Форум информационной безопасности - Codeby.net
Статья Side-channel атаки на чиплеты: новая физическая поверхность атаки в 2.5D/3D системах
RF-чиплет внутри гетерогенной 2.5D-упаковки захватывает электромагнитный сигнал, коррелированный с криптографической активностью соседнего die — без физического пробника на поверхности корпуса. Атакующий больше не снаружи корпуса. Он внутри упаковки, в сотнях микрон от жертвы.Три физических канала утечки, которых нет в монолитных SoC: substrate coupling через интерпозер, TSV coupling через взаимную индуктивность в 3D-стеках, RF/EM coupling через антенный элемент соседнего чиплета. Пассивная атака — жертва работает штатно, аномалий нет.
Confidential computing (AMD SEV-SNP, Intel TDX) строит trust boundary на уровне физического пакета. Если один из die скомпрометирован через supply chain — вся модель рушится. UCIe-консорциум side-channel isolation между чиплетами не адресует вообще.
CPA/CEMA workflow с кодом на Python. SNR при substrate coupling требует от 100k трасс против 10k при прямом probe.Статья CVE-2026-35031 Jellyfin RCE: от загрузки субтитров до root через ld.so.preload
CVSS 9.9, три CWE в одном HTTP-параметре. CVE-2026-35031 в Jellyfin до 10.11.7 — поле Format в эндпоинте POST /Videos/{itemId}/Subtitles принимает /../../../etc/ld.so.preload как легитимное расширение. Шесть шагов от загрузки .srt-файла до root shell.Три CWE в одном параметре: CWE-20 (нет whitelist-валидации), CWE-22 (конкатенация пути без канонизации), CWE-187 (частичное сравнение строки пропускает traversal). Arbitrary file write → .strm-трюк для чтения jellyfin.db → хеши паролей admin → ld.so.preload injection → glibc загружает вредоносный .so при следующем старте процесса.
В том же релизе 10.11.7 закрыты ещё три CVE с той же корневой причиной. CVE-2026-35033 — unauthenticated file read вообще без аутентификации. Четыре CVE — один архитектурный паттерн.
«Домашний медиасервер» стоит на том же хосте, что и Wireguard, Pi-hole и SSH-ключи к production.Статья WOOTdroid: аудит Android Binder IPC без семантического разрыва
На Pixel 9 с Android 16 eBPF-трассировщик перехватил на 33% больше системных вызовов, чем штатный ftrace. Overhead — не выше 3.6%. И параллельно — декодировал имена методов и типизированные аргументы из сырых Binder-транзакций. Без патчей ядра, без пересборки AOSP, без инъекций.Binder IPC — единственный штатный канал между приложением и системными сервисами Android. Ядро видит только ioctl() с хэндлом и сырыми байтами Parcel. Малварь через прямой native ioctl() минует Framework API и все user-space хуки (Frida, BPFroid) — полностью невидима.
WOOTdroid решает это: eBPF перехватывает в ядре (обход невозможен), signature table из AIDL-интерфейсов реконструирует семантику вне процесса приложения. ISms.sendTextMessage("+7XXXXXXXXXX") вместо ioctl(7, 0xc0306201, 0x7fc3a12000).
Единственный способ увидеть что приложение реально делает — собрать стенд и трассировать руками.Статья Обход ML-детекторов фишинга через отложенный рендеринг: от 100% к 0% детекции
PhishIntention показывает 100% accuracy на бенчмарках. Пять строк CSS и JavaScript — задержка рендеринга логотипа на 5 секунд — и detection rate падает до абсолютного нуля. Не до 80%, не до 30%. До нуля.Визуальные ML-детекторы фишинга захватывают скриншот через фиксированный интервал после загрузки страницы. В PhishIntention это 2 секунды, захардкожено в коде. Среднее время полной загрузки страницы — 7.2 секунды. В этот timing gap атакующий прячет логотип через clip-path или pixelation Canvas. Детектор видит пустую страницу, помечает как легитимную. Пользователь видит полный клон бренда.
Две техники: curtain effect (постепенное раскрытие через clip-path) и pixelation (прогрессивное увеличение разрешения). Оба — 8-10 строк кода, без серверной логики, невидимы в DOM.
Любой фиксированный таймаут может быть превышен. Атакующий меняет одну цифру в setTimeout.Статья Пентест Android-приложений: от настройки окружения до обхода root-detection и SSL pinning
Стандартный Frida-скрипт не обошёл SSL pinning — приложение использовало OkHttp3 с CertificatePinner плюс кастомную проверку целостности APK. Четыре часа на декомпиляцию и точечный хук. IDOR в платёжном API нашёлся за 15 минут после этого.80% времени мобильного пентеста уходит на подготовку окружения, а не на поиск уязвимостей. Статья закрывает именно это: эмулятор vs физический девайс, frida-server той же версии что frida-tools, сертификат Burp в системном хранилище на Android 7+.
Decision tree SSL pinning bypass: network_security_config.xml → Objection → Frida-скрипт для OkHttp/TrustKit → frida-trace для идентификации кастомного метода → Flutter отдельно. Три уровня обхода root-detection. Таблица Frida vs Objection vs Xposed по задачам.
Root-detection и SSL pinning останавливают ленивого атакующего. Серверное API остаётся дырявым.Hackerlab 🎯 Сетевая разведка за 30 дней — 4 недели практики на HackerLab
4 недели — 4 инструмента сетевой разведки. Recon — самая недооценённая фаза пентеста. 80% реальных engagement'ов начинаются с банального nmap и gobuster. Кто умеет читать вывод сканера — находит уязвимости.Серия задач на HackerLab.pro: 1–7 июня — nmap port scan и banner grabbing (200 очков), 8–14 июня — service enumeration через SSH и FTP (200 очков), 15–21 июня — web reconnaissance с gobuster и ffuf (400 очков), 22–28 июня — полная цепочка recon → exploitation с Burp и hydra (500 очков).
Все задачи retired — writeup'ы после дедлайна приветствуются. Еженедельные треды с обсуждением инструментов. Топ-3 первых solver'ов каждой недели — мерч от Codeby.
К концу июня — свой стартовый чек-лист «что делать, когда увидел новый IP».Статья Современные методы обхода WAF в задачах с нестандартным XSS
Скорее всего, вы уже знаете что такое XSS, но давайте для полноты картины повторим.
CSP ограничивает браузеру круг поиска кода, но JSONP callback hijacking обходит его через доверенный домен. WAF блокирует <script> в URL, но пропускает его в application/json или в заголовке Referer. Polyglot payload валиден одновременно в HTML и JS — и работает в обоих контекстах.Статья проходит полный путь от основ к продвинутой эксплуатации: три типа XSS, Defense in Depth через CSP/HttpOnly/SRI/WAF, WAF fingerprinting для Cloudflare/Imperva/AWS с конкретными обходами. Encoding chains, case variation, context switching, dangling markup injection, base-uri injection.
Продвинутый уровень: mXSS через innerHTML, DOM clobbering, Prototype Pollution → XSS. Практический блок — разработка эксплойта, фаззинг через Burp Suite Intruder, отладка в DevTools.
WAF — дополнительный слой, не замена экранированию. Сложные payloads маскируются под текст.FAQ 🎯 Карьерный навигатор в кибербезопасности 2026: треки, зарплаты, точки входа
Карьерный навигатор в кибербезопасности 20265 треков в ИБ, реальные зарплаты и пошаговый план — карьерный навигатор 2026.
«С чего начать в инфобезе?» — вопрос, который задают сотни раз. Вместо ответов в личку — собрали всё в одном месте: пентест, SOC, DFIR, AppSec, Red Team — куда идти, сколько платят и какие навыки нужны прямо сейчас.
Внутри — медианные зарплаты по Москве на 2026 год, конкретные точки входа в каждый трек, план действий для тех, кто только смотрит в ИБ, и чёткий чеклист роста для junior'ов, которые упёрлись в потолок.
Открытый тред с опросом и живой обратной связью — комментируй, спрашивай, выбирай свой путь.Статья Анализ вредоносного ПО: пошаговый разбор семпла от статики до динамики
Свежий стилер с IR-кейса: запакованный PE, XOR-шифрованные строки, process hollowing в svchost.exe, HTTP-канал на C2. Автоматический sandbox конфигурацию не вытащил. Пришлось препарировать руками — от первого хеша до готовых IOC и YARA-правила.Infostealers вышли на первое место — 32% всего malware в 2024 году, обогнав ransomware. Ручной разбор нужен для оставшихся 20% инцидентов, где автоматика ломается: кастомные протоколы C2, многослойное шифрование, таргетированные атаки.
Decision tree по каждому этапу: статика (DIE, FLOSS, строки), распаковка в x64dbg через Scylla, поведенческий анализ в Process Monitor и Wireshark, глубокий реверс XOR-функций в IDA/Ghidra. Python-скрипт деобфускации. YARA-правило с байтовыми паттернами. ATT&CK-маппинг из 8 техник.
Аналитик, который два года не открывал дизассемблер — не справится с APT-инструментом в 3 ночи.Статья Валидация безопасности в 2026 году: BAS, автоматизированный пентест и ручное тестирование — полное руководство
Восьмизначный бюджет на NGFW, EDR, SIEM, WAF. На бумаге — покрытие по каждому вектору. На практике — ни одну из этих систем никто не проверял реальной атакой. Объём атак с шифрованием упал на 38%, эксфильтрация через легитимные облачные API стала основным вектором.Три метода валидации и где каждый слеп: BAS проверяет контроли непрерывно, но не строит реальных цепочек атак. Автоматизированный пентест строит attack paths, но не видит detection stack. Ручное тестирование закрывает то, что автоматизация не закроет никогда — бизнес-логику, EDR-evasion под конкретного вендора, реакцию SOC.
Три мифа, из-за которых программы проваливаются. Таблица платформ BAS 2026 с ценами. Decision tree по уровням зрелости от $500K до $2M+.
BAS-платформа без Purple Team workflow — дорогой генератор PDF-отчётов.