Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья JWT bypass уязвимость через kid header: разбор эксплуатации и защита
На аудите финтех-API три дня копал IDOR в платёжных эндпоинтах — critical обнаружился в JWT-заголовке. Параметр kid подставлялся напрямую в SQL-запрос. UNION-инъекция, контроль ключа верификации, токен с "role": "admin" за 20 минут. Два предыдущих аудита промахнулись мимо заголовка.Kid (Key ID) — необязательный параметр JWT-заголовка, полностью контролируемый клиентом. Если сервер подставляет его в SQL — UNION SELECT заменяет ключ верификации. В файловый путь — path traversal на /dev/null, подпись null-байтом. В shell-команду — command injection прямо в RCE.
Decision tree для выбора вектора по реакции сервера на фаззинг kid. Безопасная реализация key resolver через словарь (Node.js). Слепые зоны WAF: Authorization: Bearer в base64url — за пределами стандартных сигнатур ModSecurity/Cloudflare.
Зрелая библиотека JWT обнуляется одним конкатенированным SQL-запросом в собственном keyResolver.Статья Side-channel атаки на чиплеты: новая физическая поверхность атаки в 2.5D/3D системах
RF-чиплет внутри гетерогенной 2.5D-упаковки захватывает электромагнитный сигнал, коррелированный с криптографической активностью соседнего die — без физического пробника на поверхности корпуса. Атакующий больше не снаружи корпуса. Он внутри упаковки, в сотнях микрон от жертвы.Три физических канала утечки, которых нет в монолитных SoC: substrate coupling через интерпозер, TSV coupling через взаимную индуктивность в 3D-стеках, RF/EM coupling через антенный элемент соседнего чиплета. Пассивная атака — жертва работает штатно, аномалий нет.
Confidential computing (AMD SEV-SNP, Intel TDX) строит trust boundary на уровне физического пакета. Если один из die скомпрометирован через supply chain — вся модель рушится. UCIe-консорциум side-channel isolation между чиплетами не адресует вообще.
CPA/CEMA workflow с кодом на Python. SNR при substrate coupling требует от 100k трасс против 10k при прямом probe.Статья CVE-2026-35031 Jellyfin RCE: от загрузки субтитров до root через ld.so.preload
CVSS 9.9, три CWE в одном HTTP-параметре. CVE-2026-35031 в Jellyfin до 10.11.7 — поле Format в эндпоинте POST /Videos/{itemId}/Subtitles принимает /../../../etc/ld.so.preload как легитимное расширение. Шесть шагов от загрузки .srt-файла до root shell.Три CWE в одном параметре: CWE-20 (нет whitelist-валидации), CWE-22 (конкатенация пути без канонизации), CWE-187 (частичное сравнение строки пропускает traversal). Arbitrary file write → .strm-трюк для чтения jellyfin.db → хеши паролей admin → ld.so.preload injection → glibc загружает вредоносный .so при следующем старте процесса.
В том же релизе 10.11.7 закрыты ещё три CVE с той же корневой причиной. CVE-2026-35033 — unauthenticated file read вообще без аутентификации. Четыре CVE — один архитектурный паттерн.
«Домашний медиасервер» стоит на том же хосте, что и Wireguard, Pi-hole и SSH-ключи к production.Статья Современные методы обхода WAF в задачах с нестандартным XSS
Скорее всего, вы уже знаете что такое XSS, но давайте для полноты картины повторим.
CSP ограничивает браузеру круг поиска кода, но JSONP callback hijacking обходит его через доверенный домен. WAF блокирует <script> в URL, но пропускает его в application/json или в заголовке Referer. Polyglot payload валиден одновременно в HTML и JS — и работает в обоих контекстах.Статья проходит полный путь от основ к продвинутой эксплуатации: три типа XSS, Defense in Depth через CSP/HttpOnly/SRI/WAF, WAF fingerprinting для Cloudflare/Imperva/AWS с конкретными обходами. Encoding chains, case variation, context switching, dangling markup injection, base-uri injection.
Продвинутый уровень: mXSS через innerHTML, DOM clobbering, Prototype Pollution → XSS. Практический блок — разработка эксплойта, фаззинг через Burp Suite Intruder, отладка в DevTools.
WAF — дополнительный слой, не замена экранированию. Сложные payloads маскируются под текст.Статья Анализ вредоносного ПО: пошаговый разбор семпла от статики до динамики
Свежий стилер с IR-кейса: запакованный PE, XOR-шифрованные строки, process hollowing в svchost.exe, HTTP-канал на C2. Автоматический sandbox конфигурацию не вытащил. Пришлось препарировать руками — от первого хеша до готовых IOC и YARA-правила.Infostealers вышли на первое место — 32% всего malware в 2024 году, обогнав ransomware. Ручной разбор нужен для оставшихся 20% инцидентов, где автоматика ломается: кастомные протоколы C2, многослойное шифрование, таргетированные атаки.
Decision tree по каждому этапу: статика (DIE, FLOSS, строки), распаковка в x64dbg через Scylla, поведенческий анализ в Process Monitor и Wireshark, глубокий реверс XOR-функций в IDA/Ghidra. Python-скрипт деобфускации. YARA-правило с байтовыми паттернами. ATT&CK-маппинг из 8 техник.
Аналитик, который два года не открывал дизассемблер — не справится с APT-инструментом в 3 ночи.Статья Grav CMS уязвимость path traversal: 0-day в FormFlash без аутентификации
CVSS 8.8, ноль привилегий, автоматизируемая эксплуатация. CVE-2026-42608 в Grav CMS — один POST-параметр __form-flash-id без валидации превращает любую страницу с формой в точку входа. Неаутентифицированный атакующий пишет YAML-файлы прямо в user/config/ и user/accounts/.Grav хранит всё в файловой системе: конфигурация, хеши паролей, 2FA-секреты. Запись в произвольный каталог — это не «потенциальный импакт», это прямая Configuration Injection. Один traversal-запрос, 302 в ответ, файл на диске.
Полный разбор уязвимого PHP-кода FormFlash, пошаговое воспроизведение через curl/Burp, три вектора развития атаки. История CVE в Grav: цепочка от unauthenticated path traversal до RCE через Scheduler. 36 000 инстансов на ZoomEye.
Один regex [A-Za-z0-9,_-]{1,64} — и уязвимости нет. Разработчики закрыли её в патче за один коммит.Статья Patch2Vuln: анализ бинарных патчей для автоматического восстановления уязвимостей Linux
LLM-агент без CVE-описания, без advisory, без исходника — только два бинарника. Patch2Vuln локализовал security-relevant функцию в 10 из 20 реальных Ubuntu .deb-пакетов. 6 провалов из 20 случились до того, как модель вообще увидела данные — на этапе бинарного диффа.Основной bottleneck в автоматическом анализе бинарных патчей — не LLM, а диффер. Ghidriff не гарантирует, что security-relevant изменение попадёт в топ кандидатов. Компилятор инлайнит функции, LTO перекраивает layout, а добавление stack canaries создаёт шум на весь diff.
Сравнение Patch2Vuln и Bishop Fox: разные стеки (Ghidra/Ghidriff vs Binary Ninja/BinDiff), разные входные данные (без advisory vs с ним). Authorization bypass с 1400+ функций стоит $35 за прогон на Claude Sonnet 3.7.
Следующий рывок — не в промптинге и не в более мощных моделях. В дифферах и ранкерах.ю цепочку.Статья Ransomware-as-a-Service 2026: The Gentlemen и анализ RaaS-экосистемы — аффилиаты, TTPs, detection
19 мая 2026 года — десять новых жертв на DLS пяти группировок за одни сутки. DragonForce, Play, Payload, Nova, Akira. Это не аномалия — это стабильный фон, сложившийся после коллапсов Black Basta и RansomHub и волны аффилиатной миграции.White-label RansomBay от DragonForce снизил порог входа до уровня Telegram-подписки. 75% вторжений — через валидные учётные данные. Среднее время lateral movement — 62 минуты. Детект на этапе шифрования — уже поздно.
Разбор структуры RaaS-операции, профилирование The Gentlemen через TI-методологию, анализ финансовой модели двойного вымогательства. Detection-чеклист из семи приоритетов: VSS deletion, rstrtmgr.dll, credential dumping, canary-файлы.
Группировка сменит DLS и бренд — но не удалит Shadow Copies перед шифрованием иначе. Behavioral detection переживёт любой ребрендинг.Статья Бинарный анализ уязвимостей: полное руководство для пентестера и CTF-игрока
Conficker, Stuxnet, EternalBlue — каждый начинался с ошибки в нативном коде, которую атакующий нашёл раньше защитников. Бинарный анализ уязвимостей отделяет того, кто запускает готовый эксплойт из Metasploit, от того, кто вскрывает проприетарный бинарь без исходников.Карта направления из 8 гайдов: статический анализ в Ghidra и IDA, динамический через GDB/x64dbg/WinDbg и DBI-фреймворки, 6 классов бинарных уязвимостей от stack overflow до tcache poisoning, coverage-guided фаззинг, символьное исполнение через angr.
NX, ASLR, Canary, Full RELRO — что каждая защита закрывает и как обходится. Trade-off таблица инструментов. Decision tree выбора метода под задачу: CTF pwn, аудит бинарника, прошивка IoT, упакованная малварь.
Один человек с навыками бинарного анализа в красной команде меняет результат проекта радикальнее, чем ещё два веб-пентестера.Статья Атаки на SCADA системы: разбор взломов водоочистных станций и detection-playbook для OT-сети
Январь 2024. CARR зашла в системы управления водоснабжением в Muleshoe, Техас. Перенастроила параметры, вызвала перелив водонапорной башни, выложила видео в открытый доступ. Не zero-day, не кастомный эксплойт — просто VNC с дефолтными кредами.Modbus TCP из 1979 года не предусматривает ни аутентификации, ни шифрования. FC6 меняет уставку процесса без пароля, без токена, без логирования на уровне протокола. ПЛК доверяет всем. Всегда. Патч-менеджмент в OT — окно обслуживания раз в квартал, потому что остановка процесса хлорирования воды угрожает здоровью людей.
Kill chain по MITRE ATT&CK for ICS: дефолтные учётки, открытый remote access, сканирование промышленных портов. Правила корреляции для SIEM, Suricata-правило на запись в Modbus-регистры с нештатного адреса.
Только 20% водных систем в США внедрили базовые меры защиты. Volt Typhoon сидел в инфраструктуре пять лет.