Утилита для работы с базой уязвимостей Apple DB. Позволяет скачивать, индексировать и искать CVE, эксплойты и уязвимости в продуктах Apple — без ручного парсинга сайтов или JSON-фидов.
— Загружает и агрегирует данные Apple DB
— Индексирует для быстрого поиска
— Ищет по CVE, описаниям, эксплойтам
— Подходит для CI и локальной аналитики
git clone https://github.com/synacktiv/appledb_rs.git
cd appledb_rs && cargo build --release
./target/release/appledb_rs sync
./target/release/appledb_rs search CVE-2023-XXXX
— Храните локальную копию базы — поиск будет мгновенным
— Обновляйте данные по cron или в CI
— Экспортируйте результаты в JSON/CSV для аналитики
#tool_of_the_week
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🌚2
Добавлены новые декодеры, улучшен парсинг протоколов и повышена стабильность.
#patch_notes
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3🥰3👍2
🤓 Пока Python стал π-thon, ты можешь стать Data Scientist'ом
В Proglib.academy стартует экспресс-курс «Математика для Data Science»: 10 живых вебинаров, практика на Python и спикеры из ВШЭ, Яндекс Практикума и Wildberries, которые всё разложат по полочкам.
В программе:
🔹 матан, линал, теория вероятностей;
🔹 3 практических проекта + викторина с розыгрышем TG Premium;
🔹 поддержка преподавателей и чат с единомышленниками;
🎁 Оплати курс до 19 октября — получи курс по базовой математике в подарок.
🗓️ Старт — 6 ноября
👉 Записаться на курс
В Proglib.academy стартует экспресс-курс «Математика для Data Science»: 10 живых вебинаров, практика на Python и спикеры из ВШЭ, Яндекс Практикума и Wildberries, которые всё разложат по полочкам.
В программе:
🔹 матан, линал, теория вероятностей;
🔹 3 практических проекта + викторина с розыгрышем TG Premium;
🔹 поддержка преподавателей и чат с единомышленниками;
🎁 Оплати курс до 19 октября — получи курс по базовой математике в подарок.
🗓️ Старт — 6 ноября
👉 Записаться на курс
🥰2😁2
Клиент: приватный CI-сервер с несколькими dev-учётками.
Исследователь: получил доступ к обычной учётке и нашёл, что
sudo старой версии позволяет --chroot без защиты. Через контролируемое окружение он подменил NSS/библиотеки внутри chroot и добыл root.1. Локальный user запускает `sudo --chroot` с контролируемым деревом.
2. Подмена NSS/libc-файлов в chroot.
3. Выполнение кода с правами root → full compromise CI, кража токенов и подпись/публикация артефактов.
— Обновили
sudo до патченной версии.— Временно запретили
--chroot в sudoers для не-админов.— Удалили/ограничили компиляторы и инструменты сборки на рабочих машинах.
— Провели аудит sudoers/LDAP и убрали shared-правила.
#breach_breakdown
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥4🔥3👍2😁1
Google Search Operators .pdf
164.7 KB
Если умеете искать — половина OSINT уже сделана. Сохраните себе этот лист: операторы, которые помогут точечно находить уязвимости, документы, домены и следы утечек.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
🧐 Хочешь в Data Science, но не знаешь, с чего начать?
Пройди короткий тест по математике — бот покажет, насколько ты готов к переходу и что стоит подтянуть.
👉 Пройти тест
Пройди короткий тест по математике — бот покажет, насколько ты готов к переходу и что стоит подтянуть.
Всего пару минут — и ты поймёшь, куда двигаться дальше.
👉 Пройти тест
👍4❤3
🧩 Хакер-челлендж
Сценарий: веб-сервис принимает бинарный объект (pickle/unsafe JSON), десериализует и сразу вызывает метод
❓ Что наиболее правдоподобно может произойти, если загрузить специально-сформированный объект? Голосуйте эмодзи:
🔥 — RCE: выполнить произвольный код на сервере (pickle позволяет инвокировать конструкторы/функции).
👾 — Эскалация привилегий: объект вызовет внутренний метод, открывающий админ-функции.
❤️ — DoS: CV-памяти/CPU через рекурсивные/тяжёлые объекты.
👍 — Утечка данных: объект инициирует исходящие запросы (exfiltration) и вернёт конфиденциальные данные.
🐸 Библиотека хакера
#ctf_challenge
Сценарий: веб-сервис принимает бинарный объект (pickle/unsafe JSON), десериализует и сразу вызывает метод
process() у полученного объекта. Пользователь может загрузить произвольный байтстрим.🔥 — RCE: выполнить произвольный код на сервере (pickle позволяет инвокировать конструкторы/функции).
👾 — Эскалация привилегий: объект вызовет внутренний метод, открывающий админ-функции.
❤️ — DoS: CV-памяти/CPU через рекурсивные/тяжёлые объекты.
👍 — Утечка данных: объект инициирует исходящие запросы (exfiltration) и вернёт конфиденциальные данные.
#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👾5❤2👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁8💯2
— Богатая библиотека для тестирования уязвимостей (например, Scapy, Requests)
— Простой и быстрый язык для написания скриптов автоматизации
— Высокая скорость и надежность для написания более сложных атакующих скриптов
— Отлично подходит для многозадачности и автоматизации крупных проектов
❤️ — Python
👍 — Go
#tool_vs_tool
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13👍7
История, с которой началась эра кибербезопасности. Студент Роберт Моррис запустил экспериментальный червь, чтобы измерить «размер интернета». Но из-за ошибки код стал размножаться бесконечно.
#zero_day_legends
Please open Telegram to view this post
VIEW IN TELEGRAM
👾4❤1🔥1
🎲 Мы не только учим, но и играем!
На экспресс-курсе «Математика для Data Science» — викторина с призом TG-Premium 🎁
Проверь знания, прокачай математику и забери приз.
‼️ Оплатишь до 19 октября — получишь базовый курс в подарок.
👉 Записаться на курс
На экспресс-курсе «Математика для Data Science» — викторина с призом TG-Premium 🎁
Проверь знания, прокачай математику и забери приз.
‼️ Оплатишь до 19 октября — получишь базовый курс в подарок.
👉 Записаться на курс
🥰2
Раннее мы выкладывали задачу
Сервис десериализует входной байтстрим (pickle/unsafe JSON) и сразу вызывает
obj.process(). Если вход ненадёжный — можно выполнить произвольный код на сервере.#ctf_challenge
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2😁1
iOS Attack.png
1021.7 KB
Полезная карта приёмов и инструментов — быстрый чек-лист того, что искать и как классифицировать инциденты.
#cheat_sheet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥1
Стабильна ли работа первой линии вашего SOC?
Работа SOC начинается с аналитика первой линии. Его решения определяют, как быстро команда увидит атаку, зафиксирует инцидент и начнет реагировать. Фолзы, перегрузка, разрозненные данные — все это снижает скорость и точность.
27 октября стартует онлайн-практикум «Мониторинг и реагирование на инциденты» от Positive Education.
Участники научатся:
- выделять значимые события,
- самостоятельно отражать сложные кейсы,
- эскалировать действительно критичные из них и взаимодействовать с ИТ.
В течение 5 недель участников будут сопровождать архитекторы и инженеры с опытом построения промышленных центров мониторинга, проектирования SIEM-систем и внедрения сервисных моделей.
🔴 Освоите системный подход к реагированию
🔴 Прокачаете навыки работа с инструментами, поймете, как их сочетать и применять при анализе инцидентов
🔴 Пройдете практику на стенде PT EdTechLab
🔴 Отработаете связку логов, сбор доказательств и корректную эскалацию по процессу
Подробнее о практикуме читайте на сайте.
Работа SOC начинается с аналитика первой линии. Его решения определяют, как быстро команда увидит атаку, зафиксирует инцидент и начнет реагировать. Фолзы, перегрузка, разрозненные данные — все это снижает скорость и точность.
27 октября стартует онлайн-практикум «Мониторинг и реагирование на инциденты» от Positive Education.
Участники научатся:
- выделять значимые события,
- самостоятельно отражать сложные кейсы,
- эскалировать действительно критичные из них и взаимодействовать с ИТ.
В течение 5 недель участников будут сопровождать архитекторы и инженеры с опытом построения промышленных центров мониторинга, проектирования SIEM-систем и внедрения сервисных моделей.
Подробнее о практикуме читайте на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Недавно мы анонсировали старт нового курса «Математика для Data Science».
В ближайшие дни выйдет серия постов о том, что ждёт вас на курсе, а пока познакомим вас с его экспертами.
Спикеры курса:
👤 Ксения Кондаурова
Преподаватель и автор курсов для бакалавриата Центрального Университета (Т-Банк), спикер и методист для Edutoria (Сбербанк). Ксения расскажет, как линейная алгебра применяется для построения предсказательных моделей, и научит проверять гипотезы для бизнеса с помощью статистики.
👤 Диана Миронидис
Преподаватель НИУ ВШЭ, автор и методист Яндекс Практикума. Самый экстравагантный преподаватель из всех, с кем вы учились, — убедитесь, что математика может быть нескучной. Диана погрузит в математический анализ, научит исследовать функции и находить параметры, при которых ошибка модели минимальна.
👤 Маргарита Бурова
Академический руководитель образовательных программ по аналитике и анализу данных, Wildberries & Russ. Проведёт квиз с розыгрышем годовой подписки TG Premium. Маргарита — эксперт в дата-сайенс, ИИ и математических методах анализа данных, фанат развития ИТ-образования.
Вместе с экспертами за 8 недель вы не просто получите знания, а познакомитесь с математикой заново.
🎁 Только при оплате до 19 октября курс «Базовая математика» в подарок!
👉 Записаться на курс
В ближайшие дни выйдет серия постов о том, что ждёт вас на курсе, а пока познакомим вас с его экспертами.
Спикеры курса:
👤 Ксения Кондаурова
Преподаватель и автор курсов для бакалавриата Центрального Университета (Т-Банк), спикер и методист для Edutoria (Сбербанк). Ксения расскажет, как линейная алгебра применяется для построения предсказательных моделей, и научит проверять гипотезы для бизнеса с помощью статистики.
👤 Диана Миронидис
Преподаватель НИУ ВШЭ, автор и методист Яндекс Практикума. Самый экстравагантный преподаватель из всех, с кем вы учились, — убедитесь, что математика может быть нескучной. Диана погрузит в математический анализ, научит исследовать функции и находить параметры, при которых ошибка модели минимальна.
👤 Маргарита Бурова
Академический руководитель образовательных программ по аналитике и анализу данных, Wildberries & Russ. Проведёт квиз с розыгрышем годовой подписки TG Premium. Маргарита — эксперт в дата-сайенс, ИИ и математических методах анализа данных, фанат развития ИТ-образования.
Вместе с экспертами за 8 недель вы не просто получите знания, а познакомитесь с математикой заново.
🎁 Только при оплате до 19 октября курс «Базовая математика» в подарок!
👉 Записаться на курс
🥰2
Ричард из Silicon Valley декомпилирует и тестирует собственный бинарник, чтобы понять, как конкуренты могли скопировать или обойти алгоритм сжатия.
#hollywood_hack
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1