Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья Захват домена Active Directory: от учётки стажёра до Domain Admin мимо SOC за миллионы
За последний год — десятки внутренних пентестов в организациях с enterprise SIEM и EDR. Среднее время от учётки стажёра до Domain Admin: 30 минут. Не zero-day. Kerberoasting сервисной учётки с паролем, который не менялся три года.Первые 15 минут атакующего: 0–3 мин — LDAP-разведка через SharpHound, пароли в полях Description (каждый пятый домен); 3–7 мин — Kerberoasting (T1558.003) и AS-REP Roasting; 7–12 мин — офлайн-взлом + анализ графа BloodHound; 12–15 мин — Pass-the-Hash (T1550.002), DCSync (T1003.006). DCSync через impacket secretsdump.py — тихо, без обращения к файловой системе DC. Golden Ticket живёт до двойной смены krbtgt.
SIEM без Audit Directory Service Access — дорогой лог-коллектор: событий 4662 с GUID репликации в нём нет.
Проверочный запрос для SIEM и что реально закрывает path к Domain Admin.Статья APT42 социальная инженерия: как IRGC-хакеры обходят MFA и крадут учётные данные без малвари
APT42 атакует людей — не периметр. Недели переписки в WhatsApp, легитимные PDF, приглашения на конференции. И только потом — ссылка, которая перехватывает MFA-токен в реальном времени. Ни одного вредоносного вложения.Три кластера инфраструктуры (Mandiant): фейковые СМИ и аналитические центры, легитимные платформы (Google Sites, Cloudflare Workers), AiTM с перехватом push-уведомлений (T1111, T1621). TOTP, SMS, push — не защищают. FIDO2/passkeys привязаны к origin домена криптографически — фишинговая страница ответа не получит. Бэкдоры TAMECAT (PowerShell, in-memory) и NICECURL (VBScript) — только для высокоценных целей.
Стандартный SOC APT42 не поймает: нет малвари, действия через легитимные облачные функции.
KQL-запрос для Microsoft Sentinel и шесть мер защиты по приоритету.Статья Уязвимости десериализации: эксплуатация через ysoserial, phpggc и построение gadget chain
Непонятный blob в cookie, ysoserial, и через полминуты — reverse shell на WebLogic. Десериализация RCE — это когда приложение берёт пользовательские данные и вызывает readObject(). Остальное делает gadget chain.Как читать сигнатуры: Java — ac ed 00 05 / rO0AB в Base64; PHP — O:, a:, s: текстом; Python pickle — \x80\x02 и cbuiltins. CVE-2015-4852 WebLogic (CVSS 9.8): T3-протокол, CommonsCollections, PR:N. CVE-2017-9805 Apache Struts (CVSS 8.1): XStream без фильтрации типов. PHP black-box: phpggc генерирует payload для всех RCE-chain, перебор через Burp Intruder, флаг -f (fast-destruct) обязателен. Python pickle: gadget chain не нужен — __reduce__() вызывает os.system() напрямую при loads().
ML-сервисы с .pkl-моделями — та же атака без лишних условий.
Митигация для Java (JEP 290), PHP (allowed_classes), Python (safetensors).Статья Эксплуатация CVE в пентесте: от публичного PoC до стабильного шелла в обход EDR
Три PoC с GitHub — и ноль шеллов. Первый роняет сервис, второй молча завершается, третий собран под другую минорную версию. Разница между «CVSS 10.0 на бумаге» и «CVSS 10.0 в бою» — часы адаптации.CVE-2024-3400 (PAN-OS, CRITICAL): Unit 42 зафиксировал четыре уровня реальной эксплуатации — от Level 0 (попытка провалена) до Level 3 (интерактивный шелл). APT-группа трижды безуспешно пыталась установить бэкдор до переключения на cron job. Чеклист оценки PoC: репутация автора, точная версия, что реально делает код. Стабилизация — убрать crash, восстановить поток выполнения. Интеграция в Sliver (mTLS, WireGuard, DNS) или Metasploit с check-методом.
Первые 60 секунд после шелла: ситуационная осведомлённость, персистенс, миграция из нестабильного процесса.
10-шаговый чеклист weaponization и разбор когда CVE лучше не эксплуатировать.Заметка Burp Suite Extensions: шпаргалка по OWASP Top 10 2025 — какой плагин ставить и зачем
Справочник, который открываешь на пентесте, когда нужно быстро вспомнить: какой extension ставить под конкретную категорию OWASP, как настроить и что смотреть в выводе.15 extensions с маппингом на OWASP Top 10: Autorize — фоновая репликация каждого запроса с чужой сессией, красный = IDOR; Turbo Intruder single-packet attack для race conditions через HTTP/2; JWT Editor — alg:none и key confusion прямо во вкладке Repeater; Collaborator Everywhere — SSRF out-of-band без единого действия; Param Miner — до 65 000 имён параметров за запрос для cache poisoning; Retire.js — CVE в JS-библиотеках пассивно.
Logger++ жрёт память без фильтра по scope; Collaborator Everywhere кладёт WAF на production — отключай.
Quick-reference card из 8 сценариев и 10 gotchas, которых нет в документации BApp Store.Статья XSS уязвимость на практике: поиск, эксплуатация и обход фильтров
Классический <script>alert(1)</script> давно не работает на реальных целях: WAF режет его на подлёте, htmlspecialchars экранирует скобки, CSP блокирует инлайн. Но XSS от этого не умирает — он мутирует.Три типа через призму HTTP-запросов: reflected — контекст вставки определяет пейлоад (HTML / атрибут / JavaScript — разные векторы); stored blind XSS поражает админку через тикет поддержки и ждёт три дня; DOM-based обходит WAF полностью — пейлоад не покидает браузер. CVE-2024-45801 (CVSS 7.3): DOMPurify < 3.1.3 обходится через Prototype Pollution — загрязнение Number.isNaN роняет depth-checker санитайзера. onscrollsnapchanging + base64 в data-атрибутах:
WAF видит безобидный обработчик, браузер исполняет произвольный JS.
Аудит CSP через Google CSP Evaluator и маппинг цепочки на MITRE ATT&CK T1539→T1185.Статья SQL инъекция в 2025: техники эксплуатации, обход WAF и автоматизация с sqlmap
В январе 2025 года CVE-2025-1094 в PostgreSQL прошла через BeyondTrust Remote Support и закончилась в инфраструктуре Министерства финансов США. Тот самый класс багов, которому двадцать лет — и никуда не собирается уходить.Пять типов инъекций с логикой выбора: error-based — CAST к numeric на PostgreSQL; boolean-blind — STRCMP() и mid() вместо ascii() обходят WAF; time-based — SLEEP() только MySQL, pg_sleep() на PostgreSQL, WAITFOR DELAY на MSSQL. HTTP Parameter Pollution: WAF видит два безобидных значения, бэкенд склеивает их в рабочий пейлоад. sqlmap не видит инъекцию — добавляем Burp-прокси и меняем User-Agent: WAF блокировал по строке sqlmap в заголовке.
Tamper-скрипты для ModSecurity CRS и Cloudflare, second-order инъекции, которые сканеры не ловят.
Детектирующие паттерны в логах WAF и SIEM-корреляция для blue team.Статья IDOR уязвимость в bug bounty: как находить и репортить для максимальных выплат
Одна подмена параметра в API-запросе — и ты читаешь чужие паспортные данные или скачиваешь чужие документы. IDOR стабильно приносит от нескольких сотен до нескольких тысяч долларов за репорт — автоматические сканеры её не ловят, WAF не блокирует.Методология: два аккаунта, маппинг всех эндпоинтов, систематическая подмена числовых ID / UUID / вложенных ключей / JSON-полей типа owner_id. Autorize в Burp дублирует каждый запрос с токеном жертвы и без токена — красные строки (Bypassed) требуют немедленной проверки. Паттерны, которые пропускают сканеры: разные HTTP-методы на одном эндпоинте, Mass Assignment, UUID из публичных страниц.
Цепочка Improper Access Control + IDOR → Account Takeover: две P3 = один P1.
Разбор реальных кейсов с выплатами суммарно $25 000+ и маппинг на MITRE ATT&CK.Статья Обход Windows Defender и AMSI: практический гайд по defense evasion для Red Team
Beacon жив, C2-канал поднят. Через минуту MsMpEng.exe режет нагрузку, Script Block Logging пишет каждый чих, AppLocker не даёт запустить ничего кроме notepad.exe. Defense evasion — это цепочка техник, где пропущенное звено роняет весь engagement.Четыре эшелона и как их проходят: AMSI — hardware breakpoints на DR0 не оставляют следов в .text секции (в отличие от классического VirtualProtect-патчинга); Write Raid (OffSec, май 2024) перезаписывает writable указатель в thunk-таблице SMA.ni.dll без вызова VirtualProtect вообще. ETW — три байта на EtwEventWrite до любых действий, иначе bypass попадёт в логи первым. AppLocker — MSBuild inline task и InstallUtil через default rules C:\Windows\.
Порядок операций ETW → AMSI → payload — требование, не рекомендация.
Разбор того, что остаётся видимым blue team даже после грамотного обхода всех слоёв.Статья Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике
whoami показывает CORP\j.smith, whoami /priv — стандартный набор без единого Enabled. Знакомое чувство? Повышение привилегий Windows — это путь от этой точки к SYSTEM через последовательную эксплуатацию мисконфигураций, а не одну волшебную команду.Приоритеты: SeImpersonatePrivilege → GodPotato/SweetPotato (SYSTEM за один запуск); Administrators + Medium IL → fodhelper UAC bypass через HKCU без единого диалога; Unquoted Service Path + writable-директория → payload при перезапуске сервиса; AlwaysInstallElevated = оба ключа в 1 → msiexec /qn с MSI-пейлоадом. DLL hijacking через procmon с фильтром NAME NOT FOUND — для кастомного ПО без ACL.
Kernel exploits — последнее средство: нестабильны, роняют хост.
Практический workflow от шелла до SYSTEM и детектирующие Sysmon Event ID для blue team.