Форум информационной безопасности - Codeby.net

Writeup Прохождение TraceBash CTF 2026 (категория web)

  • 136
  • 0
Разбор веб-тасков CTF: экран с кодом эксплойта, command injection и blind XSS


🔥 Пять веб-тасков CTF, где логика приложения работает против него.

Уверены, что «непобедимый» Stockfish, жёсткий regex-фильтр и связка CSP + Trusted Types не оставляют шансов? На TraceBash CTF 2026 всё это обходится — если понять, как оно устроено внутри.

Разбираем предсказание ГСЧ через контролируемый seed, command injection в 15 символов на re.MULTILINE и wildcards, blind XSS через iframe srcdoc с HTML-entities и подмену ходов Stockfish прямо в браузере.

💡 Практический разбор для пентестеров и багхантеров, которые видят уязвимость там, где другие видят «защиту».

Статья CTF и машинное обучение: разбор атак на ML-модели в соревнованиях

  • 23
  • 0
Тёмный акриловый блок с надписью о десериализации Python стоит на антистатическом мате. Рядом ноутбук с графом нейросети и паяльный щуп в мягком расфокусе.


🧬 На PHDays 9 только 14 из 130 участников AI CTF сдали хотя бы один флаг — задача Prediction Challenge пряталась за ML-фасадом, а внутри был чистый RCE через pickle-десериализацию.

Типичный сценарий: сервис принимает `.pkl`-модель, вызывает `pickle.load()` без санитизации — и payload через `__reduce__` уходит в исполнение. MITRE T1190 → T1059.006 → T1552.001: Initial Access, Execution, кража приватного датасета для переобучения модели до accuracy 1.0.

Статья разбирает шесть устойчивых типов ML-атак в CTF: pickle RCE, adversarial evasion против LSTM-WAF, обман классификаторов минимальным возмущением тензора, prompt injection в LLM, model extraction через API и model inversion.

💡 Задача выглядит как data science — решается как pwn. Флаг лежит не в весах модели.

Статья Защита от ransomware для малого бизнеса: от вектора атаки до detection-правила

  • 34
  • 0
Криминалистический стол с разобранным сетевым устройством на чёрном мате. Руки в перчатках держат щуп у повреждённой платы, на дисплее — текст об уязвимости.


🧨 Сервисная учётка Veeam с правами локального админа — и ransomware зашифровал репозиторий вместе с production. 80 хостов, 11 дней простоя, ущерб в четыре раза выше суммы выкупа.

Akira, Qilin и Play целенаправленно выбирают SMB: RDP без MFA, один сисадмин, нет EDR. CVE-2024-40766 (SonicWall, CVSS 9.8) и CVE-2025-5777 (Citrix NetScaler, CVSS 9.3) — оба в CISA KEV с пометкой ransomware, оба стандартный периметр российского SMB. После T1078 lateral movement через легитимные инструменты — SIEM молчит.

Detection-стек без бюджета: Sysmon (конфиг SwiftOnSecurity) + Wazuh.

💡 Ransomware давно не ломает периметр — он заходит через валидные учётки, которые SOC считает нормой.

Статья Hack The Box для начинающих: от регистрации до первого root-флага

  • 237
  • 0
Небольшой потёртый сундук с поднятой крышкой, внутри светится зелёный флаг. Позади — экран терминала с выводом сканера портов в тёмных угольных тонах.


🔐 Три часа на telnet без пароля — именно так начинался путь до Pro Hacker на HTB. Методология kill chain (T1595 → T1190 → T1068) вбивается через десятки повторений: разведка nmap, точка входа gobuster, повышение привилегий — и root-флаг.

Starting Point затягивает с первой машины Meow: nmap -sV вскрывает открытый Telnet, логин root без пароля — и флаг у вас. Но уже на второй машине появляется FTP anonymous, на третьей — SQL-инъекция через curl. Каждый бокс тренирует конкретный MITRE ATT&CK-техник, а не абстрактную теорию.

Перед стартом — обязательно локальная Kali с Bridged Adapter в VirtualBox, иначе OpenVPN режет трафик и tun0 не поднимается.

💡 Easy-боксы закрываются за 40 минут не из-за инструментов — nmap не стал умнее. Методология решает.

Статья Защита от ransomware 2026: полный разбор тактик, Recovery Denial и оборона backup-инфраструктуры

  • 200
  • 0
Резервный NAS-накопитель на тёмном антистатическом коврике с красным OLED-дисплеем, отображающим системные предупреждения. Отключённый кабель уходит в тень, янтарный свет скользит по матовому метал...


🔍 57% организаций узнают о компрометации извне. А когда обнаруживают сами — бэкапы уже мертвы. VSS удалены, агенты Veeam остановлены, каталоги зашифрованы за сутки до удара.

Ransomware 2026 — это не шифрование "в лоб", а многоэтапная операция. Initial access через стилер-логи за $500, lateral movement до domain admin, Discovery backup-инфраструктуры, Recovery Denial (удаление VSS, остановка агентов), и только потом encryption. Dwell time сжался до 11 дней, а Akira и Medusa укладываются в 60 минут.

Защита — это не prevention, а recovery. Правило 3-2-1-1-0, immutable storage, air-gap, detection pre-ransomware активности (NTDS dump, backup discovery, vssadmin).

💡 100% инцидентов с выплатой выкупа объединяет одно — неработающее восстановление. Backup — это security-функция, а не IT-операционка.

Статья Защита от вредоносных расширений браузера: Chrome Enterprise политики, allowlisting и detection в SIEM

  • 211
  • 0
Распечатка матрицы MITRE ATT&CK на плотной бумаге с выделенной синим маркером техникой T1176. Рядом лежит перьевая ручка, латунный пресс-папье отбрасывает мягкую тень.


🧩 24 декабря 2024 года расширение Cyberhaven (400 000 установок) получило вредоносное обновление 24.10.4 — OAuth-фишинг обошёл MFA, C2 на cyberhavenext[.]pro сливал Facebook Ads cookies. EDR не сгенерировал ни одного алерта.

Расширение работало внутри легитимного chrome.exe — для EDR и файрвола это просто браузер, ходящий в интернет. MITRE T1176 (Browser Extensions): persistence без отдельного процесса, exfiltration через HTTPS, нулевых событий process start в Windows Event Log.

Защита строится на Chrome Enterprise GPO: ExtensionInstallBlocklist = *, явный allowlist по 32-символьным ID, ExtensionSettings с version pinning.

💡 Allowlist не спасает: Cyberhaven был в нём. Version pinning в ExtensionSettings — единственный контроль над supply chain расширений.

Статья Manifest V3 и безопасность расширений Chrome: что мониторить, как детектить и где MV3 не спасает

  • 231
  • 0
Распечатанный файл манифеста на кремовой бумаге с кодом и пометками чернилами. Рядом лежит открытая перьевая ручка, мягкий дневной свет падает слева.


🧩 Cyberhaven версия 24.10.4 с троянизированными worker.js и content.js скомпрометировала 2,6 млн пользователей — и все расширения работали на «безопасном» Manifest V3.

OAuth-токен разработчика перехвачен фишингом, вредоносная версия опубликована в Chrome Web Store. Content.js инжектировался через «matches»: «all_urls» с document_start — собирал cookie и сессии. MV3 не заблокировал ни один этап: webRequest остался read-only, но наблюдает за URL и телами запросов, content scripts работают как прежде, declarativeNetRequest допускает 30 000 динамических правил в рантайме.

💡 EDR молчит — расширение легитимный insider. MV3 убрал eval, но сохранил все data-access API.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 575
Сообщения
346 925
Пользователи
161 246
Новый пользователь
cia