Форум информационной безопасности - Codeby.net
Статья OWASP Top 10 для LLM 2025: полный разбор изменений с позиции атакующего
OWASP Top 10 для LLM 2025: diff с версией 2023 — три новые категории, три удалённые, и ни один русскоязычный ресурс не даёт этот список с маппингом на MITRE ATT&CK.RAG стал стандартом — и две из трёх новых категорий прямо связаны с ним. System Prompt Leakage (LLM07) — отдельный класс с 2025 года: credentials в промпте, правила фильтрации, внутренняя логика агента. Vector and Embedding Weaknesses (LLM08) — Weaviate без аутентификации = прямая запись embedding-ов. Unbounded Consumption — Denial of Wallet вместо DoS: система работает, кошелёк заказчика нет.
Сводная таблица 2023 vs 2025, маппинг всех категорий на MITRE ATT&CK и MITRE ATLAS, пятишаговый чеклист red team оценки с конкретными Garak-командами и payload для indirect prompt injection через RAG-пайплайн.
Insecure Plugin Design удалили — риски переехали в три другие категории.Статья AI инструменты для пентеста: какая LLM реально работает в offensive security
Честный разбор AI-инструментов для пентеста: GPT-4 — 87% на CVE с описанием, self-hosted 32B — нестабильный tool calling, autonomous success rate — 21% без человека.Маркетинг обещает «autonomous pentesting за минуты». Реальность: LLM максимально эффективен на разведке и перечислении (T1595.002, T1046), проседает на многошаговых цепочках и латеральном движении, теряет контекст к седьмому шагу. Excalibur — $28.50 против $50,000 ручного пентеста AD-среды на пять хостов.
4800 тестов self-hosted моделей через Ollama: модели меньше 20B не тянут стабильный tool calling, Qwen 32B и gemma3:27b — минимальная рабочая планка. Три шага workflow: nmap → LLM-приоритизация → nuclei-шаблоны → генерация отчёта за секунды. Галлюцинации CVE, prompt injection через MCP и утечка данных через облачные API — три риска, которые закрывают сделку с облаком на NDA-проектах.
Сравнительная таблица 7 AI red team-инструментов с фазами kill chain.Статья ShinyHunters взлом Amtrak: разбор атаки через Salesforce, TTPs и detection-чеклист
ShinyHunters взломали Amtrak через Salesforce: 2,1 млн записей, ноль уязвимостей в коде — только вишинг, OAuth Device Flow и легитимный Data Loader. MFA прошла, EDR молчал.С середины 2025 года — 91 компания: Google, Chanel, Qantas, Allianz. Атакующий звонит сотруднику, представляется IT-поддержкой с номером реального тикета, предлагает установить «обновлённый» Data Loader. Сотрудник авторизует Connected App — токен уходит к атакующему. SOQL-запросы к Contact, Case, Account выглядят как обычный рабочий день.
Полный kill chain с маппингом T1528, T1213.004, T1567.002, хронология кампании с октября 2024 по апрель 2026, SOQL-запросы для Event Monitoring и чеклист hardening: аудит Connected Apps, запрет самостоятельной установки, IP-restriction для OAuth-токенов.
Почему «у нас стоит MFA» — ложная защита против этой атаки.Статья Аналитик SOC с чего начать: инструменты, навыки и план выживания в первые 90 дней
Первое дежурство в SOC: 47 алертов, тимлид ушёл на звонок, непонятно куда смотреть. Это — онбординг, который дают через три месяца, но нужен в первый день.71% аналитиков сталкиваются с выгоранием. Причина не в сложности — в отсутствии структуры. Конкретный 90-дневный план: недели 1–2 — читаем закрытые тикеты и смотрим за чужим триажем, недели 3–6 — самостоятельная обработка low/medium с первыми SPL-запросами, недели 7–12 — полный цикл и первые корреляционные правила.
Разбор реального алерта за 8 минут: Tor exit node, 47 попыток RDP на контроллер домена, маппинг T1110 → T1078, тикет с рекомендациями. Key Event ID, домашняя лаба из трёх VM за выходные, чек-лист из 8 навыков для самопроверки перед собеседованием.
Сертификации с реальной отдачей: Security+ и BTL1 против стопки бесполезных бумаг.Статья Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров
Linux EDR bypass для пентестеров: три вектора — прямые syscall'ы минуя glibc, io_uring как слепая зона большинства агентов, eBPF как оружие атакующего против самого EDR.82% детектов CrowdStrike — malware-free активность, которую Linux EDR особенно плохо отслеживает. Auditd, eBPF-сенсоры и проприетарные kernel-модули — у каждого характерные дыры. Номера syscall'ов на Linux стабильны, SysWhispers не нужен: inline asm с syscall 59 минует все uprobe-хуки на glibc.
io_uring выполняет операции в ядре, минуя syscall entry points, где стоят kprobes EDR — чтение /proc, /etc/passwd, сетевые таблицы остаются невидимы. eBPF-руткиты (Pamspy, BPFDoor, TripleCross) перехватывают PAM-пароли и слепят агентов через подмену данных на их собственных kprobes. CVE-2025-32463 в sudo — путь к root и загрузке eBPF-программы.
Пошаговый алгоритм выбора техники по типу EDR и blue team checklist с bpftool + LKRG + Tracee.Статья Data Protection в облаке: шифрование, KMS, tokenization
Data Protection в облаке: шифрование, KMS и токенизация
Данные в облаке редко живут только в одной базе. Они уходят в бакеты, резервные копии, очереди, логи, тестовые дампы и отчёты. В статье разберём, как не потерять контроль над ПДн, платёжными данными и служебными секретами после первой же выгрузки.
Поговорим про шифрование в хранении и передаче: где хватает server-side encryption, когда нужен client-side подход, зачем выносить ключи в KMS, как работает DEK/KEK и почему право `decrypt` должно быть редким исключением, а не стандартной ролью приложения.
Отдельно разберём токенизацию: как заменить исходные значения токенами, сократить чувствительный контур и не пустить настоящие данные в логи, очереди, BI-выгрузки и интеграции. Материал для тех, кто хочет защищать данные не галочками в облаке, а нормальной архитектурой.Статья Сниффинг трафика и MITM-атаки: Wireshark, tcpdump и Ettercap в реальных сценариях
На каждом втором внутреннем пентесте учётные данные появляются ещё до первого эксплойта — достаточно включить интерфейс в режим прослушивания. tcpdump, Wireshark, Ettercap: пошагово с реальным выводом терминала.В плоской корпоративной сети 30 минут пассивного сниффинга дают больше, чем любой скан: VLAN-структура, принтеры на голом HTTP, внутренние порталы без шифрования, broadcast-протоколы с именами хостов. ARP-отравление двух хостов — и весь трафик между ними проходит через вас.
Три инструмента с реальными примерами: tcpdump с BPF-фильтрами и захватом POST с паролями в ASCII, Wireshark с display filters и Follow TCP Stream, Ettercap для ARP spoofing с выводом перехваченных credentials в реальном времени. Маппинг на MITRE ATT&CK: T1040, T1557, T1557.002.
Защита: DAI, DHCP Snooping, мониторинг ARP-аномалий через Suricata.Статья Аналитик SOC: полный гайд для старта в профессии — от первого алерта до Tier 3
Аналитик SOC: от первой ночной смены с сотнями алертов до Tier 3 — онбординг, которого не дают на курсах. Написано тем, кто провёл через это два десятка стажёров.Типичный алерт: «Multiple failed RDP logon attempts followed by successful login from external IP». Что смотреть, в каком порядке и что писать в тикете — разбор пошагово. Разница между «что-то подозрительное» и «4625 EventCode, 47 попыток с src_ip 185.x.x.x на DC01 за 03:14–03:22 UTC» — это разница между закрытым и проваленным инцидентом.
Структура Tier 1–3 с реальными задачами и инструментами, пять ошибок новичков, SPL-запрос для Splunk, маппинг алертов на MITRE ATT&CK в ежедневной работе и дорожная карта от нуля до первой смены.
Сравнительная таблица Tier 1–3 и карьерные треки после SOC.Статья Аудит Active Directory: безопасность LAPS, LLMNR и логирования за один рабочий день
Три проблемы первого часа атаки на AD: LLMNR включён, LAPS не покрывает серверы, расширенный аудит Kerberos отключён. Закрываются за один рабочий день — штатными средствами Windows.Responder собирает NTLMv2-хеши за 20 минут в любой сети, где LLMNR не отключён через GPO. LAPS развёрнут на рабочих станциях, но серверная ферма открыта для Pass-the-Hash. Event ID 4769 не генерируется без подкатегории «Kerberos Service Ticket Operations» — Kerberoasting проходит мимо SIEM.
Пошаговый чеклист на 8 часов: проверка и отключение LLMNR/NBT-NS через реестр и PowerShell, аудит покрытия LAPS с Find-AdmPwdExtendedRights, расширенный аудит Kerberos через auditpol. Критический нюанс: SACL на корневом объекте домена с GUID DS-Replication-Get-Changes — без этого Event ID 4662 не зафиксирует DCSync.
Таблица Event ID с привязкой к конкретным атакам — Kerberoasting, DCSync, Pass-the-Hash.Статья Атаки на CAN bus автомобиля: инъекция фреймов, fuzzing и практическая эксплуатация
CVE-2023-29389: угон Toyota RAV4 через разъём фары — два провода, устройство за $10, корпус от JBL-колонки. CAN bus не проверяет источник фрейма вообще.Протокол 1980-х годов: broadcast-среда без адресации отправителя, арбитраж через доминантные биты, счётчики ошибок как вектор Bus-Off атаки. Любой узел на шине принимает любой фрейм как легитимный — на этом строится весь kill chain от инъекции до отключения ABS.
Разбираем три класса атак с командами и hex-значениями: инъекция фреймов через python-can (20 фреймов/с как в реальном инжекторе), fuzzing UDS-сервисов через broadcast 0x7DF, Bus-Off через побитовую модификацию чужих фреймов. Маппинг на MITRE ATT&CK — T1200, T1557, T1565.002, T1499.
Timing-based IDS, перепрограммирование Gateway ECU и сборка стенда от $15.