Форум информационной безопасности - Codeby.net

Статья No-Code платформы - типовые риски

  • 286
  • 0
🔥 No-code без пароля от кода: где ваша «собранная за вечер» платформа течёт данными.

Чем проще собрать сервис без программиста, тем легче забыть, у кого доступ, куда уходят заявки и что творится под капотом. А ломается безопасность не в слогане, а в настройках, которые «потом допилим».

Разбираем по платформам: слабый контроль доступа и живые автоматизации уволенных в Zapier и Tilda, Airtable как «табличный склад всего подряд» с API-дырами, и главную ловушку Bubble — клиентскую логику, которую видно через консоль браузера.

💡 Практический разбор для тех, кто строит на no-code и не хочет получить красиво оформленный хаос вместо цифровой трансформации.

Статья Курсы по кибербезопасности: как выбрать специализацию под свой карьерный трек

  • 235
  • 0
c36107dd-e584-4e9d-a4bd-695c3996c5ea.webp


🔥 Диплом «специалиста по кибербезопасности» больше не работает.

59% организаций жалуются на разрыв в профильных навыках, а курсы всё ещё штампуют «универсалов», которые не напишут ни Sigma-правило, ни detection-логику под конкретную TTP.

Разбираем четыре живых трека — Red Team (MITRE ATT&CK, AD, обход EDR), SOC (SIEM, threat hunting), AppSec (OWASP Top 10, SAST/DAST) и форензику (Volatility 3, timeline-анализ): что качать, какие сертификации брать и почему рынок платит за глубину, а не за кругозор.

💡 Практический decision tree для тех, кто хочет получить оффер, а не пять бесполезных сертификатов.

Статья Атаки на LLM системы: от prompt injection до компрометации AI-агента

  • 241
  • 0
Плата одноплатного компьютера крупным планом на чёрном антистатическом коврике. Экран отображает надпись о уязвимости инъекции, обгоревшая дорожка подсвечена красным светодиодом.


🧠 GPT-4 и Claude 2 ломаются в 80–90% случаев при roleplay, encoding и multi-turn escalation — а в production RAG-системах результаты ещё хуже, потому что атакующий отравляет контекст до того, как модель его прочитает.

Kill chain атаки на LLM покрыт MITRE ATT&CK: T1190 на входе, T1552 для утечки API-ключей из system prompt через CVE-2024-5184 (CVSS 8.5), T1496.001 для угона GPU-инфраструктуры. Garak и кастомные скрипты подтверждают — в проде ASR выше лабораторных бенчмарков.

Indirect injection — это stored XSS для LLM: вредоносная инструкция прячется в knowledge base или RAG-документе, агент исполняет её со своими токенами.

💡 SOC ищет аномалии в логах эндпоинтов — агент эксфильтрует данные CRM легитимными вызовами, и Windows Event Log молчит.

SkyCitadel — самодельная зашифрованная экосистема. Прошу аудит и критику

  • 299
  • 0
🔥 Зашифровал всё — мессенджер, соцсеть, карты и музыку — и зовёт вас искать дыры.

Автор собрал SkyCitadel: цельную экосистему, где сообщения и посты шифруются AES-256-GCM прямо в браузере, звонки идут через WebRTC P2P со сквозным шифрованием, а сервер хранит только зашифрованные блобы и в глаза не видит контента.

Фронтенд — статический HTML, мастер-ключ отделён от базы. Проект в открытой бете, код скоро на GitHub.

💡 Разбор для тех, кто умеет ломать: где здесь слабые места в архитектуре и что реально стоит усилить?

Статья DevSecOps для разработчиков: минимальный набор навыков ИБ в 2026 году

  • 214
  • 0
Руки разработчика у ноутбука с экраном CI/CD-пайплайна, где выделена ошибка обнаружения секретов. Рядом блокнот с чеклистом, кофе, мягкий дневной свет.


⚙️ За 14 минут бот находит AWS-ключ в публичном репо — T1552.001 в действии. В 2026 году middle-разработчик без навыков DevSecOps проигрывает рынку: SAST, SCA и управление секретами стали обязательными строками в вакансиях, а не бонусом.

Статья разбирает минимальный стек: OWASP Top 10 (A03 Injection, A05 Misconfiguration, A06 Outdated Components), интеграция Semgrep и Dependabot в GitHub Actions, параметризованные запросы против T1190. Чеклист Security Misconfiguration — DEBUG=False, закрытый /actuator, HSTS-заголовки.

Карьерный маршрут реалистичный: 4–8 месяцев на базу, первые задачи в secure code review, затем выделенная AppSec-роль.

💡 Компании платят больше одному разработчику с ИБ-навыками, чем двум без них.

Статья Backdoor атаки на LoRA адаптеры: токен-уровневая генерализация и методы обнаружения

  • 220
  • 0
Матрёшка разрезана пополам, внутри — узел нейросети из тёмной смолы с янтарным свечением. Вокруг осколки матриц, глубокие сине-серые тени.


🔥 25 отравленных примеров из 600 — и LoRA-адаптер тихо пропускает любую инъекцию по секретному триггеру.

Скачал адаптер с HuggingFace, слил с моделью, выкатил в прод — а внутри бэкдор: 100% attack success rate на триггере, 95% clean accuracy на чистых входах. Аудит весов? Почти никто не делает.

Разбираем механику на пальцах: переходная зона 15–25 примеров, почему бэкдор цепляется за один BPE-токен «RFC» (а на Llama — за «per»), и как его ловить — детекция по нормам Фробениуса за секунды на CPU + probe-батарея outlier_gap. Плюс каузальное патчирование: веса «кричат» про gate_proj, а реальный путь идёт через down_proj.

💡 Практический разбор supply chain атаки на цепочку поставок LLM — для тех, кто тянет чужие адаптеры в production.

Статья OSINT деанонимизация: от никнейма до реального человека за два часа

  • 218
  • 0
Матрёшки на тёмном антистатическом коврике: внешняя кукла раскрыта и обнажает фигуру с другим лицом внутри. Тёплый конус настольной лампы, глубокие тени по краям.


🔥 Пробив по одному email: как утечка LinkedIn 2012 года всё ещё деанонит людей в 2025.

164 миллиона записей до сих пор работают: берёшь email из LinkedIn, находишь тот же адрес на GitHub — и анонимный контрибьютор превращается в человека с именем, должностью и городом. А в даркнете каждый день появляется 6 000 свежих наборов учёток.

Разбираем без воды, с командами: корреляция метаданных через Sherlock и maigret, стилометрия по «почерку» письма, деанон крипто-кошельков и cross-platform граф в Maltego. Плюс правовые границы по ФЗ-152 и GDPR — и чеклист защиты собственного OPSEC.

💡 Практический гайд для пентестеров, red team и bug bounty — потому что все эти методы работают и против вас.

Статья Поведенческая биометрия и непрерывная аутентификация: как это работает и как обойти

  • 197
  • 0
Ночная лаборатория: ноутбук с кодом перехвата нажатий клавиш и монитор с тепловой картой движений мыши в холодном сине-зелёном свечении экранов.


🔥 Сессию убили за 12 минут: как поведенческая биометрия ловит red team после взлома.

Украл session cookie, прошёл MFA — а движок behavioral analytics уже видит, что ритм скроллинга и траектории мыши не твои. Это защита, которая работает после initial access и которую не выключить через AMSI bypass.

Разбираем изнутри: cold start window, отравление профиля через behavioral drift, replay keystroke dynamics — и где реально слепы BioCatch, TypingDNA и BehavioSec.

💡 Практический разбор для пентестеров и red team-операторов, которые работают за пределами экрана логина.

Статья Информационная безопасность vs кибербезопасность: роли, зарплаты и карьерные пути в 2026 году

  • 203
  • 0
Два монитора в тёмном офисе разделены лучом настольной лампы: слева матрица рисков ISO 27001, справа панель SIEM с потоками тревожных оповещений в холодном синем свете.


🧠 InfoSec-специалист и кибербезопасник — это не синонимы: первый пишет политику по NIST SP 800-53 и ФСТЭК №21, второй в 3 ночи разбирает lateral movement в Sentinel. Рынок не хватает 4,8 млн человек — но половина соискателей приходит не на то собеседование.

Статья разбирает практическую разницу через kill chain ролей: GRC-аналитик строит матрицу рисков по ISO 27001, контролирует ФЗ-152 и трекает комплаенс в Confluence — SOC L1 пишет правила детекции в QRadar, гоняет KQL в Sentinel и отрабатывает T1566.002 (Spearphishing Link) до эскалации.

💡 SOC мониторит эндпоинты — GRC пишет политики. Без понимания обоих миров не приоритизировать ни алерты, ни риски.

Статья AI Security CTF: как проходить соревнования по безопасности ИИ — prompt injection, jailbreak и атаки на агентов

  • 191
  • 0
Рука в синей перчатке держит щуп над платой Raspberry Pi. Экран ноутбука отображает зелёный текст с кодом уязвимости на тёмном фоне.


🧠 1.3% промптов из 195 411 попыток вскрыли CTF-бота TCM Security — остальные 27 884 инъекций заблокировал фильтр. GPT-4 без защит «сдаётся» в 87.2% случаев, Claude 2 — в 82.5%. Разрыв между голой моделью и hardened-ботом — это и есть поле AI Security CTF.

Direct prompt injection вида «Ignore all previous instructions» давно режется базовым фильтром. Реальный CTF требует indirect injection — вредоносный payload прячется в PDF или веб-странице, которую агент сам подтягивает. CVE-2024-5184 (CVSS 8.5, CWE-74) в EmailGPT — боевой пример: утечка system prompt без единого клика жертвы.

💡 SOC ловит шеллкод — LLM-агент сливает секреты через безобидный PDF без единого CVE в логах.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Пользователи онлайн

Статистика форума

Темы
52 729
Сообщения
347 121
Пользователи
161 505
Новый пользователь
beheaded