📌 OSI-модель: шпаргалка для пентестера

Эта схема помогает быстро связать атаки, трафик и оборудование с конкретным слоем стека, не тратя время на документацию.

🎥 Держите под рукой при анализе сетей, CTF-соревнованиях и реальных пентестах — экономит время и не даёт пропустить уязвимые компоненты.

🐸 Библиотека хакера

#cheat_sheet

🚨 Fortinet FortiWeb взломан

Zero-day уязвимость CVE-2025-64446 УЖЕ эксплуатируется хакерами в реальных атаках.

🎥 Что происходит:

Path Traversal → чтение любых файлов системы → удалённое выполнение кода

⚠️ Если у вас FortiWeb — вы под ударом ПРЯМО СЕЙЧАС

🎥 Что делать:

— Накатить патч немедленно
— Закрыть админку от внешнего доступа
— Проверить логи на следы взлома

📎 Источник

🐸 Библиотека хакера

#cve_bulletin

🙂 Когда вы узнали о последнем инциденте безопасности

A) Из своего SIEM в реальном времени
B) Пользователь написал «что-то тормозит»
C) Банк заблокировал карту компании
D) Хакеры сами написали в поддержку

💬 Пишите в комментах самую дикую историю, как узнали об инциденте

🐸 Библиотека хакера

#ask_the_community

📎 Инструмент недели: Trivy

Один инструмент для поиска всего: уязвимостей в контейнерах, секретов в коде, misconfigurations в Kubernetes и IaC. Сканирует образы, файлы, репозитории и даже целые кластеры.

➡️ Что умеет:

— Находит CVE в OS-пакетах и зависимостях (Python, Node.js, Java, Go и ещё 20+ языков)

— Генерирует SBOM (CycloneDX, SPDX) для supply chain security

— Ловит секреты (API keys, tokens, credentials) в коде и образах

— Проверяет IaC на ошибки конфигурации (Terraform, K8s YAML, Dockerfiles)

— Сканирует Kubernetes кластеры и генерирует KBOM

— Работает локально, в CI/CD, интегрируется с GitHub Security, Harbor, GitLab

➡️ Пример запуска:

# Проверить Docker-образ
trivy image nginx:latest

# Сгенерировать SBOM
trivy image --format cyclonedx -o sbom.json myapp:latest

# Найти секреты в репозитории
trivy fs --scanners secret ./

# Проверить Kubernetes кластер
trivy k8s cluster

💡 Зачем нужно:

DevSecOps без боли. Вместо десятка разных инструментов — один Trivy. Быстрый (секунды), точный (низкий false-positive), бесплатный. Один скан → видишь все риски: от outdated библиотек до hardcoded паролей.

🔗 Ссылка на GitHub

🐸 Библиотека хакера

#tool_of_the_week

🔥 Свежие апдейты из мира ИБ

Подборка ключевых событий, которые стоит держать в поле зрения 👇

♾ Браузерный движок Servo получил поддержку нативных сборок и новых жестов

Новый цикл обновлений улучшает веб-совместимость и работу на мобильных платформах.

♾ Microsoft Patch Tuesday — 63 уязвимости

Microsoft выпустила обновления, закрывающие 63 уязвимости, включая нулевой день CVE-2025-62215.

🎥 Рекомендация: обновлять без промедления, проверить логи на предмет ранее начатой эксплуатации.

♾ $244000000 за шифрование

VPN-инфраструктура теперь — бесплатный банкомат для хакеров

♾ Нейросеть сдала все пароли: «Просто стань моим другом»

Фильтры безопасности рухнули после одного невинного предложения

♾ Как российский рынок кибербезопасности станет монополией за 6 лет

Рынок кибербезопасности вырос на 26,3%, обогнав даже IT-сектор.

♾ В российском TrueConf Server нашли цепочку 0-day уязвимостей, позволяющую удаленно выполнять команды

🐸 Библиотека хакера

#patch_notes

⚠️ Глобальный сбой Cloudflare

У Cloudflare сегодня произошёл масштабный инцидент, затронувший множество популярных сервисов по всему миру. Компания сообщила, что знает о проблеме и работает над восстановлением.

📉 Что пострадало:

Spotify, «Яндекс Музыка», X, Amazon-сервисы, OpenAI/ChatGPT и другие ресурсы, использующие Cloudflare для DNS, CDN и защиты.

Сбой начался вскоре после плановых работ в дата-центре Сантьяго. Напомним: через Cloudflare проходит около 20% мирового веб-трафика.

🎥 Компания обещает обновления по мере устранения неполадок.

🐸 Библиотека хакера

#patch_notes

⚠️ MyData атаковала производственную компанию Bangkok Eagle Wings

Ransomware-группа MyData заявила о взломе тайской фабрики Bangkok Eagle Wings Co., Ltd. и краже массива внутренних данных. Атака вписывается в новый тренд 2025 года — переход вымогателей в промышленный сектор.

🔤 Что под угрозой:

— внутренние документы, закупочные ведомости, спецификации;

— данные сотрудников и контрагентов;

— сбои на производственных линиях;
— репутационный ущерб от потенциальной публикации данных.

🔤 Как действует MyData (по кейсам 2024–2025):

— вход через уязвимые VPN, проброшенные RDP или забытые сервисы в DMZ;

— exfiltration-first: сначала вытаскивают данные, потом шифруют;

— автоматическое отключение антивирусов и бэкапов;

— двойное давление: leak-сайт + рассылка угроз партнёрам компании.

❔ Почему производство = новый хайп у вымогателей

В промышленности любой простой = прямые убытки. Это делает заводы и фабрики не менее привлекательной целью, чем финансы или ритейл.

🔗 Источник

🐸 Библиотека хакера

#breach_breakdown

📌 Быстрая шпаргалка по сетевым портам

Это короткий ориентир по основным портам: какие сервисы за ними стоят и чем они могут быть полезны в работе.

🔤 Удобно, когда нужно быстро проверить значение конкретного порта без долгих поисков.

🐸 Библиотека хакера

#cheat_sheet

🐳 Побег из контейнера

Сценарий: вы получили RCE в веб-приложении, которое работает в Docker-контейнере. У вас есть shell от пользователя www-data внутри контейнера.

Цель — выбраться на хост-систему и прочитать /host/root/flag.txt.

❓ Каким способом выйдете на хост, голосуйте реакциями:

🔥 — Mount host disk: смонтировать /dev/sda1 и читать файлы хоста напрямую

👾 — Docker API abuse: подключиться к tcp://172.17.0.1:2375 и запустить новый контейнер с volume хоста

❤️ — Namespace escape: через /proc/1/root попытаться получить доступ к init-процессу хоста

🐸 Библиотека хакера

#ctf_challenge

🔥 Выучи математику за 60 дней!

Чем важна математика расскажет Мария Тихонова - кандидат компьютерных наук, руководитель исследовательского направления SberAI, доцент факультета компьютерных наук и преподаватель НИУ ВШЭ на курсе «Математика для Data Science» от Proglib Academy.

👀 Мария - человек, который реально работает с LLM и делает так, чтобы модели понимали человеческую речь, а не делали вид.

Что еще внутри курса:

- живые вебинары, на которых можно задать вопросы спикерам
- доступ к материалам в записи, если не успели на лекцию и чат
- 3 задания с практикой на Python и финальный проект с подробной обратной связью от экспертов курса
- актуальные знания: программа разработана в ноябре 2025г.
- программа без воды - 2 месяца только самого нужного для старта
- для старта нужны всего лишь знания школьной математики и основы Python
- скидка 40% до 30 ноября
- если оплатить до конца ноября, получите курс «Базовая математика» в подарок

👇👇👇
Записаться на курс

Наглядный пример 😁

🐸 Библиотека хакера

#hack_humor