Форум информационной безопасности - Codeby.net
Статья Веб-пентест для начинающих: от настройки окружения до первой найденной уязвимости
Человек прочитал десять статей про SQL-инъекции и XSS — и не может перехватить свой первый HTTP-запрос. Теория без контекста не работает. Эта статья построена по принципу «делай вместе со мной».DVWA через Docker — одна команда и уязвимое приложение готово. Burp Suite: перехват POST с логином и паролем в открытом виде, Repeater для экспериментов, HTTP history для истории. Первая SQL-инъекция: `1' OR '1'='1` — все пользователи в ответе, затем UNION SELECT с MD5-хешами паролей. XSS: `<script>alert(1)</script>` → `document.cookie` → кража сессии.
Пятишаговая методика: разведка → карта приложения → автосканирование → ручное тестирование → документирование.
Четыре ошибки новичков и маршрут дальше: DVWA → PortSwigger Academy → HackTheBox → bug bounty.Статья Пентест контейнеров Docker и Kubernetes: от побега из контейнера до захвата кластера
На каждом втором red team-проекте с контейнерной инфраструктурой одна и та же картина: команда считает, что контейнер изолирует как виртуалка. Нет. Это группа процессов за Linux-примитивами, и один треснувший заборчик — выход на хост.Docker socket в CI/CD — container breakout за 30 секунд через curl к daemon API. CVE-2024-21626 (runc, CVSS 8.6) — побег без привилегированного режима. CVE-2025-9074 (Docker Desktop, CVSS 9.3) — доступ к Engine API без аутентификации через внутреннюю подсеть. В Kubernetes: `create pods` = DaemonSet на всех нодах, `create clusterrolebindings` = одна команда до cluster-admin.
Полная цепочка: разведка → ориентирование в поде → container breakout → RBAC abuse → захват кластера. Инструменты: CDK, kube-hunter, Peirates, kubesploit.
Восьмишаговый чеклист пентеста с MITRE ATT&CK маппингом и защита, которая реально останавливает атакующего.Статья Домашняя лаборатория для пентеста в 2026: от гипервизора до первого взлома уязвимого стенда
Гайды начинаются со слов «купите сервер с 128 ГБ RAM». После этого новичок закрывает вкладку. Реальность: рабочая домашняя лаборатория для пентеста разворачивается на обычном ноутбуке за один вечер и не стоит ни рубля.Три уровня железа (от текущего ноутбука до мини-ПК за 15–25 тыс.), сравнение гипервизоров VirtualBox / VMware / Proxmox, изолированная Host-Only сеть с проверкой, Metasploitable 2 + Windows Evaluation + GOAD для AD-полигона, DVWA и Juice Shop через Docker.
Пошаговый план на выходные: суббота — фундамент, воскресенье — первый реверс-шелл через vsftpd 2.3.4 с маппингом на MITRE ATT&CK.
Пять упражнений от Metasploitable до Kerberoasting и пивотинга между подсетями через Chisel.Статья Разработка расширений C2 фреймворков: BOF, агенты Mythic и плагины Sliver на практике
Стандартный mimikatz в CS — fork&run, два лишних события для EDR. Штатный имплант Sliver весит 9 МБ и палится на этапе доставки. Выход — не новый C2 с нуля, а точечные расширения под конкретный engagement.BOF: 2–10 КБ, выполнение inline в процессе Beacon без нового потока, одноразовый — нет persistent-модуля в памяти. Совместим с Mythic и AdaptixC2 — де-факто стандарт расширения C2. Mythic: контейнерные агенты под гетерогенную инфраструктуру, нативная поддержка многоэтапных payload'ов. Sliver: gRPC API для автоматизации операций на 50+ хостах.
Архитектура BOF под капотом, кастомные агенты Mythic через RabbitMQ, plагины Sliver через Armory и сравнительная таблица по 7 параметрам.
MITRE ATT&CK маппинг и три антипаттерна: дефолтные профили C2 детектируются моментально.Статья Практическая безопасность API: OWASP API Top 10, типовые уязвимости и методика тестирования
DAST-сканер слеп как крот, когда GET /api/v1/orders/1337 отдаёт чужой заказ при подмене ID. OWASP API Top 10 2023 — рабочая карта атакующего, а не чеклист для менеджеров.Три пункта из десяти — про контроль доступа: BOLA (подмена ID в Burp Repeater), BFLA (смена метода или пути на /admin/), Broken Object Property Level Authorization (mass assignment + excessive data exposure). Инъекции больше не выделены отдельно — логические баги статистически преобладают.
Каждая категория через HTTP-запросы, инструменты (Autorize, jwt_tool, Arjun, nuclei, InQL) и MITRE ATT&CK маппинг. GraphQL: интроспекция на production раскрывает всю схему, batch-запросы обходят rate limiting.
Шести шаговая методика API пентеста — за порогом регистрации.Статья CTF Web Writeup: SQL injection, SSRF и десериализация — разбор реальных задач
Веб — самая популярная CTF-категория. Тут нет формулы «запустил скрипт — получил флаг». Побеждает тот, кто быстрее находит отклонение от нормы.Три устойчивых столпа: SQLi (blind в cookie — sqlmap не нашёл, ручная проверка за минуту), SSRF через Next.js middleware (CVE-2025-57822) → Jenkins без пароля → Groovy RCE, PHP-десериализация через __destruct и phar:// без явного unserialize(). Обёртки меняются, ядро — нет.
Чейнинг на реальных задачах: IDOR → утечка credentials → XSS → кража сессии → LFI → RCE (шесть звеньев, HTB Guardian). Обходы фильтров localhost: http://127.1, decimal IP, gopher://, редиректы.
Пятишаговый чеклист разбора любого веб-таска и четыре ошибки, которые стабильно ломают новичков.Статья CTF для начинающих: как выбрать категорию и не убить мотивацию на первом соревновании
Мой первый CTF: открыл задачу PWN, четыре часа пялился на декомпилированный код в Ghidra — ноль флагов и желание больше не возвращаться. Проблема была не в знаниях. Я начал не с той категории.Misc и Crypto начального уровня — первые флаги за 15 минут через CyberChef. Web — главный приоритет для карьеры в ИБ. Reverse и PWN — не трогать первые три месяца. Jeopardy-формат — единственный выбор на старте, Attack-Defense — минимум через полгода.
30-дневный план по дням: Bandit → PicoCTF → Burp Suite → первое живое соревнование. Таблица инструментов по категориям и метод трёх проходов для чтения writeup-решений.
Шесть ошибок, которые совершают все новички — и почему 30 минут без прогресса = сигнал переключиться.Статья Kubernetes Privilege Escalation: от скомпрометированного пода до cluster-admin через RBAC
⎈ Операции с кражей Kubernetes-токенов выросли на 282% за год. Подозрительная активность вокруг SA-токенов — в 22% облачных сред. Ключ лежит под ковриком.
Пять векторов RBAC-эскалации: create pods без admission controller = root на ноде; get secrets = все SA в namespace; impersonate = действуешь от имени кого угодно без новых объектов; bind и escalate — наименее известные, но наиболее разрушительные. Lazarus/Slow Pisces использовали этот паттерн на криптобирже в 2025. IngressNightmare (CVE-2025-1974, CVSS 9.8) — 43% облачных сред.
Полная цепочка «токен → разведка → под с привилегированным SA → cluster-admin» с командами через curl и kubectl.
Чеклист из 11 проверок для аудита RBAC и защита: PSA, Kyverno, аудит опасных verbs.Статья AD CS атаки эскалация привилегий: практический гайд по ESC1–ESC13 с Certipy
За два года — ни одного проекта с AD CS без мисконфигурации, ведущей к Domain Admin. Причина: админы воспринимают PKI как «просто работающий сервис», а не Tier 0 актив.ESC1 (Enrollee Supplies Subject) — самая частая и опасная. ESC4 — любимая: проверяют шаблоны, но забывают про ACL на объектах. ESC8 — единственная без учётных данных: NTLM relay на Web Enrollment через PetitPotam даёт сертификат DC. ESC13 — элегантная: OID Group Link временно добавляет SID привилегированной группы в PAC билета.
Полный разбор ESC1–ESC13 с командами Certipy и Certify, таблицей сложности и сводкой Event ID для Blue Team.
Практический чеклист из шести шагов — от certipy find до secretsdump.