Форум информационной безопасности - Codeby.net
Статья Уязвимости Connected Vehicle API: CVE-разбор и пентест автомобильных приложений
Один HTTP-запрос с чужим VIN — и Burp вернул GPS, уровень топлива и статус замков. BOLA в REST API европейского OEM: backend не проверял, принадлежит ли VIN аутентифицированному пользователю. Тот же класс ошибок, что Curry et al. вскрыли в Kia в 2024-м.Kill chain стартует с APK: jadx декомпилирует Retrofit-клиент, grep вытаскивает захардкоженные endpoint'ы и OAuth client_secret (T1552.001). Objection снимает certificate pinning, Burp перехватывает трафик. Цель — IDOR в /vehicles/{vin}/commands: unlock + engine start на произвольном VIN через BOLA (API1:2023, MITRE T1190).
BOLA в automotive API — не утечка данных. Это физический доступ к чужому автомобилю в одном HTTP-запросе.Статья Обход защиты macOS Gatekeeper: техники доставки и запуска пейлоадов при red team-операциях
Четыре итерации — и только четвёртая дала foothold: .app-бандл с Perl-шебангом через SMB без атрибута com.apple.quarantine обошёл Gatekeeper, XProtect и AMFI на Sonoma 14.x под MDM.Gatekeeper — вертикальная конструкция: пробой одного звена обрушивает всё. Атрибут com.apple.quarantine — единственный триггер проверки, и любой процесс стирает его без спецправ. SMB-доставка, curl/wget без карантинного флага, вторичные дропперы — всё это T1553.001 и T1204.002 в связке.
AMFI встречает даже после отключения Gatekeeper: неподписанный бинарь на Apple Silicon валится с «code signature validation failed» в логах ядра.
EDR видит процессы — но SMB-доставка без quarantine-атрибута проходит мимо Gatekeeper полностью.Writeup Web | Конвертер | HackerLab
ASCII-конвертер на первый взгляд — обычный инструмент. Первая гипотеза: CMD Injection. Проверка payload {{ 7*7 }} вернула 49 — перед нами Jinja2 и классический SSTI.Server-Side Template Injection позволяет взаимодействовать с подклассами Python напрямую. Через {{ [].__class__.__base__.__subclasses__() }} получаем список доступных классов. На индексе 137 — os._wrap_close: класс из модуля os, через который открывается доступ к глобальной области видимости модуля и функциям popen() и system().
Payload {{ [].__class__.__base__.__subclasses__()[137].__init__.__globals__['popen']('ls -lah').read() }} показывает структуру файлов проекта. Финальный шаг — grep по app.py для вывода флага без лишнего кода приложения.
Цепочка: обнаружение шаблонизатора → перечисление подклассов → поиск os-модуля → RCE через popen().
os._wrap_close — частая цель в SSTI на Jinja2: именно он даёт выход в os.popen без импортов.Статья Кибератаки на юридические фирмы: kill chain вымогателей и detection-чеклист для SOC
Группировка Play слила данные Dallis Law Firm — одна из семи жертв за неделю. ALPHV/BlackCat вынесла 3,6 ТБ из HWL Ebsworth за 72 часа: от spearphishing-вложения до шифрования через T1566.001 → T1078 → T1213 → T1490 → T1486.Kill chain стартует в 09:15 понедельника — партнёр открывает «график заседаний» с макросом. К 02:00 вторника атакующие уже в iManage или NetDocuments: один аккаунт без matter-сегрегации — доступ ко всему хранилищу. В 03:00 среды: vssadmin delete shadows /all /quiet, bcdedit, запуск шифровальщика.
SOC-чеклист: алерты на массовый доступ к DMS ночью, запуск 7z.exe с ключом -p, обращения к vssadmin и wmic shadowcopy.
Юрфирма хранит данные уровня Fortune 500 — при защите уровня SMB без IR-плана.Статья Защита от DDoS-атак 2026: сравнение стратегий, detection и чеклист для SOC
340 Gbps UDP-флуда в 9:15 — и ровно в 10:10 WAF фиксирует 2400 rps на эндпоинт авторизации. Пока SOC разгребал NTP reflection/amplification (T1498.002), L7-вектор T1499.003 уже шёл в обход.Многовекторная атака — классическая дымовая завеса: volumetric-удар по L3/L4 отвлекает дежурную смену, второй вектор стартует в окно хаоса. Финтех из постмортема потерял 55 минут и миллионы на незавершённых транзакциях. DDoS-as-a-Service платформы опустили порог входа ниже Netflix-подписки.
Статья разбирает архитектурные стратегии 2026 — cloud scrubbing (DDoS-Guard, Qrator), on-premise (Arbor TMS, Radware DefensePro), гибрид по модели Kentik и BGP blackholing.
SIEM без корреляции T1498+T1499 как единого инцидента видит два алерта вместо одной атаки.Статья Аудит соответствия ФЗ-152: чеклист внутренней проверки и подготовка к инспекции Роскомнадзора
РКН приходит через 10 дней — реестр ИСПДн не обновлялся год, согласия для мобильного приложения не оформлены, поручение облачному провайдеру отсутствует. Чеклист из 12 пунктов и detection-правила для SIEM, чтобы закрыть дыры до визита инспектора.Инспектор РКН не идёт сразу в серверную — первые 30 минут чисто документарные: реестр на pd.rkn.gov.ru, приказ по ст. 22.1, политика на сайте без авторизации, 5–10 случайных согласий против фактических полей CRM. Расхождение между задекларированными целями и реальными потоками ПДн — первое замечание в акте.
Большинство замечаний в актах РКН — про бумаги, а не про железо. SIEM настроен, СрЗИ сертифицированы, поручение провайдеру не подписано.