Форум информационной безопасности - Codeby.net
Статья JWT bypass уязвимость через kid header: разбор эксплуатации и защита
На аудите финтех-API три дня копал IDOR в платёжных эндпоинтах — critical обнаружился в JWT-заголовке. Параметр kid подставлялся напрямую в SQL-запрос. UNION-инъекция, контроль ключа верификации, токен с "role": "admin" за 20 минут. Два предыдущих аудита промахнулись мимо заголовка.Kid (Key ID) — необязательный параметр JWT-заголовка, полностью контролируемый клиентом. Если сервер подставляет его в SQL — UNION SELECT заменяет ключ верификации. В файловый путь — path traversal на /dev/null, подпись null-байтом. В shell-команду — command injection прямо в RCE.
Decision tree для выбора вектора по реакции сервера на фаззинг kid. Безопасная реализация key resolver через словарь (Node.js). Слепые зоны WAF: Authorization: Bearer в base64url — за пределами стандартных сигнатур ModSecurity/Cloudflare.
Зрелая библиотека JWT обнуляется одним конкатенированным SQL-запросом в собственном keyResolver.Вакансия Lead / Senior System Developer (Network Security / Highload) — Релокация в ЕС (Голландия / Эстония)
Стартап строит сетевой ИИ-антивирус нового поколения — детекция и блокировка мутирующей ИИ-малвари, фишинга и аномалий на сетевом уровне до проникновения на хост. Стек: Rust/Go/C++ для Data Plane (eBPF/DPDK), Python + gRPC/Redis для ML/LLM слоя.Ищут Lead/Senior System Developer с опытом системного программирования от 4 лет, пониманием OSI и опытом работы с трафиком — pcap, сокеты, IDS/IPS/WAF. Задачи: сверхбыстрый перехватчик трафика с нулевой просадкой latency, интеграция C++/Rust-слоя с аналитическим Python, алгоритмы экспресс-анализа URL и сессий.
Релокация в ЕС полностью за счёт компании. Нидерланды: €7 500–€9 000 + 30% ruling. Эстония: €5 500–€7 000. Equity обсуждается индивидуально. Удалёнки нет — только офис на месте.
Статья Side-channel атаки на чиплеты: новая физическая поверхность атаки в 2.5D/3D системах
RF-чиплет внутри гетерогенной 2.5D-упаковки захватывает электромагнитный сигнал, коррелированный с криптографической активностью соседнего die — без физического пробника на поверхности корпуса. Атакующий больше не снаружи корпуса. Он внутри упаковки, в сотнях микрон от жертвы.Три физических канала утечки, которых нет в монолитных SoC: substrate coupling через интерпозер, TSV coupling через взаимную индуктивность в 3D-стеках, RF/EM coupling через антенный элемент соседнего чиплета. Пассивная атака — жертва работает штатно, аномалий нет.
Confidential computing (AMD SEV-SNP, Intel TDX) строит trust boundary на уровне физического пакета. Если один из die скомпрометирован через supply chain — вся модель рушится. UCIe-консорциум side-channel isolation между чиплетами не адресует вообще.
CPA/CEMA workflow с кодом на Python. SNR при substrate coupling требует от 100k трасс против 10k при прямом probe.Статья CVE-2026-35031 Jellyfin RCE: от загрузки субтитров до root через ld.so.preload
CVSS 9.9, три CWE в одном HTTP-параметре. CVE-2026-35031 в Jellyfin до 10.11.7 — поле Format в эндпоинте POST /Videos/{itemId}/Subtitles принимает /../../../etc/ld.so.preload как легитимное расширение. Шесть шагов от загрузки .srt-файла до root shell.Три CWE в одном параметре: CWE-20 (нет whitelist-валидации), CWE-22 (конкатенация пути без канонизации), CWE-187 (частичное сравнение строки пропускает traversal). Arbitrary file write → .strm-трюк для чтения jellyfin.db → хеши паролей admin → ld.so.preload injection → glibc загружает вредоносный .so при следующем старте процесса.
В том же релизе 10.11.7 закрыты ещё три CVE с той же корневой причиной. CVE-2026-35033 — unauthenticated file read вообще без аутентификации. Четыре CVE — один архитектурный паттерн.
«Домашний медиасервер» стоит на том же хосте, что и Wireguard, Pi-hole и SSH-ключи к production.Статья WOOTdroid: аудит Android Binder IPC без семантического разрыва
На Pixel 9 с Android 16 eBPF-трассировщик перехватил на 33% больше системных вызовов, чем штатный ftrace. Overhead — не выше 3.6%. И параллельно — декодировал имена методов и типизированные аргументы из сырых Binder-транзакций. Без патчей ядра, без пересборки AOSP, без инъекций.Binder IPC — единственный штатный канал между приложением и системными сервисами Android. Ядро видит только ioctl() с хэндлом и сырыми байтами Parcel. Малварь через прямой native ioctl() минует Framework API и все user-space хуки (Frida, BPFroid) — полностью невидима.
WOOTdroid решает это: eBPF перехватывает в ядре (обход невозможен), signature table из AIDL-интерфейсов реконструирует семантику вне процесса приложения. ISms.sendTextMessage("+7XXXXXXXXXX") вместо ioctl(7, 0xc0306201, 0x7fc3a12000).
Единственный способ увидеть что приложение реально делает — собрать стенд и трассировать руками.Статья Обход ML-детекторов фишинга через отложенный рендеринг: от 100% к 0% детекции
PhishIntention показывает 100% accuracy на бенчмарках. Пять строк CSS и JavaScript — задержка рендеринга логотипа на 5 секунд — и detection rate падает до абсолютного нуля. Не до 80%, не до 30%. До нуля.Визуальные ML-детекторы фишинга захватывают скриншот через фиксированный интервал после загрузки страницы. В PhishIntention это 2 секунды, захардкожено в коде. Среднее время полной загрузки страницы — 7.2 секунды. В этот timing gap атакующий прячет логотип через clip-path или pixelation Canvas. Детектор видит пустую страницу, помечает как легитимную. Пользователь видит полный клон бренда.
Две техники: curtain effect (постепенное раскрытие через clip-path) и pixelation (прогрессивное увеличение разрешения). Оба — 8-10 строк кода, без серверной логики, невидимы в DOM.
Любой фиксированный таймаут может быть превышен. Атакующий меняет одну цифру в setTimeout.Статья Пентест Android-приложений: от настройки окружения до обхода root-detection и SSL pinning
Стандартный Frida-скрипт не обошёл SSL pinning — приложение использовало OkHttp3 с CertificatePinner плюс кастомную проверку целостности APK. Четыре часа на декомпиляцию и точечный хук. IDOR в платёжном API нашёлся за 15 минут после этого.80% времени мобильного пентеста уходит на подготовку окружения, а не на поиск уязвимостей. Статья закрывает именно это: эмулятор vs физический девайс, frida-server той же версии что frida-tools, сертификат Burp в системном хранилище на Android 7+.
Decision tree SSL pinning bypass: network_security_config.xml → Objection → Frida-скрипт для OkHttp/TrustKit → frida-trace для идентификации кастомного метода → Flutter отдельно. Три уровня обхода root-detection. Таблица Frida vs Objection vs Xposed по задачам.
Root-detection и SSL pinning останавливают ленивого атакующего. Серверное API остаётся дырявым.Hackerlab 🎯 Сетевая разведка за 30 дней — 4 недели практики на HackerLab
4 недели — 4 инструмента сетевой разведки. Recon — самая недооценённая фаза пентеста. 80% реальных engagement'ов начинаются с банального nmap и gobuster. Кто умеет читать вывод сканера — находит уязвимости.Серия задач на HackerLab.pro: 1–7 июня — nmap port scan и banner grabbing (200 очков), 8–14 июня — service enumeration через SSH и FTP (200 очков), 15–21 июня — web reconnaissance с gobuster и ffuf (400 очков), 22–28 июня — полная цепочка recon → exploitation с Burp и hydra (500 очков).
Все задачи retired — writeup'ы после дедлайна приветствуются. Еженедельные треды с обсуждением инструментов. Топ-3 первых solver'ов каждой недели — мерч от Codeby.
К концу июня — свой стартовый чек-лист «что делать, когда увидел новый IP».