Vibehacking · L-1 · Yosh o'qituvchilar uchunVibehacking · L-1 · Для джунов-преподавателейVibehacking · L-1 · For junior teachers
Vibehacking — yosh o'qituvchilar uchunВайбхакинг — урок для младших преподавателейVibehacking — a lesson for junior teachers
Pentest, AI-agent, parallel ishlash, demo va OPSEC — darsda gapirish uchun.Пентест, AI-агент, параллельность, демо и OPSEC — чтобы вести урок.Pentest, AI agents, parallelism, demo and OPSEC — so you can run the lesson.
🎯
Kim uchun: HTML/CSS/JS asoslarini biladigan, terminal bilan ishlagan, lekin xavfsizlik bilan shug'ullanmagan IT-maktab o'qituvchilari. Darsdan keyin — o'quvchilarga vibe-hacking nima ekanini tushuntira olasiz va oddiy demo o'tkazasiz.Для кого: преподаватели IT-школы, знающие HTML/CSS/JS на базовом уровне, работали с терминалом, но не занимались безопасностью. После урока — сможете объяснить ученикам, что такое vibe-hacking, и провести базовое демо.For whom: IT-school instructors who know basic HTML/CSS/JS, have used a terminal, but never worked in security. After this lesson — you can explain vibe-hacking to students and run a basic demo.
1 · Pentest nima1 · Что такое пентест1 · What a pentest is
«Shartnoma asosida qonuniy buzish»«Легальный взлом по договору»"A legal break-in under contract"
🏠
O'quvchilar uchun analogiya: uy qurdingiz. Ko'chishdan oldin qulf bo'yicha mutaxassisni chaqirasiz — u eshik nina bilan ochiladimi, 2-qavat derazasi ochiqmi, gilam tagida zaxira kalit yo'qmi tekshiradi. Buyumlaringizni o'g'irlamaydi — «shularni tuzatish kerak» ro'yxatini yozadi. Bu — pentest.Аналогия для учеников: построили дом. Перед заселением зовёте эксперта по замкам — он проверяет, открывается ли дверь шпилькой, открыто ли окно на 2-м этаже, нет ли запасного ключа под ковриком. Вещи не крадёт — пишет список «вот что нужно починить». Это и есть пентест.Analogy for students: you built a house. Before moving in you hire a lock expert — he checks if the door opens with a hairpin, if the 2nd-floor window is open, if there's a spare key under the mat. He doesn't steal your stuff — he writes a list of "here's what to fix". That is a pentest.
⚠️
Shartnomasiz — bu pentest emas, jinoyat (O'zbekiston JK 278-modda). Mutaxassis faqat ruxsat berilgan doirada ishlaydi — bu scope. Maqsad — muammolarni topish, zarar emas.Без договора — это не пентест, а уголовное преступление (ст. 278¹ УК РУз). Эксперт работает только в рамках разрешённого — это scope. Цель — найти проблемы, не нанести ущерб.Without a contract it's not a pentest, it's a crime (Uzbekistan Criminal Code, art. 278). The expert works only inside what's allowed — the scope. The goal is to find problems, not to cause damage.
2 · Claude Code'dagi AI-agent2 · AI-агент в Claude Code2 · AI agent in Claude Code
«20 ta buyruq» o'rniga — 1 ta jumlaВместо «20 команд» — 1 фразаInstead of "20 commands" — 1 phrase
Claude Code — siz odatdagi matn bilan vazifa yozadigan vosita; dastur esa terminalda qadamlarni o'zi bajaradi. Bu AI-agent: siz «example.com saytining barcha subdomenlarini top» deysiz, u qaysi buyruqlarni ishga tushirish, natijani o'qish va xulosa chiqarishni o'zi hal qiladi.Claude Code — инструмент, где вы пишете задачу обычным текстом; программа сама выполняет шаги в терминале. Это AI-агент: вы говорите «найди все поддомены сайта example.com», он сам разбирается, какие команды запустить, читает результат, делает выводы.Claude Code is a tool where you write your task in plain text; the program executes terminal steps for you. That's an AI agent: you say "find all subdomains of example.com", and it figures out which commands to run, reads the output, draws conclusions.
🍳
Tushuntirish: «Ilgari programmer 20 ta buyruqni navbatma-navbat yozar, natijani o'qib, keyingisini yozardi. Endi u bitta jumla yozadi — agent uni 20 ta buyruqqa aylantirib, tayyor javob keltiradi. Bu xuddi restoranda 'tushlik tayyorla' deyishga o'xshaydi — 'pechka yoq, moy quy, piyozni to'g'ra...' o'rniga.»Как объяснить: «Раньше программисту приходилось набирать 20 команд по очереди, читать вывод, набирать следующую. Теперь он пишет одну фразу — а агент превращает её в 20 команд и приносит готовый ответ. Как заказать в кафе „приготовь обед“ вместо „включи плиту, налей масло, нарежь лук...“».How to explain: "Before, a programmer typed 20 commands one after another, read the output, typed the next. Now he writes one phrase — the agent turns it into 20 commands and brings back a finished answer. Like ordering 'cook me lunch' instead of 'turn on the stove, pour oil, chop the onion...'."
🤖
Muhim: agent — sehr emas. U xato qilishi, mavjud bo'lmagan narsani o'ylab topishi, keraksiz buyruqni ishga tushirishi mumkin. Shuning uchun natijani har doim odam tekshiradi.Важно: агент — не магия. Может ошибиться, придумать несуществующее, запустить лишнюю команду. Поэтому результат всегда проверяет человек.Important: an agent is not magic. It can make mistakes, hallucinate, run an unnecessary command. So a human always reviews the result.
10 ta qorovul vs 1 ta10 охранников против 110 guards vs. 1
1 qorovul1 охранник1 guard
10 eshik, ketma-ket10 дверей, по очереди10 doors, sequentially
har biriga 6 daqiqaпо 6 минут на каждую6 minutes per door
jami — bir soatитого — часtotal — one hour
10 qorovul10 охранников10 guards
10 eshik, parallel10 дверей, параллельно10 doors, in parallel
har biri — bitta eshikкаждый — одна дверьeach one — one door
barchasi — 6 daqiqadaвсе — за 6 минутall of them — in 6 minutes
🧩
Pentestda bosqichlar ko'p: DNS tekshiruvi, sayt sarlavhalari, ma'lumot oqishlari, portlar. Ular bir-biridan mustaqil — bir vaqtda bajariladi. Bir agent DNS bilan, ikkinchisi — HTTP-sarlavhalar bilan, uchinchisi — unutilgan .git papkalarini izlaydi. Bosh agent oxirida hammasini bitta hisobotga yig'adi.В пентесте этапов много: проверка DNS, заголовки сайта, поиск утечек, порты. Они не зависят друг от друга — можно делать одновременно. Один агент в DNS, второй — в HTTP-заголовках, третий — ищет забытые .git-папки. Главный агент в конце собирает всё в один отчёт.A pentest has many phases: DNS check, site headers, leak hunting, ports. They don't depend on each other — can run at the same time. One agent on DNS, another on HTTP headers, a third hunting forgotten .git folders. The main agent collects everything into one report at the end.
🧠
Yutuq — faqat tezlik emas, balki odamning toza boshi. Qo'lda 100 ta buyruq yuborsangiz, miya keraksiz tafsilotlarga to'ladi. Agentlar buni qilsa — siz qisqa xulosa olasiz va asosiy savolga o'ylaysiz: haqiqiy teshik qayerda?Выигрыш — не просто скорость, а чистота головы у человека. Вручную гоняете 100 команд — мозг забит ненужным. Когда это делают агенты — получаете короткое саммари и думаете о главном: где же реально дыра?The win is not just speed — it's a clean human head. Run 100 commands by hand and your brain fills with irrelevant detail. When agents do it — you get a short summary and think about what matters: where is the real hole?
4 · O'quvchilar uchun atamalar4 · Базовые понятия для учеников4 · Basic concepts for students
Demodan oldin — 3 ta atamaПеред демо — 3 терминаBefore the demo — 3 terms
Domen / subdomenДомен / субдоменDomain / subdomain
Domen — sayt manzili (example.com). Subdomen — oldiga qo'shilgan «qism-manzil»: mail.example.com, shop.example.com. Analogiya: domen — ko'cha, subdomenlar — bir binodagi xonadonlar. Bitta sayt o'nlab subdomenga ega bo'lishi mumkin; ko'pini egasi unutgan — teshiklar ham aynan o'sha yerda.Домен — адрес сайта (example.com). Субдомен — «подадрес» спереди: mail.example.com, shop.example.com. Аналогия: домен — улица, субдомены — квартиры в одном доме. Один сайт может иметь десятки субдоменов; про многие владелец забыл — там и сидят дыры.A domain is a site address (example.com). A subdomain is a "sub-address" in front: mail.example.com, shop.example.com. Analogy: a domain is a street, subdomains are apartments in one building. A site can have dozens of subdomains; many are forgotten by the owner — that's where holes live.
HTTP-sarlavhalarHTTP-заголовкиHTTP headers
Brauzer sahifani so'raganda xizmat qatorlarini yuboradi (men kimman, qaysi brauzer); server javobida o'zinikini qaytaradi (kontent turi, iframe'ga joylash mumkinmi, HTTPS talab qilamanmi). Analogiya: sarlavhalar — «konvertdagi jo'natuvchi/qabul qiluvchi manzili». Xat ichida (HTML), konvertda esa qo'shimcha ma'lumot — egasi xavfsizlik haqida qanchalik o'ylagani ko'rinadi.Браузер, запрашивая страницу, шлёт служебные строчки (кто я, какой браузер); сервер в ответ — свои (тип контента, можно ли в iframe, требую ли HTTPS). Аналогия: заголовки — «адрес отправителя/получателя на конверте». Письмо внутри (HTML), на конверте — вспомогательное; видно, насколько владелец думал о безопасности.When the browser asks for a page it sends service lines (who I am, which browser); the server replies with its own (content type, iframe-embeddable?, HTTPS required?). Analogy: headers are "the sender/receiver address on an envelope". The letter inside is the HTML; the envelope carries support info — you can tell how carefully the owner thought about security.
Ma'lumotlar oqishiУтечка данныхData leak
Ichki fayllar tasodifan internetdan ochiq qolgani. Misol: dasturchi loyihani serverga yuklab, .git papkasini o'chirishni unutgan — endi har kim butun manba kodni yuklab oladi. Analogiya: orqa eshigi qulflanmagan ombor — mijozlar oldidan kirib pul to'laydi, kimdir orqadan bepul olib chiqadi.Внутренние файлы случайно доступны из интернета. Пример: разработчик загрузил проект на сервер, забыл удалить .git-папку — теперь любой скачает весь исходник. Аналогия: склад с незапертой задней дверью — покупатели заходят с парадного и платят, кто-то с заднего и забирает бесплатно.Internal files accidentally reachable from the internet. Example: a developer uploads the project to the server, forgets to delete the .git folder — now anyone downloads the whole source. Analogy: a warehouse with an unlocked back door — customers enter the front and pay, someone enters the back and takes goods for free.
5 · Dars uchun demo5 · Демо-сценарий для урока5 · Demo scenario for the lesson
2 agent — saytni parallel o'rganadi2 агента — изучают сайт параллельно2 agents — study a site in parallel
O'quv domeni example.com'dan foydalanamiz — IANA tomonidan o'qitish uchun maxsus rezervlangan, xavfsiz va qonuniy.Используем учебный домен example.com — он специально зарезервирован IANA для обучения, безопасен и легален.We use the training domain example.com — specially reserved by IANA for teaching, safe and legal.
«example.com uchun barcha ma'lum subdomenlarni crt.sh orqali top. Takrorsiz ro'yxat qaytar.»
Agent crt.sh'ga boradi (TLS sertifikatlari bazasi — HTTPS sertifikati olgan har qanday domen u yerda ko'rinadi), ro'yxatni oladi va yuboradi.Открываем Claude Code и пишем:
«Найди все известные субдомены для example.com через сервис crt.sh. Верни список без дубликатов.»
Агент идёт на crt.sh (база сертификатов TLS — там видны все домены, для которых выпускали HTTPS-сертификат), забирает список и присылает.Open Claude Code and type:
"Find all known subdomains for example.com via the crt.sh service. Return a deduplicated list."
The agent goes to crt.sh (a TLS-certificate database — every domain that ever got an HTTPS certificate is logged there), pulls the list, sends it back.
«[ro'yxatni qo'shing] ro'yxatidagi har bir subdomen uchun so'rov yubor va HTTP-sarlavhalarini ko'rsat.»
Agent ro'yxat bo'ylab boradi va sarlavhalarni yig'adi.В соседнем чате пишем:
«Для каждого субдомена из списка [вставить список] сделай запрос и покажи HTTP-заголовки ответа.»
Агент идёт по списку и собирает заголовки.In another chat type:
"For every subdomain in this list [paste list], make a request and show the HTTP response headers."
The agent walks the list and collects the headers.
3
Natijalarni solishtiramizСравниваем результатыCompare the results
O'quvchilar bilan ikkita tipik «ogohlantirish qo'ng'irog'i»ni ko'rib chiqamiz: HSTS yo'q (Strict-Transport-Security) — brauzer HTTPS ishlatishga majbur emas, bir xil Wi-Fi tarmoqdagi buzg'unchi birinchi so'rovni ochiq HTTP'ga «tushirib» olishi mumkin (SSL-strip). Ochiq /robots.txt qiziq yo'llar bilan — ba'zan u yerda Disallow: /admin-secret/ bor, buzg'unchi darrov qayerga qarashni biladi.С учениками разбираем два типичных «звоночка»: нет HSTS (Strict-Transport-Security) — браузер не обязан использовать HTTPS, и атакующий в той же Wi-Fi-сети может «понизить» первый запрос до открытого HTTP (SSL-strip). Открытый /robots.txt с интересными путями — иногда там Disallow: /admin-secret/, хакер сразу знает, куда смотреть.With your students walk through two typical "warning bells": no HSTS (Strict-Transport-Security) — the browser isn't forced to use HTTPS, so an attacker on the same Wi-Fi can downgrade the first request to plain HTTP (SSL-strip). Open /robots.txt with interesting paths — sometimes it says Disallow: /admin-secret/, and the attacker knows exactly where to look.
claude code — agent #1
SIZ YOZASIZВЫ ПИШЕТЕYOU TYPE
>example.com uchun barcha subdomenlarni crt.sh orqali top. Takrorsiz ro'yxat.найди все субдомены example.com через crt.sh. список без дубликатов.find all subdomains of example.com via crt.sh. deduplicated list.
●8 ta subdomen topildi:найдено 8 субдоменов:found 8 subdomains:
www · mail · shop · admin · api · dev · static · m
[ parallel: agent #2 shu ro'yxat bo'yicha HTTP-sarlavhalarni yig'adi ][ параллельно: агент #2 собирает HTTP-заголовки по этому списку ][ in parallel: agent #2 collects HTTP headers for this list ]
⚠ shop.example.com: HSTS yo'q · /robots.txt → Disallow: /admin-secret/⚠ shop.example.com: нет HSTS · /robots.txt → Disallow: /admin-secret/⚠ shop.example.com: no HSTS · /robots.txt → Disallow: /admin-secret/
💡
Bu «buzish» emas — egasi ko'rinarli qoldirgan ochiq ma'lumot. Saboq: haqiqiy pentest ekspluoyatlardan emas, ko'rinib turgan narsalarni diqqat bilan o'qishdan boshlanadi.Это не «взлом» — это публичная информация, которую владелец оставил видимой. Урок: настоящий пентест начинается не с эксплойтов, а с внимательного чтения того, что и так на виду.This is not "hacking" — it's public information the owner left visible. Lesson: a real pentest doesn't start with exploits, it starts with reading carefully what's already in plain sight.
6 · OPSEC va qonun6 · OPSEC и закон6 · OPSEC and the law
Birovning saytlarini tekshirish — mumkin emasПроверять чужие сайты — нельзяTesting other people's sites — not allowed
Bu darsning eng muhim qismi. Busiz boshlamang.Это самая важная часть урока. Без неё не начинайте.This is the most important part of the lesson. Don't start without it.
⚖️
Yuridik: birovning saytini ruxsatsiz o'rganish — qonun buzilishi. «Shunchaki qaradim» desangiz ham, «hech narsa buzmadim» desangiz ham. O'zbekistonda — JK 278-modda. Rossiyada — JK 272–274. Yevropada — GDPR + mahalliy qonunlar.Юридически: изучение чужого сайта без разрешения — нарушение закона. Даже если «просто посмотрели», даже если «ничего не сломали». В Узбекистане — ст. 278¹ УК РУз. В России — 272–274 УК. В Европе — GDPR + локальные законы.Legally: studying someone else's site without permission is a crime. Even if you "just looked", even if "nothing broke". In Uzbekistan — Criminal Code art. 278. In the US — the CFAA. In the EU — GDPR plus local laws.
🚫
Texnik: ko'p saytlar g'ayritabiiy so'rovlarni avtomatik aniqlaydi va IP'ingizni bir soat, bir kun yoki abadiy bloklaydi. O'quvchi uy IP'sidan birovning saytini ommaviy skanerlasa — provayder shikoyat olishi mumkin, o'quvchi muammoga duch keladi.Технически: многие сайты автоматически замечают необычные запросы и блокируют ваш IP на час, день или навсегда. Ученик с домашнего IP массово сканит чужой сайт — провайдер получит жалобу, ученик — проблемы.Technically: many sites automatically detect unusual requests and block your IP for an hour, a day or forever. A student mass-scanning a foreign site from a home IP — the ISP gets a complaint, the student gets trouble.
✅
O'quvchilarga to'g'ridan-to'g'ri ayting: mashq qilish mumkin faqat o'z saytlaringizda, o'quv maydonlarida (HackTheBox, TryHackMe, PortSwigger Web Security Academy), yoki kompaniya O'ZI buzishga ruxsat bergan bug bounty dasturlarida.Скажите ученикам прямо: тренироваться можно только на своих сайтах, на учебных полигонах (HackTheBox, TryHackMe, PortSwigger Web Security Academy), либо в bug bounty программах, где компания САМА разрешила её ломать.Tell students directly: you can practice only on your own sites, on training ranges (HackTheBox, TryHackMe, PortSwigger Web Security Academy), or in bug bounty programs where the company itself invited you to break it.
7 · Agent uchun prompt shabloni7 · Шаблон промпта для агента7 · Prompt template for an agent
Yomon prompt vs yaxshi promptПлохой промпт vs хорошийBad prompt vs good prompt
YomonПлохойBad
Umumiy, noaniqОбщий, размытыйVague, generic
«example.com'da zaifliklarni top»«найди уязвимости в example.com»"find vulns in example.com"
Aniq buyruq + chegaraТочные команды + границыConcrete commands + limits
aniq vazifa va manbaчёткая задача и источникexplicit task and source
faqat passiv, faol skan yo'qтолько пассивно, без активных скановpassive only, no active scans
aniq chiqish formatiявный формат выводаexplicit output format
ROLE: passive recon uchun pentest yordamchisi
TARGET: example.com (o'quv domeni)
TASK: crt.sh va ochiq DNS orqali subdomenlarni top
LIMITS: faqat passiv manbalar, faol skan yo'q
OUTPUT: subdomenlar ro'yxati — marker ro'yxat shaklida
📋
Tamoyil: «prompt junior-stajyor uchun TZ kabi o'qilishi kerak». Stajyor uni so'zma-so'z bajara olsa — agent ham bajaradi.Принцип: «промпт читается как ТЗ для джуна-стажёра». Если стажёр сможет выполнить буквально по пунктам — агент тоже сможет.Principle: "the prompt should read like a task description for a junior intern". If a junior could execute it literally point by point — the agent can too.
8 · «O'z saytingizda xavfsiz tekshirish» ro'yxati8 · Чек-лист «проверить безопасно на своём сайте»8 · "Safe to check on your own site" checklist
Uy vazifasi sifatida beringДать как домашнее заданиеHand it out as homework
Har bir bandni o'quvchi o'zining pet-loyihasi, statik blogi yoki o'quv saytida tekshiradi, screenshot oladi, natijani ovoz chiqarib tushuntiradi.Каждый пункт ученик проверяет на своём pet-проекте, статическом блоге или учебном сайте, делает скриншот, объясняет вслух результат.Each item the student checks on their own pet project, static blog or training site, takes a screenshot, explains the result aloud.
🔍
Strict-Transport-Security sarlavhasi bormi?Есть ли заголовок Strict-Transport-Security?Is there a Strict-Transport-Security header?
X-Content-Type-Options: nosniff bormi?Есть ли X-Content-Type-Options: nosniff?Is there X-Content-Type-Options: nosniff?
Server o'z versiyasini chiqarmaydimi (Server: nginx/1.18.0) — ortiqcha ma'lumot.Не отдаёт ли сервер версию (Server: nginx/1.18.0) — лишняя информация.Does the server leak its version (Server: nginx/1.18.0) — extra info.
/robots.txt ochiqmi — unda nima yozilgan?Доступен ли /robots.txt — что в нём?Is /robots.txt reachable — what does it say?
/.git/ brauzerdan ochiladimi? (Ha — manba kod e'lon qilingan.)Доступна ли /.git/ из браузера? (Да — исходник опубликован.)Is /.git/ reachable from a browser? (Yes — source code published.)
Ildiz papkada .env fayli bormi? (Ha — DB parollari oqib ketgan.)Лежит ли .env в корне? (Да — пароли БД утекли.)Is there an .env in the root? (Yes — DB passwords leaked.)
sitemap.xml bormi, unda ortiqcha narsa yo'qmi?Есть ли sitemap.xml, нет ли лишнего?Is there a sitemap.xml, anything unwanted?
HTTPS ishlaydimi? Sertifikat amal qilish muddati?Работает ли HTTPS? Срок действия сертификата?Does HTTPS work? Certificate expiry?
90 daqiqalik darsni qanday o'tkazishКак провести 90-минутный урокHow to run a 90-minute lesson
Vaqt taqsimotiТаймингTiming
0–10
KirishВступлениеIntro
«Qonuniy buzish nima». Qulf-eksperti analogiyasi.«Что такое легальный взлом». Аналогия с проверкой замков."What is a legal break-in". The lock-expert analogy.
10–25
AI-agent nimaЧто такое AI-агентWhat an AI agent is
Claude Code'ni ko'rsating, bo'sh chat, oddiy misol («papkadagi fayllarni sana»).Показать Claude Code, пустой чат, простой пример («посчитай файлы в папке»).Show Claude Code, an empty chat, a simple example ("count the files in this folder").
25–35
Nega parallelЗачем параллелитьWhy parallelize
10 qorovul analogiyasi.Аналогия с 10 охранниками.The 10-guards analogy.
35–50
Asosiy tushunchalarБазовые понятияBasic concepts
Domen/subdomen, HTTP-sarlavhalar, oqishlar. Doskaga chizing.Домен/субдомен, HTTP-заголовки, утечки. Рисуйте на доске.Domain/subdomain, HTTP headers, leaks. Draw on the board.
50–70
Jonli demoЖивое демоLive demo
example.com'da 2 agent parallel, natijalar tahlil qilinadi.На example.com — 2 агента параллельно, разбор результата.On example.com — 2 agents in parallel, walk through results.
70–80
OPSEC va qonunOPSEC и законOPSEC and the law
Bu yerda qat'iy gapiring.Здесь говорите твёрдо.Speak firmly here.
80–90
Uy vazifasi + savol-javobДомашка + Q&AHomework + Q&A
Bo'lishi mumkin savollarВопросы, что могут возникнутьQuestions to expect
❓
«Maktab saytimni tekshirsam bo'ladimi?» — Faqat administrator yozma ruxsat bersa. Aks holda yo'q. «Agent birovning saytini buzib qo'ymaydimi?» — Passiv rejimda (demo kabi) — yo'q, faqat ochiq ma'lumot. Faol rejimda (login urinishlari, port skanlari) — ha, va bu allaqachon ruxsat etilmagan. «Nega nmap kabi tayyor skannerlardan foydalanmaslik?» — Ishlaydi, lekin shovqin qiladi, loglarda iz qoldiradi. Bundan tashqari o'quvchilar mantiqni tushunishlari kerak, qora quti tugmasini bosish emas. «Nega example.com?» — IANA tomonidan o'qitish uchun rezervlangan domen. Xavfsiz va qonuniy.«А можно я свой школьный сайт проверю?» — Только если есть письменное разрешение администратора. Иначе нет. «А агент сам не сломает чужой сайт?» — В пассивном режиме (как в демо) — нет, только публичные данные. В активном (попытки логина, сканы портов) — да, и это уже не разрешено. «Почему не использовать готовые сканеры типа nmap?» — Работают, но шумят и оставляют след в логах. Плюс ученикам важно понять логику, а не нажать чёрный ящик. «Почему example.com?» — IANA-домен специально для обучения. Безопасно и легально."Can I check our school's site?" — Only with written permission from the admin. Otherwise no. "Will the agent break someone's site?" — In passive mode (like in the demo) — no, only public data. In active mode (login attempts, port scans) — yes, and that's no longer allowed. "Why not use ready-made scanners like nmap?" — They work, but they make noise and leave a trace in logs. Also, students must understand the logic, not press a black-box button. "Why example.com?" — An IANA-reserved domain for teaching. Safe and legal.
O'quvchilarning tipik xatolariТипичные ошибки учениковTypical student mistakes
🚨
1. «Men shunchaki haqiqiy saytni biroz tekshiraman» — darhol to'xtating. Bir marta ko'z yumsangiz — keyingi haftada butun guruh shu bilan shug'ullanadi. 2. Internetdan buyruqlarni o'qimasdan ko'chirish — har bir buyruqni o'qishga o'rgating. 3. Agentga umumiy vazifalar yozish — strukturalangan 5-qatorli promptga o'rgating. 4. Chiqishdagi qizil matnni «buzdim» deb hisoblash — ko'pincha shunchaki warning. Xato va topilmani farqlashga o'rgating. 5. Nima qilganini yozmaslik — har buyruqning timestamp'i bilan internal.md yuritish odatini singdiring.1. «Я просто чуть-чуть проверю реальный сайт» — пресекать сразу. Один раз закрыли глаза — потом вся группа этим занимается. 2. Копируют команды из интернета не глядя — учить читать каждую перед запуском. 3. Пишут агенту общие задачи — учить структурированному промпту из 5 строк. 4. Считают, что красный текст в выводе = «взломал» — часто просто warning. Учить отличать ошибку от находки. 5. Не записывают, что делали — вводить привычку вести internal.md с timestamp каждой команды.1. "I'll just check a real site a tiny bit" — shut this down immediately. One blind eye, and the whole group does it next week. 2. Copy-pasting commands from the internet without reading — train them to read every command first. 3. Writing vague prompts to the agent — train the structured 5-line prompt. 4. Treating any red text as "I hacked it" — often just a warning. Teach them error vs. finding. 5. Not writing down what they did — instil the habit of an internal.md log with a timestamp on every command.
Avvaldan tayyorlashЧто подготовить заранееPrepare in advance
🧰
O'rnatilgan Claude Code + projektorУстановленный Claude Code + проекторClaude Code installed + a projector
crt.sh ochiq yorlig'iОткрытая вкладка с crt.shA browser tab with crt.sh open
Analogiyalar bilan slayd (uy-qulf, ko'cha-xonadonlar, konvert)Слайд с аналогиями (дом-замок, улица-квартиры, конверт)Slides with the analogies (house-lock, street-apartments, envelope)
Har bir o'quvchi uchun chop etilgan chek-listЧек-лист в распечатанном виде на каждого ученикаPrinted checklist, one per student
Jonli sarlavhalarni ko'rsatish istasangiz — o'z test maydonchangizСвоя тестовая площадка, если хотите показать живые заголовкиYour own test site if you want to show live headers
Bu darajada NIMANI ko'rsatmaslik kerakЧто НЕ показывать на этом уровнеWhat NOT to show at this level
⛔
Haqiqiy ekspluatatsiyalar, RCE, SQL-injection PoC. Parollarni brutforce. O'quvga aloqasi bo'lmagan har qanday nishonlar — faqat example.com, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 (RFC 5737, xavfsiz).Реальные эксплойты, RCE, SQL-injection PoC. Брутфорс паролей. Любые цели, не относящиеся к учебным — только example.com, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 (RFC 5737, безопасные).Real exploits, RCE, SQL-injection PoCs. Password brute-forcing. Any non-training targets — only example.com, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 (RFC 5737, safe).
🗺️
Darsdan keyin o'quvchilar pentester BO'LMAYDI — lekin xarita olishadi: «keyin qayerga qarash kerak». Keyingi qadamlar — veb-xavfsizlik asoslari, so'ngra o'quv maydonlari va bug bounty dasturlarida amaliyot (kurs darajalaridan alohida amaliy yo'nalish). Vibe-hacking metod sifatida faqat poydevor mavjud bo'lganda ochiladi.После урока ученики НЕ становятся пентестерами — но получают карту: «куда смотреть дальше». Дальше — основы веб-безопасности, затем практика на учебных полигонах и в bug bounty (отдельный практический трек, не путать с уровнями курса). Vibe-hacking как метод раскрывается только когда есть фундамент.After the lesson students do NOT become pentesters — but they get a map: "where to look next". Next — web-security fundamentals, then hands-on practice on training ranges and bug-bounty programs (a separate practical track, not the course levels). Vibe-hacking as a method only opens up once the foundation exists.