Форум информационной безопасности - Codeby.net
Статья Тестирование безопасности SPA и фронтенд-фреймворков: где ломают React/Vue/Angular
Пентест SPA-приложений: Где ломают React, Vue и Angular?Ты уже давно тестируешь веб-приложения и хочешь разобраться, как ломаются SPA (Single Page Applications)? Реальность такова: в 2026 году атакующие находят уязвимости на клиентской стороне, и тебе важно быть готовым к этим новым угрозам.
В этом гайде мы разберем самые распространенные уязвимости в SPA-приложениях: начиная с XSS и инъекций, заканчивая dangerouslySetInnerHTML и обходом CSP. Все это - как раз то, с чем сталкивается каждый пентестер в мире современных веб-приложений.
Ты узнаешь: что такое уязвимости в React, Vue и Angular, как тестировать их с использованием популярных инструментов, как обходить защиту и что делать для защиты от этих атак.Вакансия Ищем автора курса по пентесту мобильных приложений (Android / iOS)
Создай курс, который взломает рынок mobile security.Мы в Codeby Academy запускаем курс по пентесту мобильных приложений — и ищем человека, который знает эту тему не по статьям, а по реальным проектам.
Android, iOS, Frida, Burp, MobSF — если это твои ежедневные инструменты, а OWASP Mobile Top 10 ты можешь объяснить джуну за 15 минут — нам по пути.
Удалёнка, гибкий график, публичное авторство и оплата без «за идею».Расскажи, чем занимаешься в мобильном пентесте — обсудим детали.
Статья Signed Commits и Artifact Signing: защита цепочки поставок кода
Обеспечение безопасности цепочки поставок кода: Пошаговое руководствоИнтересуетесь защитой своего кода и компонентов системы на всех этапах - от разработки до продакшн? Эта статья - для вас. Мы расскажем, как защитить свою цепочку поставок с помощью криптографических подписей и инструментов, таких как GPG, Sigstore и Cosign.
Как настроить GPG-подпись коммитовНаучитесь подписывать свои коммиты, чтобы гарантировать подлинность и избежать атак на код. Мы подробно разберем, как настроить GPG-ключи, интегрировать их с Git и как проверять подписи на платформе, такой как GitHub или GitLab.
Sigstore: будущее защиты программных артефактовОткроем для себя экосистему Sigstore, включая Cosign и Fulcio, и объясним, как они помогают подписывать контейнеры и артефакты без необходимости управлять ключами. Это важный шаг для создания прозрачности и безопасности в процессе поставки.
Статья Container Image Scanning: Trivy, Grype, Snyk - что выбрать
Что такое Trivy, Grype и Snyk, и какой инструмент выбрать для сканирования контейнеров?Хотите быстро и эффективно сканировать контейнерные образы на уязвимости, но не знаете, с чего начать? В этой статье мы разберем три популярных инструмента для сканирования контейнеров: Trivy, Grype и Snyk.
Trivy: Удобство и скоростьУзнайте, как Trivy помогает легко интегрировать сканирование контейнеров в CI/CD, поддерживает различные форматы контейнеров и генерирует SBOM без лишних сложностей. Всё, что нужно, - это запустить и получить результат.
Grype: Точность и глубинаGrype подойдёт для тех, кто ищет строгий инструмент с высокой точностью и глубокой базой данных. Мы расскажем, как он справляется с нахождением уязвимостей и работает в экосистеме Anchore для более глубокого анализа.
Snyk: Удобство для разработчиковSnyk - это для тех, кто ценит не только поиск уязвимостей, но и практические рекомендации по их...
Статья SAST vs DAST vs IAST: выбор инструмента сканирования для CI/CD
Что такое SAST, DAST и IAST?В этой статье мы подробно разберем три типа инструментов тестирования безопасности: SAST, DAST и IAST. Вы узнаете, чем каждый из них отличается, как их правильно применять в CI/CD pipeline и на каком этапе разработки они наиболее эффективны.
Как интегрировать эти инструменты в процесс разработки?Мы покажем, как интегрировать SAST, DAST и IAST на разных этапах разработки для создания многоуровневой стратегии безопасности, которая поможет выявлять уязвимости на самых ранних этапах.
Как выбрать лучший инструмент для вашего проекта?Поговорим о том, как выбирать инструменты для тестирования безопасности в зависимости от потребностей вашего проекта, о сравнении их покрытия OWASP Top 10 и бенчмарках по скорости и ложным срабатываниям.
Статья Обход EDR через прямой вызов syscall
Прямые системные вызовы и их роль в безопасностиВ этой статье мы погружаемся в мир прямых системных вызовов, которые позволяют обходить традиционные механизмы защиты. От работы с Windows API до более сложных техник обхода, таких как Hell’s Gate и DInvoke. Узнайте, как эти методы используются в реальных сценариях, и как они помогают анализировать и разрабатывать защищённые программы. В статье также мы разберём обфускацию системных вызовов и методы обхода EDR.
Применение прямых системных вызовов в реальной жизниКак именно прямые системные вызовы помогают в обходе защиты? Мы поговорим о методах, таких как syscall через DInvoke и работу с PE-файлами. Прочитайте, как с помощью простых техник и креативных решений можно обходить сложные системы защиты, такие как EDR.
Обновление подходов к безопасности с использованием прямых системных вызововВ этой части вы узнаете, как новые методы обфускации и работы с...
Статья GEOINT или фундамент в OSINT: Руководство для начинающих
Погружение в мир GEOINTЗадумывались ли вы, как из случайной фотографии можно вытащить точные координаты? В этой статье мы откроем вам мир GEOINT - аналитики, которая позволяет извлечь геопространственные данные из любого изображения или видео, благодаря уникальным методам и инструментам.
Как читаются слои реальностиВы научитесь «читать» окружающий мир, выделяя ключевые географические и культурные признаки. Узнаете, как анализировать растительность, архитектуру и инфраструктуру, чтобы точно определить местоположение, даже если это скрыто от обычного взгляда.
Где применяется GEOINT в современностиОт работы с геоданными в условиях гуманитарных кризисов до использования в разведке, мы покажем, как современный GEOINT решает реальные задачи и помогает находить ответы на глобальные вопросы.
Статья 5 дружелюбных CTF-соревнований для новичков: Ваш первый шаг к победе
CTF для новичков: 5 дружелюбных платформ для стартаТы готов вступить в мир CTF (Capture The Flag), но не знаешь, с чего начать? В этой статье мы расскажем о 5 платформах, которые идеально подойдут для новичков. Поговорим о самых дружелюбных и доступных ресурсах, где ты можешь начать тренировать свои навыки взлома и защиты.
Что тебе нужно для старта в CTF?Мы детально разберем 5 платформ - от PicoCTF до Root-Me. Изучим их задачи, интерфейсы, доступность и что важно для комфортного старта. Для тех, кто впервые сталкивается с этим миром, такие платформы становятся тем самым первым шагом в практическое освоение информационной безопасности.
Как выбрать платформу для тренировки?В статье мы подскажем, на что обратить внимание при выборе своей первой CTF-площадки. Сделаем акцент на доступности, языках интерфейса и особенностях задач, чтобы твое погружение в CTF было максимально комфортным и полезным.
Статья Использование особенностей DNS-поддоменов для обхода CSP
Почему CSP не так безопасен, как кажется?Content Security Policy (CSP) — это не панацея, а сложный и порой непростительно уязвимый механизм контроля безопасности. На самом деле, CSP — это не стена, а скорее хитро настроенная сигнализация, которую можно обойти.
Как работает CSP и где скрыты уязвимости?Мы разберемся, как работает CSP, и почему даже самые строгие политики могут быть ослаблены. CSP — это не защита, а скорее набор инструкций, которым браузеры обязаны следовать, но их буквальное восприятие приводит к ошибкам. Как это влияет на безопасность, особенно в контексте DNS, мы тоже подробно рассмотрим.
Как атакуют CSP и DNS?Поднимем завесу над одной из самых интересных тем — атаки, основанные на DNS, которые позволяют обойти CSP, используя уязвимости в старых системах, таких как поддомены и TTL-таймауты. Мы научим тебя находить и использовать такие лазейки для усиления защиты своих систем.
Статья Слепая SSRF через временные триггеры
Нашёл SSRF, но ответ “пустой” и ничего не утекает наружу? В этой статье разберём, почему именно такие “тихие” SSRF сегодня самые опасные - и почему их нельзя списывать как «не подтвердилось».
Погрузимся в Blind SSRF через время отклика: как тайминги превращаются в бит информации, как отличать успех от блокировки/таймаута и как усиливать слабый сигнал, когда сеть шумит. Соберём практический инструментарий: асинхронный Python-скальпель на asyncio/aiohttp для параллельных замеров, идеи DNS-задержек и эвристики для поиска внутренних сервисов и облачных метаданных.