Форум информационной безопасности - Codeby.net
Статья IaC Security: сканирование Terraform и Pulumi на уязвимости
Защита IaC: Что важно знать о безопасностиИнфраструктура как код - это не только удобство, но и риск. В этой статье мы покажем, как с помощью Checkov, tfsec и Terrascan можно найти и исправить уязвимости в конфигурациях Terraform и Pulumi. Ты научишься интегрировать эти инструменты в CI/CD pipeline, чтобы минимизировать риски с самого начала разработки.
Какие ошибки приводят к утечкам данныхМножество распространённых ошибок - публичные S3 бакеты, открытые Security Groups и неправильные IAM настройки - могут стать настоящими уязвимыми точками. Мы расскажем, как избежать этих ловушек и предотвратить потенциальные угрозы.
Кастомные правила и их интеграцияТы научишься создавать кастомные правила для инструментов безопасности, чтобы адаптировать их под конкретные требования проекта. Мы покажем, как легко внедрить кастомизацию в Checkov с помощью Python или в tfsec через YAML.
Hackerlab На HackerLab появилась новая категория задач — Pro-лаборатории
Pro-лаба: не одна машина — целая сеть под твоим контролем.Устал от задач «взломал — получил флаг — забыл»? Пора выйти на новый уровень.
Pro-лаба — это сеть машин с уязвимостями, где нужно ориентироваться в инфраструктуре, разбирать нестандартные протоколы и выстраивать цепочки атак. Часть флагов ведёт глубже, часть — открывает неочевидные ветки.
Доступно по подписке Pro вместе с сотнями CTF-задач и курсами SQL Injection Master и Введение в ИБ.Статья Атаки на временную синхронизацию. Финтех, телеком, промышленность
Как атаки на время меняют реальность инфраструктурыВы когда-нибудь задумывались, насколько важен правильный час? Это не просто метка в логах - это ключевая составляющая доверия в digital-мире. Узнайте, как атаки на временную синхронизацию могут разрушить систему безопасности, повлиять на бизнес-процессы и даже привести к финансовым потерям.
Как кража времени разрушает системыМы поговорим о том, как компрометация NTP и PTP-серверов может стать причиной неожиданных проблем. Примеры из реальной практики покажут, как даже незначительные сбои могут приводить к катастрофам. Понимание времени как системы безопасности поможет избежать многих проблем.
Технические методы защиты от атак на времяВы узнаете, как защитить критичные инфраструктуры от атак, манипулирующих временными метками. Мы поделимся лучшими практиками, инструментами для мониторинга и конфигурацией серверов времени для предотвращения таких...
Статья Использование RMM для пост-эксплуатации
Что такое пост-эксплуатация в кибербезопасности?В этой статье вы узнаете о том, как использовать легитимные инструменты для скрытого контроля в корпоративных сетях, а не для разрушения. Мы расскажем, как действовать тихо и эффективно, маскируясь под системных администраторов, чтобы обойти традиционные средства защиты.
Методы пост-эксплуатации и их инструментыОткроем перед вами тонкости работы с RMM (Remote Monitoring and Management), изучим, как внедрять агенты и манипулировать ими без привнесения подозрений. Узнайте, как эксплуатировать доверие к легитимным инструментам для долговременной и невидимой работы.
Как избежать обнаружения: Тактики и стратегииВы будете в курсе, какие методы эксплуатации RMM-платформ существуют и как замаскировать свою активность. Применяйте методы «Живи за счет земли» и будьте незаметны для защитных механизмов.
Статья Пентест RAM. Разбираемся в деталях
Как защитить свою память от атак: Принципы защиты и инструментыХотите узнать, как остановить угрозы на уровне оперативной памяти? В этой статье мы погружаемся в защиту физической памяти как последнего рубежа безопасности. Если атакующий имеет доступ к вашей памяти - игра окончена. Мы раскроем, как защитить её и избежать утечек данных через различные методы.
Методы атак и их обходМы расскажем, как злоумышленники могут использовать прямой доступ к памяти для извлечения секретных данных. В статье рассмотрены методы атаки, такие как DMA-атаки и Cold Boot атаки, а также способы их предотвращения с использованием технологий, как Intel TME и AMD SME.
Технологии защиты памяти и их реализацияДетально объясняем, как эффективно шифровать память с помощью аппаратных технологий, а также как использовать современные подходы к безопасности, чтобы обезопасить данные на уровне памяти. Практическое руководство по...
Статья CTF-команда мечты: как строить и развивать стабильный состав
Как собрать идеальную CTF-команду: опыт, стратегии и важные советыМечтаете собрать свою команду для CTF-соревнований, но не знаете, с чего начать? В этой статье мы расскажем, как создать и поддерживать команду, которая будет работать как единое целое и побеждать на крупнейших турнирах. Ожидайте практические рекомендации, основанные на реальном опыте, от формирования состава до роли капитана и распределения задач.
Распределение ролей и подготовкаВажнейшая часть успешной команды — это правильно распределённые роли. Мы разберем, какие специалисты необходимы в команде и как эффективно их подготовить. Для новичков также приведены советы, с чего начинать и как развивать свои навыки для CTF-соревнований.
Регулярные тренировки и подготовка к турнирамНе стоит ждать подходящего момента, чтобы начать тренироваться. Мы расскажем, как поддерживать командный дух и какие...
Статья Тестирование безопасности SPA и фронтенд-фреймворков: где ломают React/Vue/Angular
Пентест SPA-приложений: Где ломают React, Vue и Angular?Ты уже давно тестируешь веб-приложения и хочешь разобраться, как ломаются SPA (Single Page Applications)? Реальность такова: в 2026 году атакующие находят уязвимости на клиентской стороне, и тебе важно быть готовым к этим новым угрозам.
В этом гайде мы разберем самые распространенные уязвимости в SPA-приложениях: начиная с XSS и инъекций, заканчивая dangerouslySetInnerHTML и обходом CSP. Все это - как раз то, с чем сталкивается каждый пентестер в мире современных веб-приложений.
Ты узнаешь: что такое уязвимости в React, Vue и Angular, как тестировать их с использованием популярных инструментов, как обходить защиту и что делать для защиты от этих атак.Вакансия Ищем автора курса по пентесту мобильных приложений (Android / iOS)
Создай курс, который взломает рынок mobile security.Мы в Codeby Academy запускаем курс по пентесту мобильных приложений — и ищем человека, который знает эту тему не по статьям, а по реальным проектам.
Android, iOS, Frida, Burp, MobSF — если это твои ежедневные инструменты, а OWASP Mobile Top 10 ты можешь объяснить джуну за 15 минут — нам по пути.
Удалёнка, гибкий график, публичное авторство и оплата без «за идею».Расскажи, чем занимаешься в мобильном пентесте — обсудим детали.
Статья Signed Commits и Artifact Signing: защита цепочки поставок кода
Обеспечение безопасности цепочки поставок кода: Пошаговое руководствоИнтересуетесь защитой своего кода и компонентов системы на всех этапах - от разработки до продакшн? Эта статья - для вас. Мы расскажем, как защитить свою цепочку поставок с помощью криптографических подписей и инструментов, таких как GPG, Sigstore и Cosign.
Как настроить GPG-подпись коммитовНаучитесь подписывать свои коммиты, чтобы гарантировать подлинность и избежать атак на код. Мы подробно разберем, как настроить GPG-ключи, интегрировать их с Git и как проверять подписи на платформе, такой как GitHub или GitLab.
Sigstore: будущее защиты программных артефактовОткроем для себя экосистему Sigstore, включая Cosign и Fulcio, и объясним, как они помогают подписывать контейнеры и артефакты без необходимости управлять ключами. Это важный шаг для создания прозрачности и безопасности в процессе поставки.
Статья Container Image Scanning: Trivy, Grype, Snyk - что выбрать
Что такое Trivy, Grype и Snyk, и какой инструмент выбрать для сканирования контейнеров?Хотите быстро и эффективно сканировать контейнерные образы на уязвимости, но не знаете, с чего начать? В этой статье мы разберем три популярных инструмента для сканирования контейнеров: Trivy, Grype и Snyk.
Trivy: Удобство и скоростьУзнайте, как Trivy помогает легко интегрировать сканирование контейнеров в CI/CD, поддерживает различные форматы контейнеров и генерирует SBOM без лишних сложностей. Всё, что нужно, - это запустить и получить результат.
Grype: Точность и глубинаGrype подойдёт для тех, кто ищет строгий инструмент с высокой точностью и глубокой базой данных. Мы расскажем, как он справляется с нахождением уязвимостей и работает в экосистеме Anchore для более глубокого анализа.
Snyk: Удобство для разработчиковSnyk - это для тех, кто ценит не только поиск уязвимостей, но и практические рекомендации по их...