Форум информационной безопасности - Codeby.net
Статья Обход многофакторной аутентификации: атаки через OTP-перехват, SIM-свопинг и push-усталость
MFA защищает ровно один момент — ввод второго фактора. Кто владеет session token после аутентификации — тот в аккаунте. Без повторного MFA-челленджа. Атаки на MFA выросли на 32% в первой половине 2025 года.Семь техник с MITRE ATT&CK маппингом: SS7-перехват SMS (T1111), SIM-свопинг (T1451), push-бомбинг (T1621) — Uber 2022 и Cisco через vishing. Adversary-in-the-Middle через Evilginx2 обходит SMS, TOTP и push разом — 40 000 AiTM-инцидентов ежедневно, 11 Phishing-as-a-Service китов на рынке. Единственное, что устойчиво: FIDO2/WebAuthn благодаря origin binding.
Таблица устойчивости MFA-методов, KQL-правило для детекции impossible travel в Entra ID.
Number matching, Conditional Access + compliant device и отказ от SMS для привилегированных аккаунтов.Статья Фишинг через мессенджеры: как APT-группы атакуют Telegram и Signal и что с этим делать
CERT-UA зафиксировал волну APT-атак через Signal по украинским госструктурам. Мессенджеры — уже не «вспомогательный канал доставки». Это полноценный вектор первичного доступа, который большинство SOC попросту не мониторит.APT28: Signal как канал доставки BeardShell → COM-hijacking в реестре, C2 через Icedrive API. Linked Devices: один QR-код — и атакующий читает все входящие без малвари. UAC-0184: Telegram → ZIP с LNK → Hijack Loader → Remcos RAT в памяти без записи на диск. Telegram Bot API как C2: `api.telegram.org` в корпоративных логах — не аномалия, но коррелируется.
Stealers семейств RedLine/Lumma целенаправленно собирают `%APPDATA%\Telegram Desktop\tdata` — кража сессии без пароля.
YARA-правило для детекции, IoC для SIEM и защитные меры для SOC-инженеров.Статья ИИ для пентеста в 2026: что реально работает на engagement'ах, а что — маркетинг
ИИ не взламывает за вас. Но он разгребает nmap-вывод на 3000 строк, парсит минифицированный JS и пишет черновик отчёта за минуты. Всё остальное — по-прежнему руками и головой.Рынок делится на 7 сегментов — сравнивать PentestGPT с Pentera бессмысленно. Что реально работает: LLM-приоритизация OSINT (Jenkins на поддомене, выбивающемся из конвенции — именно так его нашли), Unicode-обход WAF через fullwidth-апостроф, черновик отчёта 15 findings за 3 часа вместо дня. XBOW занял первое место на US-лидерборде HackerOne, Google Big Sleep нашёл zero-day в SQLite.
На бизнес-логику, BOLA и IDOR — LLM слеп. GPT-4: 87% known CVE, 13% реальных.
Пятишаговый workflow и пять точек отказа, где AI предсказуемо ломается.Статья Sandbox escape в AI-агентах 2026: разбираем CVE-2026-39888 и CVE-2026-34208
Апрель 2026-го принёс два advisory, разносящих иллюзию безопасной изоляции в AI-агентах. CVE-2026-39888 (CVSS 9.9) — побег из PraisonAI через frame traversal. CVE-2026-34208 (CVSS 10.0) — prototype mutation в SandboxJS без аутентификации.PraisonAI: AST-блоклист subprocess-режима содержит 11 атрибутов вместо 30+. Цепочка __traceback__ → tb_frame → f_back → f_builtins извлекает неограниченный exec — полный RCE на хосте. SandboxJS: this.constructor.call() мутирует хостовые глобалы, и отравление живёт между сессиями разных пользователей.
Аналогичный класс уязвимостей (CBSE) найден в Claude Code, Gemini CLI и Codex CLI — архитектурная проблема, а не единичный баг.
Шестишаговый чеклист аудита sandbox AI + MITRE ATT&CK маппинг T1059.006, T1059.007, T1611.Статья AI инструменты для пентеста: METATRON, Claude MCP и LLM-ассистенты на практике
Прогнал с десяток AI-ассистентов через реальные пентест-сценарии. Часть сэкономила часы рутины на разведке. Другие галлюцинировали, выдавая несуществующие CVE и команды, которые роняли терминал.METATRON — единственный полностью локальный вариант (Ollama + Mistral), годится для NDA-проектов где облако под запретом. Claude MCP — human-in-the-loop: управляешь nmap и sqlmap на естественном языке, но описание инструмента в системном промпте — вектор prompt injection. CyberStrikeAI уже применялась в реальной кампании против FortiGate — порог входа для атакующих падает.
Трёхшаговый workflow: разведка через METATRON/MCP → верификация каждого CVE через searchsploit → генерация отчёта. Эксплуатация — только вручную.
Сравнительная таблица шести инструментов и четыре случая когда LLM подводит.Статья Веб-пентест для начинающих: от настройки окружения до первой найденной уязвимости
Человек прочитал десять статей про SQL-инъекции и XSS — и не может перехватить свой первый HTTP-запрос. Теория без контекста не работает. Эта статья построена по принципу «делай вместе со мной».DVWA через Docker — одна команда и уязвимое приложение готово. Burp Suite: перехват POST с логином и паролем в открытом виде, Repeater для экспериментов, HTTP history для истории. Первая SQL-инъекция: `1' OR '1'='1` — все пользователи в ответе, затем UNION SELECT с MD5-хешами паролей. XSS: `<script>alert(1)</script>` → `document.cookie` → кража сессии.
Пятишаговая методика: разведка → карта приложения → автосканирование → ручное тестирование → документирование.
Четыре ошибки новичков и маршрут дальше: DVWA → PortSwigger Academy → HackTheBox → bug bounty.Статья Пентест контейнеров Docker и Kubernetes: от побега из контейнера до захвата кластера
На каждом втором red team-проекте с контейнерной инфраструктурой одна и та же картина: команда считает, что контейнер изолирует как виртуалка. Нет. Это группа процессов за Linux-примитивами, и один треснувший заборчик — выход на хост.Docker socket в CI/CD — container breakout за 30 секунд через curl к daemon API. CVE-2024-21626 (runc, CVSS 8.6) — побег без привилегированного режима. CVE-2025-9074 (Docker Desktop, CVSS 9.3) — доступ к Engine API без аутентификации через внутреннюю подсеть. В Kubernetes: `create pods` = DaemonSet на всех нодах, `create clusterrolebindings` = одна команда до cluster-admin.
Полная цепочка: разведка → ориентирование в поде → container breakout → RBAC abuse → захват кластера. Инструменты: CDK, kube-hunter, Peirates, kubesploit.
Восьмишаговый чеклист пентеста с MITRE ATT&CK маппингом и защита, которая реально останавливает атакующего.Статья Домашняя лаборатория для пентеста в 2026: от гипервизора до первого взлома уязвимого стенда
Гайды начинаются со слов «купите сервер с 128 ГБ RAM». После этого новичок закрывает вкладку. Реальность: рабочая домашняя лаборатория для пентеста разворачивается на обычном ноутбуке за один вечер и не стоит ни рубля.Три уровня железа (от текущего ноутбука до мини-ПК за 15–25 тыс.), сравнение гипервизоров VirtualBox / VMware / Proxmox, изолированная Host-Only сеть с проверкой, Metasploitable 2 + Windows Evaluation + GOAD для AD-полигона, DVWA и Juice Shop через Docker.
Пошаговый план на выходные: суббота — фундамент, воскресенье — первый реверс-шелл через vsftpd 2.3.4 с маппингом на MITRE ATT&CK.
Пять упражнений от Metasploitable до Kerberoasting и пивотинга между подсетями через Chisel.Статья Разработка расширений C2 фреймворков: BOF, агенты Mythic и плагины Sliver на практике
Стандартный mimikatz в CS — fork&run, два лишних события для EDR. Штатный имплант Sliver весит 9 МБ и палится на этапе доставки. Выход — не новый C2 с нуля, а точечные расширения под конкретный engagement.BOF: 2–10 КБ, выполнение inline в процессе Beacon без нового потока, одноразовый — нет persistent-модуля в памяти. Совместим с Mythic и AdaptixC2 — де-факто стандарт расширения C2. Mythic: контейнерные агенты под гетерогенную инфраструктуру, нативная поддержка многоэтапных payload'ов. Sliver: gRPC API для автоматизации операций на 50+ хостах.
Архитектура BOF под капотом, кастомные агенты Mythic через RabbitMQ, plагины Sliver через Armory и сравнительная таблица по 7 параметрам.
MITRE ATT&CK маппинг и три антипаттерна: дефолтные профили C2 детектируются моментально.Статья Практическая безопасность API: OWASP API Top 10, типовые уязвимости и методика тестирования
DAST-сканер слеп как крот, когда GET /api/v1/orders/1337 отдаёт чужой заказ при подмене ID. OWASP API Top 10 2023 — рабочая карта атакующего, а не чеклист для менеджеров.Три пункта из десяти — про контроль доступа: BOLA (подмена ID в Burp Repeater), BFLA (смена метода или пути на /admin/), Broken Object Property Level Authorization (mass assignment + excessive data exposure). Инъекции больше не выделены отдельно — логические баги статистически преобладают.
Каждая категория через HTTP-запросы, инструменты (Autorize, jwt_tool, Arjun, nuclei, InQL) и MITRE ATT&CK маппинг. GraphQL: интроспекция на production раскрывает всю схему, batch-запросы обходят rate limiting.
Шести шаговая методика API пентеста — за порогом регистрации.