Пост не по теме канала, но то что мне показалось очень важным
Есть такой человек - Андрей Викторович Столяров
Для тех кто не знал или забыл - он автор наверное одних из лучших книг по программированию на русском языке
Будучи ещё в школе я с радостью прочитал его книги
Сейчас узнал, что в потоке информационного шума пропустил очень важную новость - у него, к сожалению, обнаружили рак...
http://stolyarov.info/node/429

Пост я делаю не с целью обратить внимания или что-то вроде такого, а просто чтобы если кто-то вдруг как и я читал его книги (которые всегда были в бесплатном доступе) - не упустил сказать спасибо ему за все монетой.

VUdFa0pGY3dja1E5TVRJeg==

Как стало много подписчиков. Всем приветы. И сразу вопрос-опрос.

Хотите задать вопрос топовым хакерам из Synack и HackerOne?

В нашем канале коммуникации 15 апреля в 19:00 (мск) пройдет стрим в формате ответов на все ваши вопросы с топовыми хакерами Hussein Daher и Nikhil "Niksthehacker" Shrivastava!

Что будет на стриме?

🔥 Как гости стрима пришли в багбаунти и что стало точкой невозврата?
🔥 На каких уязвимостях они фокусируются и почему?
🔥 Как понять, когда копать глубже, а когда менять таргет?
🔥 Самые запоминающиеся репорты, инсайты и лайфхаки.

Кто в эфире?

🔹 Hussein Daher — этичный хакер, который с 2014 года нашел более 1500 уязвимостей более чем в 800 компаниях. Основатель WebImmunify․com, компании, которая занимается пентестом и консультациями по кибербезопасности.
🔹Nikhil Shrivastava (Niksthehacker) — Synack Legend Hacker — помог найти более 1500 уязвимостей в продуктах Google, Microsoft, Tesla. Выступал на DEF CON, BlackHat и RSA.

Модератором стрима выступит Александр Мошков.

💡 Готовьте вопросы — спикеры ответят на все, что вы захотите узнать!

🦌

Стажировка Солар🧡

Студенты будут принимать участие в построении комплексных систем информационной безопасности: проводить аудиты и разрабатывать стратегии развития кибербезопасности, проектировать и внедрять средства защиты информации, обеспечивать соблюдение требований законодательства и защищенность информационных систем.

📝Этапы отбора:
-Отборочное тестирование (до 26 марта)
-Командная игра
-Собеседование с командой

⚡От тебя ждем:
-Что ты сможешь уделять работе от 20 часов в неделю
-Учишься на одном из технических направлений в ВУЗе
-Интересуешься кибербезом и знаешь его основы

🔥Мы предлагаем:
-Занятость от 20 часов в неделю и возможность совмещать с учебой. Стажировка длится полтора месяца и оплачивается. По итогам стажировки предложим постоянную работу в Соларе с занятостью от 30 до 40 часов в неделю
-Работа в офисе в Москве, иногда можно будет работать из дома
-Оформление по ТК РФ в аккредитованную ИТ‑компанию со всеми льготами
-Возможность обучаться у экспертов ИТ и ИБ, а также развиваться внутри компании
-Корпоративные мероприятия, путешествия, спортивные активности онлайн и офлайн (онлайн‑марафоны, бег, йога, волейбол, лыжи и прочее)
-Социальный пакет
-ДМС в лучших клиниках России, возможность подключить родственников по корпоративным ценам
-Классная корпоративная культура со спортом, настольными играми после работы

Отборочный тест на стажировку в Солар https://forms.yandex.ru/cloud/63dd166590fa7b2c137bfe3a/

Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.

https://github.com/BlackFan/BFScan

BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.

Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.

@RestController
@RequestMapping("/api")
public class UserController {

@PostMapping("createUser")
public String create(@RequestParam Optional someParamName, @RequestBody User user) {
return "response";
}

В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
"name": "name",
"age": 1
}

Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.

Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

Zerocode security v0.7 - Mobile builders - Кибербомж

Нашел Self XSS не сдавайся - Brotherok - ШКИБыть

🔥🔥🔥 Рейтинг программ запущен

https://eh.su/rating
https://eh.su/rating
https://eh.su/rating

Голосовать можно только при входе через Telegram, в перспективе будет добавлены другие социальные сети. Каждый пользователь может отдать 10 голосов в день за свои любимые программы. Можно еще оставить комментарий, если хотите. В рейтинге есть топ голосующих, благодаря которому 5 пользователей получат призы по итогам месяца (ТОП-1 получит 15000 рублей, ТОП-2 получит 10000 рублей, а ТОП-3 получит 5000 рублей прямо на карту). Еще два человека случайным образом будут выбраны из всех остальных проголосовавших хотябы раз - и тоже получат свои призы. Крутые футболки от Багхантера. Вендоры уже могут заявить права на свои программы, чтобы получать статистику переходов и голосов, а также удобно отвечать на комментарии пользователей, все заявки будут разобраны и одобрены до конца следующей недели, когда соберется статистика.

Сайт написан так, что с него даже нечему утекать. Все данные, которые пользователь передает при регистрации - они итак в открытом доступе. Сайт вообще не хранит никаких персональных данных. Но а для тех кто боится раскрывать данные своей телеги - есть анонимные аккаунты.

Приходите сегодня вечером на прямой эфир в 18:00 - там я отвечу на вопросы пользователей и подробней покажу функционал сайта, расскажу что буду делать дальше.

Если остались вопросы - пишите напрямую в личку @telegadlyasvyazi2

Всех поздравляю с запуском крутого рейтинга!)

Друзья, привет!

Хочу поделиться крутой новостью. Последний год мы работали над проектом, который, надеюсь, будет реально полезен для всего нашего комьюнити.

Запускаем @hackadvisor — платформу, где мы собрали информацию по популярным площадкам и публичным багбаунти-программам https://hackadvisor.io. Теперь каждый может поделиться своим опытом, оставить честный отзыв — будь то позитивный или негативный — и формировать независимый рейтинг на основе этих отзывов. Надеюсь, это станет толчком для компаний быть более честными и прозрачными по отношению к хакерам. Так у комьюнити будет больше понимания, какие программы адекватные, а к каким стоит присмотреться повнимательнее.

Мы также добавили возможность верификации для компаний. Это значит, что они смогут публично отвечать на отзывы, комментировать ситуации и показывать своё реальное отношение к багхантерам и безопасности в целом. Верим, что это важный шаг к открытому и честному диалогу между хакерами и компаниями.

Важно: любой хакер может оставить свой отзыв анонимно, просто указав случайный никнейм при регистрации. При этом, чтобы избежать накруток и буллинга программ, мы внедрили верификацию. Хакеру нужно будет подтвердить, что у него действительно есть учётная запись на выбранной площадке или в программе, о которой он оставляет отзыв. Хочу отдельно отметить, что эти данные остаются скрытыми и нигде не публикуются — анонимность и приватность для нас в приоритете.

И, конечно, не могу не сказать про людей, без которых этого всего бы не случилось.
Кто помогал на разных этапах — от идеи до запуска: @aosmanov @r0hack @kuduzow @bikmetle @murphyrol @lincode_x. Спасибо вам за поддержку и вклад в этот проект!

Конечно, в мире нет идеальных вещей, и мы прекрасно это понимаем. Поэтому будем активно дорабатывать платформу, внедрять новые возможности и прислушиваться к потребностям комьюнити. Ваша обратная связь и идеи помогут сделать Hackadvisor ещё полезнее для всех.

Будем рады вашей поддержке, обратной связи и, конечно, отзывам на самой платформе. Заходите, тестируйте, делитесь с друзьями — давайте вместе сделаем нашу сферу лучше!

🎸🔄💯 Мой друг Сапронов ищет работу

Зарекомендовал себя как надежный и ответственный человек, душа компании. Может писать для вас в разных стилях хайповые посты, статьи или помогать на прямой трансляции, а также круто вести соцсети, в том числе на темы информационной безопасности - за свою жизнь он нашел несколько багов и получил за них выплату. Он шарит что такое нейронные сети и активно использует их в работе. Если сейчас никто не возьмет его на работу (или хотя бы на стажировку) - его ожидает работа в Яндекс Лавке. Удивительно, человека которого знает почти всё сообщество - никто не берет его на работу. Такой талант пропадает…

Его контакт @TheDoomPleazer

Криптобиржа Bybit объявила награду в $140 млн за помощь в поимке организаторов крупнейшего криптовалютного ограбления в истории (неизвестные хакеры украли активов на 1,4 млрд долларов)

Биржа призывает специалистов в области кибербезопасности и криптоаналитики присоединиться к глобальной охоте.

https://www.bybit.com/en/press/post/bybit-launches-recovery-bounty-program-with-rewards-up-to-10-of-stolen-funds-bltcd3ebbb9445d5b74

🔥 DAST на максималках: Как использовать Noir + ZAP для баг баунти

Всем привет! Сегодня разберем связку ZAP + Noir для обнаружения скрытых эндпоинтов. В январе 2025 вышла версия Noir 0.19.1 с крутыми обновлениями. Погнали! 🚀

📋 Что такое Noir:
- Open-source инструмент для поиска attack surface
- Официальный проект OWASP
- Написан на Crystal (производительность на уровне C)
- Интегрируется с ZAP, Burp, Caido

🎯 Как работает:

1. White-box режим (если есть исходники):
noir -b ./source -u http://target

Находит:
- API эндпоинты
- Параметры и заголовки
- Скрытые функции
- Недокументированные роуты

2. Black-box режим:

noir -u http://target --tech php,js

Ищет:
- Стандартные паттерны роутинга
- API документацию
- JS файлы и их роуты
- Dev эндпоинты

🔨 Процесс работы на баг баунти:

1. Первичная разведка:

# Базовое сканирование
noir -u https://target.com --tech all

# Если нашли JS/исходники
noir -b ./js-sources -u https://target.com

2. Интеграция с браузером:

# В ZAP
noir -u https://target.com --send-proxy "http://localhost:8090"

# Или в Burp
noir -u https://target.com --send-proxy "http://localhost:8080"

3. Автоматизация через Docker:
# Находим эндпоинты
noir -b ~/source -f oas3 -o endpoints.json

# Сканируем через ZAP
docker run -v $(pwd)/endpoints.json:/zap/endpoints.json \
zaproxy/zap-stable zap-baseline.py -t http://target \
-z "-openapifile /zap/endpoints.json"

🔍 Что ищет в реальном времени:
- Скрытые админки
- Legacy API эндпоинты
- Недокументированные параметры
- Альтернативные HTTP методы
- API ключи в комментариях
- Чувствительные данные

🎯 Пример реального кейса:

# 1. Нашли JS файлы

# 2. Скачали и проанализировали
noir -b ./js -u https://target.com

# 3. Нашли админку в закомментированном коде
GET /api/v1/admin/users [скрытый эндпоинт]

# 4. Прогнали через ZAP
noir -b ./js -f oas3 -o endpoints.json
```

💡 Оптимальный процесс:
1. Сканируем через Spider/Ajax Spider в ZAP
2. Параллельно анализируем через Noir
3. Объединяем результаты
4. Запускаем активное сканирование по эндпоинтам

🔥 Фишки для баг баунти:
- Находит скрытые и legacy эндпоинты
- Помогает с IDOR через параметры
- Обнаруживает dev функционал
- Ищет чувствительные данные в JS
- Сразу отправляет в ваш прокси

📚 Полезные ссылки:
- GitHub: https://github.com/noir-cr/noir
- Документация: https://owasp.org/www-project-noir/
- ZAP: https://www.zaproxy.org/

#pentest #appsec #zaproxy #noir #bugbounty #devsecops

Portswigger расширяет возможности Burp Suite помощью AI-Powered дополнений, которые позволяют использовать не только классические сигнатурные подходы в поисках аномалий, но и мощь AI. Данные будут передаваться на сервера Portswigger (пишут что секюрьненько), и там обрабатываться (но ты же используешь коллаборатор и так?). На попробовать дают 10,000 free AI-credits, дальше за деньги.

https://portswigger.net/blog/the-future-of-security-testing-harness-ai-powered-extensibility-in-burp-nbsp

Ежегодно в Китае выпускается в пять раз больше студентов технических специальностей, чем в США.

STEM - от первых букв английских слов Science, Technology, Engineering и Mathematics. @banksta

Как же здорово, когда много выпускается технических спецов в стране. Волна успеха бесплатного DeepSeek не заставила себя ждать. В свою очередь, OpenAI, которая активно собирала подписки, сделала поиск бесплатным.
https://openai.com/
https://chat.deepseek.com/

А какой ИИ пользуетесь вы в повседневных задачах

Какая замечательная вышла бета от создателей популярных CLI утилит projectdiscovery.
И даже есть бесплатный тариф (на 10 доменов в месяц), платный обойдётся в 2500 за год (включается возможность загрузки своих сканов из nuclei для визуализации поверхности атаки).
https://cloud.projectdiscovery.io

Просто можно загрузить свои списки доменов и получить все поддомены, стэки технологий и открытые порты.

Выглядит всё очень юзабельно, если уже пользуетесь поделитесь впечатлениями.

РБК выложил топ-вузов, куда сложнее всего поступить. Самые требовательные — МФТИ и НИЯУ МИФИ.

Чтобы попасть на бюджетные места в топовые универы страны, нужно набирать от 87,5 баллов на ЕГЭ. Кстати, в рейтинг попал и новичок этого года — Центральный университет.

ЦУ создали при поддержке крупного бизнеса для подготовки востребованных кадров. Универ в топ-10 по общему набору, а по платному конкурсу — взял бронзу.

Думаем, и мощно ботаем к экзаменам.

👍 Бэкдор

Привет! Встречай новую стажировку 😉

Стажировка в компании Информзащита🛡️

🔥Направления:
-Консалтинг и аудит в области информационной безопасности
-Проектирование и внедрение средств защиты информации
-Техническая поддержка и сопровождение систем защиты
-Мониторинг угроз и инцидентов (SOC)
-Пентест и анализ защищенности приложений
-Моделирование и исследование киберугроз
-Безопасность сетевых технологий
-Безопасность промышленных систем
-Разработка программного обеспечения

🌟Преимущества:
-Возможность начать строить карьеру в «Информзащите» еще до окончания вуза
-Обучение от ведущих экспертов компании
-Опыт работы с реальными проектами в сфере ИБ
-Возможность получить реальные знания, которые не дают в стенах института

👩🏻‍🎓Для кого:
-Студентов старших курсов со специализацией в области ИБ
-Желание развиваться в сфере ИТ и ИБ
-Готовность посвящать стажировке ~20 часов в неделю
-Минимальный опыт в ИТ и ИБ — приветствуется
-Сопроводительное письмо, описывающее ваши интересы и почему есть желание развиваться именно в ИБ — желательно

🤳🏻Для того, чтобы принять участие в отборе на стажировку, студентам нужно:
1. Откликнуться на вакансию https://hh.ru/vacancy/112343588?from=share_ios
2. Заполнить анкету на карьерном портале http://edu.infosec.ru/