😎 PayloadsAllTheThings — швейцарский нож для пентестера

Представьте, что вам нужно проверить веб-приложение на уязвимости. Вы знаете теорию, но на практике каждый раз приходится искать рабочие примеры эксплойтов. Знакомая ситуация?

Именно эту проблему решает PayloadsAllTheThings — коллекция готовых полезных нагрузок и методов обхода защитных механизмов.

Этот репозиторий — настоящая энциклопедия для специалистов по безопасности. Здесь собраны:

⏺

Готовые векторы атак для распространенных уязвимостей

⏺

Методы обхода WAF и других систем защиты

⏺

Примеры эксплуатации для CTF-задач

⏺

Шаблоны для Burp Intruder

🗄 Читать статью – линк.
🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🎃 В связи с метеорологическими условиями приглашаем вас в Max

— Еще больше интересных материалов, книг, курсов и видеоуроков

🗄 Мы в Max – линк. P.S прямо сейчас разыгрываем там годовые подписки на ChatGPT Plus)

// Не хакинг, а ИБ

🔎 Гармонический радар найдёт скрытую электронику

С момента появления следящих и подслушивающих устройств люди стремились разработать надёжный прибор для их обнаружения.

Один из самых эффективных инструментов в этой области – детектор радиозакладок на ВЧ-излучении.

— Любые P-N полупроводники по своей природе будут светиться излучают волны на гармонических частотах исходной волны.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

В РФ это реально работает: оплачивай криптой по QR и покупай крипту за рубли в один клик

🌟PGON Wallet делает всё автоматически: вы пополняете любой криптой, а система сама конвертирует в рубли и оплачивает по QR.Так же можно покупать крипту за рубли.И всё это в одном месте

Плюс у них есть удобный вывод в РФ — на карту или по номеру телефона. И что важно: перевод приходит от юрлица, а не по p2p от неизвестного физлица, что для банка выглядит гораздо спокойнее.

🌟Пополнение криптой — 0%

🌟 Пополнение и оплата по QR СБП — 3%

🐸Пополнение подарками - 0%

💸Вывод СБП - 3,5%

🛡Быстро, анонимно, без лишних хлопот и всё прямо в Telegram.

🛒Теперь крипта работает на вас даже в обычных магазинах!

🌟Оцените сами: @PGON

🌟🌟🌟🌟🌟🌟

😀 Инструменты OSINT (Часть 2)

Технический OSINT (IP, домены, IoT)
⏺ Shodan — поисковик по «интернету вещей» (камеры, серверы, роутеры, промышленные системы).
⏺ Censys — инструмент для анализа инфраструктуры серверов и поиска уязвимостей.
⏺ DNSDumpster — сервис для исследования DNS-записей и поиска поддоменов.
⏺ VirusTotal — анализ подозрительных доменов и IP-адресов.

Изображения и Геолокация
⏺ PimEyes — мощный поисковик по лицам, который находит все фото человека в сети.
⏺ GeoEstimation (или аналоги на Hugging Face) — использование ИИ для определения примерного местоположения по фотографии.
⏺ SunCalc — позволяет определить время съемки фото по длине и направлению теней.

Поиск утечек и архивы
⏺ Have I Been Pwned — проверка почты и телефонов в базах данных известных утечек.
⏺ Wayback Machine — просмотр удаленных страниц и того, как сайты выглядели в прошлом.
⏺ Intelligence X — поисковик по утечкам данных, даркнету и архивам документов.

// Не хакинг, а ИБ

👮‍♀ Certified Ethical Hacker Review Guide

Официальное руководство по подготовке к экзаменам на сертификацию CEH поможет выявить риски сетей и компьютеров в плане безопасности.

Руководство охватывает весь спектр вопросов хакинга современных систем.

— Совершенно не важно, имеете ли вы цель стать сертифицированным этичным хакером или нет – книга будет полезна всем специалистам по безопасности.

🗄 Книга – линк.

// Не хакинг, а ИБ

↔️ Состояние интернета: критическое. Akamai фиксирует суперботнеты, которые превратили DDoS в дешевый и беспощадный конвейер

Akamai выпустила ежегодный отчет State of the Internet по приложениям, API и DDoS-атакам и зафиксировала заметный сдвиг в тактике злоумышленников.

Главный вывод сводится к одному: атаки стали более системными, дешевыми в масштабировании и тесно завязаны на инфраструктуру, через которую компании наращивают цифровые сервисы и внедряют ИИ. В центре такого давления оказались API.

Еще недавно многие компании относились к ним как к второстепенному элементу защиты, но теперь именно API все чаще становятся основной точкой входа.

🗄 Источник – линк.

// Не хакинг, а ИБ

🐶 TeleMT без докера, но со SNI-роутингом своими руками

Недавно на глаза попалась интересная статья про новый проект TeleMT. И я бы наверно не стал заморачиваться. И тоже настроил бы его за 5 минут. По шагам из статьи. Если бы не пара "но". Во-первых, я болен хроническим неприятием засовывания докера где следует и где не следует. А во-вторых – 443 порт на моем подопытном сервере уже занят предыдущим "экспериментом".

На нестандартный порт вешать второй "эксперимент" мне не хотелось. Покупать второй айпишник или хостинг – тем более. Требовалось сотворить чутка новой дичимагии. О результатах сего докладываю в этой статье.

🗄 Источник – линк.

// Не хакинг, а ИБ

🎩 Подборка продвинутого софта для Red Team (Часть 1)

Red Team — это не просто взлом, это искусство имитации реальных угроз. Чтобы оставаться незамеченным и эффективно обходить современные системы защиты (EDR/XDR), тебе нужны правильные инструменты.

C2 Frameworks (Командные центры): Инструменты для скрытого управления скомпрометированными хостами.

⏺ Sliver — Мощный кроссплатформенный фреймворк на Go. Отличная альтернатива коммерческому Cobalt Strike.
⏺ Havoc — Современный C2 с продвинутым интерфейсом и широкими возможностями по обходу антивирусов.
⏺ Mythic — Фреймворк с поддержкой агентов на Python, JS и Go, ориентированный на совместную работу и кроссплатформенность.

Active Directory & Lateral Movement (Захват сети): Работа внутри корпоративных доменов.

⏺

BloodHound

— Незаменимый инструмент для визуализации путей атаки в AD через теорию графов.

⏺

Responder

— Классика для перехвата LLMNR, NBT-NS и MDNS запросов и кражи хешей паролей.

⏺

NetExec (nxc

)

— Преемник CrackMapExec. "Швейцарский нож" для пентеста сетей, автоматизирующий почти всё: от брутфорса до выполнения команд.

⏺

Rubeus

— Набор инструментов для взаимодействия с Kerberos (атаки Kerberoasting, AS-REP Roasting и работа с тикетами).

Initial Access & Evasion (Первоначальный доступ и скрытность):

⏺

Evilginx2

— Продвинутая платформа для фишинга, позволяющая перехватывать сессионные куки и обходить двухфакторную аутентификацию (MFA).

⏺

Donut

— Генератор шелл-кода из EXE, DLL и .NET файлов для их скрытного запуска прямо в памяти процесса.

⏺

ScareCrow

— Фреймворк для создания полезных нагрузок, которые умеют определять наличие EDR и песочниц, чтобы не выдать себя.

// Не хакинг, а ИБ

🤒 Нормативная база и стандарты в области информационной безопасности

Книга от Ю. Родичева содержит разбор наиболее важных нормативных документов ФСТЭК, а также международных и национальных стандартов Российской Федерации в области информационной безопасности.

— Это учебное пособие предназначено для студентов вузов, но будет полезно и специалистам в области ИБ.

🗄 Книга – линк.

// Не хакинг, а ИБ

✈️ Эксперты RKS Global исследовали 8 популярных альтернативных клиентов Telegram для Android

Эксперты RKS Global исследовали восемь наиболее популярных альтернативных клиентов Telegram для Android и сошлись во мнении, что все они могут быть небезопасны для использования.

Протестированы проекты:

1. Telegram Official;
2, Telegram X;
3. Plus Messenger;
4. Nekogram;
5. Graph Messenger;
6. Telega;
7. iMe;
8. F-Droid (Forkgram, Mercurygram).

— Оказалось, что три из восьми исследуемых популярных альтернативных Telegram‑клиентов для Android — Telega, Graph Messenger и iMe — отправляют данные на серверы в Россию, где к ним могут без затруднений по закону получить доступ силовые структуры.

🗄 Источник – линк.

// Не хакинг, а ИБ

🔎 Nuclei: лучшие практики сканирования уязвимостей в облаке

Кибербезопасность занимает ключевое место в защите данных и инфраструктуры. С каждым днём появляются новые угрозы, которые могут нанести значительный ущерб компаниям и пользователям.

В таких условиях важно иметь надёжные инструменты для выявления и устранения уязвимостей.

Одним из таких инструментов является Nuclei – быстрый и гибкий сканер уязвимостей, созданный для проверки современных приложений, сетей и облачных платформ.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🎩 Подборка продвинутого софта для Red Team (Часть 2)

Initial Access & Evasion (Первоначальный доступ и скрытность):

⏺ Evilginx2 — Продвинутая платформа для фишинга, позволяющая перехватывать сессионные куки и обходить двухфакторную аутентификацию (MFA).
⏺ Donut — Генератор шелл-кода из EXE, DLL и .NET файлов для их скрытного запуска прямо в памяти процесса.
⏺ ScareCrow — Фреймворк для создания полезных нагрузок, которые умеют определять наличие EDR и песочниц, чтобы не выдать себя.

Recon & OSINT (Разведка):

⏺

Amass

— Глубокое исследование инфраструктуры организации через сотни открытых источников данных.

⏺

Sherlock

— Быстрый поиск аккаунтов цели по никнейму в сотнях социальных сетей.

⏺

CloudEnum

— Поиск публичных ресурсов (бакетов, хранилищ) в AWS, Azure и Google Cloud, принадлежащих цели.

Post-Exploitation (Пост-эксплуатация):

⏺

PEASS-ng (WinPEAS / LinPEAS

)

— Самые популярные скрипты для автоматического поиска путей повышения привилегий в системе.

⏺

Inveigh

— Инструмент для проведения атак типа Man-in-the-Middle на уровне протоколов Windows IPv4/IPv6.

// Не хакинг, а ИБ

🔒 Security and Frontend Performance

Безопасность и производительность часто рассматриваются как отдельные проблемы, требующие разных решений. Но злоумышленники постоянно придумывают новые способы воздействия на оба аспекта веб-сайта.

Поэтому нужны решения, которые могут устранять «бреши» в безопасности, одновременно повышая производительность веб-приложения. Как это возможно?

— В этой книге вы изучите решения, которые могут повысить безопасность и производительность конечных пользователей.

🗄 Книга – линк.

// Не хакинг, а ИБ

❗️ В интернете появился полный теханализ MITM-атаки в клиенте Telega от неизвестного источника

В сети 20 марта 2026 года появилась анонимная статья «Технический анализ MITM‑атаки в клиенте Telega». По словам авторов статьи, это полный разбор последней версии клиента Telega для Android.

В статье утверждается, что 18 марта создатели приложения Telega активировали скрытую функциональность.

— Она позволяет перехватывать все данные между приложением и сервером Telegram. Данные проходят через серверы самой Telega.

🗄 Источник – линк.

// Не хакинг, а ИБ

📞 Мобильная форензика: что скрывает ваш смартфон

Современный смартфон — это не просто устройство для звонков и сообщений. Это мощный компьютер, который хранит огромное количество личной информации.

Узнайте, какие данные хранит ваш смартфон и как эксперты-криминалисты извлекают их для расследований.

— Полное руководство по мобильной форензике.

🗄 Читать статью – линк.

// Не хакинг, а ИБ

🤒 Образовательный ресурс по техникам эксплуатации кучи (heap exploitation)

how2heap — это коллекция обучающих материалов и примеров кода на языке C, предназначенная для изучения уязвимостей управления динамической памятью в Linux.

— Содержит пошаговые реализации классических и современных атак на аллокатор glibc (malloc), таких как fastbin dup, house of force, unsafe unlink и многие другие, адаптированные под различные версии системных библиотек для глубокого понимания бинарной эксплуатации.

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🎃 Start Pentesting Now: A Guide to Ethical Hacking Tools and Techniques

Это руководство по освоению практических навыков тестирования на проникновение. Если вы любитель, студент или ИТ-специалист, эта книга покажет вам этические хакерские инструменты и методы, используемые для обнаружения и использования уязвимостей.

— Этот ценный ресурс поможет вам сразу же развить и улучшить свои навыки. Когда вы будете готовы сделать следующий шаг на пути к кибербезопасности, вот что вы узнаете:

⏺Инструменты и методы обнаружения и подсчета
⏺Перечисление и использование определенных портов и сервисов
⏺Базы данных, внедрение SQL и NoSQL
⏺Поиск и взлом паролей
⏺Поиск, компиляция и запуск эксплойтов
⏺Работа с снарядами и полезной нагрузкой
⏺Работа с инструментами командной строки Windows и Linux.
⏺Советы и методы повышения привилегий для Windows и Linux

🗄 Книга – линк.

// Не хакинг, а ИБ

📱 Новая политика приватности GitHub Copilot изменит подход к сбору данных разработчиков

С 24 апреля 2026 года платформа GitHub начнет использовать данные о взаимодействиях разработчиков с ИИ-помощником Copilot для обучения своих алгоритмов.

Новые правила сбора телеметрии коснутся пользователей тарифов Free, Pro и Pro+, в то время как корпоративные клиенты сохранят полную приватность.

— Этот шаг направлен на повышение качества генерации кода за счет анализа реальных сценариев использования нейросети в повседневной практике программистов.

🗄 Источник – линк.

// Не хакинг, а ИБ

🆕 TrendRadar Как перестать тонуть в новостном потоке и начать видеть главное

Знакомая ситуация? Утро начинается с пролистывания десятка новостных лент, а к вечеру вы понимаете, что так и не нашли действительно важную информацию.

Китайский разработчик sansan0 создал TrendRadar — инструмент, который за 30 секунд настраивается и начинает приносить только релевантные вам новости.

🗄 Читать статью – линк.
🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ