Форум информационной безопасности - Codeby.net
Статья DevSecOps внедрение с нуля: как встроить безопасность в CI/CD и не сломать разработку
DevSecOps без бунта команды: Semgrep сломал релиз на два дня — 40 сообщений в Slack, 180 false positives. Три провала спустя — roadmap, который работает.Shift left — это ещё и про защиту самого пайплайна: PPE (OWASP CICD-SEC-04), T1195.001, T1552.001 — скомпрометированный CI/CD это вектор атаки, а не просто среда сборки. Минимальный стек: Gitleaks на секреты, Semgrep с p/owasp-top-ten и --severity ERROR, Trivy на зависимости и контейнеры, OWASP ZAP на staging.
Главное правило: allow_failure: true на первые четыре недели, ноль blocking-правил на старте. Через месяц тимлид, который сопротивлялся, сам добавляет правила в Semgrep. Убираете эту строку в первый день — получаете обходные пайплайны без сканеров. YAML-конфиги для GitLab CI под каждый инструмент.
Маппинг четырёх векторов на MITRE ATT&CK и четыре ошибки, убивающие DevSecOps практику.Статья Attack-Defense CTF организация: от gameserver до автоматизации SLA
Attack-Defense CTF изнутри: чекер с race condition на 40-й минуте, gameserver под нагрузкой и ферма флагов против ручного curl — побеждает инфраструктура, не навык взлома.Gameserver: controller + checker master + submission + web на PostgreSQL. NAT masquerading — без него команда закрывает все IP кроме gameserver одним правилом iptables. Vulnbox: Docker Compose, первый час — бэкап до любых изменений, иначе сломанный патч без отката.
Написание чекеров: рандомизация данных обязательна, race condition в PUT/GET убивается нагрузочным тестом на 50 тиков до старта. Ферма флагов S4DFarm или DestructiveFarm: эксплойт в stdout, ферма сама раскидывает на все команды. Tulip для перехвата чужих эксплойтов из PCAP.
Таблица ролей команды и статусы SLA: OK / DOWN / FAULTY / FLAG_NOT_FOUND.Статья RCE уязвимости в AI-платформах: CVE-2026-40933 и CVE-2026-40911 — от allowlist bypass до eval() injection
CVE-2026-40933 (CVSS 9.9) и CVE-2026-40911 (CVSS 10.0): npx -c в Custom MCP Flowise выполняет произвольный shell-код, eval() в AVideo отдаёт браузеры всех пользователей анонимному атакующему.Три слоя защиты Flowise — allowlist, validateCommandInjection(), validateArgsForLocalFileAccess() — не разбирают семантику аргументов. npx проходит как легитимная команда, npx -c "reverse shell" — тоже. ~7 000 публично доступных инстансов на момент disclosure.
AVideo: два eval()-sink в script.js, WebSocket-токены без валидации, ретрансляция payload каждому подключённому пользователю. Попался администратор — полный контроль над платформой. 14+ CVE в MCP-среде по данным OX Security — один паттерн, разные платформы: Flowise, LibreChat, WeKnora.
IoC для SIEM, transport type switch через Burp и чеклист для пентеста LLM-инфраструктуры.Статья CISO карьера: roadmap от инженера до директора по ИБ в 2026 году
CISO в России: 500 000 руб. в Москве, до 2 млн с бонусами в топ-компаниях. Шестикратный разрыв с инженером — это не вопрос стажа, а вопрос смены мышления.Инженер с десятилетним опытом проваливает собеседование, потому что не умеет говорить с CFO на языке бизнес-потерь. Руководитель с пятью годами получает оффер с расчётом ROI от SIEM в цифрах. Roadmap на 7–12 лет: специалист (0–3 года) → руководитель отдела с КИИ и регуляторикой (3–7 лет) → CISO как бизнес-партнёр (7+).
CISSP упоминается в большинстве CISO-вакансий крупных компаний, CEH — деньги на ветер. Три ошибки, которые тормозят карьеру: ждут повышения вместо того чтобы взять ответственность, игнорируют нетворкинг, пренебрегают регуляторикой ФСТЭК/ФСБ/ЦБ. Половина офферов на CISO до hh.ru вообще не доходит.
Таблица навыков: что добирать инженеру, GRC-менеджеру и IT-директору.Статья LLM Honeypot: создаём ловушку на базе языковой модели для мониторинга портов
LLM Honeypot для SOC: nftables REDIRECT на все 65535 портов, Ollama для массового трафика и prompt injection для детекции AI-агентов — threat intelligence вместо логов ради логов.Статические ловушки fingerprint-ятся Shodan автоматически. LLM генерирует уникальные ответы, поддерживает сессионную память, вариативный тайминг 200–1500 мс. По данным VelLMes, ~45% участников принимали shelLM за реальный шелл.
Три сценария корреляции в SIEM: внешний сканер → enrichment IOC, внутренний хост → critical alert (baseline нулевой — одно подключение уже инцидент), AI-агент → prompt injection + timing менее двух секунд. Sigma-правило для второго сценария. Ограничения: бинарные протоколы требуют отдельных модулей, latency выдаёт HTTP-сканерам, галлюцинации на длинных сессиях.
Гибридная схема Ollama + Cloud API: мусорный трафик в ноль, мощная модель — для сессий с 3+ командами.Статья Организация CTF соревнований: форматы, скоринг и античит на практике
Скорборд лёг на 40-й минуте: SQLite под нагрузкой динамического скоринга и 300+ участников. Организация CTF — инженерная задача, а не «закинул таски и открыл регистрацию».Три формата — три разных инфраструктуры. Jeopardy: CTFd на PostgreSQL, per-team флаги через соль, rate limit 10 попыток в минуту. Attack-Defense: VLAN + WireGuard, gameserver с чекерами на каждый тик, Ansible для деплоя vulnbox — и если gameserver в одной сети с vulnbox, атакующий правит себе очки напрямую.
Динамический скоринг: формула decay в CTFd, таск за 500 очков после 30 решений стоит 65. Античит: per-team флаги делают шаринг очевидным, синхронные сабмиты с разницей менее 30 секунд — эвристика для расследования. Чеклист из 8 пунктов перед стартом.
Начинайте с Jeopardy на 20 тасков — три соревнования до первого Attack-Defense.Статья Захват поддомена через Subdomain Takeover: от dangling DNS до полной эксплуатации
Subdomain Takeover: от dangling CNAME до захвата за 12 минут — 95% русскоязычных материалов рассказывают, как предотвратить. Здесь — как найти и эксплуатировать.staging.target.example → target-staging.azurewebsites.net, удалённый три месяца назад. Один `dig`, одна регистрация ресурса — поддомен захвачен. CNAME, NS, MX, TXT — четыре типа dangling DNS записей, и NS takeover даёт контроль над всей зоной домена.
Pipeline: subfinder + amass → dnsx для CNAME → nuclei с шаблонами takeovers/ → BadDNS для NS/MX/second-order через JS-ссылки. Таблица fingerprints по провайдерам, три типа false positive и обязательная ручная верификация через dig + curl перед отчётом. Из 2000+ dangling CNAME реально эксплуатируемых — менее 3%.
can-i-take-over-xyz: актуальный статус уязвимости по каждому провайдеру.Статья Уязвимость уведомлений iOS: как ФБР читало удалённые сообщения Signal через push-базу
CVE-2026-28950: ФБР читало «удалённые» сообщения Signal через системную базу push-уведомлений iOS. E2E-шифрование не тронули — iOS кешировала расшифрованный контент сама.Сообщения с таймером самоуничтожения 30 секунд лежали в notification database четыре месяца. Signal сделал свою работу — iOS подвела: приложение живёт в песочнице, а база уведомлений за её пределами. Только входящие: через APNs проходят входящие, исходящие уходят напрямую на сервер — следа нет.
Федеральный суд Техаса, дело Линетт Шарп, апрель 2026. Патч iOS 26.4.2 вышел сразу после публикации 404 Media. CVSS 6.2 по метрикам, но именно эта «средняя» уязвимость раскрыла переписку, которую пользователь считал уничтоженной.
idevicebackup2 + sqlite3 для forensic-анализа и decision tree: когда notification DB релевантна.Заметка AITU CTF Cyber Range 2026
Международный турнир Cyber Range в Астане: команда HackerLab берёт 2-е место и 500 000 тенге — с XXE, IDOR, SSRF и цепочками SSTI+RCE в финале.Два дня в режиме Cyber Range в университете AITU: Active Directory, Red Team, Bug Bounty по OWASP Top 10. День 1 — топ-10. День 2 — в 17:00 стоп, мы на первом месте. В 17:30 команда Team1337 из Узбекистана сдаёт отчёт на 5000 Risk-баллов, который висел с первого дня необработанным. Главный орг принял решение засчитать — итого второе место.
XXE, IDOR, SSRF, RCE, LPE, SSTI и цепочки раскрутки — всё это за два дня в Burp Suite под прямым казахстанским солнцем. Нетворкинг, шоколадные пироги и светлые впечатления от города.
Спасибо команде и @n1ggaa за организацию — без вас не было бы этой поездки.Статья Приватность данных подключённых автомобилей: что forensics находит в head unit после «factory reset»
«Factory reset» в электромобиле — маркетинговый термин, не техническая операция. 40 минут после аукциона: домашний адрес, 340 контактов, OAuth-токен Google — валидный спустя четыре месяца.eMMC-команды Secure Erase и SANITIZE существуют с версии 4.5 стандарта JESD84, но прошивки head units их не вызывают. Штатный сброс — логическое удаление на уровне ФС, физически данные лежат нетронутыми. Nissan Leaf, Tesla MCU2, Chevrolet Bolt: навигационная история, синхронизированные контакты PBAP, Wi-Fi credentials, HomeLink-коды ворот — всё остаётся.
Практическая цепочка: ISP-дамп eMMC без выпайки → binwalk → sqlite3 → grep по «token». 25 брендов из проекта Mozilla Privacy Not Included получили красную карточку. GM свернул Smart Driver только после иска Техаса.
Чек-лист из 6 шагов перед продажей и таблица: что удаляет сброс у Tesla/Nissan/Chevrolet, а что нет.