🔥 Знакомьтесь, преподаватель нашего нового курса по ML — Мария Жарова.
В карточках рассказали, чем Мария занимается и какие советы даёт тем, кто хочет расти в IT и Data Science ☝️
А если вы уже поняли, что тянуть нечего, начните свой путь в ML правильно: с реальной практикой, поддержкой ментора и видимым результатом.
👉 Записывайтесь на курс
В карточках рассказали, чем Мария занимается и какие советы даёт тем, кто хочет расти в IT и Data Science ☝️
А если вы уже поняли, что тянуть нечего, начните свой путь в ML правильно: с реальной практикой, поддержкой ментора и видимым результатом.
👉 Записывайтесь на курс
😁3
Фишинг — один из самых распространённых методов атак. Но какой канал более уязвим для обмана: email или соцсети?
Давайте разберём, в чём различие между этими подходами.
— Это привычный формат общения с компаниями, что делает атаки через фальшивые уведомления от известных брендов более убедительными
— Легко использовать шаблоны для массовых рассылок, что повышает конверсию фишинговых страниц
— Пользователи доверяют email и редко ожидают фишинг, что делает их уязвимыми
— Пользователи часто открывают сообщения в соцсетях без опасений, что делает их уязвимыми из-за привычки общаться с друзьями и знакомыми
— Через соцсети легче атаковать конкретных пользователей, ведь персонализированные сообщения более эффективны, чем массовые рассылки
— В соцсетях фишинг может происходить не только через личные сообщения, но и через комментарии, фальшивые группы или видео
Поделитесь своим мнением в комментариях!
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔3
С фокусом на маршрутизацию, туннелирование и уязвимости сетевой инфраструктуры:
Сохраняйте себе — пригодится
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👍1👾1
🔥 Вы ещё можете застать старый добрый Proglib — с вечным доступом к курсам.
С 1 августа всё меняется: навсегда — останутся только те, кто успел купить сейчас.
-40% на все курсы. Включая обновлённый Python (кроме курса по AI-агентам)
Это не просто распродажа. Это — последняя точка входа в Proglib Academy по старым правилам.
📚 Выбрать и забрать свой курс навсегда → https://clc.to/TBtqYA
С 1 августа всё меняется: навсегда — останутся только те, кто успел купить сейчас.
-40% на все курсы. Включая обновлённый Python (кроме курса по AI-агентам)
Это не просто распродажа. Это — последняя точка входа в Proglib Academy по старым правилам.
📚 Выбрать и забрать свой курс навсегда → https://clc.to/TBtqYA
😁2👾1
Вы тестируете веб-приложение, где пользователи могут загружать аватары. Серверный код представлен на картинке (упрощенно).
И замечаете, что файлы доступны по прямым ссылкам, например:
https://example.com/uploads/exploit.php
Какую атаку вы попробуете первой
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔2
Lead Network Administrator — от 260 000 до 280 000 ₽, гибрид (Москва)
Аналитик информационной безопасности SOC L1, L2 -- гибрид (Москва)
Преподаватель курса по информационной безопасности — от 130 000 ₽, офис (Новосибирск)
Инженер по внедрению и технической поддержке MFA Server — от 130 000 до 180 000 ₽, офис/гибрид (Москва)
Главный специалист-эксперт по ИБ — 130 000 ₽, офис (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2👾1
Dalfox — быстрый и точный инструмент для поиска XSS во входных точках веб-приложений. Работает на Go, подходит как для ручного аудита, так и для автоматизации.
Зачем использовать:
— Находит reflected, stored и blind XSS с учётом контекста инъекции.
— Анализирует ответы сервера, отражения и поведение фильтров.
— Поддерживает ввод URL через stdin, файлы, или Burp Suite-запросы.
— Обрабатывает параметры в теле запроса, заголовках, cookie и JSON.
— Умеет работать в параллельном режиме — подходит для массового сканирования.
Как использовать:
go install github.com/hahwul/dalfox/v2@latest
dalfox url "https://example.com/search?q=test"
dalfox file urls.txt
dalfox url "https://example.com" --blind https://xss.yourdomain.com
dalfox url "https://example.com" --discover
⚠️ Dalfox не заменяет ручной аудит — особенно в сложных одностраничных приложениях. Но он отлично справляется с типовыми кейсами и даёт результат уже на этапе сбора поверхностных уязвимостей.
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
🚀 Как автоматизация помогает SOC-аналитикам бороться с рутиной
Сегодня расскажем, как компания Positive Technologies решает проблему перегрузки аналитиков SOC рутинной работой, используя автоматизацию для обработки атак.
Что в карточках:
➡️ Как сбор и обработка данных из разных источников помогает быстро выявлять угрозы
➡️ Почему разделение реальных атак и ложных срабатываний важно для эффективной работы
➡️ Как система визуализирует данные, чтобы аналитики могли быстрее реагировать на инциденты
➡️ Какие подходы используются для анализа событий и восстановления полной картины атаки
➡️ Как решение минимизирует ошибочные действия и ускоряет процесс принятия решений
🔗 Полная статья — с примерами, подходами и результатами
🐸 Библиотека хакера
Сегодня расскажем, как компания Positive Technologies решает проблему перегрузки аналитиков SOC рутинной работой, используя автоматизацию для обработки атак.
Что в карточках:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2
🧠 Как собрать OSINT‑досье на цель через LinkedIn + GitHub
Этот промпт создаёт цепочку OSINT-анализа конкретной цели: компания, команда, технологии. Используется в фазе reconnaissance перед фишингом или социальной инженерией.
Промпт для LLM:
Что дает:
➡️ Полноценная OSINT‑матрица, адаптированная под компанию
➡️ Персонализированные фишинг‑предлоги на основе публичных данных
➡️ Идеи для кастомных payload’ов и доставки (e.g. recruiter pretext)
🐸 Библиотека хакера
#буст
Этот промпт создаёт цепочку OSINT-анализа конкретной цели: компания, команда, технологии. Используется в фазе reconnaissance перед фишингом или социальной инженерией.
Промпт для LLM:
Create an OSINT plan for gathering intelligence on a target company using public sources. Include:
– LinkedIn scraping (tech stack, employee names, positions)
– GitHub repos linked to the company domain or devs
– Pastebin/Leaks/HaveIBeenPwned entries
– Social profiles and tech conferences attended
– Common phishing vectors based on job roles and tools
Что дает:
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2👾1
Как защитить IT-инфраструктуру компании от хакеров и утечек? 🔐
Под руководством опытных кураторов вы разберётесь в ключевых процессах мониторинга безопасности и научитесь внедрять их на практике
✔️ Подробнее
Что ждёт на курсе?
✦ Threat Intelligence & Hunting — ищем угрозы
✦ Vulnerability & Patch Management — закрываем дыры быстрее хакеров
✦ Incident Response (IR) — отрабатываем атаки по шагам
✦ Администрирование СЗИ — настраиваем защиту как профи
Что получите в итоге?
1. Готовые схемы защиты под разные бизнес-сценарии
2. Навыки, которые ценят в SOC, CERT и отделах безопасности
3. Сертификат
Старт — 28 июля! Успейте записаться
По всем вопросам пишите @Codeby_Academy
Под руководством опытных кураторов вы разберётесь в ключевых процессах мониторинга безопасности и научитесь внедрять их на практике
✔️ Подробнее
Что ждёт на курсе?
✦ Threat Intelligence & Hunting — ищем угрозы
✦ Vulnerability & Patch Management — закрываем дыры быстрее хакеров
✦ Incident Response (IR) — отрабатываем атаки по шагам
✦ Администрирование СЗИ — настраиваем защиту как профи
Что получите в итоге?
1. Готовые схемы защиты под разные бизнес-сценарии
2. Навыки, которые ценят в SOC, CERT и отделах безопасности
3. Сертификат
Старт — 28 июля! Успейте записаться
По всем вопросам пишите @Codeby_Academy
🔥2👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
😁5
Уязвимости в веб- или мобильных приложениях могут раскрывать токены, API-ключи и другие данные. Часто их можно найти, анализируя JS-код, который может быть доступен случайно или намеренно.
1. Что искать в JavaScript:
2. Как находить утечки:
3. Использование утечек для атак
curl -H "Authorization: Bearer 1234567890abcdef" https://api.target.com/data
4. Как защититься:
— Используйте grep для поиска ключевых слов, таких как access_token, api_key, token в скачанных JavaScript-файлах:
grep -r "access_token"
— Иногда полезно искать утечку токенов в ответах на GET-запросы, которые не имеют корректных заголовков безопасности.
— Если вам не удается найти утечку с помощью поиска в коде, используйте Wireshark или tcpdump для перехвата трафика и поиска в нем токенов.
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2