Форум информационной безопасности - Codeby.net
Статья Credential Stuffing атаки и Password Spraying: от утёкшего дампа до захвата аккаунтов
Без единого эксплойта — за четыре часа: дамп Exploit.In (593 млн пар email
assword), фильтрация по домену OWA, прогон через OpenBullet 2 — 23 валидные учётки, семь без MFA. MITRE T1110.004 в действии.Credential stuffing и password spraying — два маршрута к одному результату: initial access без CVE. Первый берёт объёмом — combo list из утечек, нормализация через grep и дедупликацию, конверсия 1–3% даёт десятки живых аккаунтов. Второй работает low-and-slow: Kerbrute по AD, пароли вида Winter2025! — ниже порога lockout, тишина в логах.
SOC смотрит на failed logins — stuffing даёт одну попытку на аккаунт, счётчик блокировки не срабатывает.Статья Governance информационной безопасности: оргструктура, роли, RACI и reporting для зрелой ИБ-программы
Утечка на $4.45 млн — это не дыра в периметре. Post-mortem показывает: никто не знал, кто изолирует сегмент, кто уведомляет регулятора, кто несёт accountability. Организационный хаос дороже любого CVE.NIST CSF 2.0 ввёл функцию GOVERN (GV) как отдельную — её не было в предыдущей версии. Субкатегория GV.OC-01 требует привязки киберрисков к бизнес-целям. MITRE T1078, T1098, T1484 эксплуатируют именно governance-пробелы: нет рецертификации привилегий — атакующий закрепляется. T1562 отключает телеметрию, если никто не accountable за конфигурацию SIEM.
Статья разбирает три оргмодели ИБ — централизованную, распределённую, гибридную — с критериями выбора.
Defender мониторит эндпоинты — хаос в RACI оставляет атакующего незамеченным без единого алерта.Статья Roadmap повышения зрелости ИБ: пошаговый план перехода между уровнями
Финтех на 400 сотрудников заказал gap-анализ по CIS Controls v8 «для аудитора». Итог: из 56 safeguards IG1 закрыто 11. Инвентарь активов — выгрузка из AD трёхмесячной давности. Политика ИБ — PDF 2019 года, не открывавшийся 14 месяцев.Семь из десяти компаний переоценивают зрелость минимум на два уровня — self-assessment bias без злого умысла. Статья даёт честный 15-пунктный чеклист по CIS Controls v8 и NIST CSF v2.0: от инвентаризации активов (CIS 1.1) до tabletop-учений по IR.
Аудитор ставит «средний уровень» — реальность: нижняя граница начального. Разрыв живёт в self-assessment.Статья CTF соревнования по кибербезопасности: тренировка Red/Blue Team и оценка кандидатов в ИБ
Кандидат с тремя сертификациями и пятью годами опыта не выстроил цепочку path traversal → RCE за 40 минут. Участник без единого дня в индустрии закрыл ту же задачу за 12 минут — и попал в Red Team.CTF-формат вскрывает то, что прячет резюме: скорость под давлением, глубину владения техниками, способность строить цепочки fingerprinting → initial access → privesc. В статье — маппинг CTF-категорий на MITRE ATT&CK (T1190, T1068, T1110), проектирование задач по kill chain и разбор таска на базе CVE-2023-32315 (path traversal в Openfire, CVSS 8.6, CWE-22, CISA KEV).
SOC и HR смотрят на сертификаты — CTF показывает, кто реально строит цепочку, а кто пересказывает методологию.Статья Развертывание SIEM-системы Wazuh в Docker и установка агента на macOS
Многие думают: купил Mac — можно расслабиться. Но стандартная установка macOS заточена под удобство, а не безопасность. Встроенный брандмауэр по умолчанию выключен, контроль конфигурации никто не настраивает.Wazuh — бесплатный Open Source SIEM, который собирает события с хоста и проверяет его на соответствие CIS Benchmarks. Три компонента в Docker: Indexer (база логов), Manager (правила и анализ), Dashboard (веб-интерфейс). Развёртывание через git clone официального репозитория, генерация TLS-сертификатов командой docker compose, запуск в фоне через -d.
Агент устанавливается автоматически: Wazuh генерирует команду под вашу ОС и архитектуру, остаётся указать IP-адрес сервера. После подключения Configuration Assessment выявил 25 проблем — в том числе отключённый брандмауэр (ID 41005) и выключенный stealth mode (ID 41006). Включили оба, перезапустили агент — проверки пройдены.
CIS Benchmarks для macOS содержит ~200 правил. Wazuh показал верхушку айсберга — но уже это полезно.Статья CTF инфраструктура развёртывание: CTFd, kCTF и Docker-изоляция от 50 до 2000 участников
DownUnderCTF 2023: 2000 команд, 32 100 RPS, $876 AUD — и один VPS за 2000 рублей выдержал университетский CTF на 120 человек так же стабильно. Разница — в понимании, когда nsjail-изоляция обязательна, а когда Docker Compose закрывает задачу.CTFd управляет скорбордом и флагами, kCTF разворачивает контейнеры с изоляцией через nsjail + seccomp + user namespaces — они не конкуренты, а пара. PWN-задания с RCE требуют per-connection изоляции: без неё участник сбрасывает флаг соседу или уходит в container escape (MITRE T1611).
До 500 участников — CTFd + Docker Compose на VPS за 30 минут.
Организаторы думают о скорборде — падают на runtime-изоляции. 4579 инстансов за событие не поднять без Kubernetes.Статья AIS-спуфинг и теневой флот: как отслеживать контрабанду через MarineTraffic и анализ аномалий судовых треков
Танкер Cathay Phoenix 11 дней транслировал ложные координаты у берегов Японии — пока спутник фиксировал его у терминала Козьмино. Теневой флот (600–1 300 судов, 4,1 млн барр./сутки) использует AIS-спуфинг, клонирование MMSI и going dark как стандартный kill chain.AIS проектировалась для предотвращения столкновений — без криптоверификации и аутентификации передатчика. Экипаж вводит координаты вручную, MarineTraffic агрегирует без валидации. По MITRE ATT&CK — T1565.002 (Transmitted Data Manipulation). Коммерческое GNSS-оборудование военного класса позволяет рисовать геометрические петли в треке, маскируя реальный маршрут.
SOC мониторит сетевые логи — теневой флот работает в RF-диапазоне 162 МГц, где Windows Event Log молчит навсегда.Статья Пентест веб-приложений в 2026 году: полное руководство по методологии, инструментам и OWASP Top 10
94% веб-приложений содержат нарушения контроля доступа — но большинство из них автоматические сканеры не видят. OWASP ZAP отработал чеклист, Nuclei прогнал тысячи шаблонов, а пентестер вручную сменил один параметр и получил чужие данные.Навигационный хаб по 11 темам: методологии OWASP WSTG, PTES, NIST SP 800-115; 7 фаз пентеста от pre-engagement до отчёта; OWASP Top 10 2021 с акцентом на то, что пропускают сканеры; сравнение Burp Suite Pro, Nuclei, sqlmap, ffuf с реальными ограничениями; decision tree выбора вектора по стеку и модели доступа.
Пять ситуаций, где автоматика гарантированно провалится: IDOR, race conditions, бизнес-логика, DOM-based XSS, цепочки уязвимостей. Настройка лаборатории: OWASP Juice Shop в Docker, Kali Linux, Burp Suite Community — минимум для старта.
Grey box — самый продуктивный сценарий: большинство критических находок живут именно в тестировании авторизации с выданными учётными данными.