Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
340 Gbps UDP-флуда в 9:15 — и ровно в 10:10 WAF фиксирует 2400 rps на эндпоинт авторизации. Пока SOC разгребал NTP reflection/amplification (T1498.002), L7-вектор T1499.003 уже шёл в обход.
Многовекторная атака — классическая дымовая завеса: volumetric-удар по L3/L4 отвлекает дежурную смену, второй вектор стартует в окно хаоса. Финтех из постмортема потерял 55 минут и миллионы на незавершённых транзакциях. DDoS-as-a-Service платформы опустили порог входа ниже Netflix-подписки.
Статья разбирает архитектурные стратегии 2026 — cloud scrubbing (DDoS-Guard, Qrator), on-premise (Arbor TMS, Radware DefensePro), гибрид по модели Kentik и BGP blackholing.
SIEM без корреляции T1498+T1499 как единого инцидента видит два алерта вместо одной атаки.
РКН приходит через 10 дней — реестр ИСПДн не обновлялся год, согласия для мобильного приложения не оформлены, поручение облачному провайдеру отсутствует. Чеклист из 12 пунктов и detection-правила для SIEM, чтобы закрыть дыры до визита инспектора.
Инспектор РКН не идёт сразу в серверную — первые 30 минут чисто документарные: реестр на pd.rkn.gov.ru, приказ по ст. 22.1, политика на сайте без авторизации, 5–10 случайных согласий против фактических полей CRM. Расхождение между задекларированными целями и реальными потоками ПДн — первое замечание в акте.
Большинство замечаний в актах РКН — про бумаги, а не про железо. SIEM настроен, СрЗИ сертифицированы, поручение провайдеру не подписано.
За 4 часа assumed breach с учётки инженера АСУ ТП — до holding registers ПЛК: два из трёх OT-мониторинговых инструментов показали чистый dashboard, пока мы уже сидели на контроллерах.
Kill chain шёл по Purdue сверху вниз: historian на Windows Server 2012 R2 с дефолтными credentials SQL Server, dual-homed engineering workstation — и вот уже Modbus-трафик читается напрямую. MITRE T1210, SMB relay, RDP без NLA — классика, которая в OT работает годами без патчей.
Защита строится на сегментации каждого уровня Purdue, мониторинге Modbus/S7 аномалий через Dragos или Nozomi, LAPS на всех Windows-хостах OT и запрете dual-homing на EWS.
OT-мониторинг видит аномалию через 2 часа после компрометации контроллера — не до.
Маркетплейс с балансом $100, товарами и формой продажи. Купил Bad USB — $20 ушли, товара нет. Сканирование нашло /sell — можно выставлять свои товары с уникальным ID. Пазл сложился: Race Condition.
Механика: создаём товар с ценой $-99 (три символа, отрицательное число — при вычитании система прибавит сумму к балансу). Регистрируем второй аккаунт, берём его session cookie. Python-скрипт запускает 100 потоков одновременно на покупку товара через POST /buy/ID. Запускаем 5-6 раз — баланс растёт.
Race Condition срабатывает, потому что сервер не блокирует параллельные транзакции атомарно: между проверкой баланса и его списанием успевают пройти десятки запросов. Сервер «думает», что у нас достаточно средств, и выполняет все операции.
После накопления баланса покупаем секретный девайс — флаг получен.
Ключевой шаг — отрицательная цена + многопоточность. Без второго аккаунта покупка собственного товара заблокирована.
В PE-файле цифровая подпись хранится как оверлей после всех секций в структуре WIN_CERTIFICATE — PKCS#7-контейнер с цепочкой доверия от корневого CA до разработчика. 25 КБ данных, которые большинство утилит показывают лишь поверхностно.
Разбор изнутри: формат ASN.1 TLV (Type-Length-Value), теги типов данных, BigEndian-размеры блоков, OID-идентификаторы объектов. Структура SignedData по PKCS#7: version, digestAlgorithms, encapContentInfo, certificateSet, signerInfos. Разница между RSA encryption и RSA_signing, почему ECDSA-256 вытесняет RSA в современных сертификатах.
CVE-2013-3900: запись Security в IMAGE_DATA_DIRECTORY исключается из хэша — размер можно изменить. Как включить строгую валидацию через реестр HKLM\Software\Microsoft\Cryptography\Config. Практика: парсер на FASM читает сертификат и выводит поля в ListView.
Расценки на сертификаты: EV от $350/год у Sectigo, подпись драйверов через Microsoft Partner Center — бесплатно.
macOS молча пишет досье на каждого пентестера: Unified Log фиксирует обращения к Keychain с наносекундной точностью, FSEvents сохраняет путь удалённого payload, а APFS-снапшоты воскрешают файлы, которые атакующий считал уничтоженными.
Kill chain читается по четырём источникам без единого EDR-агента. `log show --predicate 'subsystem == "com.apple.securityd"'` — и вся цепочка Keychain-запросов на экране. FSEventsParser (Nicole Ibrahim) достаёт из `/.fseventsd/` хронологию каждого `cp` в `/Volumes/`, даже после rm. Spotlight-индекс в `/private/var/folders/` хранит метаданные файлов спустя недели после удаления.
Red team удаляет файлы — FSEvents хранит путь. APFS-снапшот хранит содержимое. macOS забывает медленнее, чем думает атакующий.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.