Форум информационной безопасности - Codeby.net

Wi-Fi - это не удобство, а отдельный периметр
В статье разберём, почему корпоративный Wireless в 2026 году - это полноценная зона риска. От coexistence WPA2/WPA3 и IoT-сегментов до слабых EAP-профилей и transition mode - безопасность определяется не стандартом, а конфигурацией.

🛠 От железа до handshake: как проходит реальный wireless-пентест
Покажем, какое оборудование действительно работает (monitor mode, injection), как строится Recon в эфире, чем отличаются атаки на WPA2-PSK и WPA2-Enterprise, и где WPA3 реально помогает, а где оставляет поверхность атаки.

Evil Twin, перехват учёток и pivot во внутреннюю сеть
Разберём атаки на 802.1X, downgrade EAP, credential interception и post-exploitation через Wi-Fi. И главное - какие архитектурные решения (EAP-TLS, сегментация, WIDS/WIPS) делают беспроводной доступ управляемым сервисом, а не точкой входа в домен.

AI против человека в пентесте - кто эффективнее?
В 2026 году автономные агенты уже не просто помогают искать уязвимости - они соревнуются с людьми. Но как объективно сравнить их эффективность? В статье разберём, почему без стандартизированных бенчмарков невозможно отличить реальный прогресс от маркетинга.

CVE-Bench, CyberBattleSim, NetSecGame - что стоит за этими названиями?
Вы узнаете, как устроены современные полигоны: от контейнеризированных CVE-уязвимостей до симуляции целых корпоративных сетей с AI-агентами и стохастическими защитниками. Разберём архитектуру, метрики (SuccessRate@k, PR, cost), реальные результаты и ограничения каждого подхода.

Гонка вооружений AI vs AI и новые риски MCP
Поговорим о Model Context Protocol, supply chain-рисках, tool poisoning и о том, как AI-агенты уже сокращают время “от патча до эксплойта” до минут. А главное - обсудим, что это значит для профессии пентестера и как...

Bash для ИБ-специалиста: незаметный, но мощный инструмент
Устали тратить часы на рутину - логи, сканирования, отчётность? В этой статье вы узнаете, как превратить Bash в своего незаменимого помощника для автоматизации любых задач в кибербезопасности.

От логов до разведки
Разберём, как Bash ускоряет анализ логов, парсинг данных, сканирование портов и мониторинг сети. Простые пайпы, grep, awk и xargs - и рутинные процессы начинают работать сами.

Автоматизация, которая работает за вас
Пошагово покажем, как строить pipeline'ы для recon, hunting, alerting и генерации отчётов. Всё с готовыми шаблонами скриптов, которые действительно экономят время.

Понимание современных угроз MFA
В этой статье вы узнаете, почему MFA, несмотря на свою популярность, всё чаще становится уязвимой для атак. Мы разберём техники обхода MFA, такие как MFA fatigue, SIM swap, и real-time phishing proxies, которые позволяют хакерам обойти стандартную защиту и проникнуть в аккаунты.

Типы MFA и их уязвимости
Мы рассмотрим основные типы двухфакторной аутентификации - от SMS до FIDO2, покажем их слабые места и объясним, почему старые методы (например, SMS) уже не подходят для защиты важных аккаунтов в 2026 году.

Решения для защиты: FIDO2 и переход на более безопасные методы
Как защитить себя от современных атак и перейти на более надёжные методы аутентификации? Мы объясним, почему FIDO2 является золотым стандартом защиты от фишинга и как его внедрить в вашу организацию.

Что такое Промпт-Инъекции и Джейлбрейк?
В этой статье мы разберем два актуальных типа атак на системы с большими языковыми моделями (LLM): Джейлбрейк и Промпт-инъекции. Вы узнаете, как эти уязвимости могут быть использованы злоумышленниками для обхода правил безопасности, манипулирования данными и выполнения нежелательных действий.

Разница между Джейлбрейком и Промпт-инъекцией
Они часто путаются, но на самом деле эти атаки имеют разные цели и методы. Джейлбрейк направлен на обход встроенных ограничений модели, в то время как промпт-инъекция касается манипуляции с данными, которые модель обрабатывает, что может привести к утечке данных и несанкционированным действиям.

Как защититься?
Мы рассмотрим ключевые методы защиты от этих атак, включая использование многослойных стратегий защиты, улучшение обучения модели, использование криптографических техник и другие средства для защиты данных и систем.

Время как канал утечки данных: Почему защита не всегда означает безопасность
В этой статье мы разберемся, как тайминговые атаки могут использовать разницу во времени выполнения операций для извлечения секретной информации. Поймем, почему "безопасное" сравнение строк может стать уязвимостью.

Тайминговые атаки: Ловушки для разработчиков
Мы поговорим о том, как процессоры и их особенности влияют на работу кода. Разберемся, как с помощью тайминговых атак можно извлечь секретные данные, анализируя время выполнения операций, таких как сравнение строк или паролей.

Простые ошибки и сложные последствия
От базовых ошибок в коде до более сложных атак на систему - вы узнаете, какие механизмы делают систему уязвимой. Поймем, как можно избежать таких атак, и как на практике с этим бороться.

SSRF в 2026: новые техники эксплуатации и обход фильтров
Хотите узнать, почему SSRF по-прежнему одна из самых опасных уязвимостей в мире безопасности? В этой статье мы подробно разберём, как злоумышленники используют SSRF для обхода фильтров, доступа к облачным метаданным и эксплуатации внутренних сервисов.

Что вас ждёт в статье:
Вы получите актуальную информацию о новых техниках обхода фильтров, включая DNS rebinding через DoH, манипуляции с URL и новые методы обхода WAF. Мы также затронем защиту от SSRF, такие как настройка IMDSv2 и сетевое сегментирование, чтобы вы могли закрыть уязвимости в своей инфраструктуре.

Готовы углубиться в SSRF?
В этой статье разобраны как старые, так и новые методы эксплуатации SSRF в 2026 году. Прочитайте её, чтобы быть готовым к атакующим, использующим самые современные способы обхода безопасности.

Как работают уязвимости в JWT?
В этой статье мы подробно разберем, как злоумышленники могут использовать ошибки в реализации JWT для обхода аутентификации и авторизации. Узнайте, какие атаки через алгоритм none, подмену ключей и слабые секреты могут привести к компрометации системы.

Практические примеры и инструменты
Мы рассмотрим реальные инструменты для тестирования JWT‑уязвимостей, такие как jwt_tool и Burp Suite, с примерами того, как их эффективно использовать для нахождения и эксплуатации уязвимостей.

Защита от атак на JWT
В завершение вы узнаете, как правильно защищать JWT‑токены от атак, включая внедрение строгой валидации алгоритмов, ротацию ключей и минимизацию времени жизни токенов. Подробное руководство по обеспечению безопасности в современных микросервисах.

Искусственный интеллект больше не эксперимент - это инфраструктура. Банки, госсервисы, финтех, автоматизация решений. Но вместе с масштабированием LLM растёт и поверхность атак.

В статье разберём реальный ландшафт угроз 2026 года: prompt injection, отравление обучающих данных, excessive agency, атаки на цепочку поставок и утечки чувствительной информации. Покажем, почему классический AppSec больше не покрывает все риски.

Вы узнаете, как выстраивать защиту LLM на практике: guardrails, валидация входа, контроль происхождения данных, human-in-the-loop, secure supply chain и мониторинг аномалий. Без абстракций - только архитектурный подход и конкретные принципы.

Red Team-тестирование для критической инфраструктуры: Как быть безопасным и эффективным
Задача Red Team в критической инфраструктуре - не просто взломать систему, а сделать это так, чтобы не повредить важные производственные процессы. В статье мы расскажем, как правильно подходить к тестированию и моделированию атак, чтобы минимизировать риски для физических объектов и процессов.

Как избежать реальных последствий и работать по регуляциям
Вы узнаете, какие меры безопасности важны при работе с OT-системами и как согласовать тесты с технологами, чтобы не разрушить работу критически важных объектов. Разберем, как действовать в рамках регуляторных требований, таких как 187-ФЗ и приказы ФСТЭК.

Цифровые двойники и безопасные методы разведки
Как использовать цифровые двойники для безопасного тестирования и какие методы разведки - от пассивного анализа до OSINT - помогут подготовить систему к атаке без воздействия...