Форум информационной безопасности - Codeby.net
Статья robots.txt, sitemap и .well-known: пассивная разведка веб-инфраструктуры без единого скана
Один GET-запрос к /robots.txt вскрыл staging-среду финтех-сервиса: Swagger UI, два admin-эндпоинта и карту внутреннего API — ноль алертов в WAF, ноль записей в IDS, ноль подозрений у SOC.MITRE T1593 (Search Open Websites/Domains) — техника, которую штатный стек мониторинга не видит в принципе. Директива Disallow в robots.txt — не инструкция «куда не ходить», а перечень самого интересного: /admin, /api/v2/internal, /staging. Wayback Machine добавляет историю: curl к архиву покажет удалённые пути, которые до сих пор живут на сервере.
OWASP A05:2021 Security Misconfiguration — корень проблемы.
SOC ловит сканы и брутфорс — пассивная разведка через control files остаётся слепой зоной любого стека.Статья Обнаружение мобильного шпионского ПО в корпоративной среде: от слепых зон MDM до network-based detection
Intune рапортовал «compliant» — пока iPhone финдиректора три недели сливал записи микрофона на C2 через HTTPS. Pegasus-класс имплантов не отражается как приложение, не триггерит jailbreak-detection и проходит все compliance-проверки.MDM-решения — Intune, Jamf Pro, Workspace ONE — проектировались для управления конфигурацией, а не детекции компрометации. Kernel-level имплант с T1573 (Encrypted Channel) и certificate pinning невидим для MDM полностью. MTD-вендоры Lookout и Zimperium закрывают массовый stalkerware, но против свежей эксплойт-цепочки Pegasus работают с отставанием.
SOC видит зелёную галочку Intune — имплант работает ниже уровня, который MDM вообще способен наблюдать.Статья CSRF атака: механика эксплуатации, обход защит и построение PoC
На пентесте финтех-платформы разработчики клялись: «CSRF невозможен — у нас CORS». Через 40 минут готовый PoC менял email аккаунта через автоматически сабмитящуюся POST-форму. CORS к запросу отношения не имел.Браузер честно отправлял session cookie вместе с «простым» запросом — сервер не проверял ничего, кроме неё. Kill chain: жертва открывает вредоносную страницу → JS вызывает document.forms[0].submit() → cookie уходит автоматически → смена email → сброс пароля → полный захват аккаунта (MITRE T1185, T1190).
Защита работает только в связке: SameSite=Strict на session cookie, CSRF-токен привязанный к сессии, проверка Origin/Referer заголовков.
CORS защищает чтение ответа. Браузер всё равно отправит запрос — и cookie вместе с ним.Статья PageFile.sys - подкачка страниц в Windows
Виртуализация памяти — реальная магия MMU. Pagefile.sys существует не из-за нехватки ОЗУ: спрос разработчиков всегда опережает железо. Разбираем механизм от GetPerformanceInfo() до побайтового содержимого PTE в WinDbg.Глобальная база PFN: каждый 4-КБ фрейм физической памяти имеет 48-байтный паспорт MMPFN по адресу 0xFFFFFA80`00000000. Шесть списков WorkingSet — от MmZeroedPageListHead до MmBadPageListHead — определяют судьбу каждого фрейма. В своп сбрасываются только «грязные» (Dirty) страницы.
Каталог страниц процесса (CR3): четырёхуровневые таблицы PXE→PPE→PDE→PTE заполняются динамически обработчиком PageFault. При сбросе в своп бит Valid обнуляется, тип PTE меняется с Hardware на Software, старшие 32 бита хранят номер слота в Pagefile. При восстановлении — PageFrameNumber в PTE меняется на новый физический фрейм.
Поле OriginalPte в MMPFN — ключ к восстановлению: именно оттуда берутся атрибуты при возврате страницы из свопа в рабочий набор.Статья Защита от DDoS атак: anycast, scrubbing-центры, rate limiting и автоматизация реагирования
UDP flood на 180 Гбит/с — и NOC-инженер вручную набирает команду активации scrubbing-центра. BGP-конвергенция 4 мин + GRE-туннель 2 мин = платёжный шлюз лежит, четверть месячного SLA-бюджета (99.95% uptime) сгорела.Anycast-сеть из 20 PoP распределила бы атаку автоматически — по 9 Гбит/с на точку, inline scrubbing за 3 мс, без единого BGP-изменения. Многовекторные атаки (T1498.001 + T1499.002) в 2025 году составляют 52% инцидентов — TCP carpet-bombing сменяется DNS amplification за три минуты, пока NOC разгребает первый вектор.
On-demand scrubbing с GRE-туннелем даёт 10–20 Тбит/с ёмкости, но скрытая цена — время диверсии.
Anycast слеп к L7: sub-Gbps HTTP flood проходит 60–120 сек до порога NetFlow-детекции.Статья Вредоносные расширения Chrome: анализ кампании с 108 малварными аддонами и методы обнаружения
108 вредоносных расширений Chrome сливали cookies Facebook Business и токены ChatGPT через CSP-stripping — кампания шла 7 месяцев, пока Cyberhaven не поймала свой аддон версии 24.10.4 за руку.Атака стартовала с OAuth-фишинга: разработчики авторизовывали приложение с правом публикации в Chrome Web Store — MFA обходился полностью, токен давал прямой доступ без повторной аутентификации. Малварный код в service worker делал heartbeat на C2, получал JSON-конфиг и через declarativeNetRequest зачищал заголовок Content-Security-Policy — после чего инжектил скрипты в любую страницу.
Chrome Web Store удалил расширения — но деинсталляции у пользователей не произошло. Миллионы остались скомпрометированы.Статья Пентест браузерных расширений: методология анализа, уязвимости и detection для SOC
Supply chain-атака на Cyberhaven (2024) превратила доверенный Chrome-плагин в инструмент эксфильтрации — один скомпрометированный OAuth-токен разработчика, и вредоносное обновление прошло проверку Web Store.Расширение с permissions cookies + <all_urls> читает HttpOnly cookies любого домена — включая SSO-сессии. Это T1539 без пароля и без MFA. Background service worker уходит во внешний C2, content script перехватывает DOM и буфер обмена (T1115), а SIEM молчит: корреляционных правил под T1176.001 в большинстве корпоративных стеков нет.
EDR видит процессы — но не JavaScript внутри браузера. 4,3 млн заражений через расширения прошли мимо endpoint-защиты.Статья Реагирование на инциденты в промышленных сетях: форензика PLC, TTPs атакующих и восстановление без остановки
Modbus FC 0x10 на реакторе, TIA Portal с учётками инженера в отпуске — SOC увидел аномалию через 12 минут, но TRITON-подобный payload уже переписывал ladder logic Siemens S7.На PLC нет диска для dd и нет ОС для Volatility. Форензика начинается с SPAN-порта и tcpdump, затем — historian OSIsoft PI для timeline, потом побайтовое сравнение OB/FC/FB-блоков с эталоном через TIA Portal. Modbus FC 0x05 и 0x06 EDR не видит: легитимный TCP на порт 502.
Защита строится на Zeek с ICS-плагинами и Claroty вместо слепого SIEM, whitelist Modbus function codes на уровне ACL, верификации .ACD-файлов через RSLogix diff.
В OT приоритет Safety → Availability → Integrity. Изоляция скомпрометированного PLC может убить людей — IT-playbook здесь не работает.