Форум информационной безопасности - Codeby.net
Статья Пентест SCADA систем: от Modbus-разведки до контроля ПЛК в production-среде
Обычный SYN-скан без --max-rate положил Siemens S7-300 за 40 секунд — оператор нажал аварийную остановку, простой 22 минуты. Modbus TCP (порт 502) не имеет аутентификации: function code 0x06 исполняется без вопросов от любого узла в сети.В OT-среде kill chain идёт через Shodan (`port:502 product:Siemens`), Redpoint NSE и PLCScan для fingerprinting, затем — lateral movement через инженерную станцию с двумя интерфейсами в DMZ. Industroyer эксплуатировал легитимные IEC 60870-5-104 команды плюс CVE-2015-5374 против Siemens SIPROTEC.
Приоритет защиты в ICS — Safety → Availability → Integrity, а не CIA как в IT.
EDR в OT — редкость из-за real-time constraints. ПЛК зависает от 50 пакетов/сек, а патч ждут 29 месяцев.Статья Лаборатория для мобильного пентеста: от эмулятора до перехвата трафика за один вечер
Три часа на финтех-аудите ушли не на поиск IDOR, а на борьбу со стендом: Android 14 монтировал /system read-only, сертификат Burp не попадал в системное хранилище, Frida-сервер падал из-за несовпадения архитектуры с AVD.Рабочий стек выглядит так: rootAVD интегрирует Magisk в образ эмулятора через `rootAVD.bat ListAllAVDs` (только cmd.exe, не PowerShell), сертификат Burp кладётся в `/system/etc/security/cacerts/` через Magisk-модуль, Frida-сервер версии строго под API эмулятора стартует через `adb push` и `adb shell chmod 755`.
Genymotion даёт root из коробки и экономит 20 минут, но ARM-трансляция без допнастройки ломает половину APK.
Эмулятор проваливает Play Integrity даже с Magisk — приложение молча блокирует запуск до первого экрана.Writeup Pentest Machine | Письмо | HackerLab (WriteUp)
Письмо, которое отдаёт root: захватываем машину через Tar.Сервис, который просто «читает архивы», кажется безобидным? А зря — одна symlink-ссылка внутри tar-архива превращает невинную распаковку в чтение /etc/passwd и кражу приватного SSH-ключа.
В этом разборе: разведка nmap, эксплуатация symlink-уязвимости (CWE-61), вход по угнанному ключу и финальная эскалация до root через sudo tar.
Пошаговый разбор машины с HackerLab для пентестеров, которые хотят набить руку на реальных техниках.Статья Управление секретами DevSecOps: архитектура, ротация и детект утечек в Vault, AWS Secrets Manager и Azure Key Vault
OIDC-токен из лога GitHub Actions — и атакующий за 32 минуты получил connection string к RDS, дампнул 12 000 PII-записей. Vault стоял, CloudTrail молчал: 340 вызовов GetSecretValue против baseline 8–10/час никто не мониторил.Kill chain не ломает Vault — он использует легитимный доступ скомпрометированного сервисного аккаунта CI/CD. CVE-2026-9133 (CVSS 8.3, CWE-489) в rabbitmq-aws читала TLS-ключи прямо с файловой системы, минуя Secrets Manager API полностью — CloudTrail этого не видел.
Пять из шести инцидентов — секрет лежал в менеджере, но паттерны обращений не мониторились.Статья Снижение false positives в SOC: ML-детекторы и автоматизация триажа от алерта до тикета
В понедельник 9:15 в очереди SIEM — 2 847 алертов за выходные. 2 300 из них — FP от трёх правил корреляции. Пока аналитики разгребали шум три дня, lateral movement через скомпрометированный сервисный аккаунт закрыли «как FP». Данные ушли.Статические правила корреляции бьют одним порогом по всей инфраструктуре — brute-force и плановая ротация паролей дают идентичный алерт. Атакующий эксплуатирует это через T1562.011: генерирует шквал ложных срабатываний, пока T1070 зачищает следы.
Трёхстадийный пайплайн — pre-filter → Isolation Forest scoring → contextual enrichment с TI-фидами и AD-ролями — снижает FP-рейтинг с 40% до 8%.
SOC мониторит правила — APT работает в шуме. Lateral movement прячется среди FP-алертов, пока аналитик выгорает.Я заказчик Слова, которые превращаются в рубли. Время писать и зарабатывать!
Ищем авторов: преврати свой опыт в ИБ в статьи и доход.Решил crackme, собрал свой стенд для пентеста или разобрал свежую атаку? Не дай этим знаниям пылиться в заметках.
Codeby приглашает авторов писать о хакерских техниках, поиске уязвимостей и защите — для аудитории, которая в теме. Взамен: живой нетворкинг, заинтересованные читатели и оплата от 600 ₽ за 1000 знаков.
Уникальный материал, свои скриншоты, чистота по Главреду 8+ — и твоя статья выходит на крупнейшем ИБ-форуме. Телеграм @The_Codeby.Статья Workload Identity в Kubernetes: SPIFFE/SPIRE, pod identity и отказ от long-lived credentials
SSRF в микросервисе дёрнул IMDS на 169.254.163.254, атакующий вытащил IAM-ключ из метаданных EC2, за 47 минут выгрузил клиентские данные из S3. Ключ создан 14 месяцев назад и ни разу не ротировался. Проблема не в SSRF — в статичном IAM-ключе, которому не было причин существовать.SPIFFE/SPIRE: вместо секретов каждый workload получает X.509-сертификат с TTL 1 час через аттестацию окружения. IRSA на AWS, GKE Workload Identity, Entra Workload ID — нативные механизмы привязки ServiceAccount к IAM-роли без AKIA*-ключей в env-переменных. IMDSv2 с hop limit = 1 закрывает доступ к IMDS из подов без hostNetwork.
Detection в SIEM: baseline маппингов SA → IAM Role через kubectl + jq, burst запросов к STS (10+ за минуту от одного пода), Falco-правило на connect() к 169.254.163.254. Attack paths при workload identity: T1611 escape to host, T1098.006 новый ClusterRoleBinding, JWT-SVID replay за окно TTL.
Short-lived credentials...Статья Nginx reverse proxy: безопасность C2 и detection-чеклист для SOC
Шесть недель C2-канал Cobalt Strike через два Nginx-redirector'а — ноль алертов. Трафик маскировался под API-запросы к SaaS-порталу. На postmortem'е выяснилось: команда защиты не знала, какие артефакты оставляет Nginx в роли C2 redirector без расшифровки TLS.Механика: location с proxy_pass направляет URI из Malleable C2 Profile на team server, всё остальное — 302 redirect на microsoft.com. try_files как двойное дно: существующий файл отдаётся клиенту, несуществующий URI проксируется на C2. Аналитик проверил домен руками, увидел redirect на легитимный ресурс — закрыл тикет.
Detection без расшифровки TLS: JA3-хеши C2-фреймворков в базах, σ интервалов < 5 сек при среднем > 30 сек — beaconing, один хост на «News»-домен — аномалия, crafted URI возвращает не 404 — try_files с fallback на C2. Мониторинг новых location-блоков в /etc/nginx/ через auditd.
IP из алерта — расходный узел. За redirector'ом скрывается инфраструктура, которую вы ещё не видите.Статья Session hijacking атаки JWT токены: от перехвата до detection в SIEM
PAT, слитый в историю чата ChatGPT, оставался валидным месяцами и давал admin-доступ к production-репозиториям нескольких организаций. Два API-вызова — и весь периметр замаппирован. Без единой записи в аудит-логе.JWT none algorithm: алг подменяется на none, подпись удаляется — legacy-библиотеки принимают. Key confusion RS256→HS256: публичный ключ RSA как HMAC-секрет. Hashcat -m 16500 на слабом секрете — 4 секунды до генерации произвольных токенов с role: admin. AITM-прокси (Evilginx) перехватывает session cookie после легитимного MFA — Conditional Access Policies не спасают.
Таблица behavioral detection: impossible travel HIGH, refresh token reuse CRITICAL, velocity anomaly HIGH, User-Agent switch MEDIUM. Псевдоправило корреляции для любого SIEM. Hardening-чеклист из девяти пунктов с готовой строкой Set-Cookie с HttpOnly, Secure, SameSite=Strict.
Восемь техник ATT&CK — восемь точек где нужны правила. Большинство SOC покрывают две-три.