Форум информационной безопасности - Codeby.net

Статья Защита корпоративных SaaS от взлома: разбор атак ShinyHunters на Salesforce и SharePoint

  • 250
  • 0
Смартфон на тёмном антистатическом коврике с экраном, отображающим запрос авторизации OAuth. Рядом лежит корпоративный бейдж на шнурке, уходящий в тень.


🕵️ ShinyHunters взломала Salesforce-инстансы Cisco, Disney и FedEx без единого zero-day — только телефонный звонок и штатный OAuth-механизм. Один refresh token открыл bulk-экспорт CRM через кастомные Python-скрипты.

Kill chain укладывается в четыре фазы: вишинг через Mullvad VPN с легендой IT-поддержки, OAuth consent на модифицированный Data Loader, SOQL bulk-экспорт объектов accounts/contacts/cases и латеральное движение в SharePoint. MITRE T1078.004, T1213.004, T1567.002 — ни малвари, ни CVE.

Детект строится на аномалиях OAuth: KQL-правила на нетипичные Connected Apps, alert на bulk SOQL (>1000 записей/мин), UEBA-базлайн по API-активности.

💡 EDR молчит, SIEM молчит — легитимный API-токен не генерирует алертов. 39 жертв узнали об утечке из даркнета.

Статья CVE-2026-34621 Adobe Acrobat Reader: kill chain zero-day, IOC и detection playbook

  • 245
  • 0
Разорванный конверт из фрагментов PDF с кодом на поверхности лежит на чёрном мате. Внутри светится красная иконка RSS — символ перехваченного канала управления.


🔐 CVE-2026-34621 эксплуатировалась в энергетике пять месяцев до патча: ноль байт memory corruption, чистый prototype pollution через Object.prototype.__defineGetter__(), sandbox escape Acrobat — DEP, ASLR и CFG мимо. CVSS 8.6, CISA KEV, EPSS-перцентиль 93%.

Kill chain ITW-сэмпла (SHA-256: 54077a5b…): JSFuck-обфускация в Object 11, задержка 500 мс для sandbox evasion, app.beginPriv() + чтение ntdll.dll для fingerprinting ОС. C2 — через штатный RSS-механизм Acrobat, User-Agent идентичен легитимному Adobe Synchronizer. Payload зашифрован AES-CTR, ключи в переменных deer/reindeer.

💡 Sandbox вернул пустышку — C2 фильтровал аналитику на серверной стороне. Кейс закрыт как FP.

Статья AI пентест: как LLM и автономные сканеры меняют поиск уязвимостей в 2026 году

  • 262
  • 0
Крестовина марионетки из тёмной стали лежит на чёрном антистатическом коврике, пять тонких тросов уходят вниз к миниатюрным серверным башням. Янтарный свет выхватывает металлические грани, вдали ме...


🧠 LLM-агент прогнал полный пентест Active Directory — пять хостов, четыре скомпрометированы, lateral movement пройден — за $28.50 в API-вызовах. Ручной скоуп того же масштаба стоит заказчику $15 000–$50 000.

Pentest-AI (ptai) оркестрирует nmap, sqlmap, ffuf, BloodHound и Impacket через Model Context Protocol: LLM планирует kill chain, детерминированные пробы исполняют. XBOW доказал автономную эксплуатацию на реальных HackerOne bug bounty. Subwiz — fine-tuned модель subdomain enumeration — бьёт классические wordlist-подходы по покрытию.

GPT-4 показывает 87% успешной эксплуатации CVE в лабе — и лишь 13% в продакшне (CVE-Bench 2025).

💡 Ежегодный пентест — статистическая формальность: AI-сканер атакует каждое exposed-приложение непрерывно.

Статья Как ИБ-стратегия компании превращается в фикцию: разбор типичных провалов и как их находить на пентесте

  • 224
  • 0
Толстый документ в тёмной кожаной обложке с надписью «SECURITY MATURITY LEVEL 4» разрезан надвое — внутри пустые страницы. Рядом светится экран с текстом уязвимости на красном фоне.


🩸 BloodHound за 2 часа нашёл то, что 120-страничная ИБ-стратегия и ISO 27001 скрывали три года: svc_backup — Domain Admin, пароль Summer2021!, 1100 дней без ротации. SOC из пяти аналитиков не поднял ни одного алерта.

Assumed breach, grey box, выданы credentials рядового пользователя. Граф AD — T1078 Valid Accounts плюс T1552 Unsecured Credentials — и никакого эксплойта. Параллельно: nmap -sV по внутренним подсетям (T1046), дамп LSASS через rundll32/comsvcs.dll (T1003.001 + T1218.011) — тишина. SIEM активен, логи идут, дашборды горят. Из 200+ правил корреляции работают 12, половина заглушена из-за alert fatigue.

💡 Compliance закрывает аудитора, пентест — реальный kill chain. Это разные процессы.

Статья Bad Epoll (CVE-2026-46242): разбор Linux LPE уязвимости — от патча ядра до эксплуатации

  • 179
  • 0
Крупный план материнской платы с повреждённым чипом контроллера и выгоревшей дорожкой. На текстолите лазером выгравирована надпись «CVE-2026-46242 · BAD EPOLL · UAF».


🐧 CVE-2026-46242 (Bad Epoll): use-after-free в fs/eventpoll.c даёт root с надёжностью 99/100 — и работает из Chrome renderer sandbox, минуя большинство kernel-защит.

Jaeyoung Chung из Seoul National University вскрыл race condition шириной в шесть инструкций в epoll-подсистеме Linux 6.4+. Два потока конкурентно закрывают связанные epoll-дескрипторы — Thread A очищает f_ep под f_lock, Thread B видит NULL, пропускает eventpoll_release_file() и вызывает file_free(). Thread A продолжает hlist_del_rcu() по уже освобождённому kmalloc-192. CVSS 7.8, CWE-416, MITRE T1068.

💡 SOC не увидит LPE в логах — epoll-гонка не генерирует syscall-аномалий, только kernel crash или тихий root.

Статья Атаки на agentic AI пайплайны: как публичный GitHub issue захватывает workflow организации

  • 143
  • 0
Одноплатный компьютер на тёмном рабочем столе подключён к макетной плате, терминал светится текстом об инъекции промптов. Рука в синей перчатке касается щупом контактов GPIO под жёстким направленны...


🧠 Публичный GitHub issue захватывает CI/CD за секунды: LangChain-агент с repo-scope токеном сам закоммитил вредоносный код в main — branch protection не сработал, SAST молчал, мейнтейнер ничего не нажимал.

Indirect prompt injection через тело issue передаёт инструкции агенту — Copilot, Gemini CLI, Claude Code — напрямую в промпт через `${{ github.event.issue.body }}`. MITRE T1552.001: агент вытягивает GITHUB_TOKEN и secrets из runner environment, публикует в заголовке issue. От создания issue до утечки — секунды.

💡 SAST не видит prompt injection — модель получает attacker-controlled текст как данные, а не код.

Статья OAuth уязвимости WeChat Mini-Programs: три вектора захвата аккаунта через мисконфигурацию OBA

  • 138
  • 0
Смартфон экраном вниз на тёмном антистатическом коврике излучает бирюзовое свечение. Рядом отладочный зонд подключён к консоли с перехваченным трафиком.


🔐 MiniCAT вскрыл 1 834 мисконфигурации OBA в WeChat Mini-Programs: три вектора account takeover — Client-Side Identity Forgery, session_key утечка и openid-подстановка — подтверждены на 619 приложениях, включая медицинские сервисы с утечкой национальных ID.

Проприетарный протокол WeChat OBA — не RFC 6749. Здесь нет redirect_uri, state или PKCE. Фронтенд вызывает wx.login(), получает одноразовый code, бэкенд обменивает его на openid и session_key через code2Session. Уязвимость — когда бэкенд сливает openid прямо в HTTP-ответ фронтенду, и атакующий через Burp Suite подставляет openid жертвы.

💡 Стандартный OAuth-чеклист здесь бесполезен — attack surface смещена на бэкенд разработчика, а не Authorization Server.

Статья Безопасность LLM приложений: полное руководство по атакам, защите и AI red teaming

  • 357
  • 0
Плата разработчика на антистатическом коврике подключена к ноутбуку с бирюзовым свечением экрана. Янтарная настольная лампа освещает гравировку на радиаторе и лежащий рядом паяльный щуп.


🔥 Системный промпт сдаётся быстрее, чем WAF пропускает первую SQL-инъекцию.

У языковой модели нет архитектурного разделения кода и данных: системный промпт, ввод пользователя, контент из RAG и ответ API — для неё всё это один текст в контекстном окне. Отсюда фундамент: модель не может отличить легитимную инструкцию от вредоносной. Никак.

Это hub-статья и полная карта безопасности LLM: анатомия prompt injection и indirect-инъекций через RAG, 7 техник jailbreak 2026, разбор OWASP LLM Top 10 с позиции атакующего, компрометация AI-агентов через function calling и MCP, model poisoning и бэкдоры в LoRA-адаптерах. Плюс инструментарий AI red teaming (Garak, PyRIT, Promptfoo), 4 фазы тестирования и эшелонированная оборона из 6 уровней с готовыми чеклистами.

💡 Практическая карта для red team инженеров и AppSec-специалистов: prompt injection в агенте с function calling — это RCE через текстовое поле, а не «чат-бот ответил не то».

Статья SEO-poisoning атаки: kill chain, детекты и защита корпоративных пользователей

  • 277
  • 0
Макрофотография миниатюрного устройства на тёмном антистатическом коврике. Экран светится надписями о SEO-отравлении, магентовый свет выхватывает гравировку на корпусе, видны паяные контакты.


🧨 Разработчик гуглит «install Gemini CLI», копирует PowerShell-команду с первого результата — и через 30 секунд fileless-инфостилер тянет OAuth-токены и CI/CD-секреты. SOC не видит ни одного алерта. Кампанию задокументировали аналитики EclecticIQ.

Домены geminicli[.]co[.]com и claudecode[.]co[.]com клонируют легитимные страницы. PowerShell-cradle `irm | iex` грузит стилер в память, патчит PSEtwLogProvider, обходит AMSI — и параллельно честно ставит настоящий npm-пакет. Пользователь видит успех. MITRE T1608.006 → T1059.001 → T1036.005.

Детект строится на аномалии: browser → child script process.

💡 Email-контроли (SPF/DKIM, sandbox) здесь бессильны — вектор входа браузер, точка компрометации — поисковый запрос.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 822
Сообщения
347 278
Пользователи
161 765
Новый пользователь
akidraSMR