CodeGuard: PySec Edition

🎉 Друзья, с Новым 2026 годом! Мы с вами — настоящая команда единомышленников: за этот год, подписались более 24тысячи подписчиков на сетку CodeGuard и вышло больше 2500 полезных постов! Ценю каждого — вы сердце комьюнити! ❤️ Тебе, братик (или сестрёнка), желаю в 2026-м только побед: иди к целям, пусть все твои мечты сбываются, а планы осуществляются — знаю, у тебя получится!) 🚀 Ваши любимые каналы 🤒 CodeGuard: OSINT 🖥 CodeGuard: Academy 📱 CodeGuard: SciencePop ☁️ CodeGuard: PySec Edition 📱 CodeGuard: Python 👩‍💻 CodeGuard: Linux 💰 CodeGuard: Vacancy IT 📲 CodeGuard: Chat 🖥 CodeGuard: Archive — N3tHunterLab Спасибо за каждую реакцию, репост и вопрос в чате — в 2026-м продолжим кодить без багов, пентестить и расти! Обнимаю каждого ❤️

🎄 return 2026; Год пролетел как O(1), ощущался как O(n!). Были и kernel panic по утрам, и моменты когда хотелось sudo rm -rf /* всему. Но мы здесь, живые, всё ещё в строю. Чему научил 2025:

🔵 Legacy код в голове можно рефакторить 🔵 Иногда лучший фикс — это sleep(86400) и свежий взгляд 🔵 Бэкапы нужны везде — в проектах, отношениях, голове

На 2026:

    
        while alive:
    learn_something_new()
    build_cool_stuff()
    touch_grass()  # важно
    sleep(enough=True)  # критично{}
    

Серьёзно: спасибо, что читаете. Канал для вас - для тех, кто в 3 ночи дебажит эксплойт и кайфует от красивых ROP-цепочек. Мы странные люди. И это круто. В 2026 - больше контента, глубже разборы. Идеи кидайте в чат.

    
        $ checksec ./2026
Bugs:         Inevitable
Opportunities: Enabled
Your potential: No limits{}
    

Happy New Year, хакеры. 🥂 🔥 CodeGuard | Чат

🚨 assert: защита, которая исчезает в продакшене Используешь assert для проверки прав доступа или валидации? В продакшене эти проверки могут просто не существовать. Проблема:

    
        def delete_user(user_id, current_user):
    assert current_user.is_admin, "Access denied"
    db.delete(user_id){}
    

Выглядит безопасно. Но нет. Что происходит:

    
        # Разработка — assert работает
python app.py

# Продакшен с оптимизацией — assert удаляется полностью
python -O app.py{}
    

Флаг -O (optimize) удаляет все assert-ы из байткода. Gunicorn, uWSGI, некоторые Docker-образы включают его по умолчанию. Проверь прямо сейчас:

    
        import sys
print(sys.flags.optimize)  # 0 = норм, 1+ = assert не работает{}
    

Где это опасно:

🔵 Проверки авторизации 🔵 Валидация входных данных 🔵 Проверки бизнес-логики 🔵 Всё, что влияет на безопасность

Правильно:

    
        def delete_user(user_id, current_user):
    if not current_user.is_admin:
        raise PermissionError("Access denied")
    db.delete(user_id){}
    

assert можно использовать для:

🔵 Отладки во время разработки 🔵 Документирования инвариантов 🔵 Тестов

Найти проблемные места:

    
        grep -rn "assert.*is_admin\|assert.*permission\|assert.*auth" --include="*.py"{}
    

assert для дебага, не для безопасности. Если проверка важна - используй if + raise. 😈 CodeGuard: PySec Edition | Чат

📂 Шпаргалка по инструментам кибербеза. 😈 CodeGuard: PySec Edition | Чат

Привет. Вот тебе самые топовые каналы по IT! ⚙️ Free Znanija (IT) — Самая огромная коллекция платных курсов, которые можно скачать бесплатно; 👩‍💻 IT Books — Самая огромная библиотека книг; 💻 Hacking & InfoSec Base — Крутой блог белого хакера; 🛡 CyberGuard — Всё про ИБ; 🤔 ИБ Вакансии — Всё, чтобы найти работу в ИБ; 👩‍💻 linux administration — Всё про Линукс; 👩‍💻 Программистика — Python, python и ещё раз python; 👩‍💻 GameDev Base — Всё про GameDev; 😆 //code — Самые топовые мемы по IT: Подпишись, чтобы не потерять!

🐍 yaml.load(): второй pickle, о котором забыли Все знают про опасность pickle. Но yaml.load() делает то же самое - и это почему-то игнорируют. Уязвимый код:

    
        import yaml

data = yaml.load(user_input)  # RCE готов{}
    

Payload:

    
        !!python/object/apply:os.system ["whoami"]{}
    

Одна строка - и у атакующего shell. Где встречается:

🔵 Парсинг конфигов из внешних источников 🔵 API, принимающие YAML 🔵 CI/CD пайплайны с пользовательскими .yml 🔵 Kubernetes-манифесты от пользователей

Правильно:

    
        # Всегда используй safe_load
data = yaml.safe_load(user_input)

# Или явно укажи Loader
data = yaml.load(user_input, Loader=yaml.SafeLoader){}
    

safe_load() не поддерживает конструкцию !!python/object — RCE невозможен. Проверить проект:

    
        # Найти все небезопасные вызовы
grep -r "yaml.load(" --include="*.py" | grep -v "safe_load\|SafeLoader"{}
    

Мораль: если видишь yaml.load() без SafeLoader - это дыра. 😈 CodeGuard: PySec Edition | Чат

John the Ripper: инструмент для аудита стойкости паролей ⌨️ Пароли часто самое слабое звено в безопасности. John the Ripper (John) — это мощный инструмент для проверки их стойкости, который позволяет оценить, насколько легко пароль может быть подобран злоумышленником. Он используется специалистами по кибербезопасности для аудита собственных систем и легального тестирования на проникновение. John умеет работать с десятками форматов хешей. Вот основные:

🔵Linux /etc/shadow: Современные системы используют sha512crypt ($6$), sha256crypt ($5$) или bcrypt ($2b$). Важно: это не "чистый" SHA-512, а специальная медленная функция (KDF), созданная для защиты от подбора. 🔵Windows: Хеши NTLM (из SAM-файлов). 🔵Веб-приложения и базы данных: MD5, SHA-1, SHA-256 (часто без соли, что упрощает подбор). Архивы и документы: Пароли от ZIP, RAR, PDF и файлов Microsoft Office.

Базовый сценарий: Аудит паролей в Linux Представьте, что вы системный администратор и хотите проверить, нет ли в вашей системе учетных записей со слабыми паролями. 1️⃣ Подготовка хешей John не работает с файлом /etc/shadow напрямую. Нужно объединить его с /etc/passwd с помощью утилиты unshadow.

    
        # Объединяем файлы, чтобы John правильно идентифицировал пользователей
sudo unshadow /etc/passwd /etc/shadow > users.hash{}
    

2️⃣ Запуск атаки по словарю Самый быстрый метод — проверить пароли по известным словарям слабых паролей (например, rockyou.txt).

    
        # Указываем формат хеша для точности и скорости (для Ubuntu/Debian это обычно sha512crypt)
john --format=sha512crypt users.hash --wordlist=rockyou.txt{}
    

John начнет перебор. Если пароль найден в словаре, он будет сохранен. 3️⃣ Просмотр результатов Чтобы увидеть, какие пароли были найдены, используйте команду: john --show users.hash Результат (пример):

    
        2 password hashes cracked, 15 left{}
    

Вывод: John обнаружил в системе две учетные записи со слабыми паролями, известными из публичных словарей. Это критическая уязвимость. Как это работает изнутри:

🔵Атака по словарю (Dictionary): Быстрая проверка пароля против заранее подготовленного списка (например, password123, qwerty). 🔵Перебор (Brute-force): Методичный перебор всех возможных комбинаций символов. Мощный, но очень медленный. 🔵Гибридная атака (Hybrid): Комбинация словаря и перебора. К словам из списка добавляются цифры или символы (например, password123).

Профилактика: Как защититься?

🔴Используйте длинные и сложные пароли. Идеально — 3-4 случайных слова через дефис (кофе-дождь-радуга-42). 🔴Применяйте менеджеры паролей (KeePass, Bitwarden). Они генерируют и хранят уникальные сложные пароли для каждого сервиса. 🔴 Включайте двухфакторную аутентификацию (2FA) везде, где это возможно. 🔴Для серверов: Настройте политику блокировки учетных записей после нескольких неудачных попыток входа и используйте аутентификацию по SSH-ключам вместо паролей.

😈 CodeGuard: PySec Edition | Чат

🐳 6 дыр безопасности Docker, через которые ломают ваши контейнеры Контейнеры — это изоляция, говорили они. Это безопасно, говорили они. А потом хакер получает root на хосте через один неправильный флаг. 1️⃣ Запуск контейнеров от root По умолчанию всё в контейнере работает от root. Если атакующий выберется — он root на хосте.

    
        # Плохо: контейнер работает от root
docker run -it ubuntu bash
whoami  # root

# Правильно: указать пользователя
docker run -it --user 1000:1000 ubuntu bash

# Или в Dockerfile:
FROM ubuntu
RUN useradd -m appuser
USER appuser{}
    

🔹 Проблема: 90% контейнеров в проде работают от root 🔹 Решение: Всегда указывать USER в Dockerfile или --user при запуске

2️⃣ Привилегированный режим

    
        # НИКОГДА так не делайте в проде:
docker run --privileged nginx

# Это даёт контейнеру полный доступ к хосту:
# - Все устройства (/dev)
# - Возможность монтировать файловые системы
# - Отключение всех ограничений

# Если нужны конкретные capabilities:
docker run --cap-add NET_ADMIN nginx
# Вместо --privileged даём только нужное{}
    

🔹 Проблема: --privileged используют "чтобы работало", не понимая последствий 🔹 Решение: Использовать --cap-add только для нужных capabilities

3️⃣ Монтирование Docker socket

    
        # Популярный антипаттерн для CI/CD:
docker run -v /var/run/docker.sock:/var/run/docker.sock myapp

# Что может сделать атакующий:
docker run -v /:/host -it alpine chroot /host
# Полный доступ к файловой системе хоста!{}
    

🔹 Проблема: Docker socket = root доступ к хосту 🔹 Решение: Использовать Docker-in-Docker или rootless Docker

4️⃣ Образы из непроверенных источников

    
        # Проверить образ на уязвимости:
docker scout cves nginx:latest

# Или использовать Trivy:
trivy image nginx:latest

# Сканирование покажет:
# CVE-2023-XXXX  HIGH  openssl 1.1.1k
# CVE-2023-YYYY  CRITICAL  curl 7.74.0{}
    

🔹 Проблема: Образы с Docker Hub могут содержать malware или уязвимости 🔹 Решение: Использовать официальные образы, сканировать перед деплоем

5️⃣ Секреты в переменных окружения

    
        # Плохо: пароль виден всем
docker run -e DB_PASSWORD=supersecret myapp

# Любой процесс видит переменные:
docker exec container cat /proc/1/environ

# Правильно: Docker secrets
echo "supersecret" | docker secret create db_pass -
docker service create --secret db_pass myapp

# Или монтировать файл:
docker run -v ./secrets:/run/secrets:ro myapp{}
    

🔹 Проблема: Переменные окружения логируются, видны в docker inspect 🔹 Решение: Docker secrets, HashiCorp Vault, файлы с правильными правами

6️⃣ Отсутствие лимитов ресурсов

    
        # Контейнер может съесть всю память хоста:
docker run -d memhog  # Fork bomb = хост падает

# Установить лимиты:
docker run -d \
  --memory=512m \
  --memory-swap=512m \
  --cpus=0.5 \
  --pids-limit=100 \
  nginx{}
    

🔹 Проблема: Один контейнер может положить весь хост 🔹 Решение: Всегда ставить --memory, --cpus, --pids-limit

Чек-лист безопасности Docker:

✔️ Контейнеры работают не от root ✔️ Никакого --privileged в проде ✔️ Docker socket не монтируется ✔️ Образы сканируются на уязвимости ✔️ Секреты не в ENV переменных ✔️ Установлены лимиты ресурсов ✔️ Используется read-only filesystem где возможно ✔️ Сеть изолирована (не --network host)

😈 CodeGuard: PySec Edition | Чат

☄️В преддверии Нового года айтишник из “Matrix” скупил все курсы топовых IT-школ и выложил 5 ТБ слитых курсов к себе в каналы! 👩‍💻 Python: https://t.me/+kBPlIQ1kpHw0YmQy 👩‍💻 Все ЯП: https://t.me/+pkvOZc3g5gU3YTEy 👩‍💻 Backend: https://t.me/+QRq_LSpodJ80NjE6 📱 Frontend и Web: https://t.me/+jOItOzJamrNhOTIy 👩‍💻 Графика и дизайн: https://t.me/+lxe3X0QQXVk2NWIy Все материалы в закрепе и постоянно пополняются👆

🎞 Как правильно использовать Monero В этом видео Tor Zireael подробно разбирает фундаментальные механизмы анонимности Monero (XMR) — кольцевые подписи (RingCT), маскирующие реального отправителя среди 16+ "приманок", и скрытые адреса (Stealth Addresses), генерирующие одноразовые адреса для каждой транзакции, которые не видны в блокчейне-эксплорерах 📱 Смотреть на Ютуб 😈 CodeGuard: PySec Edition | Чат