Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
Четыре CNAPP-платформы показывали compliance score 92%+ — и все четыре пропустили сервисный аккаунт с sts:AssumeRole на prod и неограниченным s3:GetObject. Ни одна не выстроила identity chain до T1530.
Финтех-аудит 2026 года вскрыл разрыв между feature checkbox и реальным detection-покрытием. Wiz, CrowdStrike Falcon Cloud, Defender for Cloud, Orca и Prisma Cloud — у каждого свой AI-движок, но глубина attack path analysis критически различается.
CSPM без CIEM-корреляции слеп к lateral movement через overprivileged roles.
Зелёный compliance score — худший индикатор защищённости: attack path через IAM-цепочку невидим без графовой корреляции.
SpiderFoot нашёл 4 субдомена с чужим WHOIS — theHarvester вытащил 3 dev-email, которых SpiderFoot не увидел. Один инструмент закрывает 60% картины. Какую комбинацию собрать под реальный black box?
Обзор 8 инструментов — Shodan, SpiderFoot, theHarvester, Recon-ng, Maltego, Intelligence X, Sherlock, OSINT Framework — по MITRE ATT&CK Reconnaissance: T1596.005, T1593.001, T1596.001. Каждый закрывает свою нишу kill chain: от `org:"Company" port:27017` без единого пакета к цели до графа связей в Maltego.
OSINT-разведка молчит в логах цели — но именно она определяет, куда пойдёт initial access.
За 11 минут на внешнем пентесте финтех-компании запрос site:target.com filetype:env "DB_PASSWORD" вернул credentials от продакшн-базы — хост dev-payments не был в скоупе, потому что заказчик о нём забыл.
Google Dorking — MITRE T1593.002: каждый запрос уходит на серверы Google, а не к цели. Ноль записей в access-логах жертвы. Операторы filetype:env, intitle:"index of", inurl:admin покрывают kill chain от scoping до credential exposure (T1552.001) — до того, как один пакет коснётся инфраструктуры.
IBM X-Force: 6000 утёкших учёток в день — не взломы, а проиндексированные конфиги. Nmap здесь лишний.
Ryuk в 2019-м, Maze через 7 месяцев, ShinyHunters в 2026-м — 8,2 млн записей Salesforce. Pitney Bowes взламывали трижды, потому что postmortem ни разу не стал инженерной задачей.
Ryuk зашифровал почтовые системы через T1566/T1133, Maze вернулся и прошёл Lateral Movement до скриншотов внутренних каталогов — до Impact не дошло, но Credential Access и Discovery уже отработали. ShinyHunters закрыли триаду: фишинг → T1078 Valid Accounts → эксфильтрация CRM.
Чеклист провалов: неполная ротация credentials после Ryuk, отсутствие MFA на Salesforce, нет детекции аномального доступа к CRM (UEBA).
Maze «остановили до шифрования» — но lateral movement и эксфильтрация уже завершились. Impact — последняя фаза, не единственная.
Palo Alto Unit 42 воспроизвели атаки на CrewAI и AutoGen — и обнаружили, что те же design flaws сидят в самих red-team инструментах: PyRIT, DeepTeam, LangChain-harness уязвимы к prompt injection через tool output и excessive agency (OWASP LLM01:2025, LLM06:2025).
Reverse prompt injection переворачивает kill chain: целевой агент вставляет мета-инструкции в response — Scoring Engine обрабатывает их как системные, выдаёт «безопасно» при реальных дырах. MITRE ATT&CK T1562.001 — Defense Evasion прямо внутри assessment pipeline. Компрометация model_callback даёт T1552.001: API-ключи LLM-провайдеров, system prompts, tool schemas.
SOC смотрит на целевые агенты — но сканер, уязвимый к атакам, которые ищет, не попадает ни в один threat model.
No-code без пароля от кода: где ваша «собранная за вечер» платформа течёт данными.
Чем проще собрать сервис без программиста, тем легче забыть, у кого доступ, куда уходят заявки и что творится под капотом. А ломается безопасность не в слогане, а в настройках, которые «потом допилим».
Разбираем по платформам: слабый контроль доступа и живые автоматизации уволенных в Zapier и Tilda, Airtable как «табличный склад всего подряд» с API-дырами, и главную ловушку Bubble — клиентскую логику, которую видно через консоль браузера.
Практический разбор для тех, кто строит на no-code и не хочет получить красиво оформленный хаос вместо цифровой трансформации.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.