Форум информационной безопасности - Codeby.net
Статья Инъекция промптов в GitHub Actions: анатомия Agentic Workflow Injection
13 000 агентских workflow в GitHub Actions. 496 подтверждённых уязвимостей. 343 zero-day. Official Actions от Google, Anthropic, OpenAI — в списке затронутых. Время от создания malicious issue до эксфильтрации секретов — секунды. Человеческий review в цепочке отсутствует полностью.Agentic Workflow Injection — новый класс атак на стыке prompt injection и Poisoned Pipeline Execution. Атакующий контролирует заголовок issue или тело PR — агент сам вызывает shell, читает GITHUB_TOKEN и записывает секреты в открытый доступ. Не через эксплойт — через осмысленные инструкции на естественном языке. Regex-фильтры бессильны: модель оперирует семантикой, а не синтаксисом.
Два паттерна: Prompt-to-Agent (payload → промпт → tool call) и Prompt-to-Script (payload → output LLM → shell downstream). Decision tree для оценки своих workflow — пять шагов.
Только 21 action из 1033 на GitHub Marketplace имеет механизм контроля caller identity. Два процента.Статья CISO карьера: roadmap от инженера до директора по ИБ в 2026 году
Высокую оценку от генеральных директоров получают только 25% CISO. Полуторакратный разрыв между самооценкой и восприятием бизнеса — не проблема самомнения. Инженер, который закрывает уязвимости быстрее всех, проваливает первое совещание с CFO, потому что не умеет конвертировать CVSS 9.8 в рубли ущерба.Медиана CISO в Москве — 520 000 руб./мес., верхняя граница с бонусами — 2 000 000. Шестикратный разрыв с позицией специалиста. Рынку не хватает людей, которые одновременно разбираются в технике, умеют управлять и понимают регуляторику — поиск CISO затягивается на 4–6 месяцев.
Три этапа roadmap: 0–3 года технической базы, 3–7 лет руководства направлением, 7+ лет на C-level. КИИ, 683-П, лицензирование ФСТЭК — проекты, которые двигают резюме. CISSP vs CISM vs CEH — что реально добавляет к вилке.
Простой индикатор готовности: когда вместо «критическая уязвимость в Apache» говорите «час простоя стоит 800 000 рублей» — вы уже мыслите как CISO.Статья Основы сетей для пентестера: модель OSI, TCP/IP и протоколы, которые нужно знать
Запустил ARP-спуфинг в корпоративной сети — не перехватил ни одного пакета. Сорок минут перебирал настройки, пока коллега не спросил: «А ты проверил, что цель в одном VLAN с тобой?» ARP-фреймы не выходят за пределы broadcast-домена. Сорок минут впустую.Модель OSI для пентестера — не определения из учебника, а карта: «На каком уровне я сейчас и что здесь возможно?» ARP-спуфинг — L2, работает только внутри сегмента. Responder — L2 и L7 одновременно. SQL-инъекция — чисто L7. Три разных вектора, три разных набора ограничений.
TCP-рукопожатие, SYN-скан, почему open/closed/filtered — это разные вещи. Wireshark живьём: каждый SYN-пакет и SYN-ACK в реальном трафике, не на картинке.
Когда обёртка не работает — два пути: вслепую перебирать инструменты или открыть Wireshark. Второй экономит часы.Статья Атаки через Microsoft Teams: кража учётных данных и обход MFA — техники и защита
Вишинг через Teams, Quick Assist, MSI с вредоносной DLL — и C2-канал. Device code phishing: пользователь проходит настоящую аутентификацию на настоящем microsoft.com, FIDO2 подтверждает домен — токен уходит атакующему. MFA не при делах by design.Teams — не мессенджер. OAuth-клиент с доступом к Microsoft Graph API, SharePoint и Entra ID. Компрометация через чат даёт живой токен внутри тенанта — почтовые фильтры вообще не задействованы.
Три вектора: вишинг через External Access, device code phishing через штатный OAuth-флоу, AiTM-прокси с перехватом сессии после любой MFA. Таблица: какой второй фактор от чего защищает — и где не защищает ничего.
CA policy для блокировки device code flow — пять минут настройки. Остановила бы целые кампании Storm-2372 на уровне аутентификации.ми и Sigma-правилами под разные SIEM-стеки.Статья Malware Analysis для CTF: anti-debug, anti-VM, кастомные шифры и автоматизация с angr и Frida
Три уровня защиты в одном бинаре: TLS callback с IsDebuggerPresent, CPUID-запрос на гипервизор, кастомный XOR с динамическим ключом. Ручной разбор в Ghidra — от получаса. angr-скрипт на 15 строк — секунды.Разница между «два таска за восемь часов» и «шесть за то же время» — не талант, а понимание паттернов anti-analysis. Те же техники, что авторы CTF тащат из реального malware: IsDebuggerPresent, RDTSC timing checks, CPUID hypervisor bit, UPX с модифицированным заголовком, RC4 по S-box паттерну, TEA по константе 0x9E3779B9.
Decision tree: когда angr закрывает задачу за 30 секунд, когда Frida перехватывает крипто в рантайме, когда только ручной разбор. ScyllaHide, Findcrypt, Frida Stalker для VM-обфускации.
angr не замена пониманию — мультипликатор. Без чтения asm не будете знать, какой адрес передать в find.Статья Атаки на аутентификацию: полный разбор техник компрометации OAuth, MFA, Kerberos и identity-инфраструктуры
Три из четырёх вторжений в 2024 году — без единого эксплойта. Атакующие просто вошли с валидными учётными данными. Среднее время от входа до латерального перемещения — 62 минуты. Рекорд — 51 секунда.Identity — новый периметр, и он уже скомпрометирован. Четыре уровня цепочки: получение кредов → обход MFA → перехват токенов и билетов → Golden Ticket и domain takeover. Kerberoasting без привилегий, AS-REP Roasting без учётки, AiTM с перехватом сессии через Evilginx, OAuth Device Flow против Microsoft 365, Pass-the-Hash из lsass, Pass-the-PRT в обход Conditional Access.
Decision tree для внешнего и внутреннего пентеста по всем сценариям. Sigma-правила, Event ID и D3FEND-контрмеры для каждой техники.
«У нас есть MFA» звучит убедительно на совещании. Ничего не значит при атаке через push-усталость или AiTM-прокси.Статья Аудит WiFi: атаки на WPA2 и WPA3 — практический гайд для пентестера
Пароль Company2024! на корпоративном Wi-Fi. RTX 4090, словарь rockyou, правило best64 — 11 минут с парковки через направленную антенну Alfa. Три этажа, двести сотрудников, сегментация VLAN — всё это открылось без фишинга и VPN.PMKID-атака — самый тихий вектор 2025 года: hcxdumptool отправляет Association Request, AP возвращает PMKID в EAPOL M1, клиенты не нужны, WIDS молчит. WPA2-Enterprise без certificate pinning — Evil Twin через eaphammer, MSCHAPv2 challenge/response, NT-hash в Hashcat. WPA3 Transition Mode оставляет те же инструменты через downgrade до WPA2.
Decision tree по всем конфигурациям: WPA2-PSK, Enterprise, WPA3 SAE, Open. OPSEC против WIDS — что детектируется моментально, а что проходит незамеченным.
Не WIDS и не WPA3 останавливают PMKID-атаку. Останавливает пароль 15+ символов. Всё остальное — только замедляет.Статья SSRF уязвимость: поиск, эксплуатация и цепочки атак в пентесте
Параметр callback_url, Burp Collaborator, DNS-запрос с внутреннего IP — и через 20 минут временные IAM-креды AWS через 169.254.169.254. Вся цепочка до S3-бакетов — меньше часа. При наличии WAF на входе.
SSRF — не финальная цель, а прыжок за периметр: один HTTP-запрос превращает внешний пентест во внутренний. Где искать: webhook-обработчики, загрузка файлов по URL, OAuth callback, заголовки Host и X-Forwarded-Host.
Blind SSRF через OOB-канал, bypass WAF через decimal/hex/IPv6 и redirect-цепочки, IMDSv1 vs IMDSv2, gopher:// к Redis — разобрано пошагово. CVE-2024-4084: regex-denylist в AnythingLLM обходится за 5 минут.
Regex на 127.0.0.1 — не защита. 2130706433 проходит незамеченным.Статья Purple Team на практике: workflow валидации детектов и закрытия gaps в покрытии ATT&CK
SOC поставил зелёную ячейку на T1003.001 — «Mimikatz ловим». Purple Team за полтора часа: coverage 33%. comsvcs.dll через rundll32 и ProcDump прошли мимо Elastic 8.x и CrowdStrike Falcon незамеченными.Три системных провала Red→PDF→Jira: информационная асимметрия — Blue видит результат, не технику; ложное покрытие — одна сигнатура не равна закрытой технике; временной лаг — отчёт за месяц стреляет по координатам, где цели уже нет.
Purple Team цикл: Red называет технику заранее → Blue смотрит в реальном времени → root cause → fix → верификация на месте. Detection Rate первого цикла — 25–40%. Третьего — 70+. Это измеримый прогресс, а не PDF в Jira.
Coverage ATT&CK после первого честного прогона — ниже 30% в большинстве компаний. Это не катастрофа. Это стартовая точка.Статья Метрики эффективности пентеста: формулы ROI, KPI-дашборд и обоснование бюджета
CFO каждый квартал: «47 уязвимостей — и что изменилось?» Ответ «стали безопаснее» не конвертируется в подпись на бюджете. Конвертируется дельта risk exposure в рублях.Три причины, почему количество находок бесполезно: зависит от scope, severity распределена неравномерно, 47 уязвимостей без ремедиации не снижают риск. Среднее время патчинга — 202 дня, weaponization эксплойта — 8 дней. Окно уязвимости 7 месяцев.
Breach Risk = Likelihood (%) × Impact (руб.). RCE на внешнем периметре — Likelihood 15%, Impact 45 млн = 6,75 млн risk exposure. После ремедиации Critical — 1,35 млн. ROI = (5,4 млн - 2,8 млн) / 2,8 млн = 92,8%. Каждый рубль вернул 1,93 рубля.
80% компаний не имеют ни одной метрики ремедиации. Отчёт уходит в PDF, через год — те же находки.