Практическое руководство по защите веб-приложений с помощью ModSecurity и систем обнаружения атак.
В отличие от книг по взлому веба, эта показывает обратную сторону – как писать правила для обнаружения SQL-инъекций, XSS, обхода авторизации и LFI в реальном времени, создавая интеллектуальный сетевой щит на уровне веб-сервера.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🆒2⚡1
Подрядчик подключился к вашей системе. Работу сделал. Доступ остался.
Знакомая ситуация?
В какой-то момент становится сложно ответить на простой вопрос, кто сейчас вообще подключен к вашим ИТ-ресурсам и что там делает.
Именно в таких сценариях чаще всего начинаются проблемы. Доступы выдаются быстро, а потом про них забывают. Контроль снижается, а одной ошибки или компрометации бывает достаточно, чтобы затронуть важные для компании системы.
В канале Индид вы найдете материалы о том, как выстраивать защиту учетных данных, снижать риски инцидентов и всегда держать доступ к инфраструктуре под контролем.
В нем вы сможете забрать гайд по работе с подрядчиками. Внутри:
📍 Ключевые риски ИБ при работе с подрядчиками
📍 Способы атак злоумышленников и их последствия
📍 Меры безопасности, регламентирующие получение прав доступа
Подписывайтесь на канал Индид, чтобы регулярно читать практические материалы о защите доступа.
#реклама
О рекламодателе
Знакомая ситуация?
В какой-то момент становится сложно ответить на простой вопрос, кто сейчас вообще подключен к вашим ИТ-ресурсам и что там делает.
Именно в таких сценариях чаще всего начинаются проблемы. Доступы выдаются быстро, а потом про них забывают. Контроль снижается, а одной ошибки или компрометации бывает достаточно, чтобы затронуть важные для компании системы.
В канале Индид вы найдете материалы о том, как выстраивать защиту учетных данных, снижать риски инцидентов и всегда держать доступ к инфраструктуре под контролем.
В нем вы сможете забрать гайд по работе с подрядчиками. Внутри:
📍 Ключевые риски ИБ при работе с подрядчиками
📍 Способы атак злоумышленников и их последствия
📍 Меры безопасности, регламентирующие получение прав доступа
Подписывайтесь на канал Индид, чтобы регулярно читать практические материалы о защите доступа.
#реклама
О рекламодателе
👍2💯1
Специалисты «Лаборатории Касперского» обнаружили ранее неизвестную группировку, которая атакует российские организации с помощью Ravage — фреймворка для пентестов, опубликованного на GitHub осенью прошлого года.
— Среди целей злоумышленников оказались учебные заведения, энергетические компании, государственные структуры, дипломатические представительства и финансовые организации.
Исследователи отмечают, что Ravage появился в открытом доступе в сентябре 2025 года, а уже в январе 2026-го его начали применять в реальных атаках. При этом обнаруженная хак-группа активна как минимум с 2024 года. По данным экспертов, раньше атакующие использовали другие инструменты (включая RedLine, PureRAT и даже Cobalt Strike).
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🤯3🤔1
Smap – это консольная утилита на языке Go, работающая как полноценная замена Nmap, которая извлекает информацию об открытых портах и сервисах из базы данных Shodan.io.
— Позволяет проводить мгновенную разведку без отправки сетевых пакетов цели (полностью пассивно) и поддерживает стандартные форматы вывода Nmap, что делает её совместимой с существующими скриптами и инструментами автоматизации.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🆒4⚡1
С июня 2025 года у российских владельцев сайтов появилась очень практичная проблема: ресурс мог быть технически исправен, сервер работал, защита Cloudflare не отключалась, но пользователи из России видели поломанную загрузку.
По данным Cloudflare, российские провайдеры начали ограничивать трафик к сайтам под её защитой так, что браузер получал только первые 16 КБ веб-объекта.
— Для большинства страниц такой объём означает не медленную работу, а фактическую недоступность.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡3🆒1
Автор: Чернов Юрий
Издание посвящено тестированию программного обеспечения в рамках технологии Agile.
Автор делает акцент на проектах, где система состоит из множества компонентов, объединённых сложной системой связей, а над ней работает несколько независимых команд.
— В книге подробно разбираются как теоретические, так и практические аспекты Agile-тестирования.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡4😁1🆒1
В Redis нашли опасную ошибку, которая больше двух лет оставалась незамеченной и теперь получила подробное публичное описание.
Уязвимость позволяет пользователю с доступом к базе данных выполнять команды операционной системы на сервере, где запущен Redis.
— Проблему обнаружил автономный инструмент на основе искусственного интеллекта, созданный для поиска ошибок в крупных кодовых базах.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2⚡1
BlueSpy – это фреймворк для оценки состояния безопасности (Cloud Security Posture Management) в Azure, предназначенный для поиска ошибочных конфигураций, которые могут привести к несанкционированному доступу или утечке данных.
— Позволяет автоматизированно сканировать подписки Azure, выявлять «открытые» ресурсы, избыточные права доступа (RBAC) и другие слабые места, предоставляя отчеты для устранения рисков в соответствии с лучшими практиками безопасности.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🆒3⚡1
Восстановление данных – это один из ключевых аспектов судебной экспертизы, который позволяет экспертам-криминалистам извлекать ценную информацию из поврежденных, удаленных или скрытых файлов.
Полное руководство по восстановлению данных в судебной экспертизе.
— Узнайте, какие методы и инструменты используют эксперты для извлечения удаленных файлов и получения цифровых доказательств.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤1👎1💊1
Автор - Святослав Куликов
Эта книга познакомит читателя с основами тестирования программ.
Прочитав ее, вы познакомитесь с процессами тестирования и разработки ПО, видами и направлениями тестирования, используемой документацией.
— Также в книге есть много примеров и полезных ссылок на внешние источники.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤2👍1
Rspamd – это продвинутый фильтр спама и антивирусное решение с открытым исходным кодом, предназначенный для защиты почтовых серверов от нежелательной почты, фишинга и вредоносных вложений.
— Использует широкий спектр техник, включая RBL, серые списки, байесовский анализ, fuzzy-hashing, SPF/DKIM/DMARC-проверки и эвристические правила, работая с высокой производительностью благодаря своей архитектуре на C и Lua.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🆒2❤1
Этот инструмент делает за вас всю чёрную работу по OSINT-разведке, превращая часы рутинного поиска в несколько минут автоматизированного сбора данных.
theHarvester — это Python-инструмент для сбора открытой разведывательной информации (OSINT).
Он систематизирует данные из десятков источников, находя:
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6👎1🆒1
Автор — Pallavi Sharma
Это руководство для начинающих по использованию Selenium с C# для автоматизированного веб‑тестирования.
Чему вы научитесь:
⏺ выполнять кросс‑браузерное тестирование с помощью Selenium Web Driver;⏺ реализовывать синхронизацию через неявное (Implicit Wait) и явное (Explicit Wait) ожидание;⏺ работать с классомActionв Selenium;⏺ применять шаблон Page Object Model с PageFactory;⏺ настраивать и использовать Selenium Grid для параллельного выполнения тестов.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡4🆒2❤1
Главное из отчета:
— ISO 42001 – компания одна из первых в России подтвердила, что ее нейросети соответствуют международным стандартам безопасности, этики и прозрачности на всех этапах: от проектирования до внедрения.
— NeuroSecReview – ИИ-разработка Яндекса, анализирующая архитектуру сервисов еще на старте, повысила скорость проверки продуктов в 3 раза.
— В программе «Охота за ошибками» появилось отдельное направление, связанное с генеративными нейросетями. Кроме того, теперь специальный ИИ‑помощник анализирует отчеты и находит схожие.
— ИИ‑суммаризатор в SOC – около 74% предлагаемых им правил внедряют в работу. Это позволяет команде реагирования сосредоточиться на реальных угрозах, а не на рутине.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
😁2
GreenTunnel – это утилита на базе Node.js, предназначенная для обхода интернет-цензуры и ограничений доступа к веб-сайтам путём изменения структуры сетевых пакетов на лету.
— Работает как локальный прокси-сервер, который предотвращает идентификацию запрашиваемых ресурсов системами фильтрации с помощью техник модификации SNI (Server Name Indication), фрагментации HTTP-запросов и использования DNS over HTTPS (DoH).
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤2👍1
Spooftooph – предназначена для автоматической подмены (спуфинга) или клонирования имён, класса и адреса Bluetooth устройств
Программы по сканированию Bluetooth отобразят только одно устройство, если в диапазоне в режиме обнаружения доступны несколько устройств с одинаковой информацией (особенно это касается одинакового адреса)
Особенности:
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤2👀2
В прошлой части разбирали права доступа, а теперь переходим к одной из самых важных тем в Linux – процессам. Любая программа в системе в конечном итоге существует как процесс: nginx, postgres, docker, sshd, systemd, ваш shell и даже потоки ядра.
Понимание того, как процессы создаются, живут, взаимодействуют с ядром и завершаются, – это база для понимания и диагностики Linux-систем.
Цель этой статьи – рассказать кратко и простым языком всю нужную информацию как для начинающих, так и для опытных пользователей и админов, чтобы освежить знания. Важно: для практики, если обучаетесь, лучше всего использовать виртуалку с Linux.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡10👍1🆒1
Практическое руководство по автоматизированному тестированию JavaScript‑приложений: от базовых концепций до продвинутых техник.
Автор опирается на реальный опыт мейнтейнера популярных инструментов тестирования.
— Она сочетает теорию, реальные примеры и лучшие практики индустрии.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2💯1
Сегодня в ТОП-5 — Hades атакует цепочки поставок ПО, новая 0-day-уязвимость RoguePlanet в Windows Defender, GitHub блокирует атаки на цепочки поставок через обновление npm, атака FROST: отслеживание активности пользователя через задержки SSD, атака на цепочку поставок в Arch Linux + Лето в Cyber Camp.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤2👍2
Telegram OSINT – это библиотека на языке Python, предназначенная для выполнения задач по разведке на основе открытых источников в экосистеме Telegram.
— Позволяет собирать метаданные групп, отслеживать активность пользователей, искать связи между аккаунтами и проверять телефонные номера на наличие в базе мессенджера без прямого взаимодействия с целевыми объектами.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡7💯1🆒1
Выплаты получат пентестеры, которые смогут реализовать критический сценарий в системе безопасности банка. При этом важно воспроизвести именно цепочку действий, приводящих к недопустимым событиям, а не отдельные баги. Об этом на круглом столе «Кибериспытано на себе: диалог об объективной оценке киберустойчивости» в рамках Standoff рассказал руководитель управления кибербезопасности Т-Банка Игорь Кубышко.
Раньше банк проводил такие испытания в закрытом формате, теперь — первым среди финтехов вышел в открытый. Кибериспытания стартуют 22 июня, но предварительная регистрация уже открыта.
// Не хакинг, а ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4❤2👏1