Форум информационной безопасности - Codeby.net
Статья Pivoting и tunneling в Active Directory: как это видит Blue Team
После foothold в Active Directory атака редко остаётся локальной. В статье разбираем, как скрытые каналы появляются в постэксплуатационной цепочке, почему атакующие прячут управление в DNS, HTTP/S, SSH и ICMP и чем такие сценарии опасны именно для защитника, а не только для красной команды.
Вы увидите, как такие каналы выглядят в телеметрии: от странного DNS-профиля и нетипичного веб-трафика до связки процесс → сетевое соединение → учётная запись → маршрут внутри доменной среды. Отдельно разберём, почему tunneling почти никогда не ловится одной сигнатурой и как собирать его через корреляцию, hunting-гипотезы и AD-контекст.
Это практический разбор для Blue Team, Threat Hunting и Detection Engineering: что действительно искать в сети и на хостах, как отличать скрытый канал от легитимного администрирования и какие меры реально ломают удобство post-exploitation - контроль исходящих соединений, дисциплина DNS...Статья Атаки на XML-структуры: XPath Injection и XXE на практике
XML в 2026 году - это не “наследие прошлого”, а живая поверхность атакиВ статье разберём, почему XML до сих пор остаётся источником реальных проблем в enterprise-среде: SOAP-сервисы, SAML SSO, SVG, DOCX, XML-RPC и старые интеграции никуда не исчезли, а вместе с ними живут XXE, XPath Injection и ошибки конфигурации парсеров.
Покажем, где искать XML и как не пропустить уязвимый эндпоинтВы увидите, как распознавать XML-processing endpoints в трафике и приложении, на какие признаки смотреть в SOAP, SAML, RSS, SVG и Office Open XML, и почему “у нас же всё давно на JSON” очень часто не имеет ничего общего с реальной корпоративной архитектурой.
Отдельно разберём две самые недооценённые проблемы - XXE и XPath InjectionСтатья покажет, как работают XPath-бейпасы, blind XPath, чтение файлов через XXE, SSRF через XML-парсер и почему безопасность здесь ломается не только на коде, но и на дефолтных настройках...
Статья Kong и Nginx как точка контроля безопасности для API
API Gateway давно перестал быть просто удобной точкой входа для маршрутизации. В статье разбираем, какие меры безопасности действительно стоит выносить на шлюз, почему это упрощает жизнь платформенной команде и где проходит граница, после которой централизация превращается уже не в пользу, а в архитектурную ошибку.
Вы увидите, как на уровне шлюза работают разные модели доверия: проверка JWT, интроспекция OAuth2 и mTLS. Разберём, когда каждая из них уместна, чем они отличаются по цене эксплуатации и почему одна и та же схема аутентификации не подходит одинаково хорошо для всех API сразу.
Отдельно посмотрим на практику: что именно шлюз может фильтровать на входе, как через него выравнивать CORS, заголовки и технические ответы, и чем отличается готовый подход Kong от более ручной сборки на Nginx/OpenResty. Это не обзор ради обзора, а разбор того, где API Gateway реально усиливает безопасность, а где от него начинают...Статья NAC в SCADA: как защитить OT-сеть от внутренних угроз
Внутренние угрозы в OT-сети редко начинаются с громкой атаки. Намного чаще это сервисный ноутбук подрядчика, временная инженерная станция или неучтённое устройство, которое оказалось в технологическом сегменте без нормального контроля доступа. В статье разбираем, почему для SCADA этого уже достаточно, чтобы создать риск для процесса, оборудования и всей логики эксплуатации. Вы увидите, почему NAC в промышленной среде нельзя внедрять по офисному шаблону: устаревшие устройства не поддерживают современные схемы аутентификации, критичные узлы нельзя случайно изолировать, а жёсткая политика без подготовки сама становится источником проблем. Разберём, как работает поэтапный подход - от пассивного обнаружения до режима наблюдения, оповещения и точечного ограничения доступа.
Отдельно посмотрим на практическую сторону: чем отличаются Forescout, Cisco ISE и Claroty, как связать NAC с SIEM и SOC, и какую роль такой...Статья Python для форензики: Автоматизация анализа логов и артефактов (Pandas, RegEx)
Python в DFIR - это не “приятный бонус”, а способ выжить в море логовВ статье разберём, как автоматизировать рутинный разбор Syslog, Windows Event Log, Apache access log и артефактов файловой системы, когда счёт идёт на десятки гигабайт событий, а ответ по инциденту нужен уже через час.
Покажем, как собрать хаос из разных источников в одну понятную хронологиюВы увидите, как использовать Pandas, regex, datetime, python-evtx и Python-скрипты для нормализации логов, извлечения IOC, построения timeline, корреляции событий и поиска реальных следов атаки без ручного копания в CSV и Excel.
Внутри - не теория ради теории, а готовые практические сценарииРазберём скрипты для анализа логонов 4624/4625, Apache-логов, MFT, IOC extraction, корреляции firewall/auth/endpoint-событий и генерации HTML-отчётов. Это материал для тех, кто хочет не просто читать логи, а превращать их в рабочие выводы и отчёты.
Статья Adversarial Attacks против статических PE-классификаторов: где feature-space атака превращается в реальный malware обходах
Статические ML-классификаторы давно стали привычной частью malware detection, но вместе с точностью и скоростью они принесли новую проблему - поверхность для adversarial attacks. В этой статье разбираем, почему модель, которая уверенно ловит вредоносные PE-файлы на датасете, может начать ошибаться после вполне допустимых модификаций самого бинарника. Вы увидите, как устроен этот разрыв между feature space и реальным PE-файлом: почему FGSM и PGD хорошо показывают хрупкость classifier на уровне признаков, но не всякая успешная атака из пространства признаков переживает перенос в рабочий исполняемый файл. Отдельно разберём practical evasion-техники - append attack, section injection и import manipulation - и посмотрим, какие PE-артефакты они двигают, почему это влияет на verdict модели и где заканчивается красивая robustness на бумаге, а начинается реальная проблема для static ML detection.Статья PWN: Buffer Overflow с обходом ASLR через ret2libc
PWN: Buffer Overflow с обходом ASLR через ret2libcОбычного переполнения буфера уже давно недостаточно, чтобы просто записать shellcode в стек и забрать управление. В реальной эксплуатации всё упирается в защитный профиль бинарника: NX запрещает исполнение из данных, ASLR ломает фиксированные адреса, а значит эксплоит приходится собирать уже не грубой силой, а аккуратной логикой.
В статье разберём полный путь ret2libc: как читать защиты через checksec, как находить уязвимую функцию, определять точный offset, получать утечку адреса из libc через PLT/GOT и вычислять базу библиотеки для текущего запуска процесса.
Дальше соберём рабочую ROP-цепочку до system("/bin/sh"), разберём выравнивание стека, поиск гаджетов и оформим всё это в полноценный эксплоит на Pwntools - сначала локально, потом с прицелом на удалённую эксплуатацию.Статья Forensics: Анализ PCAP трафика с Wireshark | Network Challenge
Network Forensics - это не про абстрактные пакеты, а про восстановление истории атакиВ этой статье вы узнаете, как из одного pcap-файла собрать полную картину инцидента: кто с кем общался, какие протоколы использовались, где началась подозрительная активность и в какой момент обычный трафик превращается в улику.
Разберём практический пайплайн анализа в Wireshark: от общей картины к точечным артефактамПокажем, как использовать Protocol Hierarchy, Conversations, Endpoints, I/O Graphs и display filters, чтобы быстро отсечь шум, выделить HTTP и DNS, восстановить TCP-сессии, вытащить POST-данные, куки, токены и другие следы действий атакующего.
Отдельно разберём то, за что сетевую форензику любят в CTF и DFIR-практикеВы увидите, как искать флаги, креды, подозрительные домены, DNS-эксфильтрацию и переданные файлы, а главное - как вручную восстанавливать картину атаки даже тогда, когда автоматические...
CTF ⚠️Новая про-лаборатория — Shadow Pipeline
Крупная технологическая корпорация, закрытая внутренняя сеть, подозрительное хранилище данных и минимальная точка входа. Ваша задача — проникнуть в инфраструктуру и выяснить, что скрывается в глубине сети.
Что внутри:
- 3 ВМ, 6 этапов
- сценарий с постепенным развитием доступа
- отличный формат для тренировки логики, разведки и работы во внутренних сетях
Лаборатория доступна по подписке ПРО вместе с сотнями CTF-задач и курсами:
- Введение в информационную безопасность
- SQL Injection Master
Залетай и проверь, насколько хорошо ты умеешь двигаться по сети
https://hackerlab.pro/Статья Lateral Movement в Windows: техники и detection
Lateral Movement в Windows: как атакующие двигаются по сети и как это ловитьГоризонтальное перемещение - тот этап, на котором локальная компрометация перестаёт быть историей про один хост. Как только атакующий начинает использовать SMB, WMI, DCOM, RDP или WinRM, инцидент быстро растёт в масштабе и затрагивает уже не одну машину, а целые сегменты инфраструктуры.
В статье разберём основные техники lateral movement в Windows: Pass-the-Hash, WMI, DCOM, PsExec, SMB, RDP, WinRM и PowerShell Remoting. Посмотрим, какие права и данные аутентификации для этого обычно нужны, как выглядит механика удалённого выполнения и почему одни способы шумят сильнее, а другие почти сливаются с обычным администрированием. Отдельно пройдёмся по defensive-части: какие Windows Event ID и Sysmon-события действительно полезны, как выглядят артефакты каждой техники, почему lateral movement плохо ловится одной сигнатурой и как строить...