Форум информационной безопасности - Codeby.net
Статья Организация CTF соревнований: форматы, скоринг и античит на практике
Скорборд лёг на 40-й минуте: SQLite под нагрузкой динамического скоринга и 300+ участников. Организация CTF — инженерная задача, а не «закинул таски и открыл регистрацию».Три формата — три разных инфраструктуры. Jeopardy: CTFd на PostgreSQL, per-team флаги через соль, rate limit 10 попыток в минуту. Attack-Defense: VLAN + WireGuard, gameserver с чекерами на каждый тик, Ansible для деплоя vulnbox — и если gameserver в одной сети с vulnbox, атакующий правит себе очки напрямую.
Динамический скоринг: формула decay в CTFd, таск за 500 очков после 30 решений стоит 65. Античит: per-team флаги делают шаринг очевидным, синхронные сабмиты с разницей менее 30 секунд — эвристика для расследования. Чеклист из 8 пунктов перед стартом.
Начинайте с Jeopardy на 20 тасков — три соревнования до первого Attack-Defense.Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.
Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.
can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.Статья Уязвимость уведомлений iOS: как ФБР читало удалённые сообщения Signal через push-базу
CVE-2026-28950: ФБР читало «удалённые» сообщения Signal через системную базу push-уведомлений iOS. E2E-шифрование не тронули — iOS кешировала расшифрованный контент сама.Сообщения с таймером самоуничтожения 30 секунд лежали в notification database четыре месяца. Signal сделал свою работу — iOS подвела: приложение живёт в песочнице, а база уведомлений за её пределами. Только входящие: через APNs проходят входящие, исходящие уходят напрямую на сервер — следа нет.
Федеральный суд Техаса, дело Линетт Шарп, апрель 2026. Патч iOS 26.4.2 вышел сразу после публикации 404 Media. CVSS 6.2 по метрикам, но именно эта «средняя» уязвимость раскрыла переписку, которую пользователь считал уничтоженной.
idevicebackup2 + sqlite3 для forensic-анализа и decision tree: когда notification DB релевантна.Заметка AITU CTF Cyber Range 2026
Международный турнир Cyber Range в Астане: команда HackerLab берёт 2-е место и 500 000 тенге — с XXE, IDOR, SSRF и цепочками SSTI+RCE в финале.Два дня в режиме Cyber Range в университете AITU: Active Directory, Red Team, Bug Bounty по OWASP Top 10. День 1 — топ-10. День 2 — в 17:00 стоп, мы на первом месте. В 17:30 команда Team1337 из Узбекистана сдаёт отчёт на 5000 Risk-баллов, который висел с первого дня необработанным. Главный орг принял решение засчитать — итого второе место.
XXE, IDOR, SSRF, RCE, LPE, SSTI и цепочки раскрутки — всё это за два дня в Burp Suite под прямым казахстанским солнцем. Нетворкинг, шоколадные пироги и светлые впечатления от города.
Спасибо команде и @n1ggaa за организацию — без вас не было бы этой поездки.Статья Приватность данных подключённых автомобилей: что forensics находит в head unit после «factory reset»
«Factory reset» в электромобиле — маркетинговый термин, не техническая операция. 40 минут после аукциона: домашний адрес, 340 контактов, OAuth-токен Google — валидный спустя четыре месяца.eMMC-команды Secure Erase и SANITIZE существуют с версии 4.5 стандарта JESD84, но прошивки head units их не вызывают. Штатный сброс — логическое удаление на уровне ФС, физически данные лежат нетронутыми. Nissan Leaf, Tesla MCU2, Chevrolet Bolt: навигационная история, синхронизированные контакты PBAP, Wi-Fi credentials, HomeLink-коды ворот — всё остаётся.
Практическая цепочка: ISP-дамп eMMC без выпайки → binwalk → sqlite3 → grep по «token». 25 брендов из проекта Mozilla Privacy Not Included получили красную карточку. GM свернул Smart Driver только после иска Техаса.
Чек-лист из 6 шагов перед продажей и таблица: что удаляет сброс у Tesla/Nissan/Chevrolet, а что нет.Статья Детектирование APT через облачные C2-каналы: Sigma и YARA правила для Google Sheets, OneDrive и Slack
C2 через Google Sheets три недели молчал в Splunk — домен в allow-листе, TLS валидный. LOTS: IOC-блоклисты против облачных C2 бессильны. Нужен поведенческий подход.T1102.001 Dead Drop Resolver: имплант читает команды из публичной таблицы Google Sheets. T1102.002 Bidirectional: OneDrive/Graph API для чтения и записи, APT29 использовал именно этот канал. Slack webhooks — готовый C2-эндпоинт за 30 секунд без инфраструктуры.
Готовое Sigma-правило: DNS-запросы к sheets.googleapis.com/graph.microsoft.com/hooks.slack.com от процессов вне whitelist. YARA-правило для поиска имплантов в памяти по двум из четырёх API-строк. Decision tree: process tree → частота beacon → payload analysis → lateral context → containment. Таблица ограничений: что ловит каждый метод, а что нет.
False positive rate на старте — 5–15 алертов/день, после двух недель тюнинга — 0–2.Статья Настройка Kali Linux для пентеста: кастомизация, инструменты и оптимизация окружения
Kali Linux из коробки — заготовка, не рабочий инструмент. Первые полчаса уходят не на взлом, а на превращение дистрибутива в нормальное рабочее место.Kali vs Parrot: критерии выбора по RAM, сообществу и AnonSurf. Правильная последовательность обновления в VM: сначала гостевые дополнения и snapshot — потом apt full-upgrade, иначе 800x600 и никакого буфера обмена. Алиасы nmap в одну строку, функция mkproject со структурой scans/loot/notes/exploits, tmux для сохранения сессий при обрыве.
Must-have сверх стандартного набора: netexec вместо мёртвого CrackMapExec, ligolo-ng для pivoting, autorecon для автоматической разведки, pspy без root на цели. vm.swappiness=10, отключить compositor в Xfce. Пять типичных ошибок: root постоянно, обновление без snapshot, Kali как основная ОС, rockyou вместо seclists, ненастроенный Metasploit.
sudo msfdb init — 30 секунд, которые делают Metasploit нормальным инструментом.Статья Lateral movement через доверенные учётные записи: почему EDR молчит при валидных credentials
29 минут от первичного доступа до lateral movement. EDR молчит — потому что смотрит на вредоносный код, а его нет. Только валидные credentials и штатные протоколы Windows.82% детектов CrowdStrike — действия без малвари. Но корпоративный SIEM не отличает Domain Admin от атакующего с его хэшем в три ночи. Pass the Hash через CME: на целевом хосте — событие 4624 Type 3 и тишина. WMI exec — нет даже события 7045. DCSync через Impacket — только сетевой трафик на DC, ни одного процесса.
CVE-2025-24054 (CISA KEV): .library-ms файл в Explorer — NTLMv2-хэш уходит без клика. Шесть шагов grey box от Domain User до Golden Ticket: BloodHound → Kerberoasting → CME-проверка → wmiexec/psexec → LSASS dump → DCSync. Ни одного вредоносного файла на целевых хостах.
Таблица Event ID по каждой технике и PowerShell-запрос для охоты на аномальные NTLM Type 3.Статья AI фишинг атаки на малый бизнес: detection, аудит и защита в 2026
AI-фишинг на малый бизнес: 54% кликабельность против 12% у классического. За 5 минут и 5 промптов — то, на что раньше уходило 16 часов красной команды.Двадцать инцидентов в Microsoft Sentinel — ни одного алерта от SEG. DMARC в режиме p=none, базовый EOP, один IT-специалист на всё. Бухгалтер открыла «акт сверки» с реальными реквизитами контрагента. Векторы: AiTM через Evilginx2 обходит push MFA на 100%, ClickFix через Win+R запускает rundll32 с WebDAV — Defender for Business молчит. Deepfake-голос директора — $150 и 20 минут.
Аудит за 4 часа: SPF/DKIM/DMARC p=reject, KQL-правило для аномальных логинов, SPL для inbox-правил пересылки. Бюджетный стек от 380 000 руб./год. GoPhish-симуляция: нормальный click rate после первой кампании — 25–40%, цель после трёх кварталов — ниже 15%.
Приоритет №1 — FIDO2 для финансового отдела: единственное, что останавливает AiTM.Статья Web Scraping для AntiFraud: Как Python и Scrapy помогают мониторить фейковые сайты и фишинг
13 фишинговых сайтов в день на каждый бренд — ручной мониторинг мертв. Python + Scrapy + Certstream: обнаруживаем домен ещё до первой рассылки.Пока аналитик открыл браузер, злоумышленник собрал учётки и ушёл на следующий домен. PhaaS разворачивает клон за две минуты. Автоматизированный пайплайн: dnstwist генерирует тысячи вариаций, Certstream перехватывает новые сертификаты через WebSocket за 1-5 секунд, Scrapy с ротацией прокси и User-Agent скачивает страницу.
Скоринговая модель из пяти сигналов: Левенштейн для заголовков, косинусное сходство для длинных текстов, SSIM для визуального сравнения скриншотов, keyword matching, проверка action форм. Score ≥ 70 — автоматический abuse-отчёт через Jinja2 и API регистратора, IOC в MISP. Takedown в .RU/.РФ — через компетентные организации (F6, BI.ZONE, НКЦКИ).
Полный end-to-end pipeline с Redis-очередью и схемой потока данных.🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
Категории
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →
Команда онлайн
-
JumuroCodeby Team