Всім привіт!Нещодавно тестував claude code без курсора, і хотілось щось таке прикольне зробити. Корисне. Щоб не просто потикати інструмент, а ще залишити після цих тестів щось класне.І я подумав, що не так багато є україномовних ресурсів по пентесту і веб пентесту зокрема. Особливо щоб до теорії була якась практика і ком'юніті.Так з'явився цей репозиторій, який за 0 гривень 0 копійок хоститься на github pageshttps://morronel.github.io/client_web_hacking_path/Всередині об'ємний шмат теорії і пачка мінімалістичних CTF стендів, щоб цю теорію можна було потикати. Теорія хоститься 24/7 на github pages, а для практики треба склонити репу і зробити "docker compose up" в папці з лабою яка тебе цікавить, щоб підняти її собі локально і тикати.https://github.com/Morronel/client_web_hacking_path/Я збирався все це далі покращувати: переробити лаби одну за одною, прилизати теорію, додати нові модулі. І зліпити нормальну client side браузерну гру на цій платформі, щоб можна було якось розважитись в процесі. Але я думаю що більш простий шлях це зарелізити те що є (бо вже, наче, непогано), і зібрати у людей фідбек і пропозиції. Чого саме вам не вистачає на цій платформі, і що хотілось би покращити.Так що запрошую зацінити безкоштовну, опенсорсну і україномовну платформу для тренування навичок веб пентесту. Прошу накидати мені сюди в чат, а ще краще - в github issues, пропозиції по покращенню
🗿OpenAI походу тільки що вбило пару тисяч стартапів та агенцій, які роблять/планують робити кастомних агентів на замовлення Workspace Agents прямо в сайдбарі ChatGPT.Схоже на результат придбання фаундера OpenClaw Пітера Штейнбергера))Суть проста: всередині ChatGPT тепер можна збирати агентів, які живуть не в одному чаті, а в спільному робочому просторі команди і самі виконують довгі завдання. Важлива деталь — під капотом це Codex, а не просто GPT у ролі чат-бота. Тобто агент вміє реально координуватись між інструментами, відстежувати прогрес і рухати задачу вперед без постійного нагляду.На демо показали агента Scout. Задача в одне речення: "Build an agent that monitors #product-feedback in Slack, answers questions, and triages new issues." ChatGPT сам написав йому інструкції, підключив Slack, Linear, Google Drive, Calendar, і далі агент пішов працювати. На екрані прогонявся живий чек-лист: Searching related Linear issues → Checking existing bug reports → Drafting team summary → Composing feedback email → Done.Далі цікавіше. Scout не просто виконав разову задачу, а живе в Slack-каналі #user-insights. Колега прямо в треді питає "What's the latest feedback on our mobile app?" — і агент одразу відповідає зведенням тем тижня з public review sites, support tickets і клієнтських каналів. Це вже реально коннект в командний workflow.Що це означає на практиці:- Агент не прив'язаний до одного юзера. Build once, share across teams.- Тягне контекст з документів, email, чатів, коду, внутрішніх систем, створює доки, відправляє повідомлення.- Довгі воркфлоу через кілька інструментів, без ручного підхоплення.- Створення промптом, а не налаштуванням конструктора. Пишеш, що має робити, і хто куди має стукати.- Типові кейси одразу з демо: кваліфікація лідів, розподіл фідбеку по командах, ревʼю вхідних запитів, витяг звітів з систем, ресерч підрядників, аутріч і тдДоступно в research preview тільки на ChatGPT Business, Enterprise, Edu і Teachers. На Plus і Free поки що нема. Це явний заїзд у B2B сегмент, який ще рік тому повністю тримали n8n, Make і кастомні розробники на Claude Code/Codex/Cursor і тд.По суті це той самий тренд, який зараз тягнуть всі: AI як співробітник, якого ти наймаєш одним реченням. Хто перший дасть нормальний UX для команд, той забирає ринок у no-code автоматизацій.Для тих, хто будує щось своє, поріг "зібрати робочого агента" знову впав. Раніше це було "сідай кодити або малюй воронку", зараз це одне речення і 5 хвилин.
🤖 OpenAI відкриває доступ до GPT-5.4-Cyber для кіберзахистуOpenAI представила модель GPT-5.4-Cyber, оптимізовану для пошуку вразливостей і аналізу скомпільованого програмного забезпечення без доступу до коду. Вона підтримує реверс-інжиніринг бінарників та дозволяє виявляти шкідливі компоненти і потенційні ризики без вихідних файлів.Доступ до моделі надається через програму Trusted Access for Cyber із багаторівневою верифікацією користувачів і команд. Індивідуальні фахівці підтверджують особу онлайн, а компанії проходять перевірку через представників OpenAI для отримання розширених прав.Програма включає гранти на 10 мільйонів доларів у вигляді API-кредитів для захисту відкритого коду та інфраструктури. Інструмент Codex Security вже допоміг усунути понад 3000 критичних і серйозних вразливостей у різних програмних проєктах.Реліз відбувся через тиждень після презентації Anthropic моделі Claude Mythos Preview, яку передали близько 40 організаціям. Серед них Microsoft, CrowdStrike, Apple і Palo Alto Networks.OpenAI заявила, що не буде централізовано визначати, хто має право на кіберзахист, і планує надати доступ тисячам фахівців.
Розробник ботнету IcedID інсценував власну смерть, щоб втекти від ФБРУкраїнець, який розробляв та керував ботнетом IcedID, підробив власну смерть, аби уникнути кримінальної відповідальності у США.У квітні 2024 року підозрюваний підкупив українських поліцейських, щоб ті оформили свідоцтво про смерть на його ім’я, використавши документи померлої людини. Це сталося за місяць до того, як Європол та ФБР вилучили сервери IcedID в рамках операції Endgame — що може свідчити або про витік інформації, або про те, що підозрюваний помітив активність правоохоронців на своїх серверах.Згідно з матеріалами справи, він був однією з ключових фігур у структурі IcedID.Попри “смерть”, чоловік продовжував спокійно жити за своєю старою адресою в Ужгороді — не найкращий приклад операційної безпеки.У грудні минулого року його нарешті затримали. Під час обшуку він намагався видати себе за іншу людину та пред’явив підроблені документи на нове ім’я.Правоохоронці наклали арешт на квартири, паркомісця та автомобілі, які підозрюваний після своєї “смерті” переоформив на матір, колишню дружину та її батьків.Суд призначив заставу у 400 мільйонів гривень (~9,3 млн доларів), визнавши його таким, що може втекти.https://reyestr.court.gov.ua/Review/133125529Автор : Володимир Стиран
Залипли на ідеї власного IT-продукту, але старт так і не відбувся?Перед тим як ще раз “допилювати”, варто зупинитися і перевірити мислення.Ми — Growth Factory, освітня бізнес-платформа для CEO та власників IT-компаній.З 2013 року ми навчаємо та обʼєднуємо IT-підприємців, які будують продукти, бізнеси й системний дохід, а не живуть у режимі нескінченної розробки.Саме тому ми підготували безоплатний PDF — “Майндсет-чек перед MVP”. Це матеріал для айтівців, які замислюються про власний продукт і хочуть дійти до результату, а не застрягти в коді без перевіреного попиту.Що ви отримаєте в матеріалі:✔️ зрозумієте, чи готові ви до запуску продукту саме зараз✔️ побачите типові пастки розробників перед MVP✔️ розберетеся, що перевіряти в першу чергу: ідею, попит чи бізнес-модель✔️ визначите, в який формат гри ви реально заходите: мікробізнес, кешфлоу чи довга дистанція✔️ отримаєте інструменти перевірки попиту без повноцінної розробкиТут про мислення, рішення і фокус, які ведуть до MVP і перших клієнтів.👉 Реєструйтесь та отримайте PDF безоплатно#промо
Потицяв я цей ваш Caido. І в мене маса приємних вражень!Для тих, хто ще не знає що це - Caido це прокся для веб пентесту. Конкурент burp suite, ще один "швейцарський ніж для веб пентесту", який дозволяє перехоплювати, модифікувати, і автоматизовувати HTTP реквести заточений під пошук вразливостей в вебі.Почну з мінусів. Сканер послабше, плагінів поменше, деяких фіч немає.Наприклад, не вистачає колаборатора. Відповідно без нього і сканер OOB не шукає, і рулів поменше, і немає деяких прикольних фіч типу "автогенератора CSRF пейлоада" чи "симуляції мануального тестування".Але, якщо бути відвертим, то дуже багато плагінів до бурпа глючних, а сканер все одно ніколи не тягне на собі проект. Та і в будь-якому випадку, купою функціоналу в бурпі ми, реалістично, не користуємось. Я щось не пригадаю, щоб мені реально той самий burp sequencer реально приніс баг, чи сильно якось впливав на моє життя. А той самий колаборатор без проблем заміняється interact sh.Тепер про плюси.Весь ключовий функціонал на місці! Репітер, інтрудер, проксі хісторі, матч&реплейс, сканер, і так далі. Вплоть до того, що навіть парам майнер і авторайз місцевого розливу вже завезли.Написано це щастя на раст, і воно сильно легше по оперативі ніж легасі бурп на джаві.Працює, наче, стабільно, не крашиться (на відміну від овасп зап), і інтерфейс абсолютно людяний (на відміну від овасп зап).Обіцяють що легко доводиться напильником за допомогою плагінів і воркфлоу, навіть кажуть що плагіни легко пишуться на html-css-js, і взагалі все що хочеш можна кастомізувати, але я не перевіряв.І саме приємне в цьому всьому - цінова політика, і пейвол.Ніякого більше повільного інтрудера, життя взагалі без сканера, і неможливості зберігати проекти! Безкоштовна версія, нарешті, дає весь реально необхідний функціонал щоб почати нормально щось там робити.Для тих, хто не в курсі - безкоштовна версія бурпа НІЯК не підходить для реальних проектів, тому що у вас немає ніякої можливості зберегти стан проекту. При всьому бажанні, реальний проект це тижні, і обнуляти збережену проксі хісторі і вкладки репітера кожен раз, це неможливо сповільнює будь-яку реальну роботу.Тут нам дають можливість нахаляву зберігати два різних проекта. Це не густо, але з цим вже якось можна працювати. Ще й нормальний інтрудер, і сканер в довісок.Платна версія балує цінами - 20$ за місяць, 200$ на рік, що в два рази дешевше ніж бурп, який не дозволяє помісячно оплачувати взагалі. Можна дарувати гіфтом.Моя думка наступна: якщо компанія оплачує вам бурп і сильний ноут, то мабуть все-таки краще бурп і сильний ноут. Але для новачків, для людей в яких веб пентест це хоббі (чи просто не так часто проекти по ньому), для людей зі слабкими компами, і для людей які рахують гроші і не хочуть обирати між 500$ і піраткою вдома, я думаю що це прям лютий топ.Нарешті новачку можна дати посилання на офіційний софт, замість того щоб пояснювати що крякнуту версію краще ганяти в віртуалці (бо 500$ за бурп в них все одно зазвичай немає, а попрактикуватись хочеться).Я ще не розібрався, як працює кастомізація, але якщо вона виявиться реально настільки крутою як в рекламному буклеті - можливо це навіть дійсно буде мати сенс незалежно від ціни і потужності залізяки.В будь-якому випадку, раджу зацінити, штука сама по собі крута, і фрі тір там дуже класний.https://caido.io/
TGLIST.COM.UA
