Hacking Ready | InfoSec

📂 Напоминалка по расширению параметров в Bash! Например, ${var%.*} убирает расширение файла, а ${var##*/} позволяет быстро получить имя файла из полного пути. На картинке — основные приёмы работы с переменными в bash: удаление префиксов и суффиксов, замена строк, работа с подстроками и значения по умолчанию. Сохрани, чтобы не забыть! ➡️ DevOps Ready | #ресурс

Совет на 2026 год — переходите в ML. Пока обычные разрабы конкурируют с ИИ-копилотами, ML-инженеры эти самые нейронки создают. В эпоху нейростей это самые востребованые люди в мире программирования. Зарплаты мидлов начинаются от 250 000 ₽, а у сеньоров в BigTech доходят до 700 000 ₽. А чтобы освоить его всего за 4 месяца без лишней суеты — изучите канал Артема Алехина. Его бэкграунд: Руководитель команды в Сбере, валютная удаленка. К 22 годам вышел на доход 1 000 000+ ₽ в месяц. На канале вы найдёте: — Всё про самые востребованные стеки(Python, ИИ-агенты, NLP) и почему математика — это не страшно, если учить только нужное. — Как оформить резюме, чтобы оно пролетало через любые LLM-фильтры и ATS-системы прямо к тимлидам. — Скрипты переговоров, которые помогли его ученикам прыгнуть с 0 до 360к всего за 8 месяцев. Во времена острой нехватки ML-разработчиков, это лучшее время, чтобы перекатиться. Переходи и изучай: https://t.me/+zFlLy16mPM40Zjc6

🤔 Разбираем 7 команд для первичного аудита веб-приложения! Прежде чем приступать к глубокому пентесту, необходимо собрать максимум информации о цели. Эти команды позволяют за считанные минуты определить технологии сайта, найти скрытые поддомены и обнаружить потенциально опасные файлы в обход стандартных мер защиты. ➡️ Hacking Ready | #шпора

Быстрый повтор и поиск команд из истории Bash! Часто приходится выполнять длинные команды: docker, git, kubectl, сборки, скрипты или сложные пайплайны. Печатать их заново может быть долго и неудобно. В Bash можно обращаться к истории команд напрямую. Чтобы найти нужную команду, можно отфильтровать историю:

    
        history | grep docker{}
    

Каждая команда имеет номер. Любую из них можно выполнить снова:

    
        !482{}
    

Также можно повторить последнюю команду, которая начиналась с определённого слова. Bash найдёт последнюю команду, начинающуюся с docker, и выполнит её снова. Это особенно удобно при работе с длинными CLI-командами:

    
        !docker{}
    

🔥 Использование !номер и !команда позволяет запускать сложные команды без копирования и ручного набора. ➡️ DevOps Ready | #совет

Работа с временными каталогами через mktemp! При написании скриптов важно безопасно создавать временные файлы и каталоги. Для этого используется утилита mktemp, которая создаёт уникальные имена и исключает гонки (race conditions). Создание временного файла:

    
        mktemp
{}
    

Команда создаёт файл в /tmp и выводит его путь. Создание временного каталога:

    
        mktemp -d
{}
    

Флаг -d создаёт каталог вместо файла. Создание файла с собственным шаблоном имени:

    
        mktemp /tmp/script.XXXXXX
{}
    

XXXXXX заменяются случайной последовательностью символов. Использование временного файла в shell-скрипте:

    
        tmpfile=$(mktemp)
echo "data" > "$tmpfile"
{}
    

Путь сохраняется в переменную, после чего файл можно использовать внутри скрипта. Создание временного каталога для обработки данных:

    
        tmpdir=$(mktemp -d)
cp *.log "$tmpdir"
{}
    

Часто используется при обработке архивов или промежуточных файлов. Автоматическая очистка временного файла через trap:

    
        tmpfile=$(mktemp)
trap 'rm -f "$tmpfile"' EXIT
{}
    

trap гарантирует удаление временного файла при завершении скрипта. Создание файла в конкретном каталоге:

    
        mktemp -p /var/tmp backup.XXXXXX
{}
    

Полезно, если требуется другой каталог вместо /tmp. 🔥 Использование mktemp считается стандартной практикой для shell-скриптов — ручное создание файлов в /tmp через фиксированные имена может привести к конфликтам и проблемам безопасности. ➡️ DevOps Ready | #практика

👍 Linux Cheatsheet — полезный справочник по командам! Это удобная шпаргалка по основным командам Linux, которая помогает быстро ориентироваться в системе и вспоминать нужные команды без долгих поисков в документации. Внутри собраны команды для работы с файловой системой, процессами, сетью, пользователями и системной информацией — всё с короткими пояснениями и примерами использования.

Оставляю ссылочку: GitHub 📱

➡️ Hacking Ready | #репозиторий

Цифровая криминалистика: извлекаем метаданные из документов через ExifTool. Офисные документы (DOCX, XLSX, PDF) часто содержат скрытые данные о создателе, версии ПО и путях в локальной сети. Мы научимся извлекать эту информацию для проведения OSINT-разведки или аудита безопасности файлов перед их публикацией. С помощью мощной утилиты ExifTool можно найти зацепки, которые не видны при обычном просмотре файла. Для начала установим необходимый инструмент и подготовим тестовый файл для анализа.

    
        
sudo apt update && sudo apt install exiftool -y
echo "Test data" > secret_report.docx
{}
    

Инструмент готов к работе, а пустой файл послужит объектом для первичного теста. Запустим полный анализ документа для вывода всех существующих тегов метаданных.

    
        
exiftool secret_report.docx
{}
    

В терминале отобразится список параметров, включая дату создания и идентификаторы системы. Если нужно извлечь конкретные данные, например, только имя автора и версию софта, используем фильтрацию.

    
        
exiftool -Author -Creator -Software -OperatingSystem secret_report.docx
{}
    

Команда выведет только целевые поля, игнорируя технический шум.

    
        
# Проверка (пример вывода для реального файла)
exiftool -Author document.docx
Author : Ivan Ivanov
{}
    

Анализ метаданных помогает выявить реальные имена сотрудников и структуру внутренних серверов компании. Помните, что профессионалы всегда удаляют цифровой след перед отправкой документов внешним контрагентам. Выполнять только в изолированной среде / по разрешению. ➡️ Hacking Ready | #практика

Бесплатный PAM, который уже используют в крупных компаниях!Jumpserver PAM -- для компаний любых масштабов.Бесплатная версия с открытым исходным кодом закрывает большинство задач для наведения порядка в сети и безопасного доступа специалистов и подоядчиков к серверам и сервисам.Для расширенных сценариев есть платная редакция с дополнительными возможностями и поддержкой на русском языке.JumpServer PAM это:• Контроль доступа к RDP, SSH, веб-интерфейсам и СУБД• Фильтрация SQL-запросов и SSH-команд• Подробный журнал действий• Встроенный 2FA• Масштабирование и надёжная кластеризация• Установка одной командойПознакомьтесь с JumpServer PAM на вебинаре 24 марта в 12:00 по МосквеРегистрируйтесь по ссылке: Регистрация на вебинарИ присоединяйтесь к сообществу пользователей (ссылка на телеграм-канал):• Инструкции и документация• Кейсы внедрения• Лучшие практики и рецепты• Чат с нашими экспертами#рекламаО рекламодателе

📂 Напоминалка по структуре директорий Linux! Например, /etc хранит системные конфигурации, /var используется для логов и изменяемых данных, а /home содержит домашние директории пользователей. На картинке — основные каталоги, которые важно знать при работе с системой, серверами и разработкой. Сохрани, чтобы держать под рукой! ➡️ Hacking Ready | #ресурс

🤔 Как защитить свой сайт от угона кликов одной строкой? Clickjacking — это атака, при которой злоумышленник помещает ваш сайт в невидимый iframe поверх своего ресурса, заставляя пользователя случайно нажать на кнопку оплаты или смены пароля. Заголовок X-Frame-Options говорит браузеру, разрешено ли отображать страницу во фреймах, мгновенно блокируя такие манипуляции. Полный запрет на отображение сайта в любых фреймах (самый безопасный вариант):

    
        
X-Frame-Options: DENY
{}
    

Разрешение вставки во фреймы только для страниц того же домена:

    
        
X-Frame-Options: SAMEORIGIN
{}
    

Пример настройки заголовка через конфигурацию Nginx:

    
        
add_header X-Frame-Options "SAMEORIGIN" always;
{}
    

Мини-совет: Для современных браузеров лучше использовать директиву frame-ancestors 'self' в заголовке Content-Security-Policy (CSP), так как она гибче и постепенно вытесняет старый XFO. 🔥 Простая настройка, которая закрывает критическую дыру в безопасности вашего веб-приложения. ➡️ Hacking Ready | #совет