😈 Prototype Pollution: Client-side и Server-side атаки

Покажем обе стороны проблемы: client-side и server-side. Разберём, как загрязнение прототипа доезжает до DOM XSS через innerHTML, и поля обработчиков, а на сервере влияет на поведениеки

Покажем обе с шаблонизаторов, промежуточных обработчиков и фреймворков Node.js.

➖Внутри будет не пересказ теории, а практический разбор механики: __proto__,небезопасное слияние объектов, path setter’ы, gadget-цепочки, типовые источники pollution, признаки в коде, инструменты для поиска и способы защиты.

➡️https://codeby.net/threads/prototype-pollution-client-side-i-server-side-ataki.92588/

#Prototype #Pollution #XSS #Attack // @nsis // max.ru/nsis

😠 Цифровой этикет. Как не бесить друг друга в Интернете

Цифровой этикет помогает людям избежать нелов­костей в общении и предлагает готовые инструкции,
как вести себя в разных ситуациях в сети. Он позволя­ет повысить эффективность работы, улучшить деловую
репутацию, а также взаимоотношения с клиентами, кол­легами и партнерами, защитить свои границы, да и по­просту быть приличным человеком.

➖В своей книге Ольга Лукинова собрала все правила вместе и объяснила их с точки зрения удобства, безопасности, экономии ресурсов пользователей и соблюдения личных границ. Все прави­ла протестированы в канале «Цифровой этикет»
с помощью опросов и обратной связи от подписчиков.

➡️https://max.ru/nsis_cybersec/AZ2XZklvW-s

#Book #ИБ #Work // @nsis // max.ru/nsis

😈 Как я взломал аппаратный криптокошелёк и вернул два миллиона долларов

Представьте, что у вас есть два миллиона долларов, хранящихся на куске кремния размером с почтовую марку, а пароль от них вы забыли.

Существует множество разных чипов подобного типа. Аппаратные кошельки предназначены для защиты восстанавливающих доступ строк в мире криптовалют.

➖Однако многие люди забывают свои пароли, а если забыть пароль, то вы не сможете получить доступ к информации на чипе и потеряете деньги. О такой проблеме и пойдёт речь в нашей статье.

➡️https://habr.com/ru/companies/ruvds/articles/1021410/

#Crypto #Trezor #Reverse #Hack // @nsis // max.ru/nsis

🤒 Яйцо кукушки. История разоблачения легендарного хакера

В отличие от плохого танцора, хорошему сисадмину мешают только кукушкины яйца. Их откладывают в его компьютер злобные хакеры, чтобы из них вылупились программы, делающие своего папу-кукушку суперпользователем.

Сисадмин Клиффорд Столл случайно обнаружил, что кто-то посторонний входил в систему, используя данные уволившегося полгода назад сотрудника. Началась охота на хакеров, которая закончилась задержанием в 1987 году жителей ФРГ — легендарного хакера Маркуса Гесса и трех его подельников Ганса Хьюбнера, Дирк-Отто Бжезинского и Карла Коха, которые успешно атаковали 400 компьютеров Министерства обороны США и его подрядчиков и продавали добытые секреты КГБ.

Автор подробно и честно рассказал о том, как смог разоблачить советских кибершпионов.

➖В отличие от посвященных этой же проблеме американских фильмов, изрядно нашпигованных техническими ляпами, этот документальный детектив без ошибок описывает работу охотников за хакерами.

➡️https://max.ru/nsis_cybersec/AZ2SNK3BbZw

#Book #Admin #Hack #BugBounty #Hunting // @nsis // max.ru/nsis

😈 Какой пароль рута MySQL в Kali Linux. Как сменить/сбросить пароль рута MySQL в Kali Linux

Для только что установленной MySQL пароль пользователя root является пустым.

Вы можете выполнить вход в MySQL (MariaDB) с помощью следующей команды, даже не вводя пароль:

sudo mysql -u root

Чтобы установить пароль root запустите и следуйте инструкциям:

sudo mysql_secure_installat

➖Давайте внимательно разберёмся со всем, что говорит нам этот скрипт, поскольку вопросам безопасности вер-сервера следует уделять особое внимание.

➡️https://hackware.ru/?p=573

#MySQL #Kali #Linux #Password #Bruteforce // @nsis // max.ru/nsis

😈 SQL. Сборник рецептов

Рассмотрены готовые рецепты для решения практических задач при работе с СУБД Oracle, DB2, SQL Server, MySQL и PostgreSQL.

Описаны извлечение записей из таблиц, сортировка результатов запросов, принципы работы с несколькими таблицами, обработка запросов с метаданными.

🔵Рассказывается о способах поиска данных средствами SQL, о составлении отчетов и форматировании результирующих множеств, работе с иерархическими запросами.
🔵Рассматривается использование оконных функций, обобщенных табличных выражений (ОТВ), сбор данных в блоки, формирование гистограмм, текущих сумм и подсумм, агрегация скользящего диапазона значений.

➖Описан обход строки и ее синтаксический разбор на символы, приведены способы упрощения вычислений внутри строки. Во втором издании учтены все изменения в синтаксисе и архитектуре актуальных реализаций SQL.

➡️https://max.ru/nsis_cybersec/AZ2MPcGwXGg

#SQL #Data #Programming // @nsis // max.ru/nsis

😈 Раздельное туннелирование на Windows: как настроить split tunneling через маршруты

На практике есть два рабочих подхода:
🔵Первый, через графический клиент, быстрее и проще, но часто скрывает детали и ломается в неожиданных местах.
🔵Второй, через таблицу маршрутизации Windows, требует больше аккуратности, зато даёт предсказуемый результат и нормально документируется.

➖Для WireGuard на Windows есть ещё удобный промежуточный вариант: использовать AllowedIPs как фильтр маршрутов.

➡️https://www.securitylab.ru/blog/personal/SimlpeHacker/360298.php

#Network #Windows #WireGuard #DNS #PowerShell // @nsis // max.ru/nsis

😈 Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats

В данном издании рассматривается сложная тема: исследование руткитов и буткитов. Книга написана тремя профессионалами.

➖В данной книге описываются как базовые принципы реверса вредоносных программ, так и сложные приемы, рассчитанные на профессиональных исследователей таких программ — вирусных аналитиков.

➡️https://max.ru/nsis_cybersec/AZ2IA33ICMU

#Book #Forensics #Malware // @nsis // max.ru/nsis

Самые популярные Telegram-каналы по ИБ теперь в Max:

infosec — ламповое сообщество, которое публикует редкую литературу, курсы и полезный контент для ИБ специалистов любого уровня и направления.

Life-Hack - Хакер - сообщество по информационной безопасности. Статьи, гайды, обучения, переводы, обзоры, подборки полезного софта!

ZeroDay — практические уроки по пентесту, защите сетей и анонимности от действующего специалиста по информационной безопасности.

Этичный Хакер - канал про информационную безопасность, сетевую разведку, пентест и анонимность в сети

😈 Поиск и взлом сервера базы данных MSSQL

Microsoft SQL Server (MS-SQL) — менеджер реляционных баз данных, созданный Microsoft. На большом предприятии или в организации используется несколько баз данных, что часто приводит к проблемам в плане безопасности.

Сегодня поговорим о лучших способах поиска и взлома сервера базы данных MSSQL.

➖Речь пойдет, как о локальных, так и удаленных методах обнаружения серверов MS-SQL.

➡️https://spy-soft.net/determine-and-hack-mssql/

#Pentest #Search #Hack #Data #MSSQL #SQL // @nsis // max.ru/nsis

😈 Набор инструментов для реализации атак типа Kerberos Relay в средах Active Directory

krbrelayx — это мощный инструментарий для тестирования на проникновение, предназначенный для эксплуатации протокола Kerberos.

Он позволяет перехватывать аутентификационные сессии и ретранслировать их на другие сервисы (SMB, HTTP, LDAP и др.) для получения несанкционированного доступа или повышения привилегий в домене.

➖Инструмент включает в себя скрипты для работы с DNS, LDAP и методы для принудительной аутентификации, что делает его незаменимым для аудита безопасности инфраструктуры Windows и проведения Red Team операций.

➡️https://github.com/dirkjanm/krbrelayx

#AD #Kerberos #Pentest #RedTeaming #Hacking #Tool
// @nsis // max.ru/nsis

😈 Head First. Паттерны проектирования. 2-е издание (2021) PDF

В этой книге рассказано, какие паттерны действительно важны, когда и при каких условиях ими необходимо пользоваться, как применить их в ваших проектах и на каких принципах объектно-ориентированного проектирования они построены.

Присоединяйтесь к сотням тысяч разработчиков, которые повысили свою квалификацию объектно-ориентированного проектирования благодаря книге «Head First. Паттерны проектирования».

➖Если вы уже читали книги из серии Head First, то знаете, что вас ждет визуально насыщенный формат, разработанный с учетом особенностей работы мозга.

➡️https://max.ru/nsis_cybersec/AZ18NoQvbTw

#Book #Programming // @nsis // max.ru/nsis_cybersec

😈 Российские компании пояснили СМИ свои методики и принципы по обнаружению VPN у пользователей

По информации СМИ, российские маркетплейсы по указанию Минцифры начали в рамках пакета мер по борьбе с VPN ограничивать доступ к своим ресурсам со стороны пользователей, которые пытаются зайти на площадки через сервисы для обхода блокировок.

Если компании не будут соблюдать предложенные ограничения от ведомства, то их ресурсы удалят из «белых списков», а сами IT-организации лишат аккредитации Минцифры.

➖В российский IT-компаниях пояснили СМИ свои методики и принципы по обнаружению VPN у пользователей.

➡️https://habr.com/ru/news/1021626/

#News #Network #VPN // @nsis // max.ru/nsis

—
🔗 Видео/файл слишком большой для прямого переноса, открыть в Telegram

😈 Восстановление данных. Практическое руководство

Автор: Касперски Крис, Кирилова Ксения, Холмогоров Валентин
Год: 2021

Книга представляет собой подробное пошаговое руководство по восстановлению поврежденных данных на жестких дисках, съемных носителях и твердотельных накопителях. Подробно рассмотрена структура популярных файловых систем: NTFS, ext3/ext4, UDF/UFS/FFS и др. Описаны автоматические методы восстановления данных для операционных систем Windows и Linux. Приведены способы ручного восстановления, используемые в случае, когда автоматическое восстановление невозможно. Даны рекомендации по ремонту жестких дисков.

— Во втором издании уделено внимание работе с новыми приложениями для Windows 10 и Linux, c файловой системой ext4, твердотельными накопителями и флеш-памятью, рассмотрено использование облачных технологий. Книга сопровождается большим количеством полезных советов и исчерпывающим справочным материалом.

В этой книге:
🔵Автоматическое и ручное восстановление данных с жестких дисков и SSD
🔵Программы для восстановления удаленных файлов в Windows и Linux
🔵Приложения для резервного копирования и работы с резервными копиями
🔵Восстановление поврежденных носителей
🔵Ремонт жестких дисков
🔵Использование облачных хранилищ
🔵2-е издание, переработанное и дополненное.

➡️https://max.ru/nsis_cybersec/AZ1zUoG3Dac

#Book #Forensics #Windows #Linux // @nsis // max.ru/nsis

😈 Mobile App Anti-Tampering: Защита мобильных приложений от реверс-инжиниринга

В тексте собран нормальный защитный контур для мобильного клиента: модель угроз, проверки на root и jailbreak, обфускация, контроль целостности, RASP, pinning, работа с хранилищем и самопроверка.

➖По пути разберём, где приложение обычно сыпется под нормальным разбором, почему отдельные меры часто живут слишком недолго и как собрать защиту так, чтобы клиент не слишком охотно объяснял, как он устроен, что проверяет и где у него слабые места.

➡️https://codeby.net/threads/mobile-app-anti-tampering-zashchita-mobil-nykh-prilozhenii-ot-revers-inzhiniringa.92577/

#Mobile #Reverse #Obfuscation #Root #Security // @nsis // max.ru/nsis

😈 Кибербезопасность. Главные принципы

С 1970-х годов InfoSec-специалисты постепенно совершенствовали безопасность, даже не задумываясь, в правильном ли направлении со стратегической точки зрения они движутся. Рик Ховард утверждает, что нет.

Общее направление само по себе было ошибочным, но идейные лидеры в этой области так и не смогли докопаться до корня проблемы.

— Идя по стопам таких авторитетов, как Декарт и Илон Маск, автор обосновывает главный принцип кибербезопасности и определяет стратегии и тактики его реализации.

➡️https://max.ru/nsis_cybersec/AZ1Ir3ifHqw

#Book #Cybersecurity // @nsis // max.ru/nsis

😈 Как использовать Hashcat на видеокартах серии GeForce RTX 50. Как в Linux установить драйвер для GeForce RTX 5060, 5070, 5080, 5090

Последние годы подготовка Linux для перебора хешей с помощью утилиты Hashcat была уже достаточно обкатанной:
🔵установка Hashcat
🔵установка проприетарных драйверов для видеокарты
🔵установка CUDA

Но если вы повторите уже проверенные годами команды по установке, то для новых карт GeForce RTX 5060, 5070, 5080, 5090 они не сработают.

➖В этой статье будут даны обновлённые команды, которые позволят настроить Linux для эффективной работы с Hashcat в том числе используя видеокарты серии GeForce RTX 50.

➡️https://hackware.ru/?p=19350

#Hashcat #Tool #Guide #GeForce // @nsis // max.ru/nsis

😈 Что такое TG WS Proxy и как настроить программу для Telegram Desktop

TG WS Proxy в репозитории Flowseal — не «волшебный ускоритель интернета» и не отдельная версия Telegram.

Речь идет о локальном MTProto-прокси для Telegram Desktop, который поднимается прямо на вашем компьютере и заворачивает часть трафика Telegram в WebSocket-соединения.

Проект прямо так и описан в репозитории.

➡️https://www.securitylab.ru/blog/personal/Bitshield/360151.php

#Messenger #Telegram #Apple// @nsis // max.ru/nsis

😈 Архитектура защищенных
сетей

После прочтения этой книги вы сможете уверенно ориентироваться практически во всех ключевых решениях и технологиях по защите периметра, будете понимать как и для чего они работают, как друг друга дополняют, в какой части сети должны внедряться, какие альтернативы существуют и на что опираться при выборе конкретного вендора.

➡️https://max.ru/nsis_cybersec/AZ1S_xQGcOA

#Book #Network #Security // @nsis // max.ru/nsis

Удивительные тренды анонимности и безопасности в 2026

В 2026 году анонимность и безопасность - это больше, чем пароли, шифрование и смена IP.
Вот три тренда, которые вам стоит знать:

1️⃣ DeepFake - новые цифровые личности

Быть анонимным — значит создать полностью новую цифровую личность, способную пройти видеоверификацию и идентификацию по голосу. Личность с убедительной биографией, характерными манерами и активными страницами в социальных сетях.

Такая личность может стать успешным блогером, OnlyFans-моделью, певцом с миллионами поклонников или бизнесменом. Самое удивительное: всеми этими личностями может управлять один человек, меняя AI-аватары и профили в два клика.

2️⃣Профессиональное сокрытие криптоактивов

Умение скрывать и защищать криптоактивы сегодня уже базовый навык.

20 февраля 2026 года вступил в силу ФЗ № 38-ФЗ: криптовалюта официально признана имуществом в УК и УПК. Теперь следователь может изъять холодный кошелёк, получить коды доступа и перевести криптовалюту на государственный адрес-идентификатор — всё с участием специалиста и по протоколу.

Криптовалюта привлекает внимание государств, хакеров, вымогателей, друзей и даже родственников. Для её защиты нужны: продуманная легенда с правдоподобным отрицанием, двойное дно на устройствах, duress-пароль, методы контрфорензики, шифрование и надёжные бэкапы. Хорошая новость - этому можно научиться и обучить свою команду.

3️⃣ Активная защита - атака злоумышленников

Время быть жертвой прошло — это слишком унизительно. Вместо того чтобы просто защищаться и прятаться, используйте активную защиту: незаметно вычислите и атакуйте злоумышленника. Вот несколько популярных приемов:

ZIP-бомбы: крошечный файл 42 МБ превращается в 4,5 ТБ и выводит из строя сканер на машине атакующего.
«Открытые» порты: nmap злоумышленника выдаст ложную картину вашего устройства.
Канарейки: дадут знать, если кто-то тайно получит доступ к вашему устройству (будь то жена или хакер).

CyberYozh Academy помогает освоить все эти навыки “под ключ” вместе с ведущими экспертами рынка. Академия работает с 2014 года и считается одной из самых авторитетных в сфере кибербезопасности. Переходите по ссылке, чтобы узнать подробности, или пишите менеджеру для анонимной заявки на обучение.

🦔 [клик для перехода по ссылке]

#mem // @nsis // max.ru/nsis

😈 PowerShell для Red Team: Скрипты для обхода антивирусов и пост-эксплуатации (LOTL)

В этом материале разбирается PowerShell не как язык для админских скриптов, а как полноценный LOTL-инструмент постэксплуатации.

От легитимности powershell.exe и работы с .NET до роли AMSI, CLM и Script Block Logging - без мифов и с нормальным разбором того, почему этот стек до сих пор остаётся рабочим полем и для атакующего, и для защитника.

➖По ходу статьи автор проходит по ключевым узлам современной PowerShell-эксплуатации.

➡️https://codeby.net/threads/powershell-dlya-red-team-skripty-dlya-obkhoda-antivirusov-i-post-ekspluatatsii-lotl.92537/

#PowerShell #RedTeam #Malware // @nsis // max.ru/nsis