Форум информационной безопасности - Codeby.net
Статья RCE уязвимости в AI-платформах: CVE-2026-40933 и CVE-2026-40911 — от allowlist bypass до eval() injection
CVE-2026-40933 (CVSS 9.9) и CVE-2026-40911 (CVSS 10.0): npx -c в Custom MCP Flowise выполняет произвольный shell-код, eval() в AVideo отдаёт браузеры всех пользователей анонимному атакующему.Три слоя защиты Flowise — allowlist, validateCommandInjection(), validateArgsForLocalFileAccess() — не разбирают семантику аргументов. npx проходит как легитимная команда, npx -c "reverse shell" — тоже. ~7 000 публично доступных инстансов на момент disclosure.
AVideo: два eval()-sink в script.js, WebSocket-токены без валидации, ретрансляция payload каждому подключённому пользователю. Попался администратор — полный контроль над платформой. 14+ CVE в MCP-среде по данным OX Security — один паттерн, разные платформы: Flowise, LibreChat, WeKnora.
IoC для SIEM, transport type switch через Burp и чеклист для пентеста LLM-инфраструктуры.Статья CISO карьера: roadmap от инженера до директора по ИБ в 2026 году
CISO в России: 500 000 руб. в Москве, до 2 млн с бонусами в топ-компаниях. Шестикратный разрыв с инженером — это не вопрос стажа, а вопрос смены мышления.Инженер с десятилетним опытом проваливает собеседование, потому что не умеет говорить с CFO на языке бизнес-потерь. Руководитель с пятью годами получает оффер с расчётом ROI от SIEM в цифрах. Roadmap на 7–12 лет: специалист (0–3 года) → руководитель отдела с КИИ и регуляторикой (3–7 лет) → CISO как бизнес-партнёр (7+).
CISSP упоминается в большинстве CISO-вакансий крупных компаний, CEH — деньги на ветер. Три ошибки, которые тормозят карьеру: ждут повышения вместо того чтобы взять ответственность, игнорируют нетворкинг, пренебрегают регуляторикой ФСТЭК/ФСБ/ЦБ. Половина офферов на CISO до hh.ru вообще не доходит.
Таблица навыков: что добирать инженеру, GRC-менеджеру и IT-директору.Статья LLM Honeypot: создаём ловушку на базе языковой модели для мониторинга портов
LLM Honeypot для SOC: nftables REDIRECT на все 65535 портов, Ollama для массового трафика и prompt injection для детекции AI-агентов — threat intelligence вместо логов ради логов.Статические ловушки fingerprint-ятся Shodan автоматически. LLM генерирует уникальные ответы, поддерживает сессионную память, вариативный тайминг 200–1500 мс. По данным VelLMes, ~45% участников принимали shelLM за реальный шелл.
Три сценария корреляции в SIEM: внешний сканер → enrichment IOC, внутренний хост → critical alert (baseline нулевой — одно подключение уже инцидент), AI-агент → prompt injection + timing менее двух секунд. Sigma-правило для второго сценария. Ограничения: бинарные протоколы требуют отдельных модулей, latency выдаёт HTTP-сканерам, галлюцинации на длинных сессиях.
Гибридная схема Ollama + Cloud API: мусорный трафик в ноль, мощная модель — для сессий с 3+ командами.Статья Организация CTF соревнований: форматы, скоринг и античит на практике
Скорборд лёг на 40-й минуте: SQLite под нагрузкой динамического скоринга и 300+ участников. Организация CTF — инженерная задача, а не «закинул таски и открыл регистрацию».Три формата — три разных инфраструктуры. Jeopardy: CTFd на PostgreSQL, per-team флаги через соль, rate limit 10 попыток в минуту. Attack-Defense: VLAN + WireGuard, gameserver с чекерами на каждый тик, Ansible для деплоя vulnbox — и если gameserver в одной сети с vulnbox, атакующий правит себе очки напрямую.
Динамический скоринг: формула decay в CTFd, таск за 500 очков после 30 решений стоит 65. Античит: per-team флаги делают шаринг очевидным, синхронные сабмиты с разницей менее 30 секунд — эвристика для расследования. Чеклист из 8 пунктов перед стартом.
Начинайте с Jeopardy на 20 тасков — три соревнования до первого Attack-Defense.Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.
Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.
can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.Статья Уязвимость уведомлений iOS: как ФБР читало удалённые сообщения Signal через push-базу
CVE-2026-28950: ФБР читало «удалённые» сообщения Signal через системную базу push-уведомлений iOS. E2E-шифрование не тронули — iOS кешировала расшифрованный контент сама.Сообщения с таймером самоуничтожения 30 секунд лежали в notification database четыре месяца. Signal сделал свою работу — iOS подвела: приложение живёт в песочнице, а база уведомлений за её пределами. Только входящие: через APNs проходят входящие, исходящие уходят напрямую на сервер — следа нет.
Федеральный суд Техаса, дело Линетт Шарп, апрель 2026. Патч iOS 26.4.2 вышел сразу после публикации 404 Media. CVSS 6.2 по метрикам, но именно эта «средняя» уязвимость раскрыла переписку, которую пользователь считал уничтоженной.
idevicebackup2 + sqlite3 для forensic-анализа и decision tree: когда notification DB релевантна.Заметка AITU CTF Cyber Range 2026
Международный турнир Cyber Range в Астане: команда HackerLab берёт 2-е место и 500 000 тенге — с XXE, IDOR, SSRF и цепочками SSTI+RCE в финале.Два дня в режиме Cyber Range в университете AITU: Active Directory, Red Team, Bug Bounty по OWASP Top 10. День 1 — топ-10. День 2 — в 17:00 стоп, мы на первом месте. В 17:30 команда Team1337 из Узбекистана сдаёт отчёт на 5000 Risk-баллов, который висел с первого дня необработанным. Главный орг принял решение засчитать — итого второе место.
XXE, IDOR, SSRF, RCE, LPE, SSTI и цепочки раскрутки — всё это за два дня в Burp Suite под прямым казахстанским солнцем. Нетворкинг, шоколадные пироги и светлые впечатления от города.
Спасибо команде и @n1ggaa за организацию — без вас не было бы этой поездки.Статья Приватность данных подключённых автомобилей: что forensics находит в head unit после «factory reset»
«Factory reset» в электромобиле — маркетинговый термин, не техническая операция. 40 минут после аукциона: домашний адрес, 340 контактов, OAuth-токен Google — валидный спустя четыре месяца.eMMC-команды Secure Erase и SANITIZE существуют с версии 4.5 стандарта JESD84, но прошивки head units их не вызывают. Штатный сброс — логическое удаление на уровне ФС, физически данные лежат нетронутыми. Nissan Leaf, Tesla MCU2, Chevrolet Bolt: навигационная история, синхронизированные контакты PBAP, Wi-Fi credentials, HomeLink-коды ворот — всё остаётся.
Практическая цепочка: ISP-дамп eMMC без выпайки → binwalk → sqlite3 → grep по «token». 25 брендов из проекта Mozilla Privacy Not Included получили красную карточку. GM свернул Smart Driver только после иска Техаса.
Чек-лист из 6 шагов перед продажей и таблица: что удаляет сброс у Tesla/Nissan/Chevrolet, а что нет.Статья Детектирование APT через облачные C2-каналы: Sigma и YARA правила для Google Sheets, OneDrive и Slack
C2 через Google Sheets три недели молчал в Splunk — домен в allow-листе, TLS валидный. LOTS: IOC-блоклисты против облачных C2 бессильны. Нужен поведенческий подход.T1102.001 Dead Drop Resolver: имплант читает команды из публичной таблицы Google Sheets. T1102.002 Bidirectional: OneDrive/Graph API для чтения и записи, APT29 использовал именно этот канал. Slack webhooks — готовый C2-эндпоинт за 30 секунд без инфраструктуры.
Готовое Sigma-правило: DNS-запросы к sheets.googleapis.com/graph.microsoft.com/hooks.slack.com от процессов вне whitelist. YARA-правило для поиска имплантов в памяти по двум из четырёх API-строк. Decision tree: process tree → частота beacon → payload analysis → lateral context → containment. Таблица ограничений: что ловит каждый метод, а что нет.
False positive rate на старте — 5–15 алертов/день, после двух недель тюнинга — 0–2.Статья Настройка Kali Linux для пентеста: кастомизация, инструменты и оптимизация окружения
Kali Linux из коробки — заготовка, не рабочий инструмент. Первые полчаса уходят не на взлом, а на превращение дистрибутива в нормальное рабочее место.Kali vs Parrot: критерии выбора по RAM, сообществу и AnonSurf. Правильная последовательность обновления в VM: сначала гостевые дополнения и snapshot — потом apt full-upgrade, иначе 800x600 и никакого буфера обмена. Алиасы nmap в одну строку, функция mkproject со структурой scans/loot/notes/exploits, tmux для сохранения сессий при обрыве.
Must-have сверх стандартного набора: netexec вместо мёртвого CrackMapExec, ligolo-ng для pivoting, autorecon для автоматической разведки, pspy без root на цели. vm.swappiness=10, отключить compositor в Xfce. Пять типичных ошибок: root постоянно, обновление без snapshot, Kali как основная ОС, rockyou вместо seclists, ненастроенный Metasploit.
sudo msfdb init — 30 секунд, которые делают Metasploit нормальным инструментом.