Форум информационной безопасности - Codeby.net
Статья Разработка расширений Burp Suite на Python и Java: автоматизация пентеста веб-приложений
API финтех-сервиса требовал HMAC-подпись в каждом запросе — тело, timestamp, сессионный секрет. Ни один BApp Store-плагин не поддерживал схему. Два часа на кастомное расширение с автопереподписью сэкономили неделю ручной возни с Postman.Montoya API против legacy Extender API: PortSwigger прекратил поддержку IBurpExtender и IScannerCheck — все русскоязычные гайды на Хабре устарели. Единая точка входа MontoyaApi с 24 методами: http(), proxy(), scanner(), ai(). Immutable-объекты запросов через withUpdatedHeader() исключают race condition при параллельном Intruder.
Java 21 + Gradle стартовый проект из Burp → Extension.java → ./gradlew jar → загрузка JAR. HttpHandler перехватывает исходящие запросы, вычисляет HMAC через javax.crypto.Mac и добавляет заголовок X-Signature прозрачно для Repeater и Intruder. Python через Jython — Python 2.7 в 2025 году, только для одноразовых скриптов.
Команда с кастомными сканерами под типовые мисконфигурации закрывает...Writeup Web | Просто найди его | HackerLab (WriteUp)
Кнопка выводит «совет» — POST-запрос с JSON уходит на GraphQL-эндпоинт. Первая мысль: SQL-инъекция, данные из БД. Реальность: интроспекция схемы через __schema раскрыла поле getFlag с параметром isAdmin — и флаг получен двумя запросами.GraphQL — язык запросов для API со строгой типизацией. Ключевая особенность для пентестера: интроспекция включена по умолчанию и отдаёт полную схему API — все типы, поля, аргументы. Запрос {"query": "{__schema{queryType{name}}}"} показал структуру. Дальше — поле getFlag(isAdmin: Boolean), значение true, флаг в ответе.
Вектор: GraphQL Introspection → Schema Disclosure → прямой вызов привилегированного поля без авторизации. Классическая ошибка: логика доступа вынесена в клиентский параметр isAdmin вместо серверной проверки прав.
Burp Repeater + pretty-print JSON — и GraphQL-схема читается как документация к собственному API.Статья Feature engineering для сетевого трафика: почему качество фичей решает больше, чем выбор алгоритма в ML-моделях IDS
Две недели на подбор гиперпараметров LightGBM — F1 между 0.71 и 0.74. Один вечер на три новые фичи: стандартное отклонение IAT, энтропия payload и byte ratio. F1 прыгнул до 0.93. Алгоритм тот же, данные те же — изменилось то, что модель «видит» в трафике.Три уровня признаков: пакетный (TCP-флаги, TTL), flow (byte_ratio, pkt_ratio, IAT-статистика из Zeek conn.log) и поведенческий (энтропия dst_port за окно, SYN-ratio). Маппинг на MITRE ATT&CK: std_iat < 0.5с при сессии >5 мин → beacon T1071, энтропия dst_port > 4 бит → сканирование T1046, HTTP на порту 53 → туннелирование T1572.
Python-пайплайн: zeek → pandas → производные фичи → LightGBM → SHAP для интерпретации. Три ловушки: IP-адреса в фичах вместо поведенческих агрегатов, временная утечка при двунаправленном окне, мультиколлинеарность 80+ фичей CICFlowMeter.
Менять Random Forest на Transformer при плохих фичах — это ставить спортивный выхлоп на машину с пробитым...Статья Side-channel атаки на практике: power analysis, timing attacks и electromagnetic emanation для пентестера
На пентесте IoT-шлюза UART и JTAG залочены, прошивка зашифрована AES-128. Единственный путь к ключу — дифференциальный анализ мощности: 50 000 трейсов с ChipWhisperer Lite, четыре часа захвата — все 128 бит восстановлены без знания внутренней архитектуры чипа.DPA на AES: N plaintext-входов → трейсы потребления → корреляция Пирсона гипотезы о байте ключа с Hamming weight выхода S-box → побайтовое восстановление. STM32F3 без контрмер — 10 000 трейсов. SPA на RSA через square-and-multiply: один трейс и приватный ключ виден визуально по паттернам потребления. Timing attack через memcmp с ранним выходом: 1 000+ измерений на байт в локальной сети вытягивают сигнал из джиттера.
Decision tree: JTAG открыт → OpenOCD, UART есть → binwalk, интерфейсы залочены + plaintext контролируется → DPA, физический доступ без резки цепей → EM-анализ. ChipWhisperer-Nano ($50) + STM32 Nucleo ($15) + бесплатные Jupyter notebooks — стенд для старта.
Masking 1-го порядка...Статья Отключить NTLMv1 через GPO — и всё равно увидеть его в pcap: обход LmCompatibilityLevel и аудит legacy-трафика
Домен на Windows Server 2019, GPO LmCompatibilityLevel = 5, NTLMv1 «отключён три года назад». Через двадцать минут Responder в серверном VLAN — NetNTLMv1-хеш от сервисной учётки. Legacy-приложение на IIS запрашивало NTLMv1 через собственные флаги, игнорируя GPO.Архитектурная проблема AD: LmCompatibilityLevel управляет поведением Windows-машины как прямого участника аутентификации, но не контролирует, что DC получает через MS-NRPC для валидации. Исследование Silverfort (январь 2025): on-prem приложения могут принудительно запрашивать NTLMv1 у клиентов, обходя политику. Server 2025 убирает NTLMv1 из ОС, но DC на 2025 по-прежнему валидирует его через Netlogon.
PowerShell-запрос Event ID 4624 со всех DC за неделю с фильтром NTLM V1. Wireshark-фильтры для определения версии по длине NTLM Response. NTLM relay: в NTLMv1 нет AV_PAIRS привязки к серверу — relay тривиален в отличие от NTLMv2.
Responder -A в режиме анализа за сутки покажет реальную картину NTLMv1 в сети — и она...Статья Пентест IoT-устройств: от разведки и разборки до эксплуатации по OWASP ISTG
На трёх последних IoT-проектах — в двух случаях из трёх root-шелл через UART без единого запроса пароля. Третье устройство запросило логин: admin:admin прошёл сразу. Открытый отладочный интерфейс в продакшне — не баг, а состояние индустрии.OWASP ISTG: компонентная модель IoT по двум осям — физический доступ (PA-1 удалённый до PA-4 инвазивный) и авторизация (AA-1 анонимный до AA-4 root). Аппаратный пентест: поиск UART по PCB мультиметром, определение baud rate логическим анализатором, screen /dev/ttyUSB0 115200 — и лог загрузки ядра Linux с шеллом. JTAG через JTAGulator + OpenOCD. Дамп флеш-чипа через CH341A + flashrom.
Binwalk для извлечения SquashFS, firmwalker для поиска credentials в прошивке, MQTT без аутентификации — mosquitto_sub -t '#' показывает все сообщения всех устройств. Decision tree выбора вектора: физический доступ → UART, нет доступа → сетевой уровень + прошивка с сайта вендора.
UART-шелл за 15 минут...Статья Preauth RCE и обход mTLS: разбор уязвимостей Mongoose на миллионах устройств
«ignore secp386 for now» — комментарий в коде Mongoose, и P-384 mTLS превращается в декорацию. Heap overflow в TLS-хендшейке даёт preauth RCE до первого HTTP-запроса. Библиотека заявленно работает на сотнях миллионов устройств Siemens, Schneider Electric, Google, Samsung.Три CVE в Mongoose 7.0–7.20: CVE-2026-5244 — heap overflow при парсинге клиентского сертификата, pubkey копируется в 528-байтный буфер без проверки длины из DER, RSA-8192 даёт 509 байт за пределами. На embedded MIPS без ASLR и с исполняемой кучей — прямой shellcode от root. CVE-2026-5246 — любой самоподписанный сертификат проходит P-384 верификацию. CVE-2026-5245 — stack overflow одним UDP-пакетом через mDNS.
Fingerprinting через HTTP-заголовок Server: Mongoose/X.XX и TLS-fingerprint. Патч в v7.21. Для непатчируемых устройств: отказ от P-384 CA и сетевая сегментация с мониторингом oversized сертификатов.
CVSS 5.5 (MEDIUM) — это preauth root shell на IoT без ASLR. Формальный score не учитывает реальность embedded.Статья Реверс-инжиниринг iOS приложений: IPA-анализ, class-dump и Frida глазами защитника
За 40 минут статического анализа IPA — три захардкоженных API-ключа, endpoint внутреннего микросервиса и HMAC-секрет. Ключи работали в продакшене восемь месяцев. Потенциальный ущерб: доступ к данным 200+ тысяч клиентов и оборотные штрафы по 152-ФЗ.Цепочка атаки: unzip IPA → otool + strings для поиска секретов → class-dump для карты методов (isJailbroken, setupCertificatePinning, apiSecret прямо в интерфейсах) → Hopper для анализа логики → Frida-хук на
loginWithUsername:password: перехватывает credentials до шифрования. Медиана «времени до первого секрета» для корпоративных iOS-приложений — 25 минут.Серверная детекция для SOC: аномальный User-Agent после обхода pinning, всплеск 4xx/5xx с одного токена, запросы с отозванными hardcoded-ключами, отсутствие App Attest-маркера. Hardening-чеклист из 10 пунктов по OWASP MASVS-RESILIENCE.
Прогоните strings и class-dump на своей production-сборке прямо сейчас — если в выводе мелькнул ключ, атакующий...