Форум информационной безопасности - Codeby.net
Writeup Web | Галерея | HackerLab
Сервис отображает фотографии по URL — первая же мысль: SSRF. Попытка загрузить .php-шелл отклонена фильтрацией расширений. Переименование в .png позволяет загрузить файл, но вывод пуст. Ключевой момент — .txt открывает выполнение команд.PHP-шелл system($_GET['cmd']) публикуется через python3 -m http.server + утилиту clo от cloudpub: локальный сервер становится публично доступным без регистрации домена. Этот шаг официальный WriteUp обходит стороной, хотя именно он ставит новичков в тупик.
Цепочка: .php заблокирован → .png загружается, вывод пустой → .txt — команды выполняются. Чтение исходников через URL-кодированный cat index.php обходит ограничения разбора спецсимволов. Флаг получен из исходного кода.
Три расширения — три разных поведения одного фильтра. Перебор расширений — обязательный шаг при file upload bypass.Статья Мониторинг безопасности OT-сетей: Nozomi, Claroty, Dragos — что выбрать и как интегрировать в SOC
Dragos зафиксировал 708 ransomware-инцидентов в промышленном секторе за Q1 2025 — 68% в manufacturing. Модель Purdue мертва: лишь 8,2% организаций держат OT полностью изолированными, а корпоративный SIEM не парсит Modbus TCP.Nozomi Guardian, Claroty и Dragos — три принципиально разные архитектуры. Nozomi строит поведенческий baseline через SPAN-порт и масштабируется на 50+ площадок, но containment требует ручных действий. Claroty делает ставку на глубокий разбор протоколов — DNP3, Profinet, EtherNet/IP. Dragos заточен под threat intelligence с привязкой к конкретным группировкам: CHERNOVITE, BENTONITE, VOLTZITE.
EDR молчит, Windows Event Log пуст — атака идёт на уровне Modbus-команд между легитимными хостами.Статья Аудит криптографии в приложениях: поиск слабых алгоритмов, hardcoded ключей и ошибок реализации
jadx вскрыл PaymentCryptoHelper за 12 минут: AES-256 в CBC-режиме, ключ вшит строковой константой — одинаков для каждой установки. OWASP A02:2021, CWE-321, штраф по GDPR до 4% выручки.apktool извлекает hardcoded ключ за минуту — и трафик 200 тысяч транзакций в сутки расшифрован. Semgrep с кастомными YAML-правилами ловит MD5, SHA-1, DES в Java и Python за минуты. TruffleHog сканирует всю git-историю с флагом --only-verified, проверяя ключи против AWS, GCP, Stripe.
ECB-режим, CBC без HMAC, Math.random() вместо SecureRandom, повторный IV — формально AES-256, по факту нулевая стойкость.
Аудиторы проверяют алгоритм — APK-ревёрсер смотрит на константы. Правильный алгоритм с hardcoded ключом хуже, чем слабый с KMS.Статья Управление сертификатами PKI: от CT-мониторинга до HSM — чеклист для SOC
Wildcard-сертификат протух двое суток назад — никто не заметил. Grafana в красном, 502-е на балансировщике, бизнес теряет деньги. Ручная ротация и уволившийся инженер обнулили PKI-контроль за один уикенд.CT-мониторинг через crt.sh и Certspotter ловит misissuance и тайпосквоттинг-домены в течение минут после выпуска DV-сертификата. SIEM-правило: новый сертификат из watchlist, issuer вне approved-списка CA — severity High, алерт в SOC.
ACME DNS-01 через acme.sh закрывает wildcard и внутренние сервисы за NAT без порта 80. HSM убирает приватный ключ из файловой системы. Чеклист: cert-manager в Kubernetes, хуки на not_after минус 30 дней, аудит ADCS для внутренних CA.
CT-логи слепы к внутренним CA — ADCS и EJBCA с приватным корнем мониторятся только сканированием сети.Hackerlab 🔄 Глобальное обновление на HackerLab!
Мы перебрали платформу почти целиком — от внешнего вида до новых механик. Главное:
- Новый облик
Платформа получила цельный тёмный дизайн. Чище, контрастнее, приятнее для долгих сессий.
- Уровни и XP
Теперь у вас есть уровень. Баллы за решённые задания — это и есть ваш XP: они повышают уровень и поднимают вас в рейтинге одновременно.
- Серия (Streak)
Решайте хотя бы одно задание в неделю — и держите серию. Если неделя выпала, раз в месяц вас прикроет страховка. Новая неделя считается с выходом заданий в субботу (12:00 по МСК).
- Рейтинг стал нагляднее
Появилась вкладка «Рядом со мной» — видно соседей по месту, а не только топ. Переключайтесь между сезонным и глобальным зачётом и следите за движением своей позиции.
- Живая главная
Новая Live-лента показывает first blood и решения в реальном времени. Рядом — актуальные события, свежие задания и ваша активность.
- Профиль
Переработан под новую систему: прогресс по категориям, достижения с понятной следующей целью и радар ваших компетенций.
- Удобнее искать задания
В категориях заработали поиск, фильтры и...
Статья OSINT расследование теневого флота: AIS-данные и спутниковые снимки против контрабанды зерна через Ливию
AIS-спуфинг у берегов Ливии: 14 санкционных танкеров транслировали фиктивные заходы в Хор-эз-Зубайр, пока физически грузились в другой точке — Lloyd's List Intelligence зафиксировал схему в первом полугодии 2024.Методология детекции строится на трёхкомпонентном скоринге: AIS Gaps (разрывы у известных STS-зон), Position Spoofing (физически невозможные маршруты), STS Transfers (два судна ближе 500 м вне порта). Балкер Handysize с осадкой 8–10 м в грузу против 3–5 м в балласте — изменение через AIS-разрыв у Тобрука или Мисураты сразу даёт HIGH-риск.
Верификация — через Sentinel Hub SAR-снимки и Equasis для раскрытия цепочки владения.
AIS молчит — судно «чистое». Но SAR-снимок Sentinel Hub покажет его у ливийского берега.Статья Миграция TLS и PKI на постквантовые алгоритмы: практический чеклист для security-инженера
Kubernetes v1.33 молча включил постквантовый X25519MLKEM768 для всего TLS — просто обновив Go 1.24. Без KEP, без анонса. Chrome, Cloudflare, Akamai уже в production. Миграция PKI на ML-KEM/ML-DSA идёт прямо сейчас.Атака Harvest Now, Decrypt Later (MITRE T1040, T1557) работает уже сегодня: противник сохраняет зашифрованный трафик, CRQC расшифрует его ретроактивно. NIST deprecated классическую криптографию после 2030, полный вывод — 2035. NSA CNSA 2.0 требует PQC для web TLS с 2025 года. Мигрировать нужно RSA, ECDH, ECDSA — всё, что стоит за TLS handshake.
AES-256 квантовоустойчив — Гровер лишь вдвое снижает стойкость. Весь риск сосредоточен в асимметричном слое.Статья Credential Stuffing атаки и Password Spraying: от утёкшего дампа до захвата аккаунтов
Без единого эксплойта — за четыре часа: дамп Exploit.In (593 млн пар email
assword), фильтрация по домену OWA, прогон через OpenBullet 2 — 23 валидные учётки, семь без MFA. MITRE T1110.004 в действии.Credential stuffing и password spraying — два маршрута к одному результату: initial access без CVE. Первый берёт объёмом — combo list из утечек, нормализация через grep и дедупликацию, конверсия 1–3% даёт десятки живых аккаунтов. Второй работает low-and-slow: Kerbrute по AD, пароли вида Winter2025! — ниже порога lockout, тишина в логах.
SOC смотрит на failed logins — stuffing даёт одну попытку на аккаунт, счётчик блокировки не срабатывает.Статья Governance информационной безопасности: оргструктура, роли, RACI и reporting для зрелой ИБ-программы
Утечка на $4.45 млн — это не дыра в периметре. Post-mortem показывает: никто не знал, кто изолирует сегмент, кто уведомляет регулятора, кто несёт accountability. Организационный хаос дороже любого CVE.NIST CSF 2.0 ввёл функцию GOVERN (GV) как отдельную — её не было в предыдущей версии. Субкатегория GV.OC-01 требует привязки киберрисков к бизнес-целям. MITRE T1078, T1098, T1484 эксплуатируют именно governance-пробелы: нет рецертификации привилегий — атакующий закрепляется. T1562 отключает телеметрию, если никто не accountable за конфигурацию SIEM.
Статья разбирает три оргмодели ИБ — централизованную, распределённую, гибридную — с критериями выбора.
Defender мониторит эндпоинты — хаос в RACI оставляет атакующего незамеченным без единого алерта.