Форум информационной безопасности - Codeby.net
Статья SAST vs DAST vs IAST: выбор инструмента сканирования для CI/CD
Что такое SAST, DAST и IAST?В этой статье мы подробно разберем три типа инструментов тестирования безопасности: SAST, DAST и IAST. Вы узнаете, чем каждый из них отличается, как их правильно применять в CI/CD pipeline и на каком этапе разработки они наиболее эффективны.
Как интегрировать эти инструменты в процесс разработки?Мы покажем, как интегрировать SAST, DAST и IAST на разных этапах разработки для создания многоуровневой стратегии безопасности, которая поможет выявлять уязвимости на самых ранних этапах.
Как выбрать лучший инструмент для вашего проекта?Поговорим о том, как выбирать инструменты для тестирования безопасности в зависимости от потребностей вашего проекта, о сравнении их покрытия OWASP Top 10 и бенчмарках по скорости и ложным срабатываниям.
Статья Обход EDR через прямой вызов syscall
Прямые системные вызовы и их роль в безопасностиВ этой статье мы погружаемся в мир прямых системных вызовов, которые позволяют обходить традиционные механизмы защиты. От работы с Windows API до более сложных техник обхода, таких как Hell’s Gate и DInvoke. Узнайте, как эти методы используются в реальных сценариях, и как они помогают анализировать и разрабатывать защищённые программы. В статье также мы разберём обфускацию системных вызовов и методы обхода EDR.
Применение прямых системных вызовов в реальной жизниКак именно прямые системные вызовы помогают в обходе защиты? Мы поговорим о методах, таких как syscall через DInvoke и работу с PE-файлами. Прочитайте, как с помощью простых техник и креативных решений можно обходить сложные системы защиты, такие как EDR.
Обновление подходов к безопасности с использованием прямых системных вызововВ этой части вы узнаете, как новые методы обфускации и работы с...
Статья GEOINT или фундамент в OSINT: Руководство для начинающих
Погружение в мир GEOINTЗадумывались ли вы, как из случайной фотографии можно вытащить точные координаты? В этой статье мы откроем вам мир GEOINT - аналитики, которая позволяет извлечь геопространственные данные из любого изображения или видео, благодаря уникальным методам и инструментам.
Как читаются слои реальностиВы научитесь «читать» окружающий мир, выделяя ключевые географические и культурные признаки. Узнаете, как анализировать растительность, архитектуру и инфраструктуру, чтобы точно определить местоположение, даже если это скрыто от обычного взгляда.
Где применяется GEOINT в современностиОт работы с геоданными в условиях гуманитарных кризисов до использования в разведке, мы покажем, как современный GEOINT решает реальные задачи и помогает находить ответы на глобальные вопросы.
Статья 5 дружелюбных CTF-соревнований для новичков: Ваш первый шаг к победе
CTF для новичков: 5 дружелюбных платформ для стартаТы готов вступить в мир CTF (Capture The Flag), но не знаешь, с чего начать? В этой статье мы расскажем о 5 платформах, которые идеально подойдут для новичков. Поговорим о самых дружелюбных и доступных ресурсах, где ты можешь начать тренировать свои навыки взлома и защиты.
Что тебе нужно для старта в CTF?Мы детально разберем 5 платформ - от PicoCTF до Root-Me. Изучим их задачи, интерфейсы, доступность и что важно для комфортного старта. Для тех, кто впервые сталкивается с этим миром, такие платформы становятся тем самым первым шагом в практическое освоение информационной безопасности.
Как выбрать платформу для тренировки?В статье мы подскажем, на что обратить внимание при выборе своей первой CTF-площадки. Сделаем акцент на доступности, языках интерфейса и особенностях задач, чтобы твое погружение в CTF было максимально комфортным и полезным.
Статья Использование особенностей DNS-поддоменов для обхода CSP
Почему CSP не так безопасен, как кажется?Content Security Policy (CSP) — это не панацея, а сложный и порой непростительно уязвимый механизм контроля безопасности. На самом деле, CSP — это не стена, а скорее хитро настроенная сигнализация, которую можно обойти.
Как работает CSP и где скрыты уязвимости?Мы разберемся, как работает CSP, и почему даже самые строгие политики могут быть ослаблены. CSP — это не защита, а скорее набор инструкций, которым браузеры обязаны следовать, но их буквальное восприятие приводит к ошибкам. Как это влияет на безопасность, особенно в контексте DNS, мы тоже подробно рассмотрим.
Как атакуют CSP и DNS?Поднимем завесу над одной из самых интересных тем — атаки, основанные на DNS, которые позволяют обойти CSP, используя уязвимости в старых системах, таких как поддомены и TTL-таймауты. Мы научим тебя находить и использовать такие лазейки для усиления защиты своих систем.
Статья Слепая SSRF через временные триггеры
Нашёл SSRF, но ответ “пустой” и ничего не утекает наружу? В этой статье разберём, почему именно такие “тихие” SSRF сегодня самые опасные - и почему их нельзя списывать как «не подтвердилось».
Погрузимся в Blind SSRF через время отклика: как тайминги превращаются в бит информации, как отличать успех от блокировки/таймаута и как усиливать слабый сигнал, когда сеть шумит.
Соберём практический инструментарий: асинхронный Python-скальпель на asyncio/aiohttp для параллельных замеров, идеи DNS-задержек и эвристики для поиска внутренних сервисов и облачных метаданных.Статья Secrets Management: HashiCorp Vault vs AWS Secrets Manager vs Yandex Lockbox
Управление секретами в DevSecOps: Защита данных и безопасность CI/CDКак эффективно управлять конфиденциальной информацией в проектах с использованием CI/CD? В этой статье мы объясним, почему правильное управление секретами - это не только про пароли и API-ключи, а целая система безопасности для вашего кода и инфраструктуры.
Как избежать ошибок с hardcoded credentials?Секреты, оставленные в коде, - это огромный риск. Мы расскажем, как избежать распространенных ошибок, таких как хранение паролей и токенов прямо в исходном коде, и как это может поставить под угрозу безопасность вашего проекта.
Инструменты для управления секретами и их роль в ComplianceAWS Secrets Manager, HashiCorp Vault и другие инструменты помогут защитить ваши данные, соответствуя современным требованиям безопасности и законам (например, GDPR, PCI-DSS). Узнайте, как их правильно интегрировать в процесс DevSecOps и...
Статья Блокчейн-аналитика для AML: отслеживание криптовалютных транзакций
Что такое блокчейн-аналитика?В этом мире криптовалют каждый перевод может скрывать нелегальную активность. Узнай, как блокчейн-аналитика помогает раскрывать преступления, используя данные и аналитические инструменты, такие как Chainalysis и TRM Labs.
Основы анализа криптовалютных транзакцийПонимание моделей учета (UTXO vs Account) и анализ графов транзакций помогут выявить скрытые связи между адресами. Ты научишься находить подозрительные схемы и использовать методы для их выявления.
Методы кластеризации и инструментыОт метода Common Input Ownership до мониторинга криптовалютных бирж - ты освоишь ключевые методы анализа. Откроешь для себя инструменты, такие как Chainalysis Reactor и TRM Labs, которые позволяют отслеживать подозрительные операции в реальном времени.
Статья Shift Left в микросервисах: безопасный дизайн API и контрактов
Хотите построить микросервисы, которые не взломают через неделю после релиза? Shift Left - это когда безопасность закладывается на этапе проектирования API, а не после утечки данных в продакшене.
В статье - полный разбор: почему микросервисы = сеть уязвимых дверей, как OAuth/JWT/Keycloak спасают от катастроф, и 6 шагов к защищённым контрактам API (HTTPS, валидация, принцип наименьших прав).
Топ-инструменты 2026 (OWASP ZAP, Snyk, Swagger, ELK) покажут, как экономить в 10 раз на исправлении багов. Практика DevSecOps вместо "найдём-потом".Статья 802.1X. Ритуал безопасности, который все делают, но в который никто не верит
Что такое 802.1X и почему это важно для сетевой безопасности?В этой статье мы углубимся в технологию 802.1X, выяснив, почему даже идеально настроенная система может быть уязвимой. Вы узнаете, как системы управления доступом на основе порта могут быть обойдены, и какие механизмы безопасности не работают так, как обещано в теории. Внимание: тут не будет простых решений и скриптов, только глубокое понимание.
Не просто уязвимости - философия слабостиСекрет в том, что уязвимости в 802.1X не всегда очевидны. Мы исследуем, как конфигурационные ошибки и человеческая усталость могут привести к серьезным дыркам в безопасности. Узнайте, как «проснувшиеся» уязвимости превращаются в серьезные угрозы для периметра безопасности.
Механизмы защиты и атаки в действииВ статье рассмотрим не только теорию, но и реальные атаки: от инъекций EAPOL-Logoff до подделки RADIUS-серверов. Также вы узнаете, как можно выявить и...