Форум информационной безопасности - Codeby.net
Статья Службы Windows - перечисление и сбор информации
Эта статья - про практический Win32-инструментарий без лишней теории ради теорииРазберём, как через Win32API получить сведения о службах и драйверах из SCM, как посчитать активные и неактивные элементы, а затем превратить это в нормальную GUI-утилиту, а не в скучный консольный вывод. По сути, это материал на стыке системного кода, Windows internals и прикладного интерфейса.
Отдельный интерес статьи - в разборе оконной модели Windows и ListView как рабочего инструментаПокажем, чем отличается обычное окно от элемента управления, зачем нужны common controls из comctl32.dll, как собирать таблицу в стиле проводника и почему даже простой ListView быстро превращает утилиту из “технической заготовки” в удобный рабочий инструмент.
Это ещё и хорошее продолжение темы служб, сессий и Win64-разработки на FASMЕсли предыдущий материал был про саму службу и её жизнь рядом с SCM, то здесь фокус уже смещается в сторону инвентаризации, пользовательского окна и визуального...
Статья CCPA и LGPD: Международные стандарты защиты данных и их сходство с GDPR
Глобальный privacy compliance в 2026 году - это уже не “юридический хвост”, а часть продуктовой архитектурыВ статье разберём, как думать о GDPR, CCPA/CPRA и LGPD не как о трёх отдельных кошмарах для юристов, а как о единой инженерной задаче: построить слой комплаенса, который выдержит несколько юрисдикций сразу и не превратит продукт в свалку исключений и легаси-логики. В центре внимания - не только права субъектов данных, но и то, как всё это реально ложится на backend, consent flows, DSR automation и data architecture.
Покажем, где именно у этих законов совпадает ядро, а где начинается болезненная дельтаВы увидите, как отличаются подходы к access, deletion, portability, consent, opt-in и opt-out, почему GDPR заставляет мыслить legal basis, CCPA - sale/share и GPC, а LGPD добавляет свои локальные основания и более короткие сроки ответа. Это как раз тот уровень, где архитектору уже...
Статья SecOps Automation: Использование Ansible и Chef для автоматизированного Hardening ОС (Linux/Windows)
Дрейф конфигурации редко выглядит как громкий сбой. Обычно всё начинается с мелких ручных правок: где-то ослабили SSH, где-то забыли вернуть аудит, где-то новый сервер подняли “на время” с отклонением от baseline. В статье разбираем, как автоматизация hardening через Ansible и Chef InSpec помогает не дать этим мелочам превратиться в норму.
Ты увидишь, как собрать рабочий baseline для Linux и Windows, как раскладывать hardening по ролям, где нужны исключения, а где их лучше не плодить. Отдельно разберём, как выглядят практические фрагменты для Ansible, как проверять соответствие после применения настроек и как не превратить автоматизацию в ещё один источник хаоса.
Это практический материал для DevOps, SecOps, системных администраторов и compliance-инженеров. Покажем, как связать hardening, аудит и обнаружение drift в один нормальный процесс: новый сервер получает нужную конфигурацию сразу, а действующий - регулярно...Статья PowerShell для Blue Team: detection и response скрипты
PowerShell 7 для Blue Team - это уже не “админская консоль”, а полноценный инструмент охоты и реагированияВ статье разберём, как использовать PowerShell 7 для анализа Windows-логов, поиска IOC, аудита персистентности, работы с Sysmon и автоматического реагирования, когда времени на ручной разбор просто нет. В центре внимания - реальная Blue Team-практика: не теория ради теории, а то, что помогает видеть атаку в логах и быстро превращать находки в действия.
Покажем, как выжимать из Event Log и Sysmon максимум пользыВы увидите, как через Get-WinEvent вытаскивать важные события вроде 4624, 4625, 4688 и 4720, находить аномалии в Scheduled Tasks и Run-ключах, анализировать ScriptBlock Logging, AMSI и транскрипцию PowerShell, а затем связывать всё это с Sysmon-телеметрией по процессам и сетевым соединениям.
Отдельный фокус статьи - на том, как превратить телеметрию в реальное действиеРазберём, как PowerShell...
Статья Пишем службу для расшифровки паролей Wi-Fi
Windows-службы - это не абстрактный системный фон, а отдельный слой архитектуры со своими правиламиВ статье разберём, как устроены службы в Windows, почему они живут в своём контексте, как взаимодействуют с SCM и чем реально отличается код, который запускается как обычное приложение, от кода, который должен работать как сервис в сессии 0.
Немного практики: от регистрации службы до обмена данными с пользовательским приложениемВы увидите, как выглядит базовый сервисный цикл, зачем нужны StartServiceCtrlDispatcher, RegisterServiceCtrlHandlerEx, SetServiceStatus, события синхронизации и named pipe, и как всё это собирается в рабочую связку “служба + управляющая программа”.
Отдельный интерес статьи - в связке Windows Services и DPAPIНа практическом примере разбирается, как служба в нужном контексте может работать с зашифрованными данными Wi-Fi-профилей, почему здесь критичны сессия, учётная запись и DPAPI, и где...
Статья Протокол Modbus/TCP: как анализировать трафик, выявлять аномалии и защищать промышленные контроллеры
Modbus/TCP до сих пор остаётся одним из самых массовых протоколов в промышленных сетях - и одним из самых слабых с точки зрения встроенной защиты. В статье разбираем, почему для него решает не “магическая безопасность протокола”, а то, как устроены сегментация, маршруты, инженерный доступ и видимость трафика в OT-среде.
Ты увидишь, как читать Modbus/TCP в захвате: из чего состоит пакет, что дают MBAP Header и коды функций, как отличать обычный цикл опроса от записи, на какие диапазоны адресов и ответы с ошибками смотреть в первую очередь. Разберём, какие признаки в трафике действительно выбиваются из нормы: новый источник, запись там, где раньше были только чтения, другой ритм обмена, редкие функции и серия исключений.
Это практический материал для тех, кто работает с безопасностью АСУ ТП, SCADA и OT-сетей. Отдельно покажем, как строить detection для Modbus/TCP, где полезны Suricata, Snort и DPI, зачем...Статья Управление уязвимостями в Kubernetes: сравнение Trivy, Clair и Anchore для сканирования образов
Контейнерный образ приносит в кластер не только приложение, но и весь накопленный риск - базовый слой, системные пакеты, зависимости языка, ошибки сборки и лишние артефакты. В этой статье разбираем, почему сканирование образов в Kubernetes давно стало не дополнительной проверкой, а частью нормального процесса поставки.
Мы сравним Trivy, Clair и Anchore не по рекламным обещаниям, а по тому, что действительно важно в работе: скорость холодного и повторного сканирования, полнота покрытия CVE, уровень шума, работа со SBOM и поведение на образах разной сложности - от Alpine и Ubuntu до Node.js, Python и multi-stage сборок. Это практический разбор для DevSecOps, Platform и SRE-команд, которым нужно выбрать сканер под свой реальный процесс. Отдельно покажем, как эти инструменты встраиваются в CI/CD, реестры и Kubernetes-среду, и где между ними проходит разница - быстрый повседневный контроль, сервисная модель вокруг...Статья Pivoting и tunneling в Active Directory: как это видит Blue Team
После foothold в Active Directory атака редко остаётся локальной. В статье разбираем, как скрытые каналы появляются в постэксплуатационной цепочке, почему атакующие прячут управление в DNS, HTTP/S, SSH и ICMP и чем такие сценарии опасны именно для защитника, а не только для красной команды.
Вы увидите, как такие каналы выглядят в телеметрии: от странного DNS-профиля и нетипичного веб-трафика до связки процесс → сетевое соединение → учётная запись → маршрут внутри доменной среды. Отдельно разберём, почему tunneling почти никогда не ловится одной сигнатурой и как собирать его через корреляцию, hunting-гипотезы и AD-контекст. Это практический разбор для Blue Team, Threat Hunting и Detection Engineering: что действительно искать в сети и на хостах, как отличать скрытый канал от легитимного администрирования и какие меры реально ломают удобство post-exploitation - контроль исходящих соединений, дисциплина DNS...Статья Атаки на XML-структуры: XPath Injection и XXE на практике
XML в 2026 году - это не “наследие прошлого”, а живая поверхность атакиВ статье разберём, почему XML до сих пор остаётся источником реальных проблем в enterprise-среде: SOAP-сервисы, SAML SSO, SVG, DOCX, XML-RPC и старые интеграции никуда не исчезли, а вместе с ними живут XXE, XPath Injection и ошибки конфигурации парсеров.
Покажем, где искать XML и как не пропустить уязвимый эндпоинтВы увидите, как распознавать XML-processing endpoints в трафике и приложении, на какие признаки смотреть в SOAP, SAML, RSS, SVG и Office Open XML, и почему “у нас же всё давно на JSON” очень часто не имеет ничего общего с реальной корпоративной архитектурой.
Отдельно разберём две самые недооценённые проблемы - XXE и XPath InjectionСтатья покажет, как работают XPath-бейпасы, blind XPath, чтение файлов через XXE, SSRF через XML-парсер и почему безопасность здесь ломается не только на коде, но и на дефолтных настройках...
Статья Kong и Nginx как точка контроля безопасности для API
API Gateway давно перестал быть просто удобной точкой входа для маршрутизации. В статье разбираем, какие меры безопасности действительно стоит выносить на шлюз, почему это упрощает жизнь платформенной команде и где проходит граница, после которой централизация превращается уже не в пользу, а в архитектурную ошибку. Вы увидите, как на уровне шлюза работают разные модели доверия: проверка JWT, интроспекция OAuth2 и mTLS. Разберём, когда каждая из них уместна, чем они отличаются по цене эксплуатации и почему одна и та же схема аутентификации не подходит одинаково хорошо для всех API сразу. Отдельно посмотрим на практику: что именно шлюз может фильтровать на входе, как через него выравнивать CORS, заголовки и технические ответы, и чем отличается готовый подход Kong от более ручной сборки на Nginx/OpenResty. Это не обзор ради обзора, а разбор того, где API Gateway реально усиливает безопасность, а где от него начинают...