Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

⚠️ Как фишинг-кит превращает SMS-вход в угон сессии

После ввода номера фишинговый сервер сам обращается к auth-API MAX и инициирует настоящий вход. Код приходит не от мошенников, а от сервиса, поэтому пользователь не видит явного подвоха.

🔴 Дальше всё держится на проксировании: жертва вводит SMS-код на поддельной странице, кит передаёт его в API и получает активную сессию. Если включён облачный пароль, его запрашивают тем же способом.

🔴 Проблема не в визуальной копии страницы, а в том, что серверная логика входа недостаточно жёстко проверяет источник запроса и не привязывает процесс авторизации к конкретному устройству.

🔴 Отдельно интересна инфраструктура: оператор держит пул доменов, быстро меняет хостинг и генерирует уникальные URL для посетителей. Это усложняет блокировки и делает кампанию живучей.

Атака выглядит как обычный логин для пользователя, но на выходе злоумышленник получает доступ к аккаунту.

🔗 Источник

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#breach_breakdown

📌 5 способов защитить AI-агента от prompt injection

Работает только комбинация подходов: часть на уровне модели, часть — на уровне системы.

1️⃣ Spotlighting (разметка недоверенного контента)

Любой внешний текст (email, веб-страница, документ) оборачивается в <UNTRUSTED>...</UNTRUSTED>. Модель должна воспринимать его как данные, а не инструкции.

2️⃣ Instruction hierarchy (приоритет инструкций)

Системный и developer prompt всегда выше пользовательского ввода, а пользовательский — выше стороннего контента. Это снижает шанс, что внешние данные «перепишут» логику.

3️⃣ Least-privilege tools (минимальные права)

Агенту дают только те инструменты, которые реально нужны. Чем меньше возможностей — тем меньше ущерб при успешной инъекции.

4️⃣ Human-in-the-loop (подтверждение действий)

Критичные операции (письма, удаление данных, доступы) требуют явного подтверждения. Это простой, но эффективный стоп-кран.

5️⃣ Planner / Executor split (разделение ролей)

Одна модель планирует и работает с инструментами, другая читает недоверенный контент, но ничего не может выполнить. Даже если её «сломают» — дальше атака не пойдёт.

Больше можно узнать об ИИ-агента тут.

🐸 Библиотека хакера

#cheat_sheet

🐸 Библиотека хакера

#hack_humor

🔗 Как обходят детекты AppleScript в macOS

Многие правила до сих пор смотрят только на osascript и аргументы запуска. Но современные образцы обходят это проще: запускают скрипты через pipe, файлы или run script, поэтому в process logs почти не остаётся полезного контекста.

🟢 В статье показывают другой подход: анализировать не сам запуск, а поведение через Apple Events в macOS Unified Logs.

В карточках:

— где ломаются такие детекты
— как получить телеметрию глубже process logs
— что AEMonitor даёт для анализа malware

Полный разбор, кейсы и примеры правил — в статье по ссылке 🔗

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

🔥 Вопрос с собеседования

Чем отличаются уязвимость, эксплойт и атака?

👇 Правильный ответ:

Это три разных этапа одной цепочки.

🔴 В чём разница:

— Уязвимость
ошибка или слабое место в системе
существует сама по себе, пока её не закрыли
не обязательно используется

— Эксплойт
конкретный код или техника
показывает, как именно использовать уязвимость
переводит «теорию» в практику

— Атака
реальное применение эксплойта
цель — получить доступ, закрепиться или украсть данные
может длиться долго и включать несколько этапов

👍 — знал/а
🔥 — теперь буду знать

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#ctf_challenge

🛡 Принцип работы SSH: наглядная демонстрация для этичного хакера

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet

🔥 Equifax breach: когда один непропатченный Struts стоил миллионы данных

В 2017 атакующие использовали уязвимость в Apache Struts — фреймворке, который стоял в публичном веб-приложении Equifax. Патч уже был доступен, но систему вовремя не обновили. Итог — доступ к внутренней сети и утечка данных более 140 млн человек.

Это был классический сценарий:

известная RCE → уязвимый внешний сервис → закрепление → выгрузка данных

🔤 Что важно для пентеста:

— публичные веб-сервисы остаются главной точкой входа
— известные CVE опасны не меньше 0-day
— patch management напрямую влияет на риск компрометации
— после RCE начинается главное: разведка, доступы, lateral movement

Отчёт Конгресса США (полный разбор инцидента) 🔗

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#zero_day_legends

📌 Отличная серия для тех, кто разбирает Linux persistence и хочет лучше понимать, где искать следы закрепления:

— (Part 1): Auditd, Sysmon, Osquery (and Webshells)

— (Part 2): Account Creation and Manipulation

— (Part 3): Systemd, Timers, and Cron

— (Part 4): Initialization Scripts and Shell Configuration

— (Part 5): Systemd Generators

Полезно для threat hunting, расследований и проверки Linux-хостов после компрометации.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#resource_drop

⭐️ Nginx обновился — где искать баги

В апреле вышло несколько обновлений Nginx, и часть из них открывает новые точки для тестирования.

🔵 nginx 1.30.0 — появился HTTP/2 к backend.

Это уже не просто прокси — это новая зона для:

— request smuggling
— desync между proxy и backend
— багов в обработке заголовков

Плюс keep-alive к upstream по умолчанию → больше сценариев с reuse соединений.

🔵 njs 0.9.7 — WebCrypto прямо в Nginx.

Если используется для логики — это новая поверхность:

— подписи
— токены
— кастомная авторизация

🔤 потенциально — логические баги, не только сетевые

🔵 nginx-acme 0.4.0 — автоматизация сертификатов.

Интересно в контексте:

— misconfig
— неправильных доменных проверок
— edge-кейсов с TLS

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#patch_notes

📎 Шпаргалка по WAF bypass

Краткая памятка по популярным WAF: Cloudflare, Akamai, AWS WAF, ModSecurity, Imperva, F5 BIG-IP, Sucuri, Wordfence, Azure WAF, FortiWeb и Barracuda.

Внутри — как распознать конкретный WAF и какие техники обхода чаще проверяют для:

— XSS
— SQLi
— RCE
— SSRF
— Path Traversal

Полезно как быстрый ориентир на пентесте, когда нужно понять, что стоит перед приложением и какие векторы тестировать дальше.

📍 Навигация: [Вакансии]

🐸 Библиотека хакера

#cheat_sheet