Пентестер на мотоцикле

🤨 Дождались! Больше года с нетерпением ожидал новый список топовых уязвимостей от OWASP. Для веба они выходят раз в 3-4 года, начиная с 2003 года. В рейтинге десяти самых распространённых за 2025 год появились две новые категории и одна консолидированная. Список предварительный (кандидат), окончательный будет чуть позже. ▎ Новые топовые уязвимости: ➡️A03:2025 — Ошибки в цепочке поставок ПО (Software Supply Chain Failures). Расширяет прежний пункт Vulnerable and Outdated Components и охватывает ...

💻 Письмо счастья 8 сентября 2025 года Aikido Security сообщила о крупнейшей supply-chain атаке на JavaScript. Всё началось с фишингового письма: злоумышленники угнали аккаунт мейнтейнера npm и выложили заражённые версии 18 ключевых пакетов. Суммарно их скачивают более 2,6 млрд раз в неделю. Вредоносный код срабатывал только в браузере и перехватывал Web3-трафик. ▎ Что делал вредонос: ➡️Встраивался в fetch и XMLHttpRequest; ➡️Подменял адреса кошельков в sendTransaction, approve, transfer; ➡️Испо...

💻 Уже не мышь, а крыса Исследователи из Калифорнийского университета в Ирвайне представили атаку Mic-E-Mouse, которая позволяет превратить обычную геймерскую мышь в инструмент подслушивания. Суть атаки в том, что движения и вибрации поверхности, считываемые сенсором мыши, могут быть преобразованы в звуковые колебания. Устройство начинает фиксировать микровибрации, создаваемые речью пользователя, фактически работая как грубый микрофон. Поначалу полученный сигнал имеет низкое качество, но исследо...

🤨 Крыса! Несколько дней подряд мой сервер обстреливали запросами с разных IP. Узнал я об этом совершенно случайно, когда зашёл через SSH по другой причине и решил посмотреть логи. И тут я просто выпал. Какой-то упёртый товарищ через веб-страницу долбил админку одного сервиса из трёх букв (название опустим, но суть поняли), пытаясь перебрать логины и пароли. Причём без капли стеснения он это делал с 30 запросами в секунду (108к запросов в час). Продолжалось это без остановки с 28 августа 04:09:4...

Классный опыт) Получилось рассказать доклад даже лучше, чем я ожидал. Видео доклада опубликую сюда сразу, как будет у меня на руках. // Спасибо Серёже (Похек) за эту фотку😁

😈 Нашёл 0-day... почти Недавно на проекте по пентесту было обнаружено уязвимое коробочное решение Directus v9.23.3. Directus — это open‑source платформа для управления данными, которая превращает любую SQL‑базу в headless CMS, предоставляя автоматическую REST и GraphQL API и удобный веб-интерфейс для управления контентом. С таким ПО я столкнулся впервые, поэтому принялся ресёрчить все возможные там API-эндпоинты, файловую структуру и искать уже известные уязвимости (CVE). Первым делом встала за...

🎉 Не утекаем, а празднуем Коллеги, всех с международным днем защиты информации! Желаю всем крепких паролей и спокойной инфраструктуры.

🔊 Спикерим 4 декабря пройдёт Ежегодная аналитическая конференция "КОД ИБ | ИТОГИ 2025", в которой я буду принимать участие в качестве спикера. Приду с темой "Цена лишнего факта: как неосознанные утечки бьют по прибыли", чтобы обратить внимание на скрытые риски, с которыми бизнес сталкивается каждый день, часто даже не замечая их. Разберём, почему такие мелочи стоят бизнесу реальных денег и как не допустить утечек, которые открывают злоумышленникам дверь во внутрь. Если будете на конференции — б...

🗣 Всем привет! Пришло время подводить итоги года канала "Пентестер на мотоцикле"! В этом мне сильно помог бот TGStat. Если хотите такую же статистику для своего канала, то отправьте боту @TGStat_Bot сообщение типа "2025 @username". От себя добавлю: 2025 год оказался переломным в моей жизни: крутая карьера и хоть какая-то начальная известность в своих кругах. Много экспериментов, роста и правильных поворотов. Дальше — больше. Всех с наступающим!

🎉 С НОВЫМ ГОДОМ! Пусть в 2026 году ваши эксплойты будут стабильными, ложных срабатываний на минимуме, находки жирными, а клиенты адекватными! Главное, чтобы работа приносила радость и драйв, а после рабочего дня вас ждали уют, близкие и вкусный чай (или что покрепче). С новым годом, коллеги!✨