Форум информационной безопасности - Codeby.net

Статья Google Dorks для разведки внешней поверхности атаки: от пассивного recon к pre-exploitation

  • 24
  • 0
Руки в перчатках держат вскрытый сетевой модуль под лупой. Рядом лежит распечатка поискового запроса с параметрами фильтрации файлов и диагностический экран с зелёным текстом об обходе авторизации.


🔍 За 11 минут на внешнем пентесте финтех-компании запрос site:target.com filetype:env "DB_PASSWORD" вернул credentials от продакшн-базы — хост dev-payments не был в скоупе, потому что заказчик о нём забыл.

Google Dorking — MITRE T1593.002: каждый запрос уходит на серверы Google, а не к цели. Ноль записей в access-логах жертвы. Операторы filetype:env, intitle:"index of", inurl:admin покрывают kill chain от scoping до credential exposure (T1552.001) — до того, как один пакет коснётся инфраструктуры.

💡 IBM X-Force: 6000 утёкших учёток в день — не взломы, а проиндексированные конфиги. Nmap здесь лишний.

Статья Pitney Bowes: утечка данных в третий раз за 7 лет — хронические провалы IR

  • 65
  • 0
Стеклянная доска с временной шкалой трёх инцидентов и пометками об отсутствии выводов. На столе лежит распечатка тепловой карты MITRE ATT&CK с выделенными техниками атак.


🚨 Ryuk в 2019-м, Maze через 7 месяцев, ShinyHunters в 2026-м — 8,2 млн записей Salesforce. Pitney Bowes взламывали трижды, потому что postmortem ни разу не стал инженерной задачей.

Ryuk зашифровал почтовые системы через T1566/T1133, Maze вернулся и прошёл Lateral Movement до скриншотов внутренних каталогов — до Impact не дошло, но Credential Access и Discovery уже отработали. ShinyHunters закрыли триаду: фишинг → T1078 Valid Accounts → эксфильтрация CRM.

Чеклист провалов: неполная ротация credentials после Ryuk, отсутствие MFA на Salesforce, нет детекции аномального доступа к CRM (UEBA).

💡 Maze «остановили до шифрования» — но lateral movement и эксфильтрация уже завершились. Impact — последняя фаза, не единственная.

Статья Agentic AI red team безопасность: design flaws и attack vectors инструментов тестирования

  • 60
  • 0
Плата с OLED-экраном светится янтарным в конусе настольной лампы, вокруг — расплетённые шлейфы и дымок канифоли. Глубокий тёмно-бирюзовый фон поглощает тени.


🧠 Palo Alto Unit 42 воспроизвели атаки на CrewAI и AutoGen — и обнаружили, что те же design flaws сидят в самих red-team инструментах: PyRIT, DeepTeam, LangChain-harness уязвимы к prompt injection через tool output и excessive agency (OWASP LLM01:2025, LLM06:2025).

Reverse prompt injection переворачивает kill chain: целевой агент вставляет мета-инструкции в response — Scoring Engine обрабатывает их как системные, выдаёт «безопасно» при реальных дырах. MITRE ATT&CK T1562.001 — Defense Evasion прямо внутри assessment pipeline. Компрометация model_callback даёт T1552.001: API-ключи LLM-провайдеров, system prompts, tool schemas.

💡 SOC смотрит на целевые агенты — но сканер, уязвимый к атакам, которые ищет, не попадает ни в один threat model.

Статья No-Code платформы - типовые риски

  • 226
  • 0
🔥 No-code без пароля от кода: где ваша «собранная за вечер» платформа течёт данными.

Чем проще собрать сервис без программиста, тем легче забыть, у кого доступ, куда уходят заявки и что творится под капотом. А ломается безопасность не в слогане, а в настройках, которые «потом допилим».

Разбираем по платформам: слабый контроль доступа и живые автоматизации уволенных в Zapier и Tilda, Airtable как «табличный склад всего подряд» с API-дырами, и главную ловушку Bubble — клиентскую логику, которую видно через консоль браузера.

💡 Практический разбор для тех, кто строит на no-code и не хочет получить красиво оформленный хаос вместо цифровой трансформации.

Статья Курсы по кибербезопасности: как выбрать специализацию под свой карьерный трек

  • 185
  • 0
c36107dd-e584-4e9d-a4bd-695c3996c5ea.webp


🔥 Диплом «специалиста по кибербезопасности» больше не работает.

59% организаций жалуются на разрыв в профильных навыках, а курсы всё ещё штампуют «универсалов», которые не напишут ни Sigma-правило, ни detection-логику под конкретную TTP.

Разбираем четыре живых трека — Red Team (MITRE ATT&CK, AD, обход EDR), SOC (SIEM, threat hunting), AppSec (OWASP Top 10, SAST/DAST) и форензику (Volatility 3, timeline-анализ): что качать, какие сертификации брать и почему рынок платит за глубину, а не за кругозор.

💡 Практический decision tree для тех, кто хочет получить оффер, а не пять бесполезных сертификатов.

Статья Атаки на LLM системы: от prompt injection до компрометации AI-агента

  • 86
  • 0
Плата одноплатного компьютера крупным планом на чёрном антистатическом коврике. Экран отображает надпись о уязвимости инъекции, обгоревшая дорожка подсвечена красным светодиодом.


🧠 GPT-4 и Claude 2 ломаются в 80–90% случаев при roleplay, encoding и multi-turn escalation — а в production RAG-системах результаты ещё хуже, потому что атакующий отравляет контекст до того, как модель его прочитает.

Kill chain атаки на LLM покрыт MITRE ATT&CK: T1190 на входе, T1552 для утечки API-ключей из system prompt через CVE-2024-5184 (CVSS 8.5), T1496.001 для угона GPU-инфраструктуры. Garak и кастомные скрипты подтверждают — в проде ASR выше лабораторных бенчмарков.

Indirect injection — это stored XSS для LLM: вредоносная инструкция прячется в knowledge base или RAG-документе, агент исполняет её со своими токенами.

💡 SOC ищет аномалии в логах эндпоинтов — агент эксфильтрует данные CRM легитимными вызовами, и Windows Event Log молчит.

SkyCitadel — самодельная зашифрованная экосистема. Прошу аудит и критику

  • 237
  • 0
🔥 Зашифровал всё — мессенджер, соцсеть, карты и музыку — и зовёт вас искать дыры.

Автор собрал SkyCitadel: цельную экосистему, где сообщения и посты шифруются AES-256-GCM прямо в браузере, звонки идут через WebRTC P2P со сквозным шифрованием, а сервер хранит только зашифрованные блобы и в глаза не видит контента.

Фронтенд — статический HTML, мастер-ключ отделён от базы. Проект в открытой бете, код скоро на GitHub.

💡 Разбор для тех, кто умеет ломать: где здесь слабые места в архитектуре и что реально стоит усилить?
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 682
Сообщения
347 057
Пользователи
161 413
Новый пользователь
WSK001