Форум информационной безопасности - Codeby.net
Статья Threat Intelligence для SOC на практике: сбор, обработка и применение TI в малой команде
SOC из пяти человек сокращает цикл обработки IOC с шести часов до 15 минут — без коммерческих платформ: только Python-скрипт на cron, бесплатный MISP и восемь источников фидов от Abuse.ch до CIRCL OSINT.Пайплайн строится вокруг MISP как ядра: URLhaus и ThreatFox отдают C2-домены и хеши каждые 5 минут, AbuseIPDB проверяет IP через `/api/v2/check` с порогом confidence 75+, Sigma-правила автоматически пушатся в SIEM. Lateral movement по данным CrowdStrike 2025 — 62 минуты в среднем, рекорд 51 секунда.
Атакующие мониторят VirusTotal и AbuseIPDB через MITRE T1597.001 — C2 стилера живёт 2–3 дня максимум.
Фид полезен только если обрабатывается быстрее, чем атакующий ротирует инфраструктуру.Статья Обнаружение открытых LLM и MCP-серверов в интернете: OSINT-разведка GenAI-поверхности атаки
175 000 инстансов Ollama и 8 000+ MCP-серверов торчат в публичном интернете без аутентификации — EASM-платформы их не видят. CloudSEK задокументировала цепочку: MCP → tools/list → SSRF к 169.254.169.254 → IAM-credentials без единого auth-запроса.Shodan-дорк "Ollama is running" port:11434 возвращает тысячи хостов. curl http://IP:11434/api/tags отдаёт список моделей, /api/generate принимает промпты — без токена. CVE-2025-6514 (CVSS 9.6, CWE-78) и CVE-2025-49596 (CVSS 9.4, CWE-306) закрывают MCP-вектора, но патчи не помогут непропатченным теневым инстансам.
82% MCP-реализаций уязвимы к CWE-22, но EASM-сканеры молчат — GenAI shadow IT вне их радара.Статья Архитектура хранения паролей: как устроено шифрование в 1Password, Bitwarden, KeePass и браузерных менеджерах
LastPass слил зашифрованные хранилища целиком — URL и метаданные лежали в открытом виде. Офлайн-перебор PBKDF2 с 1 итерацией на RTX 4090 через hashcat вскрыл слабые мастер-пароли за часы.1Password использует Two-Secret Key Derivation (2SKD) с 650 000 итераций PBKDF2 и 128-битным Secret Key — это делает офлайн-атаку бессмысленной без ключа устройства. Bitwarden переключился на Argon2id: 3 итерации, 64 МБ RAM, 4 потока — GPU-ферма упирается в VRAM, а не в CUDA-ядра.
Chrome хранит пароли в SQLite Login Data через DPAPI — один вызов CryptUnprotectData в активной сессии Windows, и T1555.003 отработан.
Маркетинговый «AES-256» одинаков везде — реальная стойкость определяется KDF и иерархией ключей.Статья DDoS-устойчивая архитектура приложения: autoscaling, circuit breaker, graceful degradation и очереди
L7-флуд 80–100k RPS положил платёжный API за 4 минуты — CDN устоял, WAF пропустил, PostgreSQL-пул иссяк первым, каскад прошёлся по 12 микросервисам. Circuit breaker не стоял нигде.T1499.002 Service Exhaustion Flood обходит сетевые фильтры: каждый запрос валиден, WAF молчит. Пул соединений к PostgreSQL (100–200 по умолчанию) рушится первым — thread pool копит таймауты, балансировщик видит 502 от всех инстансов разом.
HPA без maxReplicas превращается в budget DDoS — $12k за ночь на AWS за обработку мусора.
WAF дорогой — circuit breaker бесплатный. Архитектура внутри важнее забора снаружи.Статья DDoS стресс тестирование: как проверить устойчивость инфраструктуры и не сломать прод
Финтех-стресс-тест на 50k RPS: через 40 секунд upstream-провайдер отрубил канал целиком — никто не предупредил транзит. Разбор инцидента занял три дня вместо запланированных двух часов.hping3 --flood с флагом --rand-source не отправит ни одного пакета в AWS — гипервизор блокирует spoofed source IP на уровне сети. L3/L4-тесты через MITRE T1498.001 требуют реальных IP нескольких генераторов, изолированного сегмента и kill switch с реакцией до 30 секунд.
ROE без перечня CDN-адресов и уведомления Cloudflare — это атака на инфраструктуру третьей стороны, даже если заказчик подписал разрешение на свой домен.
Провайдер отключает канал раньше, чем DDoS-защита успевает среагировать — тест убивает прод быстрее реальной атаки.Writeup Секретный кабинет
От EXTRACTVALUE до SUID-шелла: Error-based SQLi украла MD5, а sudo zip подарил root. CWE-89, T1548.003 — путь от веб-формы до компромата.Когда WAF режет UNION, в бой идёт Error-based SQLi. EXTRACTVALUE и SUBSTRING по частям вытаскивают хеш из secretOffice, даже если в ошибке мало места.
LPE — это не всегда эксплойты ядра. Право на sudo zip без пароля с флагом --unzip-command позволяет выполнить chmod u+s /bin/bash от root через GTFOBins.
Разработчики считают Error-based SQLi нишевым вектором, а zip — безобидным архиватором. Но связка веба и sudo ломает любую оборону.Статья Rowhammer атака DRAM: эволюция от оригинала до Blacksmith и обход TRR
Rowhammer эволюционировал от 139 000 активаций строки DDR3 до Blacksmith (CVE-2021-42114, CVSS 9.0) — и каждый раз, когда TRR закрывала вектор, исследователи находили следующий паттерн.Физика бьёт мимо патчей: clflush + double-sided hammering переворачивает бит в PTE соседней строки без единой программной уязвимости. MITRE T1068 — непривилегированный процесс через bit flip получает kernel-level доступ, T1565.003 — произвольная запись в память. TRRespass (CVE-2020-10255) вскрыл non-uniform refresh, Blacksmith добавил нерегулярные многоагрессорные паттерны — оба обходят TRR производителей.
Защита: ECC RAM гасит одиночные bit flip, но не останавливает многократные.
ПО полностью пропатчено, ядро актуально — уязвимость в физике кремния, EDR молчит.Статья IDOR эскалация привилегий: горизонтальная и вертикальная эксплуатация с обходом UUID
Два запроса — ноль WAF-алертов: IDOR в GET /api/v2/transactions финтех-API раскрыл реквизиты карт через UUID, утёкший из эндпоинта поиска. CWE-639, OWASP API1:2023 — и P1 без единого алерта.Горизонтальная эскалация давно вышла за пределы очевидных GET /api/users/123. Уязвимость живёт в теле POST/PUT-запросов с user_id, в заголовках X-Account-Id, которым доверяет API Gateway, в GraphQL-переменных с batched queries, обходящих rate limiting — и в составных path-параметрах, где проверяется org, но не member.
Вертикальный IDOR — всегда P1: подмена role_id в PUT /api/users/me поднимает привилегии до admin.
Разработчики считают UUID защитой от IDOR — но UUID утекает раньше, чем его успевают перебрать.Статья IEC 62443 и NIST SP 800-82: OT безопасность на практике — security program и оценка зрелости
На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.
Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.