Программирование для ИБ
Статья Защита API от BOLA и IDOR: паттерны авторизации, policy-as-code и чеклист для разработчика
GET /api/orders/1254 с чужим ID — и сервер отдал данные. Без эксплойта, без обхода WAF. CVE-2019-16097 в Harbor позволяла создать admin-аккаунт одним неавторизованным вызовом. BOLA возглавляет OWASP API Security Top 10 — и большинство команд до сих пор лечат её UUID.UUID усложняет перебор, но не устраняет уязвимость: если сервер не проверяет, что user_id из JWT — владелец объекта, BOLA на месте. Идентификаторы утекают через списковые endpoints, WebSocket-события и логи фронтенда — после этого горизонтальный privilege escalation снова открыт.
WAF видит синтаксически корректный запрос — BOLA живёт в связке identity→object→permission, которую периметр не моделирует.Статья Анализ вредоносного ПО на Python: разбор стилера от распаковки до C2-адреса
Python-стилеры — 32% всех семейств 2024 года по IBM X-Force. BlankGrabber и XillenStealer упакованы PyInstaller, сливают Chromium-пароли, Discord-токены и крипто-кошельки через Telegram Bot API — и большинство разборов обрывается на VirusTotal.Полный цикл вскрытия: strings -a suspect.exe | grep -iE "MEIPASS|pyimod" подтверждает упаковщик, pyinstxtractor вытаскивает .pyc из overlay-секции с энтропией выше 7.5, pycdc декомпилирует байткод Python 3.9+ обратно в читаемый исходник.
Малварь детектируется по поведению на эндпоинте — но C2-адрес живёт только в байткоде, до первого сетевого запроса.Статья FASM - формат и назначение манифестов
FASM и манифесты PE: почему ваша ASM-программа выглядит как Win2k - и как это исправить тремя строками в секции .rsrc.Без манифеста загрузчик считает, что перед ним программа для XP: кнопки без теней, GetVersionEx() всегда возвращает Win8, UAC-запрос не срабатывает. В IDE это решается парой кликов - но в FASM полный контроль над каждым байтом ресурса.
Разбираем два способа встраивания RT_MANIFEST: внешний XML через директиву file и прямая db-строка в коде. Добавляем VERSIONINFO для свойств файла, объясняем, почему у обоих ресурсов ID=1 и почему это не конфликт - а трёхуровневая иерархия Type+ID+Lang.
Рабочий исходник генератора манифестов на FASM64 с диалогом UAC - в приложении.Статья Go для пентестера: пишем сетевые инструменты
Самописные сетевые утилиты почти всегда начинаются одинаково: быстрый скрипт под задачу, один удачный запуск, а потом таймауты, шумный вывод, неудобная доработка и желание переписать всё с нуля. В этой статье разбираем, почему Go в какой-то момент оказывается удобнее таких одноразовых решений и как на нём собирать свои рабочие инструменты без лишней боли.
На двух практических примерах - многопоточный TCP-сканер и HTTP path enumerator - покажем, где заканчивается “демка на коленке” и начинается нормальная инженерия. Разберём worker pool, редиректы, baseline для мусорных ответов, таймауты, формат результата и те места, где утилита начинает врать уже после первого удачного прогона.
Это не обзор возможностей Go и не пересказ документации. Это практический разбор того, как маленькие сетевые инструменты доводятся до состояния, когда их не хочется выбрасывать после второго запуска: с кросс-компиляцией, нормальным stop-path, JSON-выводом и понятной логикой работы в реальной сети.Статья Python для форензики: Автоматизация анализа логов и артефактов (Pandas, RegEx)
Python в DFIR - это не “приятный бонус”, а способ выжить в море логовВ статье разберём, как автоматизировать рутинный разбор Syslog, Windows Event Log, Apache access log и артефактов файловой системы, когда счёт идёт на десятки гигабайт событий, а ответ по инциденту нужен уже через час.
Покажем, как собрать хаос из разных источников в одну понятную хронологиюВы увидите, как использовать Pandas, regex, datetime, python-evtx и Python-скрипты для нормализации логов, извлечения IOC, построения timeline, корреляции событий и поиска реальных следов атаки без ручного копания в CSV и Excel.
Внутри - не теория ради теории, а готовые практические сценарииРазберём скрипты для анализа логонов 4624/4625, Apache-логов, MFT, IOC extraction, корреляции firewall/auth/endpoint-событий и генерации HTML-отчётов. Это материал для тех, кто хочет не просто читать логи, а превращать их в рабочие выводы и отчёты.
Статья Bash для автоматизации ИБ: скрипты для повседневных задач
Bash для ИБ-специалиста: незаметный, но мощный инструментУстали тратить часы на рутину - логи, сканирования, отчётность? В этой статье вы узнаете, как превратить Bash в своего незаменимого помощника для автоматизации любых задач в кибербезопасности.
От логов до разведкиРазберём, как Bash ускоряет анализ логов, парсинг данных, сканирование портов и мониторинг сети. Простые пайпы, grep, awk и xargs - и рутинные процессы начинают работать сами.
Автоматизация, которая работает за васПошагово покажем, как строить pipeline'ы для recon, hunting, alerting и генерации отчётов. Всё с готовыми шаблонами скриптов, которые действительно экономят время.
Статья Go для пентестера: быстрые сканеры, утилиты и импланты
🛠 Go для пентестера: от быстрых сетевых сканеров до небанальных имплантов. В статье разберём, почему Go стал стандартом для offensive‑инструментов: кросс‑компиляция, один бинарник без зависимостей, удобные goroutines и чем он выигрывает у Python и C в реальных боевых задачах.
Покажем на коротких шаблонах кода, как собрать свой concurrent port‑scanner, HTTP‑sprayer для web‑приложений и базовый beacon‑агент с опросом C2, выполнением команд и простейшей устойчивостью. Отдельный блок посвятим обфускации и антидетекту: garble, шифрование строк, идеи для API hashing и syscalls, плюс базовый opsec — уникальные билды, профили трафика и работа под радаром EDR. Статья ориентирована на практикующих пентестеров, red team и security‑разработчиков уровня middle/senior.Статья Безопасный код: типичные ошибки разработчиков
Хотите писать код, который не просто работает, а выдерживает атаки из реального мира? В этой главе вы разберете, как привычные конструкции в Python и веб‑шаблонах превращаются в точку входа для SQL‑инъекций, XSS, CSRF и path traversal, и увидите, как переписать их в безопасном стиле с помощью параметризации, экранирования и строгой работы с путями. На конкретных примерах вы увидите разницу между “демо-кодом” и продакшен-подходом: надежные сессионные токены, безопасная обработка ошибок без утечек внутренней структуры, ограничения на работу с файлами и защита форм с помощью CSRF‑токенов — с короткими сниппетами «было/стало» и пояснениями, почему так любят эти ошибки пентестеры.Статья Искусственный интеллект в пентесте: Ваш новый напарник или угроза? 🤖
Искусственный интеллект в пентесте: ваш новый напарник или угроза?Хотите узнать, как ИИ может стать важным инструментом для пентестеров? В этой статье мы расскажем, как искусственный интеллект помогает ускорить процессы сбора информации, моделирования угроз и обнаружения аномалий, делая пентест более эффективным.
Мы также рассмотрим, как ИИ используется для создания эксплойтов и генерации отчетов, а также какие инструменты используют пентестеры для повышения своей производительности.
Однако, несмотря на все преимущества, мы не забываем и о рисках. Ложные срабатывания, зависимость от ИИ и использование технологий злоумышленниками — все эти вопросы требуют внимания.
И наконец, как ИИ помогает пентестерам, но не заменяет их, и какие этические вопросы возникают при его применении.Статья Языки программирования для кибербезопасности: какие учить в 2025 году [Полное руководство с зарплатами]
От 55к до 500к₽: Какие языки программирования прокачают карьеру в кибербезопасности?Думаете, что одного Python достаточно для работы в ИБ? В 2025 году 78% высокооплачиваемых специалистов владеют минимум тремя языками программирования.
В этом мега-гайде раскрываем ТОП-7 языков с реальными зарплатами, матрицу выбора под вашу специализацию и пошаговый план развития от Junior до Senior с конкретными проектами для GitHub.
Практическое руководство с кодом, проектами и планом захвата рынка труда в кибербезопасности.