Кибербезопасность
По данным последних исследований IT, каждые четыре секунды в компьютерную сеть компании попадает вредоносная программа и каждые 32 минуты за пределы организации уходит ценная информация. Утерянные данные могут стать источником манипуляций, поэтому так важно выстроить максимально эффективную защиту. Обеспечить информационную безопасность можно сотнями способов, сочетая разные продукты – антивирусы, межсетевые экраны, SSL-сертификаты, разграничение правд доступа, системы защиты от DDoS-атак. Важнейшей стороной информационной безопасности становится определение угроз, а это невозможно без определения объектов защиты. Только поняв, что и от чего мы защищаем, можно выстроить грамотную оборону. Сейчас актуален переход к облачным решениям, которые дают возможность быстро развёртывать системы безопасности, отдавая их управление поставщикам облачных сервисов. В этом разделе собраны актуальные материалы об информационной безопасности от построения информационной защиты до её оптимизации.
Статья LLM Honeypot: строим приманку на базе языковой модели для мониторинга всех 65535 портов
LLM-honeypot своими руками: ловим ботнеты языковой моделью на всех 65535 портах.Cowrie с дефолтным баннером Mirai раскусывает за секунды — один и тот же fingerprint, десяток захардкоженных команд. LLM-honeypot работает иначе: модель генерирует контекстно-зависимый вывод в реальном времени, атакующий думает, что ломает живой сервер — и сливает свои TTPs.
Разворачиваем на Linux: единый asyncio-listener через nftables REDIRECT на все порты, Ollama или OpenAI в качестве движка, трёхуровневая защита бюджета от массовых сканов, логирование в JSON с маппингом на MITRE ATT&CK.
Полный код, prompt engineering без hallucination и детекция AI-агентов через prompt injection.Статья Sigma правила детекции Cisco SD-WAN: пишем детекты на CVE-2026-20127 и lateral movement через NETCONF
Sigma-правила для Cisco SD-WAN: детектируем CVE-2026-20127 и lateral movement через NETCONF.CISA выдала 48 часов вместо стандартных 21 дня — это говорит о масштабе угрозы. Группировка UAT-8616 сидела в SD-WAN-инфраструктурах незамеченной с 2023 года, а готовых Sigma-правил под этот attack chain не существует.
В статье разбираем всю цепочку: от обхода аутентификации (CVSS 10.0) и rogue-peer инъекции через NETCONF до anti-forensics и lateral movement. Пишем рабочие детекты под vManage/vSmart-логи, настраиваем pipeline-маппинг для Splunk и Elastic, разбираем валидацию без продакшн-инцидента.
Статья Захват домена Active Directory: от учётки стажёра до Domain Admin мимо SOC за миллионы
За последний год — десятки внутренних пентестов в организациях с enterprise SIEM и EDR. Среднее время от учётки стажёра до Domain Admin: 30 минут. Не zero-day. Kerberoasting сервисной учётки с паролем, который не менялся три года.Первые 15 минут атакующего: 0–3 мин — LDAP-разведка через SharpHound, пароли в полях Description (каждый пятый домен); 3–7 мин — Kerberoasting (T1558.003) и AS-REP Roasting; 7–12 мин — офлайн-взлом + анализ графа BloodHound; 12–15 мин — Pass-the-Hash (T1550.002), DCSync (T1003.006). DCSync через impacket secretsdump.py — тихо, без обращения к файловой системе DC. Golden Ticket живёт до двойной смены krbtgt.
SIEM без Audit Directory Service Access — дорогой лог-коллектор: событий 4662 с GUID репликации в нём нет.
Проверочный запрос для SIEM и что реально закрывает path к Domain Admin.Статья APT42 социальная инженерия: как IRGC-хакеры обходят MFA и крадут учётные данные без малвари
APT42 атакует людей — не периметр. Недели переписки в WhatsApp, легитимные PDF, приглашения на конференции. И только потом — ссылка, которая перехватывает MFA-токен в реальном времени. Ни одного вредоносного вложения.Три кластера инфраструктуры (Mandiant): фейковые СМИ и аналитические центры, легитимные платформы (Google Sites, Cloudflare Workers), AiTM с перехватом push-уведомлений (T1111, T1621). TOTP, SMS, push — не защищают. FIDO2/passkeys привязаны к origin домена криптографически — фишинговая страница ответа не получит. Бэкдоры TAMECAT (PowerShell, in-memory) и NICECURL (VBScript) — только для высокоценных целей.
Стандартный SOC APT42 не поймает: нет малвари, действия через легитимные облачные функции.
KQL-запрос для Microsoft Sentinel и шесть мер защиты по приоритету.Статья Уязвимости десериализации: эксплуатация через ysoserial, phpggc и построение gadget chain
Непонятный blob в cookie, ysoserial, и через полминуты — reverse shell на WebLogic. Десериализация RCE — это когда приложение берёт пользовательские данные и вызывает readObject(). Остальное делает gadget chain.Как читать сигнатуры: Java — ac ed 00 05 / rO0AB в Base64; PHP — O:, a:, s: текстом; Python pickle — \x80\x02 и cbuiltins. CVE-2015-4852 WebLogic (CVSS 9.8): T3-протокол, CommonsCollections, PR:N. CVE-2017-9805 Apache Struts (CVSS 8.1): XStream без фильтрации типов. PHP black-box: phpggc генерирует payload для всех RCE-chain, перебор через Burp Intruder, флаг -f (fast-destruct) обязателен. Python pickle: gadget chain не нужен — __reduce__() вызывает os.system() напрямую при loads().
ML-сервисы с .pkl-моделями — та же атака без лишних условий.
Митигация для Java (JEP 290), PHP (allowed_classes), Python (safetensors).Статья Эксплуатация CVE в пентесте: от публичного PoC до стабильного шелла в обход EDR
Три PoC с GitHub — и ноль шеллов. Первый роняет сервис, второй молча завершается, третий собран под другую минорную версию. Разница между «CVSS 10.0 на бумаге» и «CVSS 10.0 в бою» — часы адаптации.CVE-2024-3400 (PAN-OS, CRITICAL): Unit 42 зафиксировал четыре уровня реальной эксплуатации — от Level 0 (попытка провалена) до Level 3 (интерактивный шелл). APT-группа трижды безуспешно пыталась установить бэкдор до переключения на cron job. Чеклист оценки PoC: репутация автора, точная версия, что реально делает код. Стабилизация — убрать crash, восстановить поток выполнения. Интеграция в Sliver (mTLS, WireGuard, DNS) или Metasploit с check-методом.
Первые 60 секунд после шелла: ситуационная осведомлённость, персистенс, миграция из нестабильного процесса.
10-шаговый чеклист weaponization и разбор когда CVE лучше не эксплуатировать.Заметка Burp Suite Extensions: шпаргалка по OWASP Top 10 2025 — какой плагин ставить и зачем
Справочник, который открываешь на пентесте, когда нужно быстро вспомнить: какой extension ставить под конкретную категорию OWASP, как настроить и что смотреть в выводе.15 extensions с маппингом на OWASP Top 10: Autorize — фоновая репликация каждого запроса с чужой сессией, красный = IDOR; Turbo Intruder single-packet attack для race conditions через HTTP/2; JWT Editor — alg:none и key confusion прямо во вкладке Repeater; Collaborator Everywhere — SSRF out-of-band без единого действия; Param Miner — до 65 000 имён параметров за запрос для cache poisoning; Retire.js — CVE в JS-библиотеках пассивно.
Logger++ жрёт память без фильтра по scope; Collaborator Everywhere кладёт WAF на production — отключай.
Quick-reference card из 8 сценариев и 10 gotchas, которых нет в документации BApp Store.Статья XSS уязвимость на практике: поиск, эксплуатация и обход фильтров
Классический <script>alert(1)</script> давно не работает на реальных целях: WAF режет его на подлёте, htmlspecialchars экранирует скобки, CSP блокирует инлайн. Но XSS от этого не умирает — он мутирует.Три типа через призму HTTP-запросов: reflected — контекст вставки определяет пейлоад (HTML / атрибут / JavaScript — разные векторы); stored blind XSS поражает админку через тикет поддержки и ждёт три дня; DOM-based обходит WAF полностью — пейлоад не покидает браузер. CVE-2024-45801 (CVSS 7.3): DOMPurify < 3.1.3 обходится через Prototype Pollution — загрязнение Number.isNaN роняет depth-checker санитайзера. onscrollsnapchanging + base64 в data-атрибутах:
WAF видит безобидный обработчик, браузер исполняет произвольный JS.
Аудит CSP через Google CSP Evaluator и маппинг цепочки на MITRE ATT&CK T1539→T1185.Статья SQL инъекция в 2025: техники эксплуатации, обход WAF и автоматизация с sqlmap
В январе 2025 года CVE-2025-1094 в PostgreSQL прошла через BeyondTrust Remote Support и закончилась в инфраструктуре Министерства финансов США. Тот самый класс багов, которому двадцать лет — и никуда не собирается уходить.Пять типов инъекций с логикой выбора: error-based — CAST к numeric на PostgreSQL; boolean-blind — STRCMP() и mid() вместо ascii() обходят WAF; time-based — SLEEP() только MySQL, pg_sleep() на PostgreSQL, WAITFOR DELAY на MSSQL. HTTP Parameter Pollution: WAF видит два безобидных значения, бэкенд склеивает их в рабочий пейлоад. sqlmap не видит инъекцию — добавляем Burp-прокси и меняем User-Agent: WAF блокировал по строке sqlmap в заголовке.
Tamper-скрипты для ModSecurity CRS и Cloudflare, second-order инъекции, которые сканеры не ловят.
Детектирующие паттерны в логах WAF и SIEM-корреляция для blue team.Статья IDOR уязвимость в bug bounty: как находить и репортить для максимальных выплат
Одна подмена параметра в API-запросе — и ты читаешь чужие паспортные данные или скачиваешь чужие документы. IDOR стабильно приносит от нескольких сотен до нескольких тысяч долларов за репорт — автоматические сканеры её не ловят, WAF не блокирует.Методология: два аккаунта, маппинг всех эндпоинтов, систематическая подмена числовых ID / UUID / вложенных ключей / JSON-полей типа owner_id. Autorize в Burp дублирует каждый запрос с токеном жертвы и без токена — красные строки (Bypassed) требуют немедленной проверки. Паттерны, которые пропускают сканеры: разные HTTP-методы на одном эндпоинте, Mass Assignment, UUID из публичных страниц.
Цепочка Improper Access Control + IDOR → Account Takeover: две P3 = один P1.
Разбор реальных кейсов с выплатами суммарно $25 000+ и маппинг на MITRE ATT&CK.