В приложении допущена архитектурная уязвимость
— Промокод проверяется только на пустоту.
— Далее создаётся объект Promocode, где сразу происходит расчёт скидки.
— Между созданием объекта и присвоением его в ShoppingCart есть короткое окно (десятки мс).
— При одновременных запросах сумма может пересчитаться несколько раз.
— Блокировка (self.lock) есть, но не применяется к промокодам.
— Промокод применяется до записи в поле корзины.
— is_valid влияет только на ответ метода, но не предотвращает применение скидки.
— Синхронизировать применение промокода.
— Проверки выполнять до изменения состояния корзины.
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🥰1
50+ разобранных CTF-задач по эксплуатации ядра Linux с writeup'ами — от beginner до hardcore.
Что внутри:
SMEP/SMAP/KPTI/KASLR/FGKASLR bypass техники
Race conditions, heap, eBPF, Docker escape
Чеклист kernel config'ов для проверки
Топ задачи:
Есть раздел для новичков с простыми UAF и race'ами.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰5
This media is not supported in your browser
VIEW IN TELEGRAM
Мини-фреймворк для iOS и macOS, упрощающий работу с Secure Enclave и эллиптической криптографией через понятный Swift-API.
— Создаёт пару ECC-ключей (private / public).
— Хранит private key в Secure Enclave.
— Требует Face ID / Touch ID / PIN при каждом использовании private key.
— Подписывает и проверяет данные (ECDSA).
— Шифрует и расшифровывает данные (ECIES).
— Экспортирует public key в DER / PEM (X.509).
— Работает с Cocoapods, Carthage и вручную.
— Есть fallback в Keychain без Secure Enclave.
— Подтверждение платежей и соглашений.
— Криптографическая идентификация пользователя.
— FinTech и secure auth-flows.
Инструмент для случаев, когда нужна аппаратная безопасность, а не абстрактная криптография.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2🥰2
444 — не «настоящий» HTTP-статус по RFC. Это нестандартный код nginx, который означает простое действие: nginx закрывает соединение и не отправляет HTTP-ответ вообще.
• сработало правило на уровне reverse-proxy / WAF / антибота;
• дроп по политике (например, пустой/левый Host, странный User-Agent, подозрительные пути).
```curl: (52) Empty reply from server```
(сервер закрыл TCP, не дав HTTP-ответа) — это логично для «молчаливого» дропа.
Практически:
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍2🥰2
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🥰2
🎓 Твой опыт стоит дорого — стань экспертом Proglib Academy
Чувствуешь, что накопил достаточно знаний, чтобы делиться ими с другими?
Мы ищем сильных практиков, которые хотят попробовать себя в роли:
— преподавателей;
— авторов курсов;
— наставников.
Это возможность не только монетизировать экспертизу, но и прокачать личный бренд, структурировать собственные знания и вырастить новое поколение специалистов.
👉 Заполни короткую анкету
Чувствуешь, что накопил достаточно знаний, чтобы делиться ими с другими?
Мы ищем сильных практиков, которые хотят попробовать себя в роли:
— преподавателей;
— авторов курсов;
— наставников.
Это возможность не только монетизировать экспертизу, но и прокачать личный бренд, структурировать собственные знания и вырастить новое поколение специалистов.
👉 Заполни короткую анкету
🥰5❤2
Ваш агент только что слил базу данных?
В 2026 году главной дырой в безопасности станет не SQL-инъекция, а Prompt Injection и отсутствие контроля над автономными агентами.
Мы выпустили новую версию курса по AI-агентам, где целый блок посвящен Security & AgentOps. То, о чем молчат на хайповых курсах.
Разбираем Hardcore Security:
—
— DLP-политики: фильтрация данных на выходе (чтобы агент не выдал ключи AWS).
— Комплаенс: защита данных и мониторинг инцидентов.
—
Старая версия была про «как сделать». Новая — про «как сделать и не облажаться в проде». Плюс доступ к GPU-кластеру для тестов на реальных мощностях.
💀 Акция 3 по цене 1:
Берешь этот курс — получаешь два любых других бесплатно. Идеально, чтобы подтянуть матан для криптографии.
Защитить свой код
В 2026 году главной дырой в безопасности станет не SQL-инъекция, а Prompt Injection и отсутствие контроля над автономными агентами.
Мы выпустили новую версию курса по AI-агентам, где целый блок посвящен Security & AgentOps. То, о чем молчат на хайповых курсах.
Разбираем Hardcore Security:
—
Secure Prompting: защита от джейлбрейков и инъекций.— DLP-политики: фильтрация данных на выходе (чтобы агент не выдал ключи AWS).
— Комплаенс: защита данных и мониторинг инцидентов.
—
AgentOps: инструменты наблюдения (LangSmith, Langfuse).Старая версия была про «как сделать». Новая — про «как сделать и не облажаться в проде». Плюс доступ к GPU-кластеру для тестов на реальных мощностях.
💀 Акция 3 по цене 1:
Берешь этот курс — получаешь два любых других бесплатно. Идеально, чтобы подтянуть матан для криптографии.
Защитить свой код
🥰3😁1
1006 — это не код, который присылает сервер.
Это локальный статус клиента, означающий:
соединение закрыто нештатно,
без корректного WebSocket Close frame
Проще: кто-то дёрнул провод.
Типичный сценарий:
• нестандартные WebSocket фреймы
• слишком частые сообщения сразу после upgrade
• бинарные payload’ы «не по профилю»
• отсутствие cookies / auth-контекста
• подозрительный User-Agent
• попытка автоматизации (ws + сканер)
• в браузере:
WebSocket closed with code 1006
— в логике клиента:
reconnect без объяснений
— в tcpdump:
RST / FIN без close frame
• повторяемо при одинаковых условиях
• зависит от payload / частоты
• браузер
• нестабильно
• часто вместе с 5xx
• видно в backend-логах
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🌚1
docker-commands cheat sheet.docx
10.7 KB
Думаете, что знаете Docker? Christian Lempa покажет команды, которые упростят вашу работу с контейнерами и сэкономят кучу времени.
Что внутри:
— Малоизвестные, но мощные команды Docker
— Практические примеры использования
— Советы по оптимизации работы
#cheat_sheet #docker
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🥰2
От базовых вещей типа определения версии до серьезных RCE и обхода WAF.
— Классические векторы атак (XSS, SSRF, LFI, RCE)
— Куча интересных эндпоинтов для авторизации
— Enumerate пользователей и регистрация через бэкдоры
— Отдельная секция по уязвимым модулям — это вообще золото
— Готовый сканер "huitrix" под капотом
Особенно зацепила часть про сторонние модули и директорию /local/ — обычно там и находится самое интересное 👀
Если работаете с Bitrix или просто интересуетесь веб-пентестом — must read
#resource_drop
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🥰2👍1
📦 Helm — краткая шпаргалка для работы с чартами
Сохраняйте, если Helm — часть вашей ежедневной рутины.
🟢 Управление репозиториями
🟢 Поиск и просмотр чартов
🟢 Установка и удаление
🟢 Обновление и откат
🟢 Создание чартов
📍 Навигация: [Вакансии]
🎁 Новогодняя акция: 3 курса по цене 1
🤝 Помощь с выбором курса
🐸 Библиотека хакера
#cheat_sheet
Сохраняйте, если Helm — часть вашей ежедневной рутины.
helm repo list # список подключённых р
helm repo update # обновить список чартов
helm search # поиск доступных чарто
helm search <chart> # поиск конкретного чарта
helm ls # установленные релизы
helm ls --deleted # удалённые релизы
helm ls --all # все релизы
helm inspect values <repo>/<chart> # переменные чарта
helm install --name <name> <repo>/<chart>
helm install --name <name> --values values.yaml <repo>/<chart>
helm status <name> # статус релиза
helm delete --purge <name> # полное удаление
helm get values <name> # текущие values
helm upgrade --values file.yaml <name> <repo>/<chart>
helm history <name> # история релизов
helm rollback <name> 1 # откат к версии
helm create <name> # создать шаблон ч
helm lint <name> # проверить чарт
helm package <name> # упаковать в .tgz
helm dependency update # обновить зависимости
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3❤1
⚡️ десятки / сотни тысяч устройств под угрозой
Критическая уязвимость в IKEv2 VPN позволяет удалённое выполнение кода без аутентификации на периметре сети.
— Out-of-Bounds Write (CWE-787)
— Уязвимый процесс: iked
— Затронуты:
• Mobile User VPN (IKEv2)
• Branch Office VPN (IKEv2)
— Условие: dynamic gateway peer enabled
— Impact: полный контроль над firewall / VPN-шлюзом
— Публичного стабильного PoC нет
— Вендор и CISA подтверждают высокий риск
— Типовая уязвимость для APT / ransomware
— Периметр = приоритетная цель
WatchGuard PSIRT Advisory (WGSA-2025-00027) | CISA KEV Catalog
#cve_bulletin
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🥰2🌚1
🔥 — Firewall (галочка в чек-листе)
🥰 — Антивирус (ожидания ≠ реальность)
😁 — SIEM (без детекта — хранилище)
👾 — Awareness (не заменяют контроль)
👍 — MFA (ломают при слабой реализации)
Горячие takes — в комменты
#ask_the_community
Please open Telegram to view this post
VIEW IN TELEGRAM
👾7🥰6🔥2😁2
Опенсорс-проект, который запускает Docker/Kubernetes контейнеры при SSH-подключении. После отключения — автоматическая очистка.
Три интересных кейса:
Фичи:
— Полное аудит-логирование
— Webhook-авторизация
— Изоляция на уровне контейнеров
— Автоматическая очистка сессий
Полезно для lab-сред и мониторинга угроз. Apache 2.0.
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2🥰2
freeCodeCamp выпустили курс по Git и GitHub для старта без лишней теории.
В информационной безопасности репозитории — это рабочая среда: скрипты, PoC, конфигурации, инструменты и документация. Без Git вы не встроены в экосистему.
— практическая работа с Git
— типовые рабочие сценарии
— база для использования open-source инструментов
#resource_drop #git
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🥰2👾1
This media is not supported in your browser
VIEW IN TELEGRAM
Безопасность AI-агентов: инженерный стандарт защиты 🛡
Автономные системы — это новые векторы атак. Мы учим строить ИИ-агентов, ориентируясь на контроль, предсказуемость и промышленную безопасность. Никакой «магии», только архитектурный подход.
Технические акценты курса:
— внедрение `Guardrails` для фильтрации запросов и защиты системы от инъекций;
— мониторинг в `LangSmith` для полного аудита решений, принимаемых нейросетью;
— архитектура на `LangGraph` для замены хаотичных цепочек на жёстко заданные стейт-машины;
— изоляция `RAG`-систем при работе с векторными базами данных
Постройте систему, которая работает стабильно и защищена от нештатных ситуаций.
Программа курса
Автономные системы — это новые векторы атак. Мы учим строить ИИ-агентов, ориентируясь на контроль, предсказуемость и промышленную безопасность. Никакой «магии», только архитектурный подход.
Технические акценты курса:
— внедрение `Guardrails` для фильтрации запросов и защиты системы от инъекций;
— мониторинг в `LangSmith` для полного аудита решений, принимаемых нейросетью;
— архитектура на `LangGraph` для замены хаотичных цепочек на жёстко заданные стейт-машины;
— изоляция `RAG`-систем при работе с векторными базами данных
Pinecone и Chroma.Постройте систему, которая работает стабильно и защищена от нештатных ситуаций.
Программа курса
🥰3❤2👾1
Доступен релиз elementary OS 8.1 — с акцентом на безопасность и стабильность.
Secure Session на Wayland теперь используется по умолчанию: защита ввода пароля, блокировка кражи фокуса, меньше возможностей для шпионажа со стороны приложений. Классическая сессия остаётся доступной без проблем с совместимостью.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🥰2
cheat sheet linux.jpeg
197.2 KB
Права доступа — одна из самых частых причин уязвимостей в Linux.
Эта шпаргалка — быстрый ориентир:
— как читать rwx без гаданий,
— чем реально опасны SUID / SGID / Sticky Bit,
— как права превращаются в вектор повышения привилегий.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2
Антивирус — это программа для идентификации, предотвращения и удаления вирусов на устройстве. Проверяет системы, чтобы повысить безопасность.
EDR, как правило, выявляет целевые атаки и сложные угрозы, а антивирусы предотвращают типовые и массовые атаки. Они действуют вместе и не могут заменить друг друга, потому что решают разные задачи.
#cft_challange
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3👾1