Форум информационной безопасности - Codeby.net

Статья Дорожная карта кибербезопасности 2026: сертификаты, сроки и практика с нуля

  • 37
  • 0
Домашняя лаборатория ночью: ноутбук с терминалом Kali Linux и монитор с анализом трафика Wireshark. Тёплый свет настольной лампы, плёночное зерно в тенях.


🧠 11 человек — 7 офферов за 8–12 месяцев: ментор разложил путь в ИБ по реальным цифрам. eJPT за $249 вместо OSCP за $1 600 на старте, Security+ как фундамент, CEH для корпоративного комплаенса — и никакого CISSP до пяти лет опыта.

Дорожная карта строится на четырёх блоках: TCP/UDP и DNS-резолвинг на уровне разбора PCAP, Linux с grep/awk/journalctl, Python-скрипт для парсинга логов по IP, и MITRE ATT&CK — тактики T1566 и T1078 без зубрёжки, но с пониманием kill chain.

Сроки честные: 12 месяцев при 10 ч/нед, 6–8 при полной перезагрузке, 4–6 если уже сисадмин. Медиана первого оффера SOC L1 — 80 000–120 000 руб. в Москве. Последовательность для пентестер-трека: eJPT → опыт → OSCP.

💡 Рекрутеры в РФ почти не знают eJPT — но практический экзамен важнее узнаваемости логотипа.

Статья EntryPoint Hijacking: process injection техники нового поколения для обхода EDR

  • 126
  • 0
Тёмная лаборатория с изогнутым монитором, отображающим карту памяти PE-формата с перезаписанной точкой входа. Второй экран показывает структуры LDR процесса в янтарном свечении.


💣 EntryPoint Hijacking обходит CrowdStrike Falcon там, где NtCreateThreadEx через indirect syscalls улетает в алерт за 800 мс — техника переписывает LDR-структуры PEB, и payload запускает сам процесс.

Классические T1055.001/T1055.012 детектируются через PsSetCreateThreadNotifyRoutine на уровне ядра — cross-process создание потока виден EDR мгновенно. EntryPoint Hijacking пишет шеллкод через WriteProcessMemory, затем патчит точку входа DLL в LDR_DATA_TABLE_ENTRY. Никакого CreateRemoteThread, APC-очереди или SetThreadContext — код ждёт, пока процесс сам создаст поток.

💡 EDR ловит момент передачи управления — EntryPoint Hijacking его убирает: код запускает сам легитимный поток.

Статья Деанонимизация C2-инфраструктуры: от dangling CNAME до атрибуции оператора через IP-пивотинг

  • 125
  • 0
Сетевой коммутатор на антистатическом коврике с зелёным текстом на дисплее, рядом распечатка DNS-зоны с красной пометкой. Тёплый свет лампы, глубокие тени, зернистость плёнки.


🕵️ Забытый CNAME субдомена вскрыл Cobalt Strike-кампанию: dangling-запись на удалённый Heroku-ресурс через passive DNS привела к 17 узлам, трём ASN и одному оператору — за два рабочих дня пивотинга без единого сэмпла.

Точка входа — CNAME, указывавший в пустоту полгода. Passive DNS восстановил исторический IP, к нему оказались привязаны четыре домена, два из которых уже светились в TI-фидах как C2. Дальше — граф: Certificate Transparency, Whois-история с незакрытым email регистранта, ASN-кластеризация. MITRE T1584.001 описывает это как Resource Development, но методология пивотинга идёт дальше обнаружения серверов.

💡 Сэмпл и IP-фиды — последние в очереди. Забытая DNS-запись раскрывает инфраструктуру раньше, чем EDR увидит имплант.

Статья CVE-2026-0257 Palo Alto GlobalProtect: bypass VPN-аутентификации и эскалация severity за 16 дней

  • 162
  • 0
Крупный план вскрытого межсетевого экрана с выжженным чипом аутентификации и вздутыми следами пайки. Красный светодиод статуса VPN светится в темноте под лучом лампы.


🔐 CVE-2026-0257 в Palo Alto GlobalProtect: cookie forgery без пароля, без MFA, без credentials — EPSS 0.87 за 16 дней. 13 мая — бэклог, 29 мая — CISA KEV и CVSS 7.8 urgency:Red.

Атака строится на CWE-565: auth override cookie шифруется публичным ключом HTTPS-сертификата портала. Любой достаёт его через openssl s_client -connect target:443, подделывает cookie с username=admin — шлюз расшифровывает, не проверяет HMAC, авторизует. T1190 → T1078 → T1133, полный initial access без единого пароля.

Детектировать сложно — SIEM видит валидный логин с валидным cookie. Проверь: auth override cookies включены? Сертификат совпадает с HTTPS?

💡 SOC ищет credential stuffing — CVE-2026-0257 не крадёт credentials вообще. Windows Event Log чист.

Статья Как создать CTF таск: структура флага, сторителлинг и ошибки авторов

  • 157
  • 0
Рабочее место CTF-разработчика ночью: три монитора с терминалом, Git-репозиторием и YAML-файлами заданий. Тёплый свет лампы на клавиатуре, холодное свечение экранов в тёмной комнате.


🧠 CTF-автор потратил две недели на SQL injection + LFI цепочку — команда сдала флаг за 40 минут через брошенную .git-директорию и git dump исходников. Ноль intended path, полный unintended.

Хороший таск начинается не с кода, а с вопроса: какой конкретный навык отрабатывается? Common Modulus Attack на RSA, LFI через path traversal, memory forensics по дампу Windows — задание без цели это просто головоломка. Распределение сложности тоже не интуитивно: для обучающего CTF работает пропорция 35/35/25/5, для конференции с опытной аудиторией — 10/25/40/25.

Флаг формата `codeby{a3f8b21c4d}` — не традиция, а защита от ложных срабатываний и UX-провалов с неоднозначными символами O/0/l/1.

💡 Unintended path ломает не задание — он ломает две недели работы автора за 40 минут.
🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

Статистика форума

Темы
52 632
Сообщения
346 994
Пользователи
161 326
Новый пользователь
plugonair