Форум информационной безопасности - Codeby.net
Заметка Как я делаю новый дизайн форума
Форум Codeby переделывается — не косметически, а по сути: как читаем, ищем рабочий ответ и находим вакансию. Четыре боли текущего движка: мобайл с шапкой на первом экране, длинные треды без карты и статуса решения, раздробленные таксономии, плоский список вакансий без вилки и грейда.Концепт: лента знаний с конструктором по темам (Pentest, AppSec, DFIR, Reverse), форматам и уровню; ридер для лонгридов с оглавлением и подсветкой кода; карта треда с прыжком к лучшим ответам; карточки вакансий с фасетами. Под новым слоем — тот же XenForo: архив, ссылки и поиск живут. ИИ — два помощника: выжимка треда с указателями на посты и разбор кода по кнопке.
Сейчас кликабельный прототип. Новый слой надевается на старое содержимое и откатывается за секунду.Статья Атака Evil Twin на точку доступа: detection-playbook от deauth до алерта в SIEM
Evil Twin с парковки: за 12 минут — поддельная AP, через 22 — сброс паролей в AD. WIDS молчал два месяца после обновления инфраструктуры. Шесть комплектов доменных учёток ушли через captive portal.Атакующий клонирует SSID через hostapd-wpe, шлёт deauth-фреймы aireplay-ng от имени легитимной AP — клиенты отваливаются и переподключаются к Rogue AP. dnsmasq перехватывает DNS, iptables редиректит HTTP. В WPA Enterprise hostapd-wpe поднимает фейковый RADIUS, захватывает MSCHAPv2-хеши — дальше hashcat. MITRE T1557.004, T1056.003, T1111.
SOC смотрит в Windows Event Log — Evil Twin живёт в эфире. WIDS отключён? Kill chain закрыт за 22 минуты.Статья Vaultjacking: фишинг Google Password Manager через один PIN — от AiTM до полного vault dump
Vaultjacking: один AiTM-поток + шестизначный PIN от Google Password Manager — и атакующий получает полный vault dump со всеми паролями и synced passkeys жертвы. Persistence переживает смену пароля.Стандартный AiTM через Evilginx2 перехватывает сессию Google — но куки живут минуты, DBSC привязывает их к TPM. Vaultjacking добавляет JavaScript-шим (T1056.002), рендерящий PIN-модалку под нативный Google UI. После перехвата PIN атакующий join'ит своё устройство к Security Domain жертвы и через `trusted_vault` API получает Security Domain Secret — ключ ко всему хранилищу.
SOC видит «новый вход на Windows» — стандартное уведомление. Push на существующие устройства Google не шлёт.