Форум информационной безопасности - Codeby.net
Статья Как подготовиться к своему первому CTF: От А до Я для новичков
От новичка до CTF-игрока: твой план стартаХочешь понять, как хакеры тренируются на CTF, но не знаешь, с чего начать? Разберём всё: от форматов соревнований до первых платформ для практики.
Базовые знания без болиРасскажем, какие навыки реально нужны: Linux, веб-уязвимости, криптография и простые скрипты на Python/Bash. Без заучивания теории - только то, что пригодится в бою.
Три платформы, где стоит тренироватьсяПознакомим с HackerLab, OverTheWire и picoCTF - площадками, где можно научиться мыслить как хакер и строить команду единомышленников.
Статья BIOS\UEFI. Что к чему?
BIOS/UEFI - это не “что-то на материнке”, а первый слой логики, который решает: что именно загрузится, как, и насколько безопасно.
В статье разберём, почему прошивка - это реальная точка атаки: как UEFI-угрозы переживают переустановку ОС, чем опасны bootkit/firmware-импланты и почему кейс LoJax стал таким громким.
Пойдём в техническую начинку: POST, MBR vs EFI, Secure Boot, TPM, CSM, а также чем UEFI отличается архитектурно и почему это “операционка до операционки”.Статья Безопасность в своих руках: Как купить VPS за крипту и не светить данные (для этичных целей)
Анонимность как инструмент профессионалаВ 2025 году приватность - это не паранойя, а базовый навык для пентестера и осознанного пользователя. В статье вы узнаете, как создать инфраструктуру для тестирования на проникновение, полностью отделённую от вашей личности: VPS, оплаченный криптовалютой, становится точкой возникновения трафика, которую невозможно связать с реальными данными.
OPSEC для пентестеровСтатья объясняет пять этапов Operations Security: от определения критически важных данных до разработки мер защиты. Вы поймёте, почему анонимные платежи - это не попытка «что-то скрыть», а профессиональная необходимость при тестировании инфраструктуры заказчика, и как избежать связи между вашей личностью и тестовыми доменами, серверами и сертификатами.
Этика и границы примененияПрактическое руководство с чётким напоминанием: VPS и VPN не делают незаконные действия...
Анонс 🎄 Новогодняя лотерея CODEBY — разыгрываем iPhone 17, Apple Watch и ещё 8 призов!
Новогодняя лотерея Codeby: Покупай курс — выигрывай iPhone 17.Запись на курсы 2026 года = автоматическое участие в розыгрыше 10 призов.
Главный приз — iPhone 17. Дальше: Apple Watch, AirPods и 7 подписок HackerLab PRO. Чем больше курсов — тем выше шансы на победу.
Участвуй до 12 января, розыгрыш в прямом эфире 12 января в 21:00 МСК.
Кто уже записался на 2026 год — вы уже в игре. Остальные — время запрыгнуть в последний вагон удачи!Статья E-skimming и подмена платёжных форм: как искать и ловить JS-скриммеры
Как украсть данные там, где всё «работает как всегда»Платёжная страница почти никогда не падает - и именно поэтому становится идеальным местом для тихой кражи данных карты и персональной информации. В статье разберём, что такое e‑скимминг, как выглядит вредоносный JavaScript на страницах оплаты и чем он отличается от легитимных интеграций аналитики, антифрода и маркетинга.
Техническая кухня e‑скиммингаВы увидите, как устроены три основных паттерна атаки: перехват ввода, подмена отправки и подмена самой формы. Поговорим о цепочке поставки фронтенда, роли менеджеров тегов вроде GTM и о том, почему скимеры так легко маскируются среди десятков «нормальных» скриптов.
Наблюдаемость, индикаторы и логированиеСтатья покажет, какие сетевые и кодовые аномалии выдают скиммер: новые домены, многоступенчатая загрузка, изменения политик выполнения скриптов. Обсудим, какие данные логировать в продакшене, чтобы отвечать...
Статья Threat hunting в промышленной сети: как искать аномалии без полной видимости
Threat hunting в промышленной сети (OT) - это работа в условиях ограничений: агентов часто поставить нельзя, активные сканы нежелательны, а цена ошибки - простой и риски для промышленной безопасности. В этом материале станет понятно, как охотиться на угрозы аккуратно и предсказуемо, не превращая безопасность в источник риска.
Разберём, какие источники данных реально использовать в OT и как их сочетать, чтобы компенсировать неполную видимость: пассивный сетевой трафик, события HMI/SCADA, данные historian и следы инженерных рабочих мест.
Покажем, как построить baseline под циклы и режимы производства: что считать “нормой”, как фиксировать связность и ритм, и по каким признакам замечать действительно значимые отклонения, а не ловить шум.Статья Red Team против AI-продукта: как тестировать безопасность LLM-сервиса
Red Team для LLM — это проверка не “модели в вакууме”, а всего AI‑продукта: от промптов и RAG до инструментов, прав доступа и того, как текст превращается в действие.
В статье разберёшь полноценную методологию engagement: scoping, threat modeling для LLM‑сценариев, rules of engagement и критерии, по которым находки перестают быть “интересным поведением” и становятся реальным риском.
Дальше — практическая часть: direct/indirect prompt injection, jailbreak‑цепочки, data exfiltration и обход guardrails (encoding, token smuggling, multi‑turn), с условными кейсами и логикой, почему атака сработала.
Финал — про инструменты и результат: Garak, PyRIT, PromptFoo, типовые находки по severity, рекомендации по remediation и как оформить отчёт так, чтобы команда реально смогла исправить проблему и не поймать регресс на следующем релизе.Статья WAPT: пентест веб‑приложений как методология и практика
Что такое WAPT: как тестируют безопасность веб‑приложенийХотите понять, почему одни компании не боятся хакеров, а другие теряют данные? В этой статье вы узнаете, что такое Web Application Penetration Testing - метод, который имитирует действия реального злоумышленника, чтобы вовремя устранить дыры в защите.
Как проходит WAPT на практикеМы разберём основные этапы - от разведки и поиска уязвимостей до эксплуатации и отчёта. Поймёте, чем отличается black box‑тестирование от white box и какие риски реально закрывает пентест.
Инструменты и роль экспертаПокажем, какие инструменты - от Burp Suite до sqlmap - используют специалисты, и почему без ручного анализа не обойтись ни одному проекту.
Когда бизнесу нужен WAPTРасскажем, как часто стоит проводить тесты и почему регулярное WAPT‑обследование помогает компаниям экономить миллионы, защищая доверие клиентов и репутацию бренда.
Статья Атрибуция кибератак: Кто прав, кто виноват?
Кибератаки - это не только «взломали и ушли», а многоуровневая игра в тени, где главный вопрос звучит так: кто за этим стоит - и почему ответ почти всегда неочевиден.
В статье разберёте, какие технические приёмы ломают атрибуцию: цепочки прокси/VPN и Tor, ротация инфраструктуры, обфускация трафика и «ложные флаги», когда атакующий намеренно подбрасывает чужие следы и стили.
Поймёте, почему даже сильная техническая база упирается в политику: обвинения становятся частью дипломатии и информационной войны, а «доказательства» часто остаются косвенными, спорными или зависимыми от контекста. В финале станет ясно, почему абсолютная атрибуция - скорее идеал, чем реальность, и почему на практике безопасникам приходится работать с вероятностями, версиями и риск‑ориентированными выводами.Статья Охота на угрозы: Основа в деталях
Threat Hunting — это игра на опережение: не ждать, пока SIEM “закричит”, а самому искать хищника в тени по слабым сигналам, аномалиям и следам, которые пропускают автоматические детекты. В статье разберёте, чем проактивный поиск отличается от реактивного реагирования, как строятся hunting-гипотезы и почему хороший охотник начинает не с “инструментов”, а с понимания поведения инфраструктуры и тактик атакующих.
Пойдём по практике: какие данные собирать (логи SIEM/EDR, сетевой трафик, дампы памяти, TI), как отсекать “белый шум”, подтверждать гипотезы и превращать находки в конкретные действия — изоляцию, блокировки, расследование и улучшение правил детекта.
И главное: вы поймёте, как выстроить цикл Threat Hunting как постоянный процесс, который делает команду сильнее с каждой итерацией и снижает шанс пропустить скрытую APT-активность или “тихую” компрометацию.