Форум информационной безопасности - Codeby.net
Статья OAuth Device Code Flow атака: от фишинга до persistent-доступа в Azure AD
На red team проекте для финтех-компании с P2-лицензиями Entra ID и FIDO2-ключами для C-level — persistent-доступ к почте CFO за 12 минут. Без перебора паролей, без обхода MFA, без единого credential prompt на стороне жертвы. Один device code, введённый пользователем на легитимной странице microsoft.com/devicelogin.Device Code Flow проектировался для Smart TV и IoT — стал вектором initial access в Azure AD. MFA не спасает: пользователь сам проходит аутентификацию на легитимном портале Microsoft, токены уходят атакующему. Refresh-токен — до 90 дней. FOCI-ротация одного токена даёт доступ ко всему стеку M365: Azure CLI → Office → Teams → Outlook.
Генерация device code не создаёт Sign-In event в логах. KQL-запрос детекции: AuthenticationProtocol == "deviceCode". Ключевой вывод: политика блокировки Device Code Flow не входит в стандартные шаблоны security baseline Microsoft.
Отправьте тестовый запрос на /devicecode с Azure CLI client_id. Если получили...Статья OWASP MASVS v1.5.0: разбор обновлений глазами мобильного пентестера
Клиент прислал OWASP MASVS v1.5.0 и попросил «пройтись по всем пунктам». Треть чеклиста помечена N/A: часть контролей непроверяема без исходного кода, часть дублирует ASVS для бэкенда. Ситуация повторяется на каждом втором engagement — версия 1.5.0 не чеклист для black box.Маппинг восьми групп контролей на MITRE ATT&CK: STORAGE→T1552, CRYPTO→T1552.004, NETWORK→T1573, RESILIENCE→T1027. Frida-скрипт для перехвата Cipher.getInstance — если в логе DES или AES/ECB, контроль MASVS-CRYPTO не пройден. Decision tree уровней L1/L2/R: L1 для всех, L2 для финтеха, R для IP-защиты.
Что меняется в v2.0.0: MASVS-ARCH удалена, оверлапы с ASVS устранены, уровни L1/L2/R заменены на MAS Testing Profiles. Переход не решает главную проблему — клиент без threat model.
В scope-документе указывать версию явно: не «по OWASP MASVS», а «по OWASP MASVS v1.5.0».Статья OWASP MASVS v2.0.0: ключевые обновления стандарта безопасности мобильных приложений
Клиент запросил «проверку на L2 по MASVS» — открываю стандарт, а уровней L1, L2 и R там больше нет. OWASP убрал их в v2.0.0. Разговор о скоупе затянулся на два часа: клиент оперировал терминами из v1.5.0, а стандарт жил по другим правилам.Ключевые изменения v2.0.0: MASVS-ARCH с нетестируемыми архитектурными контролями удалён полностью. Уровни L1/L2/R заменены на Testing Profiles в MASTG. MASVS-STORAGE сведена с десятка контролей до двух. MASVS-AUTH разделена на клиентскую и серверную — серверная делегирована OWASP ASVS. MASVS-NETWORK однозначно требует certificate pinning.
Маппинг MASVS-групп на MITRE ATT&CK: STORAGE→T1552, CRYPTO→T1552.004, RESILIENCE→T1027. Три шага обновления пентест-процесса под актуальный стандарт. Добавление MASWE как промежуточного звена между MASVS и MASTG.
Добавьте колонку ATT&CK ID в следующий отчёт — документ понятный SOC-команде заказчика вместо формальной бумаги.Статья Пентест iOS приложений: от jailbreak до анализа бинарников и обхода биометрии
На пентесте финтех-приложения auth-токены вытащились из Keychain одной командой — разработчики выставили kSecAttrAccessibleAlways, и токены читались на заблокированном устройстве. Обход Face ID занял шесть строк Frida-кода. Ребята полагались на безопасность iOS и не закрепили её в архитектуре.Полный цикл: jailbreak через checkra1n/palera1n (decision tree по чипу и версии iOS), расшифровка FairPlay DRM через frida-ios-dump, проверка бинарных защит через otool (PIE, stack canaries, cryptid). SSL Pinning bypass через objection, дамп Keychain с поиском kSecAttrAccessibleAlways-элементов.
Механика обхода биометрии через хук LAContext.evaluatePolicy — почему boolean-флаг в userland всегда патчится. Где обход не работает: Keychain + kSecAccessControlBiometryAny с валидацией в Secure Enclave. Jailbreak detection bypass: от objection до кастомных Frida-скриптов.
Пока защита сводится к isJailbroken() и boolean от LAContext —...Статья SSRF против внутреннего админского API: от разведки до эксплуатации и defense in depth
SSRF: один URL — и весь внутренний периметр у тебя в руках.Уверены, что приватная сеть за NAT и фаерволом недосягаема? Сервер сам станет вашим прокси — он сидит внутри доверенного контура и видит то, что скрыто от интернета.
В этом гайде разбираем полный путь атаки: поиск SSRF-векторов и fingerprinting внутренней сети, обход фильтров через DNS rebinding и hex-кодирование IP, протокольный смаглинг по gopher:// и file://, parser differentials, выход на AWS-метаданные и эскалацию до RCE через Redis и PHP-FPM.
Плюс реальная защита: network policies, allow-list, IMDSv2 и egress-мониторинг — для пентестеров и разработчиков, которые хотят играть на опережение.Статья Пентест iOS приложений: от jailbreak до обхода SSL Pinning
На аудите банковского приложения ios sslpinning disable вернул хуки на семь методов — трафик в Burp не появился. Разработчики зашили проверку через нативную обёртку над BoringSSL, которую Objection не покрывает. Три часа на кастомный Frida-скрипт через SecTrustEvaluateWithError — и в первых же запросах refresh-токены с TTL 90 дней без привязки к устройству.Методика от простого к сложному: Objection → Frida-скрипт SecTrust API → SSL Kill Switch 2 → hotspot с pf.rules для Flutter/Xamarin → реверс кастомных TLS-стеков через Ghidra. Frida Gadget для устройств без jailbreak через пересборку IPA. Таблица решений из шести методов с границами применимости.
Jailbreak через palera1n + checkm8: A9–A11, iOS 15–16.7. A12+ — только Gadget. Keychain dump через Objection: токены с kSecAttrAccessibleAlways, staging-среда с Basic Auth прямо в NSUserDefaults.
Компании вкладываются в многослойный pinning и оставляют Keychain с флагом Always. Pinning усложняет работу на пару часов, а реальный...Статья Детектирование lateral movement с помощью машинного обучения: от признаков в логах до рабочей модели в SIEM
51 секунда — рекордное время lateral movement после initial access (CrowdStrike 2025). Beacon Cobalt Strike прожил в сети больше недели при работающем SIEM с полным набором правил. Jitter 40%, HTTPS к легитимному CDN, нормальный размер пакетов. Выдала его аномальная периодичность — Isolation Forest из Zeek-логов.79% атак 2024 года — без malware. Volt Typhoon работает исключительно через LOTL. Сигнатурный подход против этого мёртв. Feature engineering для ML: inter-arrival time, coefficient of variation IAT, upload/download ratio, communication graph fan-out. Windows Event 4624 Type 3 + Sysmon process tree + Zeek conn.log.
Python-код Isolation Forest на Zeek-данных. KQL-запрос в Sentinel на аномальный fan-out Type 3. Decision table алгоритмов: Isolation Forest vs One-Class SVM vs Random Forest vs graph-anomaly по сценарию.
ML работает, когда инженер строит baseline, калибрует пороги и переобучает модель. Подписка на вендорский...Статья Пентест Android приложений: от декомпиляции APK до эксплуатации deeplink и WebView
На пентесте финтех-приложения экспортированный ContentProvider без permission вытаскивал полную историю транзакций любого пользователя. От скачивания APK до рабочего PoC — двадцать минут. MobSF и внутренний аудит проблему пропустили: оба проверяли манифест паттернами, не анализируя логику Java-кода провайдера.Методика от статики до динамики: jadx для анализа манифеста и поиска hardcoded-секретов, Frida для hooking и SSL pinning bypass, objection для runtime exploration. OWASP MASVS по категориям с реальными паттернами 2026 года: SharedPreferences с токенами в открытом тексте, WebView + addJavascriptInterface с @JavascriptInterface методом getAuthToken(), deeplink hijacking через кастомную URI-схему без App Links.
Decision tree из 10 условий: какой вектор выбрать под конкретные условия — от debuggable APK до нативного NDK кода. Ограничения: RASP, Play Integrity API, Flutter/Dart AOT.
Реальные баги сместились в бизнес-логику и...Статья Атаки на OAuth 2.0: redirect URI manipulation, перехват токенов и authorization code interception на практике
На пентесте SaaS-платформы с SSO через Keycloak redirect_uri принимал path traversal: https://app.client.com/callback/../../../evil.com — валидация проверяла только начало строки. Authorization code пришёл на Burp Collaborator через 12 секунд после клика. Полный ATO, ноль алертов в WAF.Redirect URI manipulation — самый недооценённый вектор OAuth: path traversal, open redirect chain, subdomain takeover через wildcard. Утечка authorization code через Referer-заголовок — analytics-скрипт на callback-странице сливает code в header к Google Analytics, ни один WAF не среагирует. PKCE downgrade если сервер не обязывает code_challenge. CSRF через отсутствие state-валидации.
Decision tree: девять условий — девять техник с инструментами. Где WAF слеп: implicit flow не попадает в серверные логи вообще, fragment URI до сервера не доходит.
PKCE закрывает один сценарий. XSS в origin клиента обходит его полностью — атакующий контролирует оба компонента...Статья Харденинг UEFI и защита firmware: BIOS-пароли, Secure Boot, TPM и Intel Boot Guard — что реально работает
BlackLotus продавался за $5 000 как MaaS и обходил Secure Boot на Windows 11 с актуальным OS-патчем — через уязвимый загрузчик, который Microsoft не отозвала из dbx. SPI-программатор стоит полторы тысячи рублей. Firmware-атаки давно перестали быть привилегией спецслужб.Четыре механизма — четыре уровня честности: BIOS-пароль обходится SOIC-клипсой за 5 минут (security theater). Secure Boot рассыпается при PKfail, CVE-2024-7344 и устаревшем dbx. TPM без remote attestation — дорогая железка, считающая хэши в пустоту. Только Intel Boot Guard в режиме Verified Boot аппаратно останавливает подмену прошивки — программатор за полторы тысячи рублей тут бесполезен.
Команды проверки через CHIPSEC, tpm2-tools, PowerShell. Правила корреляции SIEM: cloak.dat в ESP, Event ID 1796, отклонение PCR без тикета на обновление.
EDR и XDR работают в Ring 0, firmware живёт в Ring -2 — между ними пропасть, в которую проваливается весь detection.