Форум информационной безопасности - Codeby.net
Hackerlab 🎯 Сетевая разведка за 30 дней — 4 недели практики на HackerLab
4 недели — 4 инструмента сетевой разведки. Recon — самая недооценённая фаза пентеста. 80% реальных engagement'ов начинаются с банального nmap и gobuster. Кто умеет читать вывод сканера — находит уязвимости.Серия задач на HackerLab.pro: 1–7 июня — nmap port scan и banner grabbing (200 очков), 8–14 июня — service enumeration через SSH и FTP (200 очков), 15–21 июня — web reconnaissance с gobuster и ffuf (400 очков), 22–28 июня — полная цепочка recon → exploitation с Burp и hydra (500 очков).
Все задачи retired — writeup'ы после дедлайна приветствуются. Еженедельные треды с обсуждением инструментов. Топ-3 первых solver'ов каждой недели — мерч от Codeby.
К концу июня — свой стартовый чек-лист «что делать, когда увидел новый IP».Статья Современные методы обхода WAF в задачах с нестандартным XSS
Скорее всего, вы уже знаете что такое XSS, но давайте для полноты картины повторим.
CSP ограничивает браузеру круг поиска кода, но JSONP callback hijacking обходит его через доверенный домен. WAF блокирует <script> в URL, но пропускает его в application/json или в заголовке Referer. Polyglot payload валиден одновременно в HTML и JS — и работает в обоих контекстах.Статья проходит полный путь от основ к продвинутой эксплуатации: три типа XSS, Defense in Depth через CSP/HttpOnly/SRI/WAF, WAF fingerprinting для Cloudflare/Imperva/AWS с конкретными обходами. Encoding chains, case variation, context switching, dangling markup injection, base-uri injection.
Продвинутый уровень: mXSS через innerHTML, DOM clobbering, Prototype Pollution → XSS. Практический блок — разработка эксплойта, фаззинг через Burp Suite Intruder, отладка в DevTools.
WAF — дополнительный слой, не замена экранированию. Сложные payloads маскируются под текст.FAQ 🎯 Карьерный навигатор в кибербезопасности 2026: треки, зарплаты, точки входа
Карьерный навигатор в кибербезопасности 20265 треков в ИБ, реальные зарплаты и пошаговый план — карьерный навигатор 2026.
«С чего начать в инфобезе?» — вопрос, который задают сотни раз. Вместо ответов в личку — собрали всё в одном месте: пентест, SOC, DFIR, AppSec, Red Team — куда идти, сколько платят и какие навыки нужны прямо сейчас.
Внутри — медианные зарплаты по Москве на 2026 год, конкретные точки входа в каждый трек, план действий для тех, кто только смотрит в ИБ, и чёткий чеклист роста для junior'ов, которые упёрлись в потолок.
Открытый тред с опросом и живой обратной связью — комментируй, спрашивай, выбирай свой путь.Статья Анализ вредоносного ПО: пошаговый разбор семпла от статики до динамики
Свежий стилер с IR-кейса: запакованный PE, XOR-шифрованные строки, process hollowing в svchost.exe, HTTP-канал на C2. Автоматический sandbox конфигурацию не вытащил. Пришлось препарировать руками — от первого хеша до готовых IOC и YARA-правила.Infostealers вышли на первое место — 32% всего malware в 2024 году, обогнав ransomware. Ручной разбор нужен для оставшихся 20% инцидентов, где автоматика ломается: кастомные протоколы C2, многослойное шифрование, таргетированные атаки.
Decision tree по каждому этапу: статика (DIE, FLOSS, строки), распаковка в x64dbg через Scylla, поведенческий анализ в Process Monitor и Wireshark, глубокий реверс XOR-функций в IDA/Ghidra. Python-скрипт деобфускации. YARA-правило с байтовыми паттернами. ATT&CK-маппинг из 8 техник.
Аналитик, который два года не открывал дизассемблер — не справится с APT-инструментом в 3 ночи.Статья Валидация безопасности в 2026 году: BAS, автоматизированный пентест и ручное тестирование — полное руководство
Восьмизначный бюджет на NGFW, EDR, SIEM, WAF. На бумаге — покрытие по каждому вектору. На практике — ни одну из этих систем никто не проверял реальной атакой. Объём атак с шифрованием упал на 38%, эксфильтрация через легитимные облачные API стала основным вектором.Три метода валидации и где каждый слеп: BAS проверяет контроли непрерывно, но не строит реальных цепочек атак. Автоматизированный пентест строит attack paths, но не видит detection stack. Ручное тестирование закрывает то, что автоматизация не закроет никогда — бизнес-логику, EDR-evasion под конкретного вендора, реакцию SOC.
Три мифа, из-за которых программы проваливаются. Таблица платформ BAS 2026 с ценами. Decision tree по уровням зрелости от $500K до $2M+.
BAS-платформа без Purple Team workflow — дорогой генератор PDF-отчётов.Статья Grav CMS уязвимость path traversal: 0-day в FormFlash без аутентификации
CVSS 8.8, ноль привилегий, автоматизируемая эксплуатация. CVE-2026-42608 в Grav CMS — один POST-параметр __form-flash-id без валидации превращает любую страницу с формой в точку входа. Неаутентифицированный атакующий пишет YAML-файлы прямо в user/config/ и user/accounts/.Grav хранит всё в файловой системе: конфигурация, хеши паролей, 2FA-секреты. Запись в произвольный каталог — это не «потенциальный импакт», это прямая Configuration Injection. Один traversal-запрос, 302 в ответ, файл на диске.
Полный разбор уязвимого PHP-кода FormFlash, пошаговое воспроизведение через curl/Burp, три вектора развития атаки. История CVE в Grav: цепочка от unauthenticated path traversal до RCE через Scheduler. 36 000 инстансов на ZoomEye.
Один regex [A-Za-z0-9,_-]{1,64} — и уязвимости нет. Разработчики закрыли её в патче за один коммит.Статья Patch2Vuln: анализ бинарных патчей для автоматического восстановления уязвимостей Linux
LLM-агент без CVE-описания, без advisory, без исходника — только два бинарника. Patch2Vuln локализовал security-relevant функцию в 10 из 20 реальных Ubuntu .deb-пакетов. 6 провалов из 20 случились до того, как модель вообще увидела данные — на этапе бинарного диффа.Основной bottleneck в автоматическом анализе бинарных патчей — не LLM, а диффер. Ghidriff не гарантирует, что security-relevant изменение попадёт в топ кандидатов. Компилятор инлайнит функции, LTO перекраивает layout, а добавление stack canaries создаёт шум на весь diff.
Сравнение Patch2Vuln и Bishop Fox: разные стеки (Ghidra/Ghidriff vs Binary Ninja/BinDiff), разные входные данные (без advisory vs с ним). Authorization bypass с 1400+ функций стоит $35 за прогон на Claude Sonnet 3.7.
Следующий рывок — не в промптинге и не в более мощных моделях. В дифферах и ранкерах.ю цепочку.Статья IoT уязвимости: как проверить умную колонку, роутер и смарт-ТВ
binwalk на прошивке роутера TP-Link 2021 года — захардкоженный root:root в /etc/shadow. Три минуты от скачивания firmware до полного доступа к файловой системе. Актуальная прошивка с сайта вендора. Это не уникальный случай — это типичный уровень IoT уязвимостей на каждом втором устройстве.Роутер: полное сканирование nmap, binwalk -e и поиск секретов в squashfs-root. Умная колонка: MQTT без аутентификации — mosquitto_sub -t '#' читает все команды устройств в сети. Смарт-ТВ: открытый ADB на порту 5555 — полноценный шелл без пароля, BadBox 2.0 накрыл 10+ млн устройств. DIAL без авторизации — запуск приложений из любой точки сети.
Чеклист из 11 пунктов, таблица детектируемости по MITRE ATT&CK и что увидит IDS при каждом действии.
Через домашний роутер сотрудника атакующий попадает в VPN-туннель к корпоративной сети.Статья Ransomware-as-a-Service 2026: The Gentlemen и анализ RaaS-экосистемы — аффилиаты, TTPs, detection
19 мая 2026 года — десять новых жертв на DLS пяти группировок за одни сутки. DragonForce, Play, Payload, Nova, Akira. Это не аномалия — это стабильный фон, сложившийся после коллапсов Black Basta и RansomHub и волны аффилиатной миграции.White-label RansomBay от DragonForce снизил порог входа до уровня Telegram-подписки. 75% вторжений — через валидные учётные данные. Среднее время lateral movement — 62 минуты. Детект на этапе шифрования — уже поздно.
Разбор структуры RaaS-операции, профилирование The Gentlemen через TI-методологию, анализ финансовой модели двойного вымогательства. Detection-чеклист из семи приоритетов: VSS deletion, rstrtmgr.dll, credential dumping, canary-файлы.
Группировка сменит DLS и бренд — но не удалит Shadow Copies перед шифрованием иначе. Behavioral detection переживёт любой ребрендинг.Статья Нейросети в руках мошенников_ векторы атак, методы выявления и защита
FraudGPT пишет фишинговое письмо без единой ошибки с деталями вашего последнего проекта. CAPTCHA решается через YOLO и Whisper за копейки через API. В тренировочный датасет тихо добавляют бэкдор. Ваш голос клонируют и звонят начальнику.Четыре вектора атак с нейросетями: персонализированный LLM-фишинг без классических маркеров (dark-LLM без guardrails), обход CAPTCHA через CV-модели и поведенческую эмуляцию, data poisoning с бэкдором в модели, дипфейки в схемах synthetic identity fraud.
OWASP LLM Top 10 (2025) — список дыр, которые уже эксплуатируются. NeMo Guardrails блокирует до 99% jailbreak-атак. Для дипфейков — Reality Defender, Sensity AI, TrueMedia.org.
Единственного «волшебного» детектора нет. Нужна эшелонированная защита: SPF/DKIM/DMARC → sandbox → AI-детектор → ручная проверка.