Форум информационной безопасности - Codeby.net
Статья Защита от DDoS-атак 2026: сравнение стратегий, detection и чеклист для SOC
340 Gbps UDP-флуда в 9:15 — и ровно в 10:10 WAF фиксирует 2400 rps на эндпоинт авторизации. Пока SOC разгребал NTP reflection/amplification (T1498.002), L7-вектор T1499.003 уже шёл в обход.Многовекторная атака — классическая дымовая завеса: volumetric-удар по L3/L4 отвлекает дежурную смену, второй вектор стартует в окно хаоса. Финтех из постмортема потерял 55 минут и миллионы на незавершённых транзакциях. DDoS-as-a-Service платформы опустили порог входа ниже Netflix-подписки.
Статья разбирает архитектурные стратегии 2026 — cloud scrubbing (DDoS-Guard, Qrator), on-premise (Arbor TMS, Radware DefensePro), гибрид по модели Kentik и BGP blackholing.
SIEM без корреляции T1498+T1499 как единого инцидента видит два алерта вместо одной атаки.Статья Аудит соответствия ФЗ-152: чеклист внутренней проверки и подготовка к инспекции Роскомнадзора
РКН приходит через 10 дней — реестр ИСПДн не обновлялся год, согласия для мобильного приложения не оформлены, поручение облачному провайдеру отсутствует. Чеклист из 12 пунктов и detection-правила для SIEM, чтобы закрыть дыры до визита инспектора.Инспектор РКН не идёт сразу в серверную — первые 30 минут чисто документарные: реестр на pd.rkn.gov.ru, приказ по ст. 22.1, политика на сайте без авторизации, 5–10 случайных согласий против фактических полей CRM. Расхождение между задекларированными целями и реальными потоками ПДн — первое замечание в акте.
Большинство замечаний в актах РКН — про бумаги, а не про железо. SIEM настроен, СрЗИ сертифицированы, поручение провайдеру не подписано.Статья Пентест OT ICS систем: моделирование распространения ransomware от IT-сети до контроллера
За 4 часа assumed breach с учётки инженера АСУ ТП — до holding registers ПЛК: два из трёх OT-мониторинговых инструментов показали чистый dashboard, пока мы уже сидели на контроллерах.Kill chain шёл по Purdue сверху вниз: historian на Windows Server 2012 R2 с дефолтными credentials SQL Server, dual-homed engineering workstation — и вот уже Modbus-трафик читается напрямую. MITRE T1210, SMB relay, RDP без NLA — классика, которая в OT работает годами без патчей.
Защита строится на сегментации каждого уровня Purdue, мониторинге Modbus/S7 аномалий через Dragos или Nozomi, LAPS на всех Windows-хостах OT и запрете dual-homing на EWS.
OT-мониторинг видит аномалию через 2 часа после компрометации контроллера — не до.Writeup Web | Flag shop | HackerLab
Маркетплейс с балансом $100, товарами и формой продажи. Купил Bad USB — $20 ушли, товара нет. Сканирование нашло /sell — можно выставлять свои товары с уникальным ID. Пазл сложился: Race Condition.Механика: создаём товар с ценой $-99 (три символа, отрицательное число — при вычитании система прибавит сумму к балансу). Регистрируем второй аккаунт, берём его session cookie. Python-скрипт запускает 100 потоков одновременно на покупку товара через POST /buy/ID. Запускаем 5-6 раз — баланс растёт.
Race Condition срабатывает, потому что сервер не блокирует параллельные транзакции атомарно: между проверкой баланса и его списанием успевают пройти десятки запросов. Сервер «думает», что у нас достаточно средств, и выполняет все операции.
После накопления баланса покупаем секретный девайс — флаг получен.
Ключевой шаг — отрицательная цена + многопоточность. Без второго аккаунта покупка собственного товара заблокирована.Статья Детальный разбор цифровых подписей РЕ-файлов
В PE-файле цифровая подпись хранится как оверлей после всех секций в структуре WIN_CERTIFICATE — PKCS#7-контейнер с цепочкой доверия от корневого CA до разработчика. 25 КБ данных, которые большинство утилит показывают лишь поверхностно.Разбор изнутри: формат ASN.1 TLV (Type-Length-Value), теги типов данных, BigEndian-размеры блоков, OID-идентификаторы объектов. Структура SignedData по PKCS#7: version, digestAlgorithms, encapContentInfo, certificateSet, signerInfos. Разница между RSA encryption и RSA_signing, почему ECDSA-256 вытесняет RSA в современных сертификатах.
CVE-2013-3900: запись Security в IMAGE_DATA_DIRECTORY исключается из хэша — размер можно изменить. Как включить строгую валидацию через реестр HKLM\Software\Microsoft\Cryptography\Config. Практика: парсер на FASM читает сертификат и выводит поля в ListView.
Расценки на сертификаты: EV от $350/год у Sectigo, подпись драйверов через Microsoft Partner Center — бесплатно.Статья Форензика macOS: артефакты, которые сдают пентестера — Unified Log, FSEvents, Spotlight, Keychain и APFS-снапшоты
macOS молча пишет досье на каждого пентестера: Unified Log фиксирует обращения к Keychain с наносекундной точностью, FSEvents сохраняет путь удалённого payload, а APFS-снапшоты воскрешают файлы, которые атакующий считал уничтоженными.Kill chain читается по четырём источникам без единого EDR-агента. `log show --predicate 'subsystem == "com.apple.securityd"'` — и вся цепочка Keychain-запросов на экране. FSEventsParser (Nicole Ibrahim) достаёт из `/.fseventsd/` хронологию каждого `cp` в `/Volumes/`, даже после rm. Spotlight-индекс в `/private/var/folders/` хранит метаданные файлов спустя недели после удаления.
Red team удаляет файлы — FSEvents хранит путь. APFS-снапшот хранит содержимое. macOS забывает медленнее, чем думает атакующий.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
DzenHackerLab