Форум информационной безопасности - Codeby.net

Статья DDoS-устойчивая архитектура приложения: autoscaling, circuit breaker, graceful degradation и очереди

  • 199
  • 0
Схема микросервисной архитектуры на тёмной бумаге с узлами-доминошками и символами автоматических выключателей. Янтарные линии на сине-зелёном фоне, латунный пресс-папье в углу, мягкий рассеянный с...


⚙️ L7-флуд 80–100k RPS положил платёжный API за 4 минуты — CDN устоял, WAF пропустил, PostgreSQL-пул иссяк первым, каскад прошёлся по 12 микросервисам. Circuit breaker не стоял нигде.

T1499.002 Service Exhaustion Flood обходит сетевые фильтры: каждый запрос валиден, WAF молчит. Пул соединений к PostgreSQL (100–200 по умолчанию) рушится первым — thread pool копит таймауты, балансировщик видит 502 от всех инстансов разом.

HPA без maxReplicas превращается в budget DDoS — $12k за ночь на AWS за обработку мусора.

💡 WAF дорогой — circuit breaker бесплатный. Архитектура внутри важнее забора снаружи.

Статья DDoS стресс тестирование: как проверить устойчивость инфраструктуры и не сломать прод

  • 181
  • 0
Распечатанная схема сетевой топологии на светлом столе с узлами трафика и пометками о стресс-тесте. Рядом лежит перьевая ручка, угол прижат латунным пресс-папье.


💣 Финтех-стресс-тест на 50k RPS: через 40 секунд upstream-провайдер отрубил канал целиком — никто не предупредил транзит. Разбор инцидента занял три дня вместо запланированных двух часов.

hping3 --flood с флагом --rand-source не отправит ни одного пакета в AWS — гипервизор блокирует spoofed source IP на уровне сети. L3/L4-тесты через MITRE T1498.001 требуют реальных IP нескольких генераторов, изолированного сегмента и kill switch с реакцией до 30 секунд.

ROE без перечня CDN-адресов и уведомления Cloudflare — это атака на инфраструктуру третьей стороны, даже если заказчик подписал разрешение на свой домен.

💡 Провайдер отключает канал раньше, чем DDoS-защита успевает среагировать — тест убивает прод быстрее реальной атаки.

Writeup Секретный кабинет

  • 457
  • 0
screen — 2026-06-27 в 09.10.25.webp


🔍 От EXTRACTVALUE до SUID-шелла: Error-based SQLi украла MD5, а sudo zip подарил root. CWE-89, T1548.003 — путь от веб-формы до компромата.

Когда WAF режет UNION, в бой идёт Error-based SQLi. EXTRACTVALUE и SUBSTRING по частям вытаскивают хеш из secretOffice, даже если в ошибке мало места.

LPE — это не всегда эксплойты ядра. Право на sudo zip без пароля с флагом --unzip-command позволяет выполнить chmod u+s /bin/bash от root через GTFOBins.

💡 Разработчики считают Error-based SQLi нишевым вектором, а zip — безобидным архиватором. Но связка веба и sudo ломает любую оборону.

Статья Rowhammer атака DRAM: эволюция от оригинала до Blacksmith и обход TRR

  • 178
  • 0
Модуль оперативной памяти DDR4 на чёрном антистатическом коврике с повреждённым чипом под жёстким белым светом. Макросъёмка выявляет трещины пайки и вздутый конденсатор на фоне глубоких теней.


🧬 Rowhammer эволюционировал от 139 000 активаций строки DDR3 до Blacksmith (CVE-2021-42114, CVSS 9.0) — и каждый раз, когда TRR закрывала вектор, исследователи находили следующий паттерн.

Физика бьёт мимо патчей: clflush + double-sided hammering переворачивает бит в PTE соседней строки без единой программной уязвимости. MITRE T1068 — непривилегированный процесс через bit flip получает kernel-level доступ, T1565.003 — произвольная запись в память. TRRespass (CVE-2020-10255) вскрыл non-uniform refresh, Blacksmith добавил нерегулярные многоагрессорные паттерны — оба обходят TRR производителей.

Защита: ECC RAM гасит одиночные bit flip, но не останавливает многократные.

💡 ПО полностью пропатчено, ядро актуально — уязвимость в физике кремния, EDR молчит.

Статья IDOR эскалация привилегий: горизонтальная и вертикальная эксплуатация с обходом UUID

  • 175
  • 0
Рабочий стол из светлого ясеня с планшетом, отображающим два HTTP-запроса с UUID-параметрами. Рядом перьевая ручка на бумаге со схемой атаки, мягкий дневной свет из окна.


🔍 Два запроса — ноль WAF-алертов: IDOR в GET /api/v2/transactions финтех-API раскрыл реквизиты карт через UUID, утёкший из эндпоинта поиска. CWE-639, OWASP API1:2023 — и P1 без единого алерта.

Горизонтальная эскалация давно вышла за пределы очевидных GET /api/users/123. Уязвимость живёт в теле POST/PUT-запросов с user_id, в заголовках X-Account-Id, которым доверяет API Gateway, в GraphQL-переменных с batched queries, обходящих rate limiting — и в составных path-параметрах, где проверяется org, но не member.

Вертикальный IDOR — всегда P1: подмена role_id в PUT /api/users/me поднимает привилегии до admin.

💡 Разработчики считают UUID защитой от IDOR — но UUID утекает раньше, чем его успевают перебрать.

Статья IEC 62443 и NIST SP 800-82: OT безопасность на практике — security program и оценка зрелости

  • 161
  • 0
Схема сегментации по модели Пёрду на плотной бумаге с уровнями от SIS до корпоративной сети. Красная аннотация обводит отсутствующую DMZ, рядом лежит перьевая ручка и латунный пресс-папье.


⚙️ На gap-анализе химзавода Triconex SIS нашли без файрвола, VLAN и SIEM — напрямую в корпоративной сети. В asset inventory соединения не существовало. IEC 62443 + NIST SP 800-82 Rev.3 закрывают этот разрыв — но только если применять их вместе.

NIST SP 800-82 Rev.3 задаёт программный скелет через шесть функций CSF 2.0 (Govern → Recover), IEC 62443 наполняет каждую функцию инженерными требованиями: Security Levels SL1–SL4, зоны, кондуиты, data diode на SIS-периметре. Активный nmap по OT-сегменту кладёт Siemens S7-300 через порт 102 — поэтому только пассивный asset discovery.

💡 Бумажный compliance писался под IT — SIS-контроллер в корпоративной сети его не нарушал.

Статья APT-атаки на промышленные системы: kill chain Sandworm, Volt Typhoon и CHERNOVITE по MITRE ATT&CK for ICS

  • 130
  • 0
Крупный план промышленного ПЛК Modicon на чёрном антистатическом коврике со следами термического повреждения и щупом в серийном порту. Резкий белый свет выхватывает выжженные контакты из глубокой т...


💣 Sandworm отключал энергосеть командами IEC 104 по C_SC_NA_1 прямо с historian-сервера. Volt Typhoon сидел в инфраструктуре США годами через LOTL. CHERNOVITE собрал PIPEDREAM под конкретные PLC-вендоры — Schneider, OMRON, любой OPC UA.

Три группировки — три модели атаки по MITRE ATT&CK for ICS. Sandworm идёт через spearphishing → ntdsutil NTDS.dit dump → lateral movement к historian → нативные IEC 104 команды на RTU. Volt Typhoon обходится без малвари: netsh, wmic, Living-off-the-Land в OT-сегменте, нулевых артефактов для EDR.

💡 Historian — легитимный мост IT↔OT. Именно поэтому его компрометация годами остаётся невидимой для SOC.

Статья Охота на угрозы RMM-инструменты: fingerprinting C2-инфраструктуры через Shodan, Censys и Netlas

  • 195
  • 0
Крест-манипулятор из тёмной стали лежит на чёрном мате, пять натянутых тросов уходят в тень. Конус настольной лампы выхватывает гравировку, вокруг — бирюзовый отсвет монитора и размытые огни.


🔍 NetSupport, ScreenConnect, SimpleHelp — атакующие разворачивают self-hosted C2 на VPS и прячутся за подписанными бинарниками. SOC ловит агента на эндпоинте, пока сервер управления остаётся слепым пятном.

Fingerprinting через Shodan, Censys и Netlas переворачивает логику: те же инструменты, которые атакующий использует по T1596.005, работают против его инфраструктуры. MurmurHash3 от favicon панели, комбинация http.headers.server + http.status_code, JARM-отпечаток TLS — три независимых сигнатуры дают кластер C2 одним запросом.

Свежий self-signed сертификат на IP из AS дешёвого хостера, домен младше 14 дней, порт 443 с заголовками ScreenConnect — это уже actionable IOC.

💡 EDR молчит — агент подписан вендором. Охота начинается не на хосте, а в Shodan.

Статья EDR bypass macOS: цепочка XPC + NIB injection для отключения CrowdStrike и Kandji

  • 256
  • 0
Разобранная материнская плата MacBook на тёмном рабочем столе с подключённым диагностическим зондом. Монитор отображает код уязвимости в монохромном свечении.


💣 XPC + NIB injection отключает CrowdStrike Falcon и Kandji MDM на macOS без sudo и kernel-эксплойтов — от имени стандартного пользователя. CVE-2026-39118 на руках, Apple архитектуру менять отказался.

Red team финтех-компании упёрлась в Falcon через 60 секунд после initial access: перекомпиляция, шифрование шеллкода, обфускация — агент ловил по поведению. Выход нашли через исследование XM Cyber: слабая XPC-валидация (Team ID не верифицируется), NIB injection и злоупотребление kernel trust cache дают полное отключение EDR и MDM.

💡 Falcon мониторит exec/mmap через ES Framework — но XPC-канал между его же компонентами остаётся слепой зоной.

Статья ICS ransomware атаки на промышленные системы: kill chain Qilin от Fortinet до OT-сегмента

  • 210
  • 0
Разрезанное промышленное реле на чёрном антистатическом коврике с обнажёнными медными катушками. На корпусе выгравирована маркировка уязвимости, из разлома поднимается тонкая струйка дыма.


💣 Qilin не пишет ICS-эксплойты — группа шифрует historian и ERP, роняя завод за часы. CVE-2024-21762 (CVSS 9.8) в FortiOS без патча на IT/OT DMZ — точка входа. 1020 ransomware-инцидентов в промышленности за один квартал по данным Dragos.

Kill chain стартует с эксплуатации CVE-2024-21762: out-of-bounds write в FortiOS 7.0–7.4 без аутентификации (PR:N). Далее — lateral movement через historian на непатченном Windows Server, Modbus без аутентификации, ERP в той же flat-сети. Специализированный ICS-malware не нужен: каскадный эффект от шифрования IT-слоя останавливает линию.

💡 SOC видит Windows-эндпоинты — Qilin идёт через FortiGate в OT-DMZ, где EDR молчит.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 555
Сообщения
346 902
Пользователи
161 208
Новый пользователь
Undrop