Форум информационной безопасности - Codeby.net
Статья Shift-left на практике: внедрение SAST и DAST в CI/CD без срыва релизов
Bandit с дефолтным конфигом выдал 400+ алертов — команда поставила allow_failure: true и забыла. ZAP ломал окно релиза 40 минутами полного скана — его отключили. SAST и DAST в pipeline есть, но работают как декорация.Статья разбирает реальный DevSecOps-стек: Semgrep на diff в MR за секунды, Trivy на каждый build, Nuclei вместо ZAP full scan в CI — и ZAP baseline только на staging. MITRE T1552.001 (Credentials In Files), T1195.001 (supply chain через PyPI/npm), Poisoned Pipeline Execution T1677 — всё это поверхность атаки самого pipeline, не только приложения.
Если на проекте работает грамотный DevSecOps-пайплайн — типовые SQLi и XSS уже отфильтрованы. Ценность пентестера смещается в бизнес-логику и authorization bypass.Статья OSINT по номеру телефона: от цифр к полному цифровому профилю — инструменты и методология
Один номер +7 — четыре часа работы — граф из 14 аккаунтов, двух email и следов в трёх утечках. PhoneInfoga, HLR-запросы, GetContact, реестр ЦНИИС: цепочка от голых цифр к верифицированному профилю без единого нелегального запроса.Методология строится по MITRE ATT&CK Reconnaissance: T1589 (Gather Victim Identity Information), T1593.001 (Social Media), T1596 (Open Technical Databases). HLR-запрос через smsc.ru возвращает MCC/MNC и статус SIM — active/absent/unknown. PhoneInfoga на Go агрегирует carrier, регион, breach-хиты. WhatsApp-аватар идёт в reverse image search через Search4Faces.
GetContact деанонимизирует не цель — а вас: ваша контактная книга уходит на серверы сервиса при установке.Статья Антифрод-аналитика транзакций: фрод-паттерны и скоринговые правила на практике
Один device fingerprint, 12 карт, интервал 30 секунд — кардинг уже идёт. 43 из 47 алертов за ночь оказались false positive на командировочных транзакциях, четыре реальных кейса принесли 38 тыс. руб. убытка плюс 12 chargeback-диспутов втрое дороже.Velocity-правила — первая линия, но без контекста дают FP-рейтинг 40%+. Скоринговая модель должна считать сигналы в связке: card_hash за 5-минутное окно, количество уникальных карт с одного device_id, интервал менее 10 секунд как маркер автоматизации, BIN-страна против IP-юрисдикции.
Account takeover детектируется через смену device fingerprint за 24 часа до транзакции и превышение среднего чека клиента в 3+ раза.
Chargeback-штрафы по Visa VAMP втрое дороже самого фрода — антифрод это P&L, а не задача безопасников.Статья CI/CD для начинающих: Docker, GitLab CI и первый безопасный пайплайн
GitLab CI-пайплайн финтех-компании: от скомпрометированной учётки разработчика до AWS S3 с продуктовыми дампами — меньше часа. В трёх из пяти репозиториев .gitlab-ci.yml хранил AWS-ключи и пароль staging-базы открытым текстом.Initial access через low-priv credentials — и сразу grep по .gitlab-ci.yml. Захардкоженные секреты, Docker Registry токен, CI-переменные без маскировки. Lateral movement по T1552.001 → T1611: Runner с примонтированным /var/run/docker.sock и одна команда docker run -v /:/mnt --rm -it alpine chroot /mnt sh дают root на хосте.
Пентестер смотрит на порты и CVE — а пайплайн отдаёт production-доступ без единого эксплойта.Статья Пентест менеджера паролей: атаки и харденинг 1Password, Bitwarden и CyberArk
Bitwarden vault — 340 записей, AWS, PostgreSQL, Jira — слит за 40 минут через CDP при работающем EDR и включённом MFA. Вектор: разблокированное расширение Chrome и отладочный порт, который ни один алерт не покрывал.Foothold через Responder + NTLM relay на рабочей станции бухгалтера — и дальше T1555.005 вместо часов Kerberoasting. CDP-подключение к background page расширения, вызов Runtime.evaluate, CipherService.getAllDecrypted() — ключи расшифровки живут в памяти разблокированного vault.
EDR молчит, SIEM чист — vault уже открыт. CDP работает в контексте пользователя без admin-прав.Статья Уязвимости Ivanti Endpoint Manager: цепочки эксплуатации EPMM от auth bypass до pre-auth RCE
CVE-2025-4427 + CVE-2025-4428 и CVE-2026-1281 — цепочки от auth bypass до pre-auth RCE в Ivanti EPMM: 4 400 инстансов торчат в интернете, EPSS CVE-2023-35078 равен 1.0, публичный эксплоит EDB-52421 уже в Exploit-DB.Ivanti EPMM пять раз попадал в CISA KEV за три года. CVE-2025-4427 обходит аутентификацию через небезопасную реализацию Spring Framework, CVE-2025-4428 добивает RCE через Hibernate Validator — в связке это полный захват без учётных данных. CVE-2026-1281 и CVE-2026-1340 дают pre-auth RCE через bash arithmetic expansion.
Для детекции — шаблон CVE-2025-4427.yaml в nuclei-templates ProjectDiscovery.
До публикации CVE-2026-1281 атакующие уже разворачивали dormant backdoors — патч не гарантирует чистую систему.Статья Детектирование бокового перемещения Windows: правила корреляции для SOC-аналитика
Учётка svc_backup тихо ходила по 12 серверам 36 часов — Event ID 4624 Type 3 в логах, тишина в алертах. NTDS.dit скопирован, три файловых сервера зашифрованы. Не хватило одного: корреляции.SMB lateral movement (T1021.002) оставляет чёткий след — 4624 Type 3 с NtLmSsp и KeyLength=0, 4648 с явными кредентиалами, 5145 на ADMIN$/C$. Splunk-правило: dc(ComputerName) > 3 за 15-минутное окно от одного TargetUserName плюс explicit_creds > 0 — и алерт готов.
PsExec детектируется через Event ID 7045 с рандомным 4-символьным именем сервиса (Impacket-default), 5145 на ADMIN$ и дочерними процессами от psexesvc.exe.
4624 Type 3 пишется на цели, 4648 — на источнике. Корреляция по имени юзера, не по хосту — иначе правило слепое.Статья Свой асинхронный сканер портов на Python: asyncio, сокеты и парсинг баннеров
Asyncio-сканер на 80 строк Python закрыл /24 за 47 секунд — без nmap, без root, из-под www-data на pivot-хосте с заблокированным бинарным трафиком через reverse-SSH туннель.TCP connect scan через asyncio.open_connection + asyncio.Semaphore(300) — полное рукопожатие без raw sockets. MITRE T1046 в чистом виде: 1024 порта на 254 хостах, баннеры SSH и HTTP за один проход, asyncio.wait_for гасит зависшие корутины на дропающем файрволе.
Семафор критичен: превысишь ulimit -n 1024 — получишь OSError errno 24 и нулевые результаты без видимых ошибок. Старт с N=300, таймаут connect 2.0 с, баннер 1.0 с. Для SOCKS-прокси — N≤100.
SOC видит nmap в сигнатурах — Python connect scan в pcap выглядит как легитимный сервисный трафик.Статья Лаборатория для Wi-Fi пентеста: от адаптера с monitor mode до detection-стенда
ALFA AWUS036ACH, направленная антенна в сторону офиса — за 35 минут airodump-ng взял WPA2-PSK handshake, hashcat за ночь вскрыл пароль. Гостевой VLAN не изолирован: утром пятницы — полный доступ к корпоративному сегменту.Статья разбирает полный стенд: от выбора чипсета (RTL8812AU vs MT7612U vs MT7921AUN) до kill chain по MITRE ATT&CK — T1669, T1040, T1557.004. Разбор драйверов, monitor mode, packet injection через aireplay-ng и mdk4, PMKID-атаки и beacon flooding.
Detection-сторона: как WIDS закрывает три этапа деаутентификации, которые SOC пропустил полностью. Корреляция алертов в SIEM, IOC беспроводных атак, hardening — изоляция VLAN, контроль rogue AP по T1200.
SOC мониторит эндпоинты — атака живёт в эфире. WIDS отсутствовал, Windows Event Log молчал всё время.Статья DDoS-атаки на DNS: water torture, NXDOMAIN flood и защита серверов
Mirai-ботнет уложил Dyn в 2016-м через water torture: IoT-устройства долбили рекурсоры случайными поддоменами вида a1b2c3.target.com — кэш бесполезен, каждый запрос уходит к авторитативнику. Twitter, Reddit, GitHub — оффлайн.Water torture эксплуатирует T1499.002/T1499.003: объём трафика скромный, но CPU рекурсора уходит в потолок от cache miss storm. NXDOMAIN flood бьёт по рекурсору любыми несуществующими доменами, water torture целится через него в конкретный авторитативный сервер. DNSSEC иронично усиливает amplification до 54x (T1498.002, US-CERT TA13-088A).
SOC видит volume spike — water torture его не даёт. Атака прячется за легитимным трафиком, пока CPU уже в 100%.