Форум информационной безопасности - Codeby.net

Статья Безопасность SaaS: detection компрометации платформы и защита клиентских данных

  • 47
  • 0
Аппаратный токен безопасности FIDO2 крупным планом на тёмном антистатическом коврике. Янтарный свет выявляет царапины на металле и гравировку, дисплей светится синим.


🔐 Сервисный аккаунт уволенного сотрудника три месяца молчал — затем за одну ночь вычитал тысячи клиентских записей через API. Токен валидный, GeoIP чистый. T1078.004 в действии: credential-based атаки выросли на 71% (IBM X-Force), а SOC не поймал ничего.

Атакующий работает через Valid Accounts — stuffing, MFA fatigue (T1621), угнанный SSO-токен через infostealer. Попав в IdP, он получает доступ ко всем SaaS-интеграциям без знания отдельных паролей. IDOR через tenant_id в Burp Suite — первый чек на пентесте платформы.

💡 SOC ловит аномалии на эндпоинтах — но T1078 живёт в audit log SaaS, где baseline никто не строил.

Статья CVE-2026-42809 Apache Polaris: угон облачных credentials через staged table creation

  • 50
  • 0
Разрезанный пополам латунный автомат для выдачи учётных данных с обнажёнными шестернями. Из щели вылетает облачный токен, на панели выгравировано CVE-2026-42809.


🔐 CVE-2026-42809 (CVSS 9.4): аутентифицированный пользователь Apache Polaris шлёт один stage-create запрос с произвольным location — и сервис сам конструирует STS-токены к чужому S3/GCS-бакету. Без exploit chain, без WAF-обхода.

Уязвимость живёт в двухфазном stage-create flow Iceberg REST Catalog: Polaris выдаёт delegated credentials до валидации location и overlap checks. Атакующий подставляет `s3://finance-production-bucket/` в поле location — получает STS-токены и идёт напрямую через `aws cli` или `boto3`.

💡 Privilege escalation в Polaris нет — сервис добровольно отдаёт STS-токены. CloudTrail молчит до момента первого s3:GetObject.

Статья Безопасность бесплатных VPN для Android: утечки трафика и трекинг в 281 приложении

  • 66
  • 0
Смартфон на Android лежит на тёмном антистатическом коврике, экран отображает перехваченные пакеты с утечками DNS, выделенными красным. Руки в синих нитриловых перчатках подключают кабель отладки.


📡 MVPNalyzer протестировал 281 бесплатный Android-VPN: 29 сливают трафик мимо туннеля, 24 — DNS открытым текстом, 5 тянут конфиг по HTTP — атакующий в той же Wi-Fi подменяет VPN-сервер и забирает весь трафик.

Исследование NDSS 2026 (University of Michigan / IIT Delhi) показало: 61 приложение шлёт данные plain text (T1048.003), 169 не маскируют VPN-трафик от DPI, 246 контактируют с трекерами. Суммарное число установок уязвимых приложений — 2,4 млрд. Пять приложений реализуют T1557 Adversary-in-the-Middle через HTTP-конфиг без единой строки эксплойта.

💡 Значок замка в статус-баре не означает туннель — 4 приложения шифруют интерфейс, но гонят трафик открытым текстом.

Статья Langflow IDOR CVE-2026-55255: пошаговая эксплуатация cross-tenant уязвимости в AI-платформе

  • 72
  • 0
Разорванный манильский конверт на чёрном антистатическом коврике с вложенным меньшим конвертом внутри. На внешнем конверте выгравировано CVE-2026-55255, сломанная восковая печать выделена красным.


🔐 CVE-2026-55255 в Langflow: IDOR без единой строки брутфорса — атакующий за 20 секунд исполнил чужой AI-flow с prompt injection «leak api keys» и вытащил OpenAI/AWS credentials жертвы через штатный POST /api/v1/responses.

Уязвимость сидит в функции get_flow_by_id_or_endpoint_name: ветка UUID-разрешения делает запрос к БД без WHERE user_id — классический CWE-639, OWASP API1:2023 BOLA. CVSS 8.4 (S:C, C:H/I:H), исправлено в Langflow 1.9.1 через PR #12832. Sysdig зафиксировал первую эксплуатацию 25 июня 2026; CISA внесла в KEV с дедлайном три дня.

Детекция строится на аномалиях: один токен вызывает flow с разными UUID-owner — UEBA-сигнал.

💡 EPSS всего 0.56% — метрика говорит «низкий риск», CISA SSVC говорит «Act». Верьте CISA.

Статья CVE-2026-7411: Path Traversal → RCE в Eclipse BaSyx — пентест промышленных API

  • 126
  • 0
Плата промышленного IIoT-шлюза на чёрном антистатическом коврике с выжженной диагональной бороздой сквозь медные дорожки. Красный светодиод тревоги, макросъёмка, криминалистическое освещение.


💣 CVE-2026-7411 в Eclipse BaSyx: неаутентифицированный HTTP-запрос к Submodel API — path traversal через fileName без нормализации — и Java-процесс пишет файлы куда угодно на хосте. CVSS 10.0, automatable=yes, EPSS 88-й перцентиль.

CWE-22 без вызова File.getCanonicalPath(): атакующий подставляет ../../../ в параметр fileName, выходит за sandbox хранилища и кладёт JSP-шелл прямо в директорию servlet-контейнера. Цепочка — T1190 → T1505.003 → T1059.004 — закрывается одним запросом. PoC публичен, WAF обходится через %2e%2e%2f и double encoding.

BaSyx — цифровой двойник станков и конвейеров в стеке Industry 4.0.

💡 Shodan находит открытые BaSyx-инстансы за минуты — «внутренняя сеть» не защищает от T1190.

Статья CVE-2026-23863: уязвимость WhatsApp для Windows — как NUL bytes маскируют исполняемый файл под документ

  • 131
  • 0
Вскрытый USB-накопитель на чёрном антистатическом коврике с чипом памяти, на экране рядом — обрезанное имя файла с мерцающим курсором и скрытым расширением.


🪟 CVE-2026-23863 в WhatsApp Desktop: один NUL-байт в имени файла заставлял Windows запускать payload.exe, пока пользователь видел invoice.pdf — CWE-158 в Electron-архитектуре, где JavaScript и WinAPI читают одну строку по-разному.

JavaScript (V8) хранит строки с явной длиной — `payload.exe\x00invoice.pdf` имеет длину 24, расширение `.pdf`, иконка документа. WinAPI получает ту же строку, но `ShellExecuteW()` обрезает по первому NUL — видит `payload.exe` и запускает его. Уязвимы версии WhatsApp до v2.3000.1032164386.258709.

💡 EPSS 0.41 и CVSS 6.5 усыпляют бдительность — но для целевого initial access через доверенный мессенджер этого примитива достаточно.

Статья Анализ фишинговой инфраструктуры изнутри: от OPSEC-провала атакующего до полной карты C2

  • 137
  • 0
Жёсткий диск на антистатическом мате под ярким светом, рядом ноутбук с зелёным текстом логов и кодами уязвимостей. Пальцы в синих нитриловых перчатках держат USB-блокиратор записи.


🕵️ OPSEC-провал атакующего: открытый directory listing на Apache выдал полную C2-панель фишинговой кампании против M365 — логи email:password, PHP-кит и HTML-шаблон авторизации. Обнаружение через Censys по fingerprint самоподписанного SSL-сертификата.

Рутинный запрос в Censys по нестандартным портам вскрыл VPS с включённым mod_autoindex — дефолтная конфигурация Apache без index.html отдала полный листинг. Внутри: фишинговый кит под M365, credential-логи с таймстампами, конфиг кампании. MITRE T1583.001, T1566.002, T1071.001 — вся цепочка задокументирована за 40 минут без единого эксплойта.

💡 Commodity-фишинг детектируется не через EDR — Apache отдаёт инфраструктуру атакующего раньше первого письма.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 836
Сообщения
347 313
Пользователи
161 813
Новый пользователь
samelovdraug-byte