ?
Ключевой принцип: каждый запрос к объекту = отдельная проверка прав.
Почему такие баги проходят мимо:
— функционал корректен для «нормального» пользователя
— тесты не проверяют доступ к чужим объектам
— бизнес-логика не формализована
— ревью смотрит на код, а не на модель доступа
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3
brainstorm — инструмент для веб-фаззинга, который объединяет локальные модели LLM (через Ollama) и ffuf для оптимизации обнаружения директорий и файлов. Пользуйтесь
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1
В январе 2026 в GitLab закрыли уязвимость CVE-2026-0723, позволявшую обойти 2FA при знании идентификатора учётных данных. Причина — логическая ошибка в сервисах аутентификации: второй фактор был включён, но результат его проверки можно было обойти.
Исправление вышло 21 января 2026 в версиях 18.8.2 / 18.7.2 / 18.6.4. Всё, что ниже — потенциально уязвимо.
2FA не является уровнем защиты «по умолчанию». Его надёжность полностью зависит от реализации. Если есть баг в логике — второй фактор превращается в декоративный.
Поэтому:
• обновления критичнее, чем сам факт включённого 2FA;
• контроль версий и патч-менеджмент — часть модели угроз;
• «у нас есть 2FA» ≠ «у нас защищённый доступ».
Детали по уязвимости раскроют позже, но окно между публикацией PoC и атаками обычно короткое. Обновляться нужно до этого момента, а не после инцидента.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4❤2🔥1
metasploit cheat sheet.jpeg
122.2 KB
Meterpreter, процессы, сеть, keylogging, дампы, msfvenom — всё самое ходовое в одном месте.
Рабочий лист для пентеста и CTF, когда нужно быстро вспомнить команду, а не читать документацию.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥3👍1
24 января «белые» VPN перестали работать, потому что у них забрали главный ресурс — общие с легальными сервисами IP-адреса.
Речь про VPN, которые:
— размещались на российских серверах
— использовали «белые» IP, как у разрешённых сервисов
— маскировали трафик под легальный мобильный интернет
Вместо фильтрации трафика облачным провайдерам выдвинуто требование:
— IP-адреса, используемые разрешёнными сервисами, должны быть изолированы
— без общих пулов
— без переиспользования для сторонних клиентов
Результат — VPN теряют саму возможность маскировки, ещё до этапа анализа трафика.
— VPN «под легальный сервис» умерли одномоментно
— К 2026 году прибили уже 439 VPN (осенью было 258)
— Под нож пошли SOCKS5, VLESS, L2TP
— Корпоративные VPN тоже ловят лаги, даже если формально «разрешены»
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
😢4💯3🌚1
Prompt Injection и захват контроля над AI-агентами
Автономные агенты с доступом к
Разберитесь, как устроены эти системы, на курсе «Углубленные AI-агенты». Старт сегодня в 19:00 МСК.
Темы по безопасности:
— архитектура агентских систем и их уязвимости;
— безопасная интеграция
— лимиты и уровни доступа для автономных сущностей;
— мониторинг подозрительной активности агентов.
Изучить матчасть
Автономные агенты с доступом к
Tools и API — это новая поверхность атаки. Как защитить агента, у которого есть права на выполнение кода или доступ к БД?Разберитесь, как устроены эти системы, на курсе «Углубленные AI-агенты». Старт сегодня в 19:00 МСК.
Темы по безопасности:
— архитектура агентских систем и их уязвимости;
— безопасная интеграция
RAG и внешних вызовов;— лимиты и уровни доступа для автономных сущностей;
— мониторинг подозрительной активности агентов.
Изучить матчасть
😁3
🔥 — Логирование (пока не поздно)
🥰 — Asset inventory (не знаешь — не защитишь)
😁 — Threat modeling (экономит месяцы)
👾 — Secure defaults (меньше героизма)
👍 — Обновления (банально, но работает)
Горячие takes — в комменты
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7😁3🥰2👾1
PasteGuard — privacy-proxy для OpenAI и Anthropic. Он маскирует персональные данные и секреты до отправки запроса в LLM. Для старта достаточно заменить один URL.
Как работает:
PII подменяется плейсхолдерами → запрос уходит в облако → ответ возвращается с оригинальными данными.
Запросы с чувствительными данными уходят в локальную LLM (Ollama, vLLM, llama.cpp). PII не покидает инфраструктуру.
Что защищает:
• PII: имена, email, телефоны, карты, IBAN, IP
• Секреты: API-ключи, токены, SSH/PEM, JWT
• Streaming-ответы, 24 языка
• OpenAI-совместимые API + нативный Claude
• Self-hosted, open source (Apache 2.0)
Быстрый старт:
docker run --rm -p 3000:3000 ghcr.io/sgasser/pasteguard:en
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2
Palo Alto Networks Unit 42 показали приём, который ломает привычный детект.
Как это выглядит:
🔵 Страница загружается чистой — без вредоносного JS🔵 Браузер сам обращается к LLM API (Gemini / DeepSeek)🔵 По продуманному промпту ИИ генерирует фишинговый JavaScript🔵 Код собирается и выполняется на лету (eval())
— Полиморфизм: уникальный код на каждую жертву
— Трафик к LLM выглядит легитимным
— Нет статического пейлоада — нечего сканировать
— По данным Unit 42, 36% вредоносных страниц уже используют runtime-сборку
«На первый взгляд безобидная веб-страница использует клиентские API-вызовы к доверенным LLM-сервисам для динамической генерации вредоносного JavaScript в реальном времени.»
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰2🌚2
Windows 7 и особенно Windows Vista давно ушли в прошлое: Microsoft прекратила их поддержку, а современное ПО почти не работает с версиями ниже Windows 10. Тем не менее, эти системы до сих пор используются — и теперь их стало проще установить в максимально «полном» виде.
Энтузиаст из Windows-сообщества подготовил установочные ISO Windows 7 и Windows Vista, в которые включены все доступные обновления безопасности вплоть до января 2026 года.
Что важно:
Использовать эти ОС как основные сегодня не рекомендуется, но для ретро-сборок, тестов и старого ПО такие образы вполне пригодятся.
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🥰4❤🔥2🥱1
В репозитории PyPI обнаружен вредоносный пакет sympy-dev, маскирующийся под библиотеку SymPy. Он полностью копирует описание оригинального проекта, создавая ощущение «dev-версии», за счёт чего и вводит пользователей в заблуждение. По данным расследования, пакет скачивался как минимум с 17 января 2026 года, общее число загрузок превысило 1100.
Финальная цель атаки — загрузка на Linux-хосты двух ELF-бинарников и развёртывание майнера XMRig, с последующей скрытой эксплуатацией вычислительных ресурсов системы.
Типичный, но всё ещё эффективный сценарий supply chain-компрометации через доверие к популярным зависимостям.
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥2🔥1