- Регистрация
- 23 Август 2023
- Сообщения
- 3 710
- Лучшие ответы
- 0
- Реакции
- 0
- Баллы
- 243
Offline
Введение: один сканер, который всё изменил
Всё начинается с боли. Моя боль, как и у многих, кто только погружался в мир пентеста несколько лет назад, заключалась в рутине. Бесконечный поиск чувствительных файлов (.env, backup.zip, config.php и т.д.) на множестве целей, попытки автоматизировать этот процесс через какие-то кустарные скрипты, которые то пропускали важное, то работали вечность.
Первый «велосипед» — скрипт для массового анализа и упрощённого вапалайзинга — был медленным, с кучей миссов и в итоге отправился в корзину. Но зерно идеи осталось.
Спустя время, с новым опытом, я вернулся к этой задаче. Вместо патча старого кода сел и переписал всё с нуля. Так в 2025 году появился FullMute Scanner — быстрый, асинхронный сканер чувствительных данных. Он стал не просто инструментом, а фундаментом, на котором начала расти вся экосистема.
Задача: Быстрое и глубокое сканирование веб-приложений на наличие чувствительных файлов и векторов для атак.
Фишка: Асинхронность, гибкая настройка, обход классических WAF за счёт неочевидных векторов.
Статус: Стабильный core-проект, постоянно апдейтится.
GIT: GitHub - a11mut3d/FullMute https://github.com/a11mut3d/FullMute
Расширение горизонта: от веба к протоколам
Работая с веб-приложениями, я углубился в MITM-атаки. Изучая трафик, наткнулся на интересный вектор, связанный с Telegram-ботами. Сам Telegram использует защищённый MTProto, но его боты общаются по обычному HTTPS, и далеко не всегда разработчики проверяют сертификаты должным образом. Это открывало пространство для атак — например, спуфинга платежных данных в ботах-казино или магазинах.
Так родился второй проект.
Задача: Демонстрация уязвимостей в реализации взаимодействия с ботами через MITM-атаку.
Фишка: PoC-инструмент для проверки безопасности ботов, чтобы разработчики и безопасники не расслаблялись.
Цель: Повышение осведомлённости о необходимости шифрования и валидации сертификатов даже в бот-инфраструктуре.
GIT: GitHub - a11mut3d/Telegrambot-MITM https://github.com/a11mut3d/Telegrambot-MITM
Потребность в скорости: следим за угрозами в реальном времени
Мир инфобеза живёт в ритме CVE. Упустить свежую уязвимость — значит потерять возможность протестировать (или закрыть) её первым. Ручной мониторинг NVD отнимал время и нервы. Решение было очевидным — автоматизация.
Я написал Telegram-бота, который парсит ленту National Vulnerability Database и присылает оповещения о новых CVE, отфильтрованные по ключевым словам. Сейчас это мой личный радар, который экономит часы в неделю.
Рождение экосистемы Mute: больше, чем набор утилит
И тут я понял: у меня уже есть несколько разрозненных, но полезных проектов. А если объединить их под единым брендом? Так появилась экосистема mute.
Что было сделано:
Единый фронт Я сделал сайт-визитку, где все проекты собраны в одном месте, с описанием, примерами использования и ссылками.
Монетизация экспертизы Чтобы экосистема могла развиваться, добавил раздел с услугами: платные аудиты безопасности, заказ скриптов и инструментов под конкретные задачи. Opensource-проекты привлекают внимание, а экспертиза позволяет решать коммерческие задачи.
Разностороннее развитие Экосистема должна покрывать разные аспекты инфобеза. У меня уже были инструменты для пентеста и для демонстрации атак. Но я задумался: а как привлекать новичков?
Новый вектор: образование через визуальные новеллы
Я много общаюсь с теми, кто хочет войти в инфобез, но не знает, с какой стороны подойти. Аналитик? Пентестер? Blue team? Red team? Аудитор? Форензика? Выбор огромен, и многие просто теряются.
Документация, книги, курсы — это полезно, но скучно и сложно для входа. А что, если попробовать другой формат?
Сейчас я в разработке визуальной новеллы, которая в игровой форме помогает новичкам определиться с профессией в IT. Игрок попадает в ситуацию, где он - подросток перед которым стоит выбор, куда лучше пойти и что ему по душе. А его лучший друг играет роль наставника.
Почему визуальная новелла?
· Низкий порог входа: не требует навыков программирования от игрока.
· Сюжет и выборы создают эмоциональную привязку.
· Можно незаметно обучить базовым терминам и процессам.
Этот проект пока в активной разработке. Я планирую выкатить демо-версию в ближайшие месяцы. И да, он тоже станет частью экосистемы mute — бесплатной точкой входа для тех, кто хочет в ИБ, но боится сложностей.
Что имеем сейчас и куда движемся
На данный момент вокруг экосистемы mute собралось около 100 участников. Это немного, но это ядро заинтересованных специалистов. Экосистема живая:
• FullMute и TelegramBot-MITM используются в реальных пентестах.
• Бот с CVE-оповещениями помогает подписчикам оставаться в тренде.
• Поступают заказы на аудиты и разработку, хоть и редко
Планы на будущее:
Улучшение интеграции между инструментами.
Релиз визуальной новеллы как бесплатного образовательного продукта.
Создание команды, которая будет помогать мне
История mute — это путь от решения своих проблем к созданию инструментов для сообщества. Она показала, что даже нишевый opensource-проект может вырасти в нечто большее, если у него есть чёткая цель, рабочий core-инструмент и желание пробовать новое.
Экосистема строится не за день. Она растёт итеративно: увидел проблему — создал инструмент — поделился — получил фидбек — улучшил — нашёл связь с другим инструментом. А иногда просто садишься и делаешь визуальную новеллу, потому что это может изменить чью-то карьеру.
Главное — начать и делать то, что нужно тебе самому. Вполне возможно, это окажется нужно и сотням других.
P. S. Очень сильно хочется услышать мнение более опытных коллег и помощь с определением вектора развития.
