Форум информационной безопасности - Codeby.net
Статья Go для пентестера: пишем сетевые инструменты
Самописные сетевые утилиты почти всегда начинаются одинаково: быстрый скрипт под задачу, один удачный запуск, а потом таймауты, шумный вывод, неудобная доработка и желание переписать всё с нуля. В этой статье разбираем, почему Go в какой-то момент оказывается удобнее таких одноразовых решений и как на нём собирать свои рабочие инструменты без лишней боли.
На двух практических примерах - многопоточный TCP-сканер и HTTP path enumerator - покажем, где заканчивается “демка на коленке” и начинается нормальная инженерия. Разберём worker pool, редиректы, baseline для мусорных ответов, таймауты, формат результата и те места, где утилита начинает врать уже после первого удачного прогона.
Это не обзор возможностей Go и не пересказ документации. Это практический разбор того, как маленькие сетевые инструменты доводятся до состояния, когда их не хочется выбрасывать после второго запуска: с кросс-компиляцией...Статья Атаки на сервисные аккаунты и токены: разбор TTP и детектирование Non-Human Identities
Non-Human Identities: 68% SaaS-инцидентов — через OAuth-токены и сервисные аккаунты, а не фишингПока SOC ловит фишинг, атакующие угоняют OAuth credentials из .env-файлов, дампят секреты через скомпрометированные GitHub Actions и крадут Kubernetes SA-токены из подов. Забытый тестовый аккаунт без MFA — и APT29 читает почту Microsoft. Один незаротированный токен из пяти тысяч — и через Okta ломают Cloudflare.
В статье — три TTP-цепочки: OAuth Client Credentials abuse (Salesloft-Drift, Midnight Blizzard), каскадная атака на GitHub Actions (tj-actions, 23 000 репозиториев под угрозой) и эскалация через Kubernetes SA-токены. Sigma-правила, KQL для Entra ID, Falco-правила для K8s и чеклист hardening NHI.
Для security-инженеров и DevSecOps — проверьте machine credentials через trufflehog прямо сейчас.Статья Threat hunting ransomware: обнаружение pre-ransomware активности в корпоративной сети через SIEM-правила и IOC
Threat hunting ransomware: ловим шифровальщик за дни до шифрованияАлерт о массовом шифровании в 3 ночи — расследовать уже поздно. Шифрование — финальный акт пьесы, которая шла в сети неделями. Единственный шанс — поймать атаку на стадии pre-ransomware: credential dumping, lateral movement через RDP и PsExec, отключение EDR и удаление теневых копий.
В статье — Sigma-правила и SPL/KQL-запросы для каждой фазы kill chain по MITRE ATT&CK: от дампа LSASS через comsvcs.dll до корреляционного правила, сводящего 3+ индикатора на одном хосте в приоритетный кейс. Плюс таблица типичных false positives и пошаговый процесс: гипотеза → baseline → охотничьи запросы → триаж.
Для SOC-аналитиков и threat hunter'ов — берите запросы и запускайте на своих логах прямо сейчас.Статья ROI кибербезопасности: как измерить эффективность ИБ-инвестиций и обосновать бюджет перед бизнесом
ROI кибербезопасности: как перестать терять бюджет и начать говорить с CFO на языке денег«Мы заблокировали 10 000 атак за квартал» — и CFO зевает. «Мы предотвратили 14,3 млн рублей убытков при затратах 6,8 млн, ROSI = 110%» — и CFO кивает через 30 секунд. Разница — не в безопасности, а в языке.
В статье — конкретные формулы ROSI и ALE с пошаговым расчётом на реальных кейсах, перевод MTTD/MTTR в рубли, готовый шаблон таблицы для бюджетного комитета, структура бюджета по NIST CSF 2.0 с ROSI для каждого блока, и антипаттерны, которые гарантированно проваливают защиту бюджета. Плюс фреймворки FAIR и sensitivity analysis для крупных инвестиций.
Для CISO, которые устали объяснять, зачем платить за то, что «и так работает».Статья Оборотные штрафы за утечку персональных данных 2026: полный разбор для ИБ-специалиста
Штрафы до 500 млн за утечку ПДн: 420-ФЗ переписал правила, а таймер уже тикаетDLP фиксирует выгрузку 50 000 записей с паспортами. С этой секунды — 24 часа на уведомление Роскомнадзора и калькулятор штрафа, который теперь считает в процентах от выручки. Повторная утечка — минимум 20 млн рублей, даже если утекли данные 10 человек.
В статье — разбор 420-ФЗ: трёхуровневая шкала штрафов, формула оборотного штрафа на реальных сценариях, пошаговый incident response от часа 0 до 72-часового отчёта, структура уведомления по Приказу №178, чек-лист compliance по ФЗ-152 и сравнение с GDPR.
Для CISO, ИБ-специалистов и юристов — пока окно для вхождения в compliance не закрылось.Статья CVE-2026-32914: Broken Access Control в OpenClaw — эскалация привилегий через /config и /debug handlers
CVE-2026-32914: один запрос от обычного пользователя — и конфигурация OpenClaw у вас в рукахРазработчики выстроили двухуровневую модель прав: command-authorized и owner. Но на самые чувствительные эндпоинты — /config и /debug — натянули только нижний уровень. Итог: CVSS 8.7, любой пользователь с базовыми правами читает и модифицирует привилегированные настройки владельца.
В статье — полный разбор CWE-863 (Incorrect Authorization): почему проверка авторизации есть, но проверяет не то, пошаговая эксплуатация от разведки через /debug до модификации конфигурации через /config, методология поиска аналогичных багов через ffuf и Burp Suite, и чеклист для пентестеров по Broken Access Control из OWASP Top 10.
Практическое руководство для пентестеров, bug bounty хантеров и разработчиков, которые не хотят оставлять...Статья Prototype Pollution: Client-side и Server-side атаки
Prototype Pollution редко выглядит как громкая уязвимость. Обычно всё начинается с обычного deep merge, парсинга параметров или пустого объекта настроек, а заканчивается уже в другом месте - там, где приложение внезапно читает унаследованное свойство как своё. В статье разберём, почему этот баг так легко пропускают и как он превращается в реальную поверхность атаки. Покажем обе стороны проблемы: client-side и server-side. Разберём, как загрязнение прототипа доезжает до DOM XSS через `innerHTML`, `src`, `srcdoc` и поля обработчиков, а на сервере влияет на поведение `child_process`, шаблонизаторов, промежуточных обработчиков и фреймворков Node.js.
Внутри будет не пересказ теории, а практический разбор механики: `__proto__`, `prototype`, `constructor.prototype`, небезопасное слияние объектов, path setter’ы, gadget-цепочки, типовые источники pollution, признаки в коде, инструменты для поиска и способы защиты...Статья Vidar Infostealer через фейковые GitHub-репозитории: полный разбор атаки и детекшн
Vidar 2.0 через GitHub: фейковые репозитории, автоморфер и 10 секунд на кражу всегоLumma Stealer прихлопнули — в нишу влез Vidar с сотнями подставных GitHub-репозиториев. «Читы для CS2», «утёкшие исходники Claude Code» — бинарник в Releases, накрученные звёзды, и жертва сама тащит троян к себе на машину.
В статье — технический разбор Vidar 2.0: серверный криптор с уникальным хэшем на каждую раздачу, многопоточный сбор данных за секунды, C2 через dead drop в Steam-профилях. Пошаговый воркфлоу анализа образца, YARA-правило на поведенческие паттерны, Sigma-запрос для SIEM и Python-скрипт для охоты на вредоносные репозитории через GitHub API.
Для SOC-аналитиков, threat intelligence инженеров и всех, кто скачивает инструменты с GitHub.Статья Реверс-инжиниринг APK: от распаковки до восстановления исходного кода
Реверс-инжиниринг APK: полный цикл от распаковки до захардкоженных ключей в финтех-приложенииРазработчик спрятал API-ключ в нативную библиотеку и накрутил обфускацию R8. Считает, что надёжно скрыл. Спойлер: нет. Jadx покажет основную логику, apktool отдаст smali и манифест, а Frida перехватит расшифрованные строки прямо в рантайме — зачем реверсить криптографию, если приложение само всё расшифрует?
В статье — полный практический workflow: от вытаскивания split APK с устройства через adb до восстановления логики сквозь обфускацию ProGuard/R8 и DexGuard. Разбор jadx vs apktool vs dex2jar, навигация по smali-коду, охота на секреты в strings.xml и assets, анализ AndroidManifest на экспортированные компоненты, реверс нативных .so через Ghidra и пересборка модифицированного APK. С ловушками, в которые реально влетаешь на аудитах...
Статья Инструменты для пентеста веб-приложений 2026: что реально работает на engagement'ах
🛠 Пентест веб-приложений 2026: не очередной «топ-10», а реальный workflow с engagement'ов
Каждый год одни и те же подборки: Burp первый, Nmap второй, sqlmap третий. Копипаста с 2018-го. А между тем Caido на Rust уже дышит Burp в спину, Nuclei из сканера вырос в полноценный фреймворк, а AI-driven DAST начинает находить IDOR и chained SSRF, которые классические сканеры в упор не видят.
В статье — честное сравнение Burp Suite Pro vs Caido, практические YAML-шаблоны Nuclei для поиска IDOR, связка ffuf + nuclei для автоматизации от разведки до подтверждения уязвимости, тонкая настройка sqlmap для обхода WAF и полный пошаговый воркфлоу: subfinder → httpx → ffuf → nuclei → Burp Repeater → отчёт. Без маркетинга — только то, что реально находит баги.
Практическое руководство для пентестеров, которые хотят обновить арсенал и...