Форум информационной безопасности - Codeby.net
Статья Курсы по кибербезопасности 2026: честное сравнение Codeby, OTUS, Skillfactory и Нетология
Codeby Academy vs OTUS vs Skillfactory vs Нетология: разбор от человека, который одновременно учился и закрывал алерты в SOC. Без пересказа лендингов.На первом реальном пентесте пригодилось только то, что делал руками. Всё остальное испарилось за неделю. Критерии оценки: доля практики на стендах, глубина лабораторной инфраструктуры, подготовка к OSCP/eJPT, формат обратной связи от куратора.
Codeby — 540 часов, 80% практики, единственный с подготовкой к OSCP. OTUS — 220 часов, сильный AD-блок, лучшая стоимость. Skillfactory — 13 месяцев, менторская поддержка, часы не раскрыты. Нетология — широкий охват, 35 часов практики — для пентеста мало. Маппинг программ на MITRE ATT&CK и пошаговый алгоритм выбора курса под конкретную роль.
Стоимость часа обучения: от 266 до 750 рублей — считайте, прежде чем покупать.Статья Пентест веб-приложений по OWASP Top 10: что пропускают сканеры и как находить уязвимости в Burp Suite
За 50+ проектов выработал правило: полагаешься только на сканер — пропустишь треть критических находок. IDOR, SSRF, логические ошибки Burp Scanner не видит. Не понимает, что смотрит.Системный пентест по OWASP Top 10 2021 в Burp Suite: маппинг приложения через Proxy + ffuf, IDOR между аккаунтами в Repeater с перебором ID через Intruder, time-based SQLi с SLEEP(5) под конкретную СУБД, stored XSS с Collaborator вместо alert(1), blind SSRF через внутренние адреса AWS и Redis.
Log4Shell (CVE-2021-44228, CVSS 10.0) через `${jndi:ldap://}` в заголовках, CVE-2024-4367 в PDF.js — проверка версии pdfjs-dist. Почему WAF-байпасов без контекста не бывает и когда тайминг-атаки врут. Маппинг T1190, T1539, T1185, T1505.003 на MITRE ATT&CK.
Команда ffuf для скрытых API-эндпоинтов с токеном авторизации.Статья ShinyHunters группировка: анатомия атак — от вишинга до Salesforce-экфильтрации и шантажа жертв
ShinyHunters: анатомия группировки от 91 млн записей Tokopedia в 2020-м до Salesforce-кампании 2025–2026 — Google, Cisco, LVMH, Qantas. Без шифрования, только шантаж.UNC6040 + UNC6240, связь со Scattered Spider подтверждена через аккаунт Sp1d3rHunters и синхронные кампании. Эволюция за пять лет: GitHub-репозитории с паролями → Snowflake → вишинг + OAuth Device Flow → ransomware shinysp1d3r для ESXi. PowerSchool заплатила $2,85 млн — вымогательство перешло на школьные округа.
Kill chain 2026: T1566.004 (вишинг под IT-поддержку) → T1528 (кража OAuth-токена) → T1621 (MFA-бомбинг) → T1119 (автоматический экспорт Salesforce) → T1567.002 (экфильтрация). SOQL-запрос к SetupAuditTrail, корреляционное правило для SIEM и рекомендации D3FEND.
Инфраструктурные паттерны доменов ShinyHunters и признаки конвергенции с Scattered Spider.Статья Разработка Red Team инструментов: от архитектуры C2-фреймворков до кастомных имплантов и обхода EDR
Разработка Red Team инструментов: коммерческий C2 за $10 000 детектируется за 12 секунд, кастомный имплант живёт месяцами. Карта всей дисциплины — от loader'а до kernel rootkit'а.Cobalt Strike, Nighthawk, Brute Ratel, Sliver, Mythic, Havoc — матрица выбора с весовыми критериями. Архитектура: loader → redirector → teamserver, стейджинг в два слоя, транспорты DNS/HTTP/SMB. Выбор языка: C для минимального бинаря, Rust для производства, Nim за скорость разработки, Go — только для серверной части.
Process injection 2025: classic injection ловится любым EDR, thread pool injection через NtSetInformationWorkerFactory — пока в слепой зоне. Direct syscalls, indirect syscalls, unhooking ntdll — и почему AMSI-патч уже сам стал сигнатурой. Sleep с шифрованием стека и heap, stack spoofing, runtime polymorphism — принципы SECFORCE.
Таблица детектируемости 5 injection-техник и навигатор по 7 spoke-статьям кластера.Статья Мисконфигурации Salesforce: находим и закрываем до утечки — разбор атак и пошаговый аудит
Апрель 2026: McGraw Hill — 13,5 млн записей, Amtrak — 2,1 млн. Ни zero-day, ни сложной эксплуатации — только Guest User с включённым API Enabled и Sharing Rules без ограничений.Каждый сайт Experience Cloud имеет Guest User, который существует даже при отключённой гостевой авторизации. API Enabled на профиле — и атакующий через Aura-эндпоинт и GraphQL вытягивает Contact, Account, Case без единого логина. AuraInspector (Google Mandiant) автоматизирует весь цикл, GraphQL снимает ограничение в 2000 записей.
Пошаговый аудит: SOQL-запрос к ObjectPermissions для перечисления доступных Guest User объектов, проверка OWD Default External Access, тестирование Aura-эндпоинтов через Burp Suite, чеклист hardening из 8 мер. Маппинг на MITRE ATT&CK: T1190, T1078.004, T1213.004, T1530.
Secure Guest User Record Access и отключение self-registration — два шага, которые закрывают эскалацию из просмотра в аутентифицированную сессию.Статья OWASP Top 10 для LLM 2025: полный разбор изменений с позиции атакующего
OWASP Top 10 для LLM 2025: diff с версией 2023 — три новые категории, три удалённые, и ни один русскоязычный ресурс не даёт этот список с маппингом на MITRE ATT&CK.RAG стал стандартом — и две из трёх новых категорий прямо связаны с ним. System Prompt Leakage (LLM07) — отдельный класс с 2025 года: credentials в промпте, правила фильтрации, внутренняя логика агента. Vector and Embedding Weaknesses (LLM08) — Weaviate без аутентификации = прямая запись embedding-ов. Unbounded Consumption — Denial of Wallet вместо DoS: система работает, кошелёк заказчика нет.
Сводная таблица 2023 vs 2025, маппинг всех категорий на MITRE ATT&CK и MITRE ATLAS, пятишаговый чеклист red team оценки с конкретными Garak-командами и payload для indirect prompt injection через RAG-пайплайн.
Insecure Plugin Design удалили — риски переехали в три другие категории.Статья AI инструменты для пентеста: какая LLM реально работает в offensive security
Честный разбор AI-инструментов для пентеста: GPT-4 — 87% на CVE с описанием, self-hosted 32B — нестабильный tool calling, autonomous success rate — 21% без человека.Маркетинг обещает «autonomous pentesting за минуты». Реальность: LLM максимально эффективен на разведке и перечислении (T1595.002, T1046), проседает на многошаговых цепочках и латеральном движении, теряет контекст к седьмому шагу. Excalibur — $28.50 против $50,000 ручного пентеста AD-среды на пять хостов.
4800 тестов self-hosted моделей через Ollama: модели меньше 20B не тянут стабильный tool calling, Qwen 32B и gemma3:27b — минимальная рабочая планка. Три шага workflow: nmap → LLM-приоритизация → nuclei-шаблоны → генерация отчёта за секунды. Галлюцинации CVE, prompt injection через MCP и утечка данных через облачные API — три риска, которые закрывают сделку с облаком на NDA-проектах.
Сравнительная таблица 7 AI red team-инструментов с фазами kill chain.Статья ShinyHunters взлом Amtrak: разбор атаки через Salesforce, TTPs и detection-чеклист
ShinyHunters взломали Amtrak через Salesforce: 2,1 млн записей, ноль уязвимостей в коде — только вишинг, OAuth Device Flow и легитимный Data Loader. MFA прошла, EDR молчал.С середины 2025 года — 91 компания: Google, Chanel, Qantas, Allianz. Атакующий звонит сотруднику, представляется IT-поддержкой с номером реального тикета, предлагает установить «обновлённый» Data Loader. Сотрудник авторизует Connected App — токен уходит к атакующему. SOQL-запросы к Contact, Case, Account выглядят как обычный рабочий день.
Полный kill chain с маппингом T1528, T1213.004, T1567.002, хронология кампании с октября 2024 по апрель 2026, SOQL-запросы для Event Monitoring и чеклист hardening: аудит Connected Apps, запрет самостоятельной установки, IP-restriction для OAuth-токенов.
Почему «у нас стоит MFA» — ложная защита против этой атаки.Статья Аналитик SOC с чего начать: инструменты, навыки и план выживания в первые 90 дней
Первое дежурство в SOC: 47 алертов, тимлид ушёл на звонок, непонятно куда смотреть. Это — онбординг, который дают через три месяца, но нужен в первый день.71% аналитиков сталкиваются с выгоранием. Причина не в сложности — в отсутствии структуры. Конкретный 90-дневный план: недели 1–2 — читаем закрытые тикеты и смотрим за чужим триажем, недели 3–6 — самостоятельная обработка low/medium с первыми SPL-запросами, недели 7–12 — полный цикл и первые корреляционные правила.
Разбор реального алерта за 8 минут: Tor exit node, 47 попыток RDP на контроллер домена, маппинг T1110 → T1078, тикет с рекомендациями. Key Event ID, домашняя лаба из трёх VM за выходные, чек-лист из 8 навыков для самопроверки перед собеседованием.
Сертификации с реальной отдачей: Security+ и BTL1 против стопки бесполезных бумаг.Статья Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров
Linux EDR bypass для пентестеров: три вектора — прямые syscall'ы минуя glibc, io_uring как слепая зона большинства агентов, eBPF как оружие атакующего против самого EDR.82% детектов CrowdStrike — malware-free активность, которую Linux EDR особенно плохо отслеживает. Auditd, eBPF-сенсоры и проприетарные kernel-модули — у каждого характерные дыры. Номера syscall'ов на Linux стабильны, SysWhispers не нужен: inline asm с syscall 59 минует все uprobe-хуки на glibc.
io_uring выполняет операции в ядре, минуя syscall entry points, где стоят kprobes EDR — чтение /proc, /etc/passwd, сетевые таблицы остаются невидимы. eBPF-руткиты (Pamspy, BPFDoor, TripleCross) перехватывают PAM-пароли и слепят агентов через подмену данных на их собственных kprobes. CVE-2025-32463 в sudo — путь к root и загрузке eBPF-программы.
Пошаговый алгоритм выбора техники по типу EDR и blue team checklist с bpftool + LKRG + Tracee.