Форум информационной безопасности - Codeby.net
Статья Развертывание SIEM-системы Wazuh в Docker и установка агента на macOS
Многие думают: купил Mac — можно расслабиться. Но стандартная установка macOS заточена под удобство, а не безопасность. Встроенный брандмауэр по умолчанию выключен, контроль конфигурации никто не настраивает.Wazuh — бесплатный Open Source SIEM, который собирает события с хоста и проверяет его на соответствие CIS Benchmarks. Три компонента в Docker: Indexer (база логов), Manager (правила и анализ), Dashboard (веб-интерфейс). Развёртывание через git clone официального репозитория, генерация TLS-сертификатов командой docker compose, запуск в фоне через -d.
Агент устанавливается автоматически: Wazuh генерирует команду под вашу ОС и архитектуру, остаётся указать IP-адрес сервера. После подключения Configuration Assessment выявил 25 проблем — в том числе отключённый брандмауэр (ID 41005) и выключенный stealth mode (ID 41006). Включили оба, перезапустили агент — проверки пройдены.
CIS Benchmarks для macOS содержит ~200 правил. Wazuh показал верхушку айсберга — но уже это полезно.Статья CTF инфраструктура развёртывание: CTFd, kCTF и Docker-изоляция от 50 до 2000 участников
DownUnderCTF 2023: 2000 команд, 32 100 RPS, $876 AUD — и один VPS за 2000 рублей выдержал университетский CTF на 120 человек так же стабильно. Разница — в понимании, когда nsjail-изоляция обязательна, а когда Docker Compose закрывает задачу.CTFd управляет скорбордом и флагами, kCTF разворачивает контейнеры с изоляцией через nsjail + seccomp + user namespaces — они не конкуренты, а пара. PWN-задания с RCE требуют per-connection изоляции: без неё участник сбрасывает флаг соседу или уходит в container escape (MITRE T1611).
До 500 участников — CTFd + Docker Compose на VPS за 30 минут.
Организаторы думают о скорборде — падают на runtime-изоляции. 4579 инстансов за событие не поднять без Kubernetes.Статья AIS-спуфинг и теневой флот: как отслеживать контрабанду через MarineTraffic и анализ аномалий судовых треков
Танкер Cathay Phoenix 11 дней транслировал ложные координаты у берегов Японии — пока спутник фиксировал его у терминала Козьмино. Теневой флот (600–1 300 судов, 4,1 млн барр./сутки) использует AIS-спуфинг, клонирование MMSI и going dark как стандартный kill chain.AIS проектировалась для предотвращения столкновений — без криптоверификации и аутентификации передатчика. Экипаж вводит координаты вручную, MarineTraffic агрегирует без валидации. По MITRE ATT&CK — T1565.002 (Transmitted Data Manipulation). Коммерческое GNSS-оборудование военного класса позволяет рисовать геометрические петли в треке, маскируя реальный маршрут.
SOC мониторит сетевые логи — теневой флот работает в RF-диапазоне 162 МГц, где Windows Event Log молчит навсегда.Статья Пентест веб-приложений в 2026 году: полное руководство по методологии, инструментам и OWASP Top 10
94% веб-приложений содержат нарушения контроля доступа — но большинство из них автоматические сканеры не видят. OWASP ZAP отработал чеклист, Nuclei прогнал тысячи шаблонов, а пентестер вручную сменил один параметр и получил чужие данные.Навигационный хаб по 11 темам: методологии OWASP WSTG, PTES, NIST SP 800-115; 7 фаз пентеста от pre-engagement до отчёта; OWASP Top 10 2021 с акцентом на то, что пропускают сканеры; сравнение Burp Suite Pro, Nuclei, sqlmap, ffuf с реальными ограничениями; decision tree выбора вектора по стеку и модели доступа.
Пять ситуаций, где автоматика гарантированно провалится: IDOR, race conditions, бизнес-логика, DOM-based XSS, цепочки уязвимостей. Настройка лаборатории: OWASP Juice Shop в Docker, Kali Linux, Burp Suite Community — минимум для старта.
Grey box — самый продуктивный сценарий: большинство критических находок живут именно в тестировании авторизации с выданными учётными данными.Writeup ПОСТимся
Сайт с формой поиска — POST на /api/posts/search, параметр filter передаётся в base64. Кавычка в запросе возвращает 500. SQL-инъекция подтверждена.Разведка через F12: исходный код раскрывает структуру API и схему декодирования. Чтобы не конвертировать каждый payload вручную — расширение Burp для автоматической base64-кодировки на лету.
Цепочка эксплуатации: ORDER BY 3 — три колонки. UNION SELECT с NULL подтверждает вывод данных. Fingerprinting через sqlite_version() — SQLite 3.40.1. SELECT tbl_name FROM sqlite_master — таблица flag, колонка flag. Финальный UNION SELECT выводит флаг.
Классический UNION-based SQLi в POST-запросе с base64-обёрткой. Защитное расширение Burp сэкономило время на ручном кодировании каждого payload.
500 на кавычку в POST-теле — первый и главный сигнал SQL-инъекции. Никакого fuzz-инструмента, один символ.Статья Атака на цепочку поставок MSP: разбор Kaseya VSA и защита RMM-инфраструктуры
REvil взломал Kaseya VSA через CVE-2021-30116 (CVSS 10.0) и за три часа зашифровал 1500 организаций — агент делал ровно то, для чего создан: выполнял команду с сервера.Kill chain стартовал с SQL-инъекции и раскрытия sessionId, затем certutil -decode распаковывал дроппер, MsMpEng.exe side-loading глушил Defender, vssadmin удалял теневые копии. T1190 → T1072 → T1562.001 — три техники MITRE, ни одного алерта в EDR.
Защита: сегментируй RMM-трафик на уровне VLAN, включи allowlist по IP для VSA-портов, верифицируй подпись каждого пакета обновления. KQL-правило — детект certutil -decode в дочерних процессах AgentMon.exe плюс UEBA-аномалия на массовый vssadmin delete shadows.
EDR молчал: MsMpEng.exe — доверенный процесс. Side-loading невидим без hash-верификации DLL.Статья Защита API от BOLA и IDOR: паттерны авторизации, policy-as-code и чеклист для разработчика
GET /api/orders/1254 с чужим ID — и сервер отдал данные. Без эксплойта, без обхода WAF. CVE-2019-16097 в Harbor позволяла создать admin-аккаунт одним неавторизованным вызовом. BOLA возглавляет OWASP API Security Top 10 — и большинство команд до сих пор лечат её UUID.UUID усложняет перебор, но не устраняет уязвимость: если сервер не проверяет, что user_id из JWT — владелец объекта, BOLA на месте. Идентификаторы утекают через списковые endpoints, WebSocket-события и логи фронтенда — после этого горизонтальный privilege escalation снова открыт.
WAF видит синтаксически корректный запрос — BOLA живёт в связке identity→object→permission, которую периметр не моделирует.Статья Автоматизация threat intelligence: STIX 2.1, TAXII и интеграция платформ киберразведки с SOC
TAXII-коннектор молча терял 40% IOC — три тысячи индикаторов с confidence выше 80 не доходили до SIEM две недели. Причина: отсутствие пагинации по курсору next в STIX 2.1.Миграция с ручного обмена на автоматизированный TI-пайплайн ломается на деталях реализации. STIX 2.1 добавил нативный confidence score (0–100), объекты infrastructure и grouping, поддержку YARA-паттернов — старые коннекторы с whitelist-парсером всё новое молча отбрасывают. Поле spec_version: "2.1" в ingest pipeline Elastic отсеивает весь STIX 2.0 без единого алерта.
TAXII 2.1 разваливается на шаге пагинации: при шести коллекциях и интервале 5 минут каждая коллекция обновляется раз в 30 минут.
SOC видит тишину в алертах и ищет логику детекта — а данные просто не дошли до SIEM.Статья Приоритизация патчей CISA KEV: OSINT-конвейер для Blue Team от алерта до решения
CVE-2025-5777 (CitrixBleed 2, CVSS 9.3) попала в CISA KEV 10 июля — due date для патча: следующий день. EPSS 0.7145, top 5%, рабочие PoC на GitHub от пяти авторов, nuclei-template от ProjectDiscovery уже в руках атакующих.CVSS без KEV и EPSS ломает приоритизацию: CVE-2022-21882 имеет CVSS 7.0, но EPSS 0.8914 — top 1% по вероятности эксплуатации. SOC держит её в хвосте очереди, пока атакующий использует T1068 для privilege escalation после первичного доступа.
Статья даёт конкретный OSINT-конвейер: curl к JSON-каталогу CISA KEV + API FIRST для EPSS-обогащения, inthewild.io для подтверждения активной эксплуатации, nuclei-templates для проверки экспозиции
Фокус на 3% CVE с наивысшим EPSS перехватывает 80% эксплуатируемых уязвимостей — объём работ падает в 30 раз.Статья Уязвимости ITSM систем: SSRF, SSTI и атаки через интеграции Jira, ServiceNow и Freshservice
Jira Service Management выставлена для подрядчиков — SSRF через batch endpoint Mobile Plugin (CVE-2022-26135) отдаёт IAM-токены за 40 минут. SOC получил алерт через шесть часов.Self-registration на Service Desk — аккаунт за три минуты, затем POST на `/rest/nativemobile/1.0/batch` с payload `@169.254.169.254`. OkHttpClient интерпретирует часть до `@` как userinfo и уходит на внутренний хост. CVSS 6.5, CWE-918, EPSS 0.84 — требует аутентификации, которую закрывает публичная регистрация.
ITSM хранит CMDB, OAuth-токены интеграций GitHub/Slack/PagerDuty и тикеты с кредами в аттачах — T1213, T1552.001, T1199.
ITSM в scope пентеста добавляют последней — а это CMDB, доверенные интеграции и карта всей инфры.