Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
CVE-2026-0257 в Palo Alto GlobalProtect: cookie forgery без пароля, без MFA, без credentials — EPSS 0.87 за 16 дней. 13 мая — бэклог, 29 мая — CISA KEV и CVSS 7.8 urgency:Red.
Атака строится на CWE-565: auth override cookie шифруется публичным ключом HTTPS-сертификата портала. Любой достаёт его через openssl s_client -connect target:443, подделывает cookie с username=admin — шлюз расшифровывает, не проверяет HMAC, авторизует. T1190 → T1078 → T1133, полный initial access без единого пароля.
Детектировать сложно — SIEM видит валидный логин с валидным cookie. Проверь: auth override cookies включены? Сертификат совпадает с HTTPS?
SOC ищет credential stuffing — CVE-2026-0257 не крадёт credentials вообще. Windows Event Log чист.
CTF-автор потратил две недели на SQL injection + LFI цепочку — команда сдала флаг за 40 минут через брошенную .git-директорию и git dump исходников. Ноль intended path, полный unintended.
Хороший таск начинается не с кода, а с вопроса: какой конкретный навык отрабатывается? Common Modulus Attack на RSA, LFI через path traversal, memory forensics по дампу Windows — задание без цели это просто головоломка. Распределение сложности тоже не интуитивно: для обучающего CTF работает пропорция 35/35/25/5, для конференции с опытной аудиторией — 10/25/40/25.
Флаг формата `codeby{a3f8b21c4d}` — не традиция, а защита от ложных срабатываний и UX-провалов с неоднозначными символами O/0/l/1.
Unintended path ломает не задание — он ломает две недели работы автора за 40 минут.
Пять веб-тасков CTF, где логика приложения работает против него.
Уверены, что «непобедимый» Stockfish, жёсткий regex-фильтр и связка CSP + Trusted Types не оставляют шансов? На TraceBash CTF 2026 всё это обходится — если понять, как оно устроено внутри.
Разбираем предсказание ГСЧ через контролируемый seed, command injection в 15 символов на re.MULTILINE и wildcards, blind XSS через iframe srcdoc с HTML-entities и подмену ходов Stockfish прямо в браузере.
Практический разбор для пентестеров и багхантеров, которые видят уязвимость там, где другие видят «защиту».
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.