Chumikov Sec

Всем привет! Вторая статья по Vibe Pentesting. В первой статье мы собрали себе инструментарий OpenCode + HexStrike AI, который нам полностью автоматически решил одну CTF-задачу. После этого прошло почти 2 недели и в этой статье я хочу поделиться своими мыслями, найденными проблемами, а также мы продолжим улучшать наш инструментарий, работая над простой идеей - а можно ли уже сейчас автоматически решить все задачи CTF-площадки? Интересно? Вот статья: https://habr.com/ru/articles/986938/ Очень жду...

Привет, Заблокированные! 😁 Ну что, поговорим о чём-то серьёзном? Слышали о таких типах атак? 🗄Homograph attacks — фишинговые домены с похожими символами (кириллица вместо латиницы, punycode) 🗄 Terminal injection — ANSI-escape последовательности, переписывающие ваш экран 🗄 Pipe-to-shell — прямое выполнение скачанных скриптов (curl | bash) 🗄 Dotfile attacks — модификация ~/.bashrc, ~/.ssh/authorized_keys 🗄 Insecure transport — HTTP вместо HTTPS, отключенная проверка TLS 🗄 Ecosystem threats ...

Всем привет! Пятница, как и обещал! Заваривайте вечером что покрепче и пробуйте! 😄 https://habr.com/ru/articles/985450/ Я оцениваю подобные инструменты как некий новый уровень для пентеста, который гораздо выше, чем был раньше. Уже в этом году все безопасники разделятся на тех, кто умеет пользоваться подобными инструментами и тех, кто не умеет и между ними будет пропасть в эффективности! Очень жду обратную связь от вас. Ну и конечно же лайки и репосты! Интересных выходных! Дальше будет интересн...

Всем привет! Всё гениальное - просто. Тут на TheHackerNews вышла статья, которая показывает развитие вектора атаки с фиктивным трудоустройством. Лицо, голос, трудовая история и личность - теперь это уже всё можно подделать и к 2028 году прогнозируют, что каждый 4 профиль кандидата будет "ботом", созданным с одной целью... 😈Взлом теперь не всегда начинается с фишинга. В некоторых случаях он начинается во время найма на работу. Синтетические резюме, клонированные голоса и глубокие подделки в виде...

Всем привет! Тут Tor Project опубликовали финансовый отчет за 2023-2024 и я, если честно, охренел удивился и понял, что никогда не понимал точно, как и за счёт чего этот проект живёт и развивается... Итак: ключевым изменением в свежем "Transparency, Openness, and Our 2023-2024 Financials" стало резкое снижение доли финансирования от правительства США до 35,08% по сравнению с показателем 53,5% в период 2021-2022 годов... Только мне на память пришёл мем "чего бл..ть???"? 😁 Какое правительство США...

Всем привет! Тут интересный контент подогнали, да не от кого-нибудь, а от ФСТЭК. "В целях повышения уровня знаний и умений специалистов в области информационной безопасности ФСТЭК России опубликовал БЕСПЛАТНЫЕ видеолекции". Особенности фаззинг-тестирования при проведении сертификационных испытаний Подходы к фаззинг-тестированию управляемого кода Основы динамического символьного выполнения. Поиск ошибок при помощи динамического символьного выполнения Инструментальная и технологическая поддержка п...

Всем привет! Давно ничего не писал для вас. А вы знали о том, что телега с определённого момента стала позволять делиться целыми папками? Вы собираете интересные каналы в папку, а потом можете всей папкой (ну или частью) поделиться с нужными людьми. Очень удобно! Вот для примера папка из небольшой части каналов, на которые я сам подписан. Ну а в комментах накидайте своих папок по кибербезу, которыми не стыдно поделиться ) #Telegram

Всем привет! Хорошая новость от Docker. Цитирую: Количество атак на цепочки поставок резко возросло. В 2025 году они нанесли ущерб на сумму более 60 миллиардов долларов, что втрое больше, чем в 2021 году. Никто не застрахован. Каждый язык программирования, каждая экосистема, каждый этап сборки и распространения — всё это может стать целью. По этой причине в мае 2025 года мы запустили Docker Hardened Images (DHI) — безопасный, минималистичный, готовый к использованию в производственной среде набо...

Всем привет! Пост оффтоп или задача по OSINT... решайте сами 😁 Если видели новость на картинке, поставьте ❤️ Так вот, это FAKE. Если начнёте искать источник, то можно найти только пост какого-то чувака от 2024 года! Он в своём посте не ссылается ни на какое исследование! Испанский стыд за те около иб- и ит-каналы, которые это запостили! Всегда, когда хотите опереться на какие-то факты в диалоге или в своей работе, найдите источник и убедитесь, что это не фейк. Как говорил Ленин: "в интернете пр...

Всем привет! Впереди достаточно долгие каникулы, а каникулы - прекрасное время, чтобы отдохнуть, погулять, почитать и поучиться. Awesome-certificates — опенсорс-каталог с бесплатными IT-курсами, в конце которых выдают сертификаты! Внутри более 200 курсов, разделенных на категории: от машинного обучения и ИИ до бизнес аналитики. Конечно же есть курсы и по кибербезопасности. Как минимум, это удобный список проверенных сообществом курсов с разных ресурсов в одном месте. За каникулы можно существенн...