📌 Команда дня: удаление строк в vim по шаблону

В vim можно легко удалить строки, которые либо соответствуют, либо не соответствуют заданному шаблону. Для этого используйте следующие команды:

1️⃣ Удалить строки, соответствующие шаблону:

:g/pattern/d

➡️ Здесь pattern — это строка или регулярное выражение, которое вы хотите найти в файле. Все строки, соответствующие этому шаблону, будут удалены.

2️⃣ Удалить строки, не соответствующие шаблону:

:g!/pattern/d

➡️ Эта команда удаляет все строки, которые не содержат указанный шаблон.

Используется для:

— Быстрой очистки или фильтрации содержимого в текстовых файлах.

— Удаления ненужных строк или комментариев в коде.

— Быстрого редактирования конфигурационных или лог-файлов.

💡 Если нужно удалить только пустые строки:

:g/^$/d

🐸 Библиотека хакера

#буст

Исходя из недавних событий… актуалочка

🐸 Библиотека хакера

#развлекалово

🔍 Чек-лист для проверки уязвимостей через нестандартные каналы

Не все уязвимости лежат на поверхности. Иногда для доступа к системе нужно немного выйти за рамки стандартных проверок. Этот чек-лист поможет обнаружить уязвимости в нестандартных местах.

1️⃣ Бэкдоры в сторонних библиотеках:

— Проверьте сторонние зависимости на наличие скрытых уязвимостей или бэкдоров, которые могут быть использованы злоумышленниками.

2️⃣ Трафик через нестандартные порты:

— Не ограничивайтесь стандартными портами. Проверяйте трафик через порты, которые не попадают под обычное внимание фаерволов.

3️⃣ Скрытые API через интерфейс:

— Иногда API скрыты в запросах, отправляемых с UI. Используйте перехватчики трафика (например, Burp Suite) для поиска скрытых эндпоинтов.

4️⃣ Ошибки в логах:

— Логи могут раскрывать важные данные о конфигурации системы и уязвимостях. Ищите незашифрованные данные или ошибки доступа.

5️⃣ Заброшенные настройки в конфигурациях:

— Проверьте конфигурационные файлы на наличие устаревших или забытых настроек, которые могут стать точками входа для атак.

🐸 Библиотека хакера

#буст

🔍 Основные уязвимости в GraphQL API и как их тестировать

GraphQL — мощный инструмент для работы с API, но его особенности могут создавать новые уязвимости, если не соблюдать лучшие практики безопасности. Тестирование таких приложений требует внимания к специфическим рискам.

Вопрос от подписчика:

«Мы недавно внедрили GraphQL в проект, и несмотря на наличие тестов, продолжаем сталкиваться с проблемами безопасности. Какие уязвимости наиболее распространены в GraphQL API и на что стоит обратить внимание при их тестировании?»

❓ Какие уязвимости вы находили в GraphQL приложениях? Делитесь своим опытом в комментариях!

P.S. Если хотите задать вопрос, заполните нашу гугл-форму. Это займет 5 минут.

🐸 Библиотека хакера

#междусобойчик

👨‍💻 Zero-day в SharePoint: что пошло не так

Свежий выпуск Cybersecurity Awesomeness Podcast #118 — полный разбор новой zero-day в SharePoint.

В подкасте:

➖ Как работает уязвимость и где она уже используется

➖ Что искать в логах и как временно защититься

➖ Почему баг критичен для корпоративной инфраструктуры

Четко, по делу и с фокусом на действия.

🔗 Слушать подкаст

🐸 Библиотека хакера

#буст

🔥🔥

🐸 Библиотека хакера

#развлекалово

👨‍💻 Стеганография в атаках

Стеганография — метод скрытия данных в файлах, который, хотя и выглядит привлекательно, вызывает много споров.

Применяется ли она в реальных атаках, или это лишь теоретическая техника?

✅ Преимущества:

— Обход фильтров: стеганография скрывает данные в медиа-файлах, избегая обнаружения системами безопасности.

— Креативность: позволяет атакующим проявлять изобретательность, оставаясь незамеченными.

⛔️ Недостатки:

— Сложность и медлительность: требует больше усилий и времени, чем традиционные методы, и часто легко обнаруживается системами безопасности.

— Не всегда эффективна: в некоторых случаях проще использовать более прямолинейные методы, такие как фишинг или уязвимости.

💬 А как вы думаете: стенография — это будущее атак или лишняя сложность?

🐸 Библиотека хакера

#междусобойчик

📌 Введение в CTF: 5 ресурсов для изучения

Подборка для тех, кто хочет разобраться, как работают флаги, таски и категории вроде web, crypto или forensics.

1. Вводный курс от picoCTF

Разработан Carnegie Mellon специально для новичков. Весёлый сюжет и простые таски.

2. Флаги и таски: введение в CTF для самых маленьких

Короткое и понятное введение на русском языке: что такое CTF, какие бывают таски и где брать первые флаги.

3. Интерактивная шпаргалка по категориям CTF

Примеры, инструменты и объяснения к каждой категории.

4. CyberChef

Веб-инструмент «швейцарский нож» CTF’ера. Декодируйте base64, XOR, rot13 и другие шифры — без командной строки.

5. OverTheWire: Bandit

Задачи про работу с терминалом, ssh, базовые команды и поиск флагов.

🐸Библиотека хакера

#свежак

🕵️ SQL-инъекция в хранимых процедурах

Вы тестируете веб-приложение с формой регистрации, которая вызывает хранимую процедуру register_user с параметрами.

При отправке данных возникает ошибка, связанная с некорректной обработкой специальных символов.

❓ Какую атаку вы бы использовали для эксплуатации этой уязвимости?

🐸Библиотека хакера

#междусобойчик