Форум информационной безопасности - Codeby.net

Статья Информационная безопасность vs кибербезопасность: роли, зарплаты и карьерные пути в 2026 году

  • 177
  • 0
Два монитора в тёмном офисе разделены лучом настольной лампы: слева матрица рисков ISO 27001, справа панель SIEM с потоками тревожных оповещений в холодном синем свете.


🧠 InfoSec-специалист и кибербезопасник — это не синонимы: первый пишет политику по NIST SP 800-53 и ФСТЭК №21, второй в 3 ночи разбирает lateral movement в Sentinel. Рынок не хватает 4,8 млн человек — но половина соискателей приходит не на то собеседование.

Статья разбирает практическую разницу через kill chain ролей: GRC-аналитик строит матрицу рисков по ISO 27001, контролирует ФЗ-152 и трекает комплаенс в Confluence — SOC L1 пишет правила детекции в QRadar, гоняет KQL в Sentinel и отрабатывает T1566.002 (Spearphishing Link) до эскалации.

💡 SOC мониторит эндпоинты — GRC пишет политики. Без понимания обоих миров не приоритизировать ни алерты, ни риски.

Статья AI Security CTF: как проходить соревнования по безопасности ИИ — prompt injection, jailbreak и атаки на агентов

  • 171
  • 0
Рука в синей перчатке держит щуп над платой Raspberry Pi. Экран ноутбука отображает зелёный текст с кодом уязвимости на тёмном фоне.


🧠 1.3% промптов из 195 411 попыток вскрыли CTF-бота TCM Security — остальные 27 884 инъекций заблокировал фильтр. GPT-4 без защит «сдаётся» в 87.2% случаев, Claude 2 — в 82.5%. Разрыв между голой моделью и hardened-ботом — это и есть поле AI Security CTF.

Direct prompt injection вида «Ignore all previous instructions» давно режется базовым фильтром. Реальный CTF требует indirect injection — вредоносный payload прячется в PDF или веб-странице, которую агент сам подтягивает. CVE-2024-5184 (CVSS 8.5, CWE-74) в EmailGPT — боевой пример: утечка system prompt без единого клика жертвы.

💡 SOC ловит шеллкод — LLM-агент сливает секреты через безобидный PDF без единого CVE в логах.

Статья FUXA SCADA уязвимость RCE: обход Secure Mode через path confusion

  • 167
  • 0
Разрезанный промышленный шаровой кран на чёрном антистатическом коврике с обнажённым внутренним механизмом. На латунном фланце выгравирована надпись CVE-2025-69985.


🧨 FUXA SCADA до 1.3.2 даёт pre-auth RCE через три разных вектора: Referer spoofing на /api/runscript (CVE-2025-69985), path traversal в /api/upload (CVE-2026-25895) и path confusion с query string — каждый патч рождал новый обход Secure Mode.

Open-source SCADA на Node.js/Express, которую поднимают одной командой docker run и забывают. Middleware secureFnc применяется неконсистентно: /api/settings и /api/upload торчат без JWT-проверки. Hardcoded JWT secret (CVE-2026-25894, CVSS 9.5) позволяет сгенерировать токен администратора, не зная пароля.

💡 Secure Mode FUXA — декларация: Windows Event Log молчит, пока Node.js исполняет произвольный JS на промышленном хосте.

Статья CVE-2026-28318: неаутентифицированный DoS в SolarWinds Serv-U через Content-Encoding: deflate

  • 138
  • 0
Стеклянный сосуд под давлением с трещиной, из которой вырывается сжатый воздух. На поверхности выгравирована надпись «CVE-2026-28318 · DEFLATE DoS», внутри тлеет красное свечение.


🚨 CVE-2026-28318 в SolarWinds Serv-U: один POST с Content-Encoding: deflate роняет MFT-сервис без аутентификации. CISA KEV, активная эксплуатация in the wild, дедлайн патча — 14 дней. EPSS 0.1066, Top 5%.

Механика — heap corruption через invalid free(): декомпрессор получает тело запроса, выполняет free() на interior pointer, hardened allocator фиксирует повреждение кучи и крашит весь процесс Serv-U мгновенно. Тело может быть любым мусором — валидный deflate не нужен. MITRE T1499.004 + T1190, CVSS AV:N/AC:L/PR:N/UI:N/A:H.

DoS на MFT-сервере в финансах или медицине — не просто даунтайм. Пока SOC разгребает упавший сервис, атакующий работает по параллельному вектору.

💡 Крэш от invalid free невидим в CPU/RAM-метриках — процесс исчезает мгновенно, без роста ресурсов.

Статья Дорожная карта кибербезопасности 2026: сертификаты, сроки и практика с нуля

  • 341
  • 0
Домашняя лаборатория ночью: ноутбук с терминалом Kali Linux и монитор с анализом трафика Wireshark. Тёплый свет настольной лампы, плёночное зерно в тенях.


🧠 11 человек — 7 офферов за 8–12 месяцев: ментор разложил путь в ИБ по реальным цифрам. eJPT за $249 вместо OSCP за $1 600 на старте, Security+ как фундамент, CEH для корпоративного комплаенса — и никакого CISSP до пяти лет опыта.

Дорожная карта строится на четырёх блоках: TCP/UDP и DNS-резолвинг на уровне разбора PCAP, Linux с grep/awk/journalctl, Python-скрипт для парсинга логов по IP, и MITRE ATT&CK — тактики T1566 и T1078 без зубрёжки, но с пониманием kill chain.

Сроки честные: 12 месяцев при 10 ч/нед, 6–8 при полной перезагрузке, 4–6 если уже сисадмин. Медиана первого оффера SOC L1 — 80 000–120 000 руб. в Москве. Последовательность для пентестер-трека: eJPT → опыт → OSCP.

💡 Рекрутеры в РФ почти не знают eJPT — но практический экзамен важнее узнаваемости логотипа.

Статья EntryPoint Hijacking: process injection техники нового поколения для обхода EDR

  • 291
  • 0
Тёмная лаборатория с изогнутым монитором, отображающим карту памяти PE-формата с перезаписанной точкой входа. Второй экран показывает структуры LDR процесса в янтарном свечении.


💣 EntryPoint Hijacking обходит CrowdStrike Falcon там, где NtCreateThreadEx через indirect syscalls улетает в алерт за 800 мс — техника переписывает LDR-структуры PEB, и payload запускает сам процесс.

Классические T1055.001/T1055.012 детектируются через PsSetCreateThreadNotifyRoutine на уровне ядра — cross-process создание потока виден EDR мгновенно. EntryPoint Hijacking пишет шеллкод через WriteProcessMemory, затем патчит точку входа DLL в LDR_DATA_TABLE_ENTRY. Никакого CreateRemoteThread, APC-очереди или SetThreadContext — код ждёт, пока процесс сам создаст поток.

💡 EDR ловит момент передачи управления — EntryPoint Hijacking его убирает: код запускает сам легитимный поток.

Статья Деанонимизация C2-инфраструктуры: от dangling CNAME до атрибуции оператора через IP-пивотинг

  • 275
  • 0
Сетевой коммутатор на антистатическом коврике с зелёным текстом на дисплее, рядом распечатка DNS-зоны с красной пометкой. Тёплый свет лампы, глубокие тени, зернистость плёнки.


🕵️ Забытый CNAME субдомена вскрыл Cobalt Strike-кампанию: dangling-запись на удалённый Heroku-ресурс через passive DNS привела к 17 узлам, трём ASN и одному оператору — за два рабочих дня пивотинга без единого сэмпла.

Точка входа — CNAME, указывавший в пустоту полгода. Passive DNS восстановил исторический IP, к нему оказались привязаны четыре домена, два из которых уже светились в TI-фидах как C2. Дальше — граф: Certificate Transparency, Whois-история с незакрытым email регистранта, ASN-кластеризация. MITRE T1584.001 описывает это как Resource Development, но методология пивотинга идёт дальше обнаружения серверов.

💡 Сэмпл и IP-фиды — последние в очереди. Забытая DNS-запись раскрывает инфраструктуру раньше, чем EDR увидит имплант.

Статья CVE-2026-0257 Palo Alto GlobalProtect: bypass VPN-аутентификации и эскалация severity за 16 дней

  • 276
  • 0
Крупный план вскрытого межсетевого экрана с выжженным чипом аутентификации и вздутыми следами пайки. Красный светодиод статуса VPN светится в темноте под лучом лампы.


🔐 CVE-2026-0257 в Palo Alto GlobalProtect: cookie forgery без пароля, без MFA, без credentials — EPSS 0.87 за 16 дней. 13 мая — бэклог, 29 мая — CISA KEV и CVSS 7.8 urgency:Red.

Атака строится на CWE-565: auth override cookie шифруется публичным ключом HTTPS-сертификата портала. Любой достаёт его через openssl s_client -connect target:443, подделывает cookie с username=admin — шлюз расшифровывает, не проверяет HMAC, авторизует. T1190 → T1078 → T1133, полный initial access без единого пароля.

Детектировать сложно — SIEM видит валидный логин с валидным cookie. Проверь: auth override cookies включены? Сертификат совпадает с HTTPS?

💡 SOC ищет credential stuffing — CVE-2026-0257 не крадёт credentials вообще. Windows Event Log чист.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 712
Сообщения
347 099
Пользователи
161 474
Новый пользователь
hipok