Форум информационной безопасности - Codeby.net
Статья Основы сетей для пентестера: модель OSI, TCP/IP и протоколы, которые нужно знать
Запустил ARP-спуфинг в корпоративной сети — не перехватил ни одного пакета. Сорок минут перебирал настройки, пока коллега не спросил: «А ты проверил, что цель в одном VLAN с тобой?» ARP-фреймы не выходят за пределы broadcast-домена. Сорок минут впустую.Модель OSI для пентестера — не определения из учебника, а карта: «На каком уровне я сейчас и что здесь возможно?» ARP-спуфинг — L2, работает только внутри сегмента. Responder — L2 и L7 одновременно. SQL-инъекция — чисто L7. Три разных вектора, три разных набора ограничений.
TCP-рукопожатие, SYN-скан, почему open/closed/filtered — это разные вещи. Wireshark живьём: каждый SYN-пакет и SYN-ACK в реальном трафике, не на картинке.
Когда обёртка не работает — два пути: вслепую перебирать инструменты или открыть Wireshark. Второй экономит часы.Статья Атаки через Microsoft Teams: кража учётных данных и обход MFA — техники и защита
Вишинг через Teams, Quick Assist, MSI с вредоносной DLL — и C2-канал. Device code phishing: пользователь проходит настоящую аутентификацию на настоящем microsoft.com, FIDO2 подтверждает домен — токен уходит атакующему. MFA не при делах by design.Teams — не мессенджер. OAuth-клиент с доступом к Microsoft Graph API, SharePoint и Entra ID. Компрометация через чат даёт живой токен внутри тенанта — почтовые фильтры вообще не задействованы.
Три вектора: вишинг через External Access, device code phishing через штатный OAuth-флоу, AiTM-прокси с перехватом сессии после любой MFA. Таблица: какой второй фактор от чего защищает — и где не защищает ничего.
CA policy для блокировки device code flow — пять минут настройки. Остановила бы целые кампании Storm-2372 на уровне аутентификации.ми и Sigma-правилами под разные SIEM-стеки.Статья Malware Analysis для CTF: anti-debug, anti-VM, кастомные шифры и автоматизация с angr и Frida
Три уровня защиты в одном бинаре: TLS callback с IsDebuggerPresent, CPUID-запрос на гипервизор, кастомный XOR с динамическим ключом. Ручной разбор в Ghidra — от получаса. angr-скрипт на 15 строк — секунды.Разница между «два таска за восемь часов» и «шесть за то же время» — не талант, а понимание паттернов anti-analysis. Те же техники, что авторы CTF тащат из реального malware: IsDebuggerPresent, RDTSC timing checks, CPUID hypervisor bit, UPX с модифицированным заголовком, RC4 по S-box паттерну, TEA по константе 0x9E3779B9.
Decision tree: когда angr закрывает задачу за 30 секунд, когда Frida перехватывает крипто в рантайме, когда только ручной разбор. ScyllaHide, Findcrypt, Frida Stalker для VM-обфускации.
angr не замена пониманию — мультипликатор. Без чтения asm не будете знать, какой адрес передать в find.Статья Атаки на аутентификацию: полный разбор техник компрометации OAuth, MFA, Kerberos и identity-инфраструктуры
Три из четырёх вторжений в 2024 году — без единого эксплойта. Атакующие просто вошли с валидными учётными данными. Среднее время от входа до латерального перемещения — 62 минуты. Рекорд — 51 секунда.Identity — новый периметр, и он уже скомпрометирован. Четыре уровня цепочки: получение кредов → обход MFA → перехват токенов и билетов → Golden Ticket и domain takeover. Kerberoasting без привилегий, AS-REP Roasting без учётки, AiTM с перехватом сессии через Evilginx, OAuth Device Flow против Microsoft 365, Pass-the-Hash из lsass, Pass-the-PRT в обход Conditional Access.
Decision tree для внешнего и внутреннего пентеста по всем сценариям. Sigma-правила, Event ID и D3FEND-контрмеры для каждой техники.
«У нас есть MFA» звучит убедительно на совещании. Ничего не значит при атаке через push-усталость или AiTM-прокси.Статья Аудит WiFi: атаки на WPA2 и WPA3 — практический гайд для пентестера
Пароль Company2024! на корпоративном Wi-Fi. RTX 4090, словарь rockyou, правило best64 — 11 минут с парковки через направленную антенну Alfa. Три этажа, двести сотрудников, сегментация VLAN — всё это открылось без фишинга и VPN.PMKID-атака — самый тихий вектор 2025 года: hcxdumptool отправляет Association Request, AP возвращает PMKID в EAPOL M1, клиенты не нужны, WIDS молчит. WPA2-Enterprise без certificate pinning — Evil Twin через eaphammer, MSCHAPv2 challenge/response, NT-hash в Hashcat. WPA3 Transition Mode оставляет те же инструменты через downgrade до WPA2.
Decision tree по всем конфигурациям: WPA2-PSK, Enterprise, WPA3 SAE, Open. OPSEC против WIDS — что детектируется моментально, а что проходит незамеченным.
Не WIDS и не WPA3 останавливают PMKID-атаку. Останавливает пароль 15+ символов. Всё остальное — только замедляет.Статья SSRF уязвимость: поиск, эксплуатация и цепочки атак в пентесте
Параметр callback_url, Burp Collaborator, DNS-запрос с внутреннего IP — и через 20 минут временные IAM-креды AWS через 169.254.169.254. Вся цепочка до S3-бакетов — меньше часа. При наличии WAF на входе.
SSRF — не финальная цель, а прыжок за периметр: один HTTP-запрос превращает внешний пентест во внутренний. Где искать: webhook-обработчики, загрузка файлов по URL, OAuth callback, заголовки Host и X-Forwarded-Host.
Blind SSRF через OOB-канал, bypass WAF через decimal/hex/IPv6 и redirect-цепочки, IMDSv1 vs IMDSv2, gopher:// к Redis — разобрано пошагово. CVE-2024-4084: regex-denylist в AnythingLLM обходится за 5 минут.
Regex на 127.0.0.1 — не защита. 2130706433 проходит незамеченным.Статья Purple Team на практике: workflow валидации детектов и закрытия gaps в покрытии ATT&CK
SOC поставил зелёную ячейку на T1003.001 — «Mimikatz ловим». Purple Team за полтора часа: coverage 33%. comsvcs.dll через rundll32 и ProcDump прошли мимо Elastic 8.x и CrowdStrike Falcon незамеченными.Три системных провала Red→PDF→Jira: информационная асимметрия — Blue видит результат, не технику; ложное покрытие — одна сигнатура не равна закрытой технике; временной лаг — отчёт за месяц стреляет по координатам, где цели уже нет.
Purple Team цикл: Red называет технику заранее → Blue смотрит в реальном времени → root cause → fix → верификация на месте. Detection Rate первого цикла — 25–40%. Третьего — 70+. Это измеримый прогресс, а не PDF в Jira.
Coverage ATT&CK после первого честного прогона — ниже 30% в большинстве компаний. Это не катастрофа. Это стартовая точка.Статья Метрики эффективности пентеста: формулы ROI, KPI-дашборд и обоснование бюджета
CFO каждый квартал: «47 уязвимостей — и что изменилось?» Ответ «стали безопаснее» не конвертируется в подпись на бюджете. Конвертируется дельта risk exposure в рублях.Три причины, почему количество находок бесполезно: зависит от scope, severity распределена неравномерно, 47 уязвимостей без ремедиации не снижают риск. Среднее время патчинга — 202 дня, weaponization эксплойта — 8 дней. Окно уязвимости 7 месяцев.
Breach Risk = Likelihood (%) × Impact (руб.). RCE на внешнем периметре — Likelihood 15%, Impact 45 млн = 6,75 млн risk exposure. После ремедиации Critical — 1,35 млн. ROI = (5,4 млн - 2,8 млн) / 2,8 млн = 92,8%. Каждый рубль вернул 1,93 рубля.
80% компаний не имеют ни одной метрики ремедиации. Отчёт уходит в PDF, через год — те же находки.Статья Фаззинг веб-приложений и API: от AFL++ и LibFuzzer до обнаружения 0-day в реальных проектах
Два heap-buffer-overflow и use-after-free в JSON/XML парсерах трёх open-source фреймворков. Ноль из трёх нашли юнит-тесты, статический анализ и code review. AFL++ за 20 минут после правильного harness.Coverage-guided фаззинг vs black-box через HTTP — как рентген против стука по стене. WAF и фреймворк-валидация не видят данные, поданные напрямую в целевую функцию через harness. Два harness для одной библиотеки — разница в coverage 4x за первый час. Плохой harness: глобальное состояние не сбрасывается, I/O замедляет до 50 exec/sec — месяц фаззинга, ноль результатов.
AFL_LOOP(10000) — persistent mode, прирост скорости 10-20x. CmpLog/RedQueen для магических байтов (0xDEADBEEF угадать мутацией невозможно). ASan без AFL++ пропустит subtle corruption: тонкая heap-buffer-overflow без SIGSEGV проскочит незамеченной.
Heap-buffer-overflow WRITE = вероятный RCE. READ = information disclosure. Null dereference = DoS.Статья Breach and Attack Simulation платформы: Cymulate vs AttackIQ vs SafeBreach — что реально работает в enterprise
Cymulate показала семь непокрытых техник — три оказались false negative из-за сетевой сегментации между VLAN'ами. Вот этот зазор между дашбордом BAS и реальной защитой — то, о чём вендоры молчат.Три архитектуры под три задачи: Cymulate — prevention-валидация за час без инфраструктуры ($84K+/год, SaaS only), AttackIQ — ATT&CK-центричная валидация с on-prem опцией ($40K+/год, co-founder CTID), SafeBreach — simulator-based для гетерогенных сред без агентов на каждом хосте ($50K+/год). Рыночная доля SafeBreach упала с 9,7% до 6,2%.
Simulator vs emulation: SafeBreach воспроизводит результат, а не поведение. CrowdStrike Falcon с behavioral detection может не триггернуть на симулятор — и сработать на реального атакующего. Ни одна платформа не закрывает полную цепочку SOC response. Библиотека всегда отстаёт от кастомного evasion.
BAS автоматизирует рутину. Red team закрывает креатив. Одно не заменяет другое.