🌐 Прокси-сервер, который работает за NAT, даже когда клиент также находится за NAT

Pwnat — инструмент, который позволяет любому количеству клиентов, находящихся за одним NAT-сервером, соединяться с сервером, стоящим за другим NAT

— Утилита позволяет туннелировать трафик между клиентом и сервером, которые находятся за NAT-оми и не располагают реальными IP-адресами

🗄 Репозиторий на GitHub – линк.

// Не хакинг, а ИБ

🔒 Yandex Identity Hub — контроль доступа без лишней нагрузки

Яндекс представил новый сервис безопасности для бизнеса — Yandex Identity Hub. Это SaaS-решение для централизованного управления учетными записями сотрудников и доступом к корпоративным приложениям.

— Снижает риск компрометации аккаунтов за счет принудительного MFA
— Делегирует аутентификацию облачному провайдеру по стандартам SAML/OIDC
— Подходит для гибридной инфраструктуры с интеграцией Active Directory
— Помогает сократить расходы на ИТ

По данным SOC Yandex Cloud, 38% атак в первой половине 2025 года начались с взлома учетных записей. Identity Hub создан, чтобы эту угрозу исключить.

Также на Cloud Security Day представили обновление Yandex Smart Web Security — теперь сервис работает как Reverse Proxy и защищает не только облачные, но и внешние ресурсы.

🔎 MindMap по Feroxbuster

Feroxbuster – инструмент брутфорсинга веб-директорий, используется для фазинга и брутфорсинга веб-директорий, в частности для оценки безопасности сайта

— Инструмент предназначен для принудительного просмотра атаки, целью которой является идентификация ресурсов, на которые не ссылается веб-приложение, но которые всё ещё доступны злоумышленнику, и доступ к ним

🗄 Репозиторий на GitHub - линк.

// Не хакинг, а ИБ

♥️ Набор инструментов по реагированию на инциденты

— Данный репозиторий собрал в себе тщательно подобранный список инструментов по реагированию на инциденты

Цель реагирования – минимизировать ущерб от инцидента, восстановить нормальную работу IT-систем и предотвратить повторение подобных ситуаций в будущем

🗄 Репозиторий на GitHub - линк.

// Не хакинг, а ИБ

Уязвимость в пайплайне — это не баг, а потенциальная точка входа. И чаще всего дело не в хакерах, а в конфигурациях, которым не уделили внимания.

Читайте статью от специалистов по DevSecOps в MWS Cloud Platform и забирайте чек-лист проверки своего пайплайна.

В статье разбираем:

⏺️ как из-за одной строчки в .gitlab-ci.yml можно обойти проверку на секреты;
⏺️ почему важен принцип наименьших прав для раннеров;
⏺️ как можно получить доступ к ключам из других джоб, даже если вы используете vault;
⏺️ и почему кеши тоже могут стать источником компрометации.

Подход простой: смотрим на пайплайн глазами атакующего. Где бы мы атаковали? Что можно вытащить? Что можно обойти?

Если вы активно пользуетесь или настраиваете CI/CD и ещё не задавались вопросом, как он защищён, возможно, стоит начать с этой статьи.

🔗 Читать статью

Массовое удаление телеграм-каналов по OSINT

Уважаемое, ИБ-сообщество, вчера без объяснение причин были удалены каналы:
@osint_pythons (канал из нашей сетки)
@schwarz_osint
@OSINTBY
@Osint_san_frame_work

Каждый из каналов велся более нескольких лет и не нарушал правила сообщества. Так как уже более суток от поддержки телеграма нет новостей, мы просим вас привлечь внимание к этой ситуации, и по возможности, написать следующее сообщение в тех. поддержку телеграма:

Пожалуйста, разбаньте каналы: @osint_pythons, @schwarz_osint, @OSINTBY, @Osint_san_frame_work
Please unban these osint channels:  @osint_pythons, @schwarz_osint, @OSINTBY, @Osint_san_frame_work

🌐 Сообщение стоит писать в боты тех. поддержки телеграма:
@PressBot
@AmeliaTearheart
@BotSupport

📬 И на их официальные почты:

[email protected]
[email protected]
[email protected]
[email protected]


Мы также будем благодарны любому освещению этой ситуации в любых блогах и СМИ 🤝

🔒 Этичный Хакер