CyberYozh

🔍Инструменты разведчика. Часть 4 Файлы, директории, параметры: Копай, пока не найдёшь. 📖 [ссылка на статью] Знал, что на забытой директории сайта может лежать конфиг с паролями? Или что скрытый параметр в API откроет доступ к данным? В четвёртой части  про инструменты разведки рассказываем, как копать файлы, директории и параметры. 🟪Gobuster: брутит всё. 🟪GoSpider: паук, который тянет ссылки из Wayback Machine. 🟪Arjun: вынюхивает скрытые параметры в API. Всё для этичной разведки, чтобы искать баги легально! Все части: 🟡Первая часть 🟡Вторая часть 🟡Третья Часть 🟡Четвертая Часть

Вы все сами понимаете.

Пишут про возможную блокировку Google meet. Я понимаю, что сейчас задача всех пересадить на MAX, я буду только рад если в РФ появится безопасный и надежный мессенджер, но общаться приходится не только внутри РФ, как работать командам, разбросанным по миру? MAX также хорошо ловит в бостонском лифте? или на парковке в Гонконге? Вот да.

Ну как дела? Как отпуск прошёл — рассказывай. У меня тоже всё хорошо: Вот 26 августа запускаю курс по Active Directory. Программа для людей с бэкграундом в пентесте, 100% актуалочка. Про «Аэрофлот» слышал? Там тоже была AD-инфраструктура — недотестировали, получается 🤩. Что ещё нового… Акция у меня продлится ещё недельку — месяц скидок на анонимность. Про мессенджер MAX слышал? 🤫 Тише-тише, вот сейчас без этого курса про него так говорить нельзя. Кстати, я же гуманитарную акцию организовал — «Вазелин помощи». Айтишникам очень нравится: как без работы остались — сразу в ИБ решили пойти. И правильно: путь свободный, тем более с их бэкграундом Так и живём…

Второе по полезности изобретение после робота-пылесоса.

📱Python и фишинг: Как хакеры крадут пароли? Разбираем на пальцах! 📱  [ссылка на YouTube] [10:30] Зачем учить Python? В новом видео показываем, как с помощью Python и Flask создать фейковую страницу логина Instagram и понять, как работают фишинговые атаки. 🟪Пишем простое Flask-приложение: форма логина с username и паролем. 🟪Копируем HTML Instagram, чтобы замаскировать фейк. 🟪Ловим введённые данные и делаем редирект на настоящий сайт. ⚠️ Всё для обучения этичной кибербезопасности - никаких атак на реальных людей!

🔍Инструменты разведчика. Часть 3 Забытые поддомены - золотая жила для хакера? 📖 [Ссылка на статью] Ты знал, что компании могут забыть про поддомены, где спрятаны критические уязвимости? В третьей части про инструменты рассказываем, как искать поддомены и находить слабые места. 🟪Chaos: бесплатный инструмент для ленивых - собирает поддомены. 🟪Subfinder: консольный зверь на Go для тех, кто любит контроль. Все части: 🟡Первая часть 🟡Вторая часть 🟡Третья Часть

Анонсирован новый iPhone MAX Думаю, что вы и так уже прочитали эту новость, но есть буквально пара нюансов 🤏 • Любое приложение на iPhone должно быть подписано Apple. • Чтобы телефон вообще работал, он должен быть активирован. • «Вскрыть коробку и поставить руками» не выйдет: при включении iOS проверяет подписи и «чужеродное» удаляется. По сути, решение одно: мы просто сканируем морду покупателя для Face ID, а пароль ему не дадим (почти MDM). И никто айфончик наш не сбросит — бинго 👏 Пароли ведь нужны для установки приложений. А зачем обычному человеку какие-то другие приложения?

Фишинг на колесиках

Тайская киберполиция вместе с оператором AIS провела операцию «Khao San» — задержали двух местных парней, работавших на китайских скамеров.

Два наивных тайца колесили по элитным улицам Бангкока в неприметном Suzuki Ertiga, где была установлена фишинговая станция для рассылки СМС. 🎩Схема: → в машине установлен False Base Station (поддельная базовая станция); → антенна замаскирована под «акулий плавник»; → через неё рассылаются SMS со ссылками на фейковые сайты; → жертвы переходят и теряют деньги. Заказы прилетали через Telegram (кто бы мог подумать). Работа посменная: днём и ночью. Оплата — до $100 в день. «Босс» — гражданин Китая, присылавший оборудование прямо из Поднебесной. Отдельно хочется отметить Киберполицию Тайланда, которые с гордостью перечислила в соцсетях полный набор оборудования скамеров. Так что, Хамовники, Арбат и Якиманка — готовьтесь, ваши «акулии плавники» ещё впереди. CyberYozh

Встречайте безлимитные 5G proxy в Англии 🇬🇧

Все включено: выделенное устройство, невероятная скорость, UDP, безлимитный трафик. Отлично подойдет как для команды, так и для персонального использования.

Прикрытие из детей по-датски Англоязычные СМИ взвыли от новой инициативы викингов:

Под предлогом борьбы с рассылкой дикпиков несовершеннолетним предлагается… читать переписки всех граждан Евросоюза.

Тончайшая манипуляция: попробуйте, будучи чиновником, сказать напрямую «я против» — у общества сразу появятся вопросы и сомнения в ваших пристрастиях. 📈 Баланс сил сейчас такой: — 3 страны против, — 15 за, — 9 делают вид, что думают. Финальный вердикт — 14 октября. На самом деле европейцы не понимают и «плюсов»: связь будет ловить даже на подземной парковке, приложения будут устанавливаться самостоятельно, и жалобы писать не нужно — всё автоматизировано. CyberYozh

✈️Кибератаки на Аэрофлот, ВинЛаб и Вкусно и точка: кто виноват и что делать? 📱 [ссылка на YouTube] Хакеры в июле 2025 устроили настоящий апокалипсис: Винлаб закрыл магазины, Вкусно и точка  остались без доставки, а Аэрофлот отменил рейсы! В новом видео с Фёдором Музалевским, директором техдепартамента RTM-Group, разбираем, как это произошло и как не допустить такого в будущем. 🟪Почему Винлаб неделю простаивал? 🟪Как ДДоС парализовал Вкусно точка? 🟪Аэрофлот: год сидели в системе, стырили данные рейсов! 🟪Что делать? План Б, риск-менеджмент и никакого Windows XP.

Что пить? Где есть? И куда лететь?

(С) Хавский громко

Тут еще одну новость гоняют по каналам, я не знаю, фейк или нет, но звучит забавно. Российских студентов начнут проверять на принятие традиционных ценностей.

НИУ ВШЭ получил контракт на 10 млн рублей и разрабатывает систему оценки, которая позволит выявлять риски деструктивного или противоправного поведения через анализ ценностных установок. По словам исследователей, подобных инструментов в стране пока нет.

Вопросы про два стула будут?

Глава думского комитета по информационным технологиям и связи Сергей Боярский заявил, что открытая и «необоснованная атака» на мессенджер может рассматриваться как повод для проверки на «иностранное влияние».

Старый добрый проверенный метод улучшения безопасности продукта.

Функция «Большой Брат» добавлена в MAX На скриншоте, помимо олицетворения фразы «брат на брата», есть деталь поважнее — периодичность. Антивирус умеет фиксировать даже кратковременное обращение к камере — это значит, что клиент обращается к драйверам. 🌟 В самой камере нет ничего страшного. Фотография, где вы сидите с пальцем в носу, вряд ли расскажет о ваших плохих поступках. А вот тот факт, что приложение инициирует запросы к драйверам без согласия пользователя, куда интереснее. 🕶 Два варианта: 1. Это работа «рукастого» разработчика, который настроил клиент так, что он делает регулярные запросы к драйверам. 2. Это сделано умышленно, чтобы собирать MAXимум информации с устройства. Думаю, что у независимых ресерчеров и реверс-инженеров появился новый проект. CyberYozh

🔑Порты - твой ключ к багам! Разбираем сканеры для баг баунти Вторая часть серии:  про сканеры портов, которые выведут тебя на уязвимости. 🟪Nmap - король для точного сканирования. 🟪Masscan - ракета для больших сетей. 🟪MassMap и Dnmasscan - автоматизация для ленивых багхантеров. 📖 [ссылка на статью] Если пропустил - первая часть по ссылке

😂7 мифов кибербезопасности: антивирусы, VPN и длинные пароли - правда или ложь? 📱▶️ Новое Видео на нашем канале [22:39] Думаешь, длинный пароль - это броня, а хакеры носят худи и маски? В новом видео с Егором из  PRO:PENTEST мы разносим мифы кибербезопасности в пух и прах! 🟪Правда ли, что антивирусы - панацея? 🟪Защитит ли инкогнито в браузере? 🟪VPN и анонимность - миф или реальность? 🟪Можно ли ворваться в кибербез без технарьских скиллов? И продолжение темы на канале PRO:PENTEST

🔥Новый ролик на канале: "Как хакеры прячут файлы в Windows и Linux"! 📱СМОТРЕТЬ (12:16) 🤿Сегодня мы ныряем в мир скрытных техник: от простых трюков в Проводнике Windows до стеганографии в Kali Linux. Я покажу несколько способов спрятать файлы так, чтобы никто не нашел - включая альтернативные потоки данных (ADS) и сообщений внутри фото. Плюс, бонус: как обнаруживать такие хитрости! Это не просто теория - реальная практика с примерами на экране. И помните: всё для этичного хакерства, пробуем только с разрешения! А после просмотра - задание для настоящих хакеров! Ниже я выложил архив с фотографией, где спрятано секретное послание. Также оставил wordlist для brute-force - чтобы было интереснее. Скачайте, попробуйте извлечь текст из фото! Рекомендация: используйте stegseek для brute-force или пробуйте перебрать вручную. Не сдавайтесь! 💬Напишите в комментариях под видео на YouTube: получилось ли у вас достать послание из фото? Сколько времени это заняло? 🔥Через пару дней в ТГ Тень Франклина выложу видео с полным разбором решения.

👀Как найти баг за награду? Начинаем с разведки! В баг баунти разведка это важный шаг. Новая статья - про словари, которые помогут найти поддомены, файлы и уязвимости быстрее других. Узнаешь про: 🟪fuzz.txt для быстрого старта (4842 слова) 🟪SecLists - библиотека для багхантеров. 🟪Assetnote - свежие списки поддоменов каждый месяц. 🟪Pydictor - генери свои словари под любой пароль. Используй этично, только для программ баг баунти! Читай и качай свой арсенал. 📖  [ссылка на статью] 💬 Пиши в комменты: какой словарь твой фаворит?

👀Хакеры видят твой трафик? Разбираем атаку Man-in-the-Middle на Kali Linux! 📱 Новое видео [8:31] Показываем, как работает атака Man-in-the-Middle (MITM) и почему без неё не обходится ни один пентесер. В видео: 🟪Настраиваем ARP-spoofing на Kali Linux. 🟪Перехватываем трафик с помощью Wireshark. 🟪Показываем, как ловить пинги и запросы к сайтам. 🟪Три команды, чтобы всё работало (и как не облажаться).