Введение: один сканер, который всё изменил

Всё начинается с боли. Моя боль, как и у многих, кто только погружался в мир пентеста несколько лет назад, заключалась в рутине. Бесконечный поиск чувствительных файлов (.env, backup.zip, config.php и т.д.) на множестве целей, попытки автоматизировать этот процесс через какие-то кустарные скрипты, которые то пропускали важное, то работали вечность.

Первый «велосипед» — скрипт для массового анализа и упрощённого вапалайзинга — был медленным, с кучей миссов и в итоге отправился в корзину. Но зерно идеи осталось.

Спустя время, с новым опытом, я вернулся к этой задаче. Вместо патча старого кода сел и переписал всё с нуля. Так в 2025 году появился FullMute Scanner — быстрый, асинхронный сканер чувствительных данных. Он стал не просто инструментом, а фундаментом, на котором начала расти вся экосистема.

Задача: Быстрое и глубокое сканирование веб-приложений на наличие чувствительных файлов и векторов для атак.
Фишка: Асинхронность, гибкая настройка, обход классических WAF за счёт неочевидных векторов.
Статус: Стабильный core-проект, постоянно апдейтится.

GIT: https://github.com/a11mut3d/FullMute

Расширение горизонта: от веба к протоколам

Работая с веб-приложениями, я углубился в MITM-атаки. Изучая трафик, наткнулся на интересный вектор, связанный с Telegram-ботами. Сам Telegram использует защищённый MTProto, но его боты общаются по обычному HTTPS, и далеко не всегда разработчики проверяют сертификаты должным образом. Это открывало пространство для атак — например, спуфинга платежных данных в ботах-казино или магазинах.

Так родился второй проект.

Задача: Демонстрация уязвимостей в реализации взаимодействия с ботами через MITM-атаку.
Фишка: PoC-инструмент для проверки безопасности ботов, чтобы разработчики и безопасники не расслаблялись.
Цель: Повышение осведомлённости о необходимости шифрования и валидации сертификатов даже в бот-инфраструктуре.

GIT: https://github.com/a11mut3d/Telegrambot-MITM

Потребность в скорости: следим за угрозами в реальном времени

Мир инфобеза живёт в ритме CVE. Упустить свежую уязвимость — значит потерять возможность протестировать (или закрыть) её первым. Ручной мониторинг NVD отнимал время и нервы. Решение было очевидным — автоматизация.

Я написал Telegram-бота, который парсит ленту National Vulnerability Database и присылает оповещения о новых CVE, отфильтрованные по ключевым словам. Сейчас это мой личный радар, который экономит часы в неделю.

Рождение экосистемы Mute: больше, чем набор утилит

И тут я понял: у меня уже есть несколько разрозненных, но полезных проектов. А если объединить их под единым брендом? Так появилась экосистема mute.

Что было сделано:

1. Единый фронт Я сделал сайт-визитку, где все проекты собраны в одном месте, с описанием, примерами использования и ссылками.

2. Монетизация экспертизы Чтобы экосистема могла развиваться, добавил раздел с услугами: платные аудиты безопасности, заказ скриптов и инструментов под конкретные задачи. Opensource-проекты привлекают внимание, а экспертиза позволяет решать коммерческие задачи.

3. Разностороннее развитие Экосистема должна покрывать разные аспекты инфобеза. У меня уже были инструменты для пентеста и для демонстрации атак. Но я задумался: а как привлекать новичков?

Новый вектор: образование через визуальные новеллы

Я много общаюсь с теми, кто хочет войти в инфобез, но не знает, с какой стороны подойти. Аналитик? Пентестер? Blue team? Red team? Аудитор? Форензика? Выбор огромен, и многие просто теряются.

Документация, книги, курсы — это полезно, но скучно и сложно для входа. А что, если попробовать другой формат?

Сейчас я в разработке визуальной новеллы, которая в игровой форме помогает новичкам определиться с профессией в IT. Игрок попадает в ситуацию, где он - подросток перед которым стоит выбор, куда лучше пойти и что ему по душе. А его лучший друг играет роль наставника.

Почему визуальная новелла?

· Низкий порог входа: не требует навыков программирования от игрока.
· Сюжет и выборы создают эмоциональную привязку.
· Можно незаметно обучить базовым терминам и процессам.

Этот проект пока в активной разработке. Я планирую выкатить демо-версию в ближайшие месяцы. И да, он тоже станет частью экосистемы mute — бесплатной точкой входа для тех, кто хочет в ИБ, но боится сложностей.

Что имеем сейчас и куда движемся

На данный момент вокруг экосистемы mute собралось около 100 участников. Это немного, но это ядро заинтересованных специалистов. Экосистема живая:

• FullMute и TelegramBot-MITM используются в реальных пентестах.
• Бот с CVE-оповещениями помогает подписчикам оставаться в тренде.
• Поступают заказы на аудиты и разработку, хоть и редко

Планы на будущее:

1. Улучшение интеграции между инструментами.

2. Релиз визуальной новеллы как бесплатного образовательного продукта.

3. Создание команды, которая будет помогать мне

Заключение

История mute — это путь от решения своих проблем к созданию инструментов для сообщества. Она показала, что даже нишевый opensource-проект может вырасти в нечто большее, если у него есть чёткая цель, рабочий core-инструмент и желание пробовать новое.

Экосистема строится не за день. Она растёт итеративно: увидел проблему — создал инструмент — поделился — получил фидбек — улучшил — нашёл связь с другим инструментом. А иногда просто садишься и делаешь визуальную новеллу, потому что это может изменить чью-то карьеру.

Главное — начать и делать то, что нужно тебе самому. Вполне возможно, это окажется нужно и сотням других.

P. S. Очень сильно хочется услышать мнение более опытных коллег и помощь с определением вектора развития.