Каждый второй дамп инфостилера содержит рабочий VPN-аккаунт корпоративной сети
Не тестовый, не просроченный — действующий. Я разбираю архивы стилер-логов уже больше года, и эта закономерность пугает стабильностью. Verizon DBIR 2025 подтверждает: украденные учётные данные — начальный вектор в 22% всех подтверждённых утечек. Больше, чем любой другой метод первичного доступа.
🔑 Вся экономика атак через краденые креды — конвейер с тремя звеньями:
• Инфостилер заражает машину сотрудника и вытаскивает пароли, куки, токены. Параллельно credential stuffing прогоняет утёкшие комбо-листы по публичным сервисам
• Initial access broker фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» за $500–5000
• Ransomware-аффилиат получает точку входа, двигается к domain admin, шифрует данные. Медианный выкуп — $46 000
Каждый этап детерминирован. Без логов нет брокера, без брокера оператор ransomware не получает вход.
Самое неприятное — инфостилер крадёт не только пароли. Лог-архив содержит сессионные куки от Okta, Azure AD, Google Workspace. Эти куки дают доступ к корпоративным сервисам, полностью минуя MFA. Атакующий наследует уже авторизованную сессию. Пароль можно сменить, а живую куку не отзовёшь, пока не инвалидируешь сессию принудительно. Именно поэтому MFA — необходимый, но не достаточный контроль.
Ещё одна цифра, которая заставляет задуматься: по данным Verizon, 51% паролей повторяются между сервисами. Только один комбо-лист Exploit.In содержит 593 миллиона уникальных пар email:пароль. Один лист. Credential stuffing на таком объёме — не теория, а рутина.
🪧 Что реально помогает на практике?
1. Принудительная инвалидация сессий при смене пароля или подозрительной активности. Куки — главная угроза, и одного сброса пароля мало
2. Мониторинг стилер-логов на маркетплейсах. ReliaQuest сообщает, что в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection
3. Password spraying в Active Directory — проверяйте сами, прежде чем это сделает атакующий. Одна-две попытки на аккаунт не вызывают lockout, а покрытие — тысячи учёток
IBM X-Force фиксирует сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. LummaC2 лидирует, Redline ликвидировали в октябре 2024, но Rhadamanthys уже занял его место. Экосистема восстанавливается быстрее, чем её разрушают.
Полный kill chain — от первого стилер-лога до domain admin с командами, инструментами и маппингом на MITRE ATT&CK — разобрали в статье на форуме.
https://codeby.net/threads/ataki-cherez-ukradennyye-uchetnyye-dannyye-kill-chain-ot-stiler-loga-do-domain-admin.93928/
Не тестовый, не просроченный — действующий. Я разбираю архивы стилер-логов уже больше года, и эта закономерность пугает стабильностью. Verizon DBIR 2025 подтверждает: украденные учётные данные — начальный вектор в 22% всех подтверждённых утечек. Больше, чем любой другой метод первичного доступа.
• Инфостилер заражает машину сотрудника и вытаскивает пароли, куки, токены. Параллельно credential stuffing прогоняет утёкшие комбо-листы по публичным сервисам
• Initial access broker фильтрует валидные корпоративные аккаунты, проверяет доступ к VPN, RDP, Citrix и перепродаёт «готовый вход» за $500–5000
• Ransomware-аффилиат получает точку входа, двигается к domain admin, шифрует данные. Медианный выкуп — $46 000
Каждый этап детерминирован. Без логов нет брокера, без брокера оператор ransomware не получает вход.
Самое неприятное — инфостилер крадёт не только пароли. Лог-архив содержит сессионные куки от Okta, Azure AD, Google Workspace. Эти куки дают доступ к корпоративным сервисам, полностью минуя MFA. Атакующий наследует уже авторизованную сессию. Пароль можно сменить, а живую куку не отзовёшь, пока не инвалидируешь сессию принудительно. Именно поэтому MFA — необходимый, но не достаточный контроль.
Ещё одна цифра, которая заставляет задуматься: по данным Verizon, 51% паролей повторяются между сервисами. Только один комбо-лист Exploit.In содержит 593 миллиона уникальных пар email:пароль. Один лист. Credential stuffing на таком объёме — не теория, а рутина.
1. Принудительная инвалидация сессий при смене пароля или подозрительной активности. Куки — главная угроза, и одного сброса пароля мало
2. Мониторинг стилер-логов на маркетплейсах. ReliaQuest сообщает, что в Q3 2024 алерты о компрометации учётных данных составили 75% всех уведомлений Digital Risk Protection
3. Password spraying в Active Directory — проверяйте сами, прежде чем это сделает атакующий. Одна-две попытки на аккаунт не вызывают lockout, а покрытие — тысячи учёток
IBM X-Force фиксирует сдвиг: инфостилеры составляют 32% всего malware в 2024 году и обогнали ransomware по распространённости. LummaC2 лидирует, Redline ликвидировали в октябре 2024, но Rhadamanthys уже занял его место. Экосистема восстанавливается быстрее, чем её разрушают.
Полный kill chain — от первого стилер-лога до domain admin с командами, инструментами и маппингом на MITRE ATT&CK — разобрали в статье на форуме.
https://codeby.net/threads/ataki-cherez-ukradennyye-uchetnyye-dannyye-kill-chain-ot-stiler-loga-do-domain-admin.93928/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍5🔥3
По данным IBM X-Force 2025, между публикацией CVE и её устранением проходит два с половиной года. А теперь сравните: окно между появлением рабочего PoC на GitHub и первой атакой — часы, иногда дни. Чувствуете разрыв?
Именно поэтому классическая сортировка по CVSS больше не работает. Возьмём CVE-2022-21882 — Win32k Elevation of Privilege. CVSS всего 7.0, локальный вектор, высокая сложность. По всем признакам — середина очереди, далеко не приоритет. Но EPSS этой уязвимости — 0.89, top 1% среди всех CVE в базе. Она в каталоге CISA KEV с 2022 года и активно используется для повышения привилегий после первичного доступа. Пока SOC закрывает «критические» 9.8, которые никто не эксплуатирует, атакующий уже внутри через эту «семёрку».
Свежий пример:
CVE-2025-5777 (CitrixBleed 2) попала в KEV 10 июля 2025 года. CVSS 9.3, EPSS 0.71 (top 5%), связь с ransomware, пять рабочих PoC на GitHub, готовый шаблон в nuclei-templates. Срок на патч для федеральных агентств — сутки.• Мониторинг KEV-каталога через
cron каждые 4 часа + параллельный запрос EPSS через API FIRST• Обогащение контекстом: наличие PoC на GitHub, шаблоны nuclei, данные inthewild.io об активной эксплуатации
• Оценка по SSVC: Exploitation active + Automatable yes + Technical Impact total = решение Act (патчить немедленно)
• Финальное решение: патчим сегодня в 22:00 или ждём плановое окно — на основе данных, а не интуиции
Весь проход по одной CVE занимает 15–20 минут и даёт обоснование, которое можно показать руководству. По данным исследователей EPSS, фокус на 3% уязвимостей с наивысшим скорингом перехватывает ~80% реально эксплуатируемых CVE — при сокращении объёма работ в 30–40 раз.
В статье — полный воркфлоу с командами, скриптами и разбором реальных кейсов. Забирайте в закладки.
https://codeby.net/threads/prioritizatsiya-patchei-cisa-kev-osint-konveier-dlya-blue-team-ot-alerta-do-resheniya.94104/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥4👍3😱1💯1
Тикетинг-системы — самая недооценённая точка входа в корпоративную сеть
Представьте: два дня на периметре, WAF отрабатывает каждый запрос, поверхность атаки минимальна. А потом — Jira Service Management, выставленная наружу для подрядчиков. Регистрация аккаунта за три минуты, SSRF через batch-endpoint Mobile Plugin, и через 40 минут после регистрации — токены IAM-роли облачного инстанса на экране. SOC увидел алерт через шесть часов.
Почему ITSM-платформы так опасны? Потому что они живут в привилегированной зоне доверия. Jira, ServiceNow, Freshservice — это не просто хелпдески. Это реестры всей IT-инфраструктуры: списки серверов, сетевые сегменты, учётные записи, конфигурации. Плюс интеграции со Slack, GitHub, Jenkins, PagerDuty, Active Directory. Компрометация одной платформы открывает доступ ко всем подключённым системам через доверенные связи.
➡️ Три причины, почему атакующие целятся в тикетинг:
• CMDB как карта инфраструктуры. Зачем шуметь
• Пароли прямо в тикетах. Сотрудники прикладывают конфиги с credentials, скриншоты консолей, ссылки на внутренние ресурсы. Knowledge Base в ServiceNow или Confluence рядом с Jira — настоящее хранилище секретов, к которому достаточно получить чтение.
• Lateral movement через интеграции. OAuth-токены, webhook-секреты — компрометация ITSM даёт пивот во все подключённые сервисы без необходимости ломать каждый отдельно.
👉 Конкретный пример — CVE-2022-26135. SSRF в Mobile Plugin for Jira. Endpoint
Ключевой нюанс: SSRF требует аутентификации. Но Jira Service Desk поддерживает self-registration через
🎇 При этом ITSM-платформы включают в scope пентеста в последнюю очередь — если включают вообще. Парадокс: система, которая знает о вашей инфраструктуре больше всех, проверяется меньше всех.
В полной статье — разбор SSTI в ServiceNow, уязвимости Freshservice, цепочки эксплуатации с MITRE ATT&CK маппингом и практические рекомендации по защите. Читайте на форуме Codeby.
https://codeby.net/threads/uyazvimosti-itsm-sistem-ssrf-ssti-i-ataki-cherez-integratsii-jira-servicenow-i-freshservice.94101/
Представьте: два дня на периметре, WAF отрабатывает каждый запрос, поверхность атаки минимальна. А потом — Jira Service Management, выставленная наружу для подрядчиков. Регистрация аккаунта за три минуты, SSRF через batch-endpoint Mobile Plugin, и через 40 минут после регистрации — токены IAM-роли облачного инстанса на экране. SOC увидел алерт через шесть часов.
Почему ITSM-платформы так опасны? Потому что они живут в привилегированной зоне доверия. Jira, ServiceNow, Freshservice — это не просто хелпдески. Это реестры всей IT-инфраструктуры: списки серверов, сетевые сегменты, учётные записи, конфигурации. Плюс интеграции со Slack, GitHub, Jenkins, PagerDuty, Active Directory. Компрометация одной платформы открывает доступ ко всем подключённым системам через доверенные связи.
• CMDB как карта инфраструктуры. Зачем шуметь
nmap, когда все серверы, приложения и их владельцы уже аккуратно разложены по полочкам в CMDB? Одна SSRF с доступом к внутренним API — и атакующий получает полную карту без единого скана.• Пароли прямо в тикетах. Сотрудники прикладывают конфиги с credentials, скриншоты консолей, ссылки на внутренние ресурсы. Knowledge Base в ServiceNow или Confluence рядом с Jira — настоящее хранилище секретов, к которому достаточно получить чтение.
• Lateral movement через интеграции. OAuth-токены, webhook-секреты — компрометация ITSM даёт пивот во все подключённые сервисы без необходимости ломать каждый отдельно.
/rest/nativemobile/1.0/batch принимает JSON-массив запросов и выполняет их на стороне сервера. Атакующий передаёт в поле location значение @targethost.com, и HTTP-клиент интерпретирует часть до @ как userinfo, отправляя запрос на произвольный хост. Изящно и просто.Ключевой нюанс: SSRF требует аутентификации. Но Jira Service Desk поддерживает self-registration через
/servicedesk/customer/user/signup. Формально аккаунт ограничен. На практике — его хватает для SSRF, чтения облачных метаданных и извлечения токенов.В полной статье — разбор SSTI в ServiceNow, уязвимости Freshservice, цепочки эксплуатации с MITRE ATT&CK маппингом и практические рекомендации по защите. Читайте на форуме Codeby.
https://codeby.net/threads/uyazvimosti-itsm-sistem-ssrf-ssti-i-ataki-cherez-integratsii-jira-servicenow-i-freshservice.94101/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3🔥3
Forwarded from по ибэ
03.07, 18:00 - время отдохнуть от сессии и конференций
Джун или студент по ИБ? Приходи и найди:
Уже эксперт? Приходи быть для них живой легендой или просто похантить таланты до конкурентов
Заявка: @ibtusa_bot
Сегодня вы познакомились за баром. Завтра — вы сеть, которая двигает рынок ИБ
Чатик
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍6🔥6
Forwarded from Hacker Lab
Наша команда участвует в International Standoff 17 Cyberbattle, кибербитве, где решают скорость, точность и умение находить слабые места раньше других. Сейчас мы в рейтинге атакующих команд. Это тот формат, где каждый ход имеет значение.
Один найденный вектор может изменить позицию в таблице, а ошибка - откинуть назад.
Следить за рейтингом HackerLab можно здесь:
Поддержите нас реакцией — команда это видит.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍11🔥8⚡2🎉1
12 миллионов рублей за реализацию недопустимого сценария: на 17-й кибербитве Standoff анонсировали открытые кибериспытания
В рамках круглого стола «Кибериспытано на себе: диалог об объективной оценке киберустойчивости» руководитель управления кибербезопасности Т-Банка Игорь Кубышко анонсировал запуск открытых кибериспытаний.
🔑 Это значит, что принять участие в программе и проверить устойчивость систем финтеха может любой желающий пентестер.
➡️ Главная задача – найти и воспроизвести критическое событие.
➡️ В случае успеха пентестер сможет получить до 12 млн рублей. Банк первый в России из финансового сектора запустил кибериспытания, тем более – в открытом формате.
Стартуют кибериспытания 22 июня, но предварительная регистрация открывается уже сегодня.
В рамках круглого стола «Кибериспытано на себе: диалог об объективной оценке киберустойчивости» руководитель управления кибербезопасности Т-Банка Игорь Кубышко анонсировал запуск открытых кибериспытаний.
Стартуют кибериспытания 22 июня, но предварительная регистрация открывается уже сегодня.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍3✍2🔥1👨💻1🆒1
75% вторжений начинаются без единого эксплойта — просто с логина и пароля
Представьте: атакующий не ищет уязвимости, не пишет shellcode, не обходит EDR. Он просто логинится. Через парадный вход, с настоящими учётными данными. Его сессия неотличима от легитимной. И по свежим отчётам, именно так начинаются три из четырёх реальных взломов.
🔑 Вот что говорят цифры за 2024–2025:
• CrowdStrike: 75% вторжений используют действительные учётные данные — техника
• IBM X-Force: рост identity-атак на 71% год к году, инфостилеры с долей 32% стали самым распространённым типом malware, обогнав ransomware
• Verizon DBIR: 38% утечек напрямую связаны с кражей credentials
Почему так? Чистая экономика. Zero-day в enterprise-продукте стоит десятки и сотни тысяч долларов. Свежий доступ к корпоративному VPN на маркетплейсе — от $10 до $2 700. Разница в три-четыре порядка. При этом credential-based вход не оставляет артефактов: нет аномалий в трафике, нет сигнатур в EDR, нет shellcode в памяти.
➡️ Откуда берутся эти credentials? Инфостилеры — малварь, заточенная на автоматический сбор всего ценного с заражённой машины. Работают по модели Malware-as-a-Service: подписка на Lumma или StealC стоит $150–250 в месяц и включает билдер, панель управления и техподдержку. Барьер входа — околонулевой.
Что крадут? Сохранённые пароли из браузеров (прямой доступ к
🎇 Масштаб впечатляет: по агрегированным оценкам, за первую половину 2025 года стилерами похищено порядка 1.8 миллиарда credentials с 5.8 миллионов устройств. Более 17 миллиардов browser cookies украдено только за 2024-й — включая authentication-токены, которые превращают MFA в декорацию.
Доставка тоже эволюционирует. Кроме классического фишинга (рост на 84% YoY по IBM) набирают обороты ClickFix-кампании: поддельные системные уведомления в браузере, которые просят пользователя самостоятельно выполнить PowerShell-команду для «исправления ошибки». Пользователь сам копирует и вставляет вредоносный код. Элегантно и страшно одновременно.
🎯 Главный вывод для защитников: модель «детектируем эксплойт на периметре» не закрывает 75% реальных вторжений. Если вы не мониторите утечки credentials, не отслеживаете аномалии аутентификации и полагаетесь только на TOTP-based MFA — вы уязвимы.
Полный разбор экосистемы — от инфостилеров до Initial Access Brokers и nation-state операций — читайте в статье на форуме.
https://codeby.net/threads/ukradennyye-uchetnyye-dannyye-kak-tochka-vkhoda-ot-infostilerov-do-atak-urovnya-nation-state.94098/
Представьте: атакующий не ищет уязвимости, не пишет shellcode, не обходит EDR. Он просто логинится. Через парадный вход, с настоящими учётными данными. Его сессия неотличима от легитимной. И по свежим отчётам, именно так начинаются три из четырёх реальных взломов.
• CrowdStrike: 75% вторжений используют действительные учётные данные — техника
T1078 Valid Accounts• IBM X-Force: рост identity-атак на 71% год к году, инфостилеры с долей 32% стали самым распространённым типом malware, обогнав ransomware
• Verizon DBIR: 38% утечек напрямую связаны с кражей credentials
Почему так? Чистая экономика. Zero-day в enterprise-продукте стоит десятки и сотни тысяч долларов. Свежий доступ к корпоративному VPN на маркетплейсе — от $10 до $2 700. Разница в три-четыре порядка. При этом credential-based вход не оставляет артефактов: нет аномалий в трафике, нет сигнатур в EDR, нет shellcode в памяти.
Что крадут? Сохранённые пароли из браузеров (прямой доступ к
Login Data через DPAPI), session cookies для обхода MFA, нажатия клавиш, скриншоты и полный fingerprint системы. На выходе — аккуратная директория с файлами по папкам: /Browsers/, /Cookies/, /System/. Готовый набор для атаки, собранный за секунды.Доставка тоже эволюционирует. Кроме классического фишинга (рост на 84% YoY по IBM) набирают обороты ClickFix-кампании: поддельные системные уведомления в браузере, которые просят пользователя самостоятельно выполнить PowerShell-команду для «исправления ошибки». Пользователь сам копирует и вставляет вредоносный код. Элегантно и страшно одновременно.
Полный разбор экосистемы — от инфостилеров до Initial Access Brokers и nation-state операций — читайте в статье на форуме.
https://codeby.net/threads/ukradennyye-uchetnyye-dannyye-kak-tochka-vkhoda-ot-infostilerov-do-atak-urovnya-nation-state.94098/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🔥3
Forwarded from Hacker Lab
Мы перебрали платформу почти целиком — от внешнего вида до новых механик. Главное:
Новый облик
Платформа получила цельный тёмный дизайн. Чище, контрастнее, приятнее для долгих сессий.
Уровни и XP
Теперь у вас есть уровень. Баллы за решённые задания — это и есть ваш XP: они повышают уровень и поднимают вас в рейтинге одновременно.
Серия (Streak)
Решайте хотя бы одно задание в неделю — и держите серию. Если неделя выпала, раз в месяц вас прикроет страховка. Новая неделя считается с выходом заданий в субботу (12:00 по МСК).
Рейтинг стал нагляднее
Появилась вкладка «Рядом со мной» — видно соседей по месту, а не только топ. Переключайтесь между сезонным и глобальным зачётом и следите за движением своей позиции.
Живая главная
Новая Live-лента показывает first blood и решения в реальном времени. Рядом — актуальные события, свежие задания и ваша активность.
Профиль
Переработан под новую систему: прогресс по категориям, достижения с понятной следующей целью и радар ваших компетенций.
Удобнее искать задания
В категориях заработали поиск, фильтры и сортировка, переключение вида (сетка / список), а на карточках — бейджи СЕЗОН и АРХИВ.
Стало быстрее
Оптимизировали загрузку — платформа и страницы открываются заметно шустрее.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍6❤3🤩1
Английские власти хотят больше детской безопасности 🇬🇧
⏺️ Кир Стармер намерен запретить доступ к крупным социальным сетям - таким как TikTok, Instagram и X - для лиц моложе 16 лет - сообщает газета The Guardian.
В рамках радикального изменения политики, которое оказалось гораздо более жестким, чем предполагалось ранее, премьер-министр объявит о запрете для подростков на использование всех основных социальных платформ. На онлайн-сервисы, не подпадающие под полный запрет (например, игровые приложения), будут наложены иные ограничения - в частности, в них будет отключена функция общения с незнакомцами.
⏺️ Источники в правительстве сообщили, что ключевыми причинами принятия столь строгих мер стало стремление защитить подростков от вредного контента, вызывающего зависимость (например, функции "бесконечной прокрутки"), а также от контактов с незнакомцами.
⏺️ Кроме того, лицам моложе 18 лет будет запрещен доступ к чат-ботам с искусственным интеллектом, имитирующим романтическое или сексуальное общение. "Здесь не может быть полумер", — отметил один из собеседников.
Источник: https://www.theguardian.com/uk-news/2026/jun/14/starmer-to-announce-australia-plus-ban-on-social-media-for-under-16s
#news #socialnetworks #uk #law #internet
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
В рамках радикального изменения политики, которое оказалось гораздо более жестким, чем предполагалось ранее, премьер-министр объявит о запрете для подростков на использование всех основных социальных платформ. На онлайн-сервисы, не подпадающие под полный запрет (например, игровые приложения), будут наложены иные ограничения - в частности, в них будет отключена функция общения с незнакомцами.
Также будут введены ограничения для подростков старшего возраста (до 18 лет), призванные предотвратить "бесконечный скроллинг" ленты в ночное время.
Источник: https://www.theguardian.com/uk-news/2026/jun/14/starmer-to-announce-australia-plus-ban-on-social-media-for-under-16s
#news #socialnetworks #uk #law #internet
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍4🔥3🥰1
🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят
OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего.
Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что
Это и есть граница между «отчётом сканера» и «результатом пентеста».
⚙️ На практике пентест веб-приложений делится на три подхода:
• Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен.
• Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный.
• White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени.
Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги.
📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах:
1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде
2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира.
3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту.
Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации.
🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки.
В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby.
https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/
OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего.
Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что
order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту.Это и есть граница между «отчётом сканера» и «результатом пентеста».
⚙️ На практике пентест веб-приложений делится на три подхода:
• Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен.
• Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный.
• White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени.
Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги.
📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах:
1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде
WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь.2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира.
3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту.
Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации.
🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки.
В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby.
https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/
❤6🔥6👍5
🎓 Бесплатный практический курс на реальном стенде «От логов до инцидентов: UserGate SIEM за 1 день»
Когда ИТ-инфраструктура растет, стандартных журналов становится недостаточно. Для контроля событий безопасности, выявления угроз и выполнения требований регуляторов всё чаще используются SIEM-системы.
Приглашаем на бесплатный практический курс по UserGate SIEM, где вы сможете не просто познакомиться с платформой, а самостоятельно поработать с ней на реальном стенде.
За один день вы:
✅ подключите источники событий и настроите обработку логов;
✅ разберётесь в работе аналитики и механизмах выявления угроз;
✅ познакомитесь с процессом обработки инцидентов на практике;
✅ изучите возможности UserGate SIEM и принципы работы с событиями безопасности.
📅 15 июля, 11:00 (МСК)
💻 Онлайн
Зарегистрируйтесь сейчас и пройдите путь от настройки сбора логов до выявления инцидентов в UserGate SIEM всего за один день.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.
Когда ИТ-инфраструктура растет, стандартных журналов становится недостаточно. Для контроля событий безопасности, выявления угроз и выполнения требований регуляторов всё чаще используются SIEM-системы.
Приглашаем на бесплатный практический курс по UserGate SIEM, где вы сможете не просто познакомиться с платформой, а самостоятельно поработать с ней на реальном стенде.
За один день вы:
✅ подключите источники событий и настроите обработку логов;
✅ разберётесь в работе аналитики и механизмах выявления угроз;
✅ познакомитесь с процессом обработки инцидентов на практике;
✅ изучите возможности UserGate SIEM и принципы работы с событиями безопасности.
📅 15 июля, 11:00 (МСК)
💻 Онлайн
Зарегистрируйтесь сейчас и пройдите путь от настройки сбора логов до выявления инцидентов в UserGate SIEM всего за один день.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250.
👍7🔥4❤2😁2👎1
CISA предупреждает об активно эксплуатируемой уязвимости в расширении JCE для Joomla, позволяющей выполнять PHP-код.
06.16.26 Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость критического уровня опасности, затрагивающую расширение Widget Factory Joomla Content Editor (JCE), в свой каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства ее активной эксплуатации.
Данная уязвимость, зарегистрированная под идентификатором CVE-2026-48907, связана с некорректным контролем доступа, что может привести к выполнению произвольного кода.
На данный момент нет информации о том, как именно эта уязвимость эксплуатируется в реальных условиях. Федеральным гражданским ведомствам исполнительной власти (FCEB) предписано установить исправление до 19 июня 2026 года.
#news #Joomla #PHP #CVE #vuln
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером
06.16.26 Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость критического уровня опасности, затрагивающую расширение Widget Factory Joomla Content Editor (JCE), в свой каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства ее активной эксплуатации.
Данная уязвимость, зарегистрированная под идентификатором CVE-2026-48907, связана с некорректным контролем доступа, что может привести к выполнению произвольного кода.
В расширении Widget Factory Joomla Content Editor обнаружена уязвимость, связанная с ненадлежащим контролем доступа; она позволяет неавторизованным пользователям загружать и выполнять PHP-код путем создания новых профилей редактора
На данный момент нет информации о том, как именно эта уязвимость эксплуатируется в реальных условиях. Федеральным гражданским ведомствам исполнительной власти (FCEB) предписано установить исправление до 19 июня 2026 года.
#news #Joomla #PHP #CVE #vuln
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍3🔥3
Почему инциденты обходятся так дорого — и при чём тут оргструктура
Средняя стоимость утечки данных в 2023 году — $4.45 млн. Цифра из отчёта IBM, которую любят цитировать все подряд. Но вот что интересно: когда разбираешь post-mortem конкретных инцидентов, дорогими их делает не уязвимость и не отсутствие EDR. Их делает организационный хаос.
❓ Кто принимает решение об изоляции скомпрометированного сегмента? Кто уведомляет регулятора в срок? На ком ответственность за финансовые последствия? В компаниях без формализованного governance ответ на каждый из этих вопросов — тишина и импровизация под давлением.
Governance ИБ — это не про комплаенс и не про закупку средств защиты. Это стратегический уровень: кто принимает решения о допустимом уровне риска, что входит в scope ИБ-программы, зачем организация инвестирует в конкретные контроли. Не случайно NIST CSF 2.0 ввёл функцию GOVERN как фундаментальную — в предыдущей версии фреймворка её просто не существовало.
➡️ Три модели оргструктуры ИБ, которые встречаются на практике:
• Централизованная — всё под единым CISO. Единые стандарты, понятная ответственность. Минус: bottleneck при масштабировании, особенно если бизнес распределён географически.
• Распределённая — ответственности делегированы подразделениям или регионам. Быстрая реакция на локальные угрозы, но три подразделения с тремя разными подходами к классификации инцидентов делают агрегированный reporting невозможным.
• Гибридная — центральный CISO задаёт стратегию и политики, а в подразделениях работают security-координаторы, адаптирующие требования к локальному контексту. Доминирует в компаниях от 500+ человек.
Выбор зависит не от размера штата, а от трёх факторов: уровень регуляторного давления, географическая распределённость и зрелость ИТ-процессов.
❗️ Отдельная боль — подчинение CISO. Самая распространённая схема в российских компаниях — CISO под CIO. И самая проблемная. Структурный конфликт интересов: CIO отвечает за uptime и скорость, CISO — за безопасность. Когда нужно остановить деплой из-за уязвимости, CIO и CISO оказываются по разные стороны. А итоговое решение принимает тот, кому CISO подчиняется, — то есть CIO. Угадайте, в чью пользу.
Ещё один инструмент, без которого governance разваливается — матрица RACI. Она фиксирует для каждого процесса, кто Responsible, кто Accountable, кого Consulted, кого Informed. Без неё в момент инцидента начинается перекидывание ответственности, а время утекает.
👉 В полной версии статьи — разбор всех трёх моделей, конкретные примеры RACI-матриц, шаблоны reporting и привязка к техникам MITRE ATT&CK. Полезно и CISO, и тем, кто строит ИБ-функцию с нуля.
https://codeby.net/threads/governance-informatsionnoi-bezopasnosti-orgstruktura-roli-raci-i-reporting-dlya-zreloi-ib-programmy.94136/
Средняя стоимость утечки данных в 2023 году — $4.45 млн. Цифра из отчёта IBM, которую любят цитировать все подряд. Но вот что интересно: когда разбираешь post-mortem конкретных инцидентов, дорогими их делает не уязвимость и не отсутствие EDR. Их делает организационный хаос.
Governance ИБ — это не про комплаенс и не про закупку средств защиты. Это стратегический уровень: кто принимает решения о допустимом уровне риска, что входит в scope ИБ-программы, зачем организация инвестирует в конкретные контроли. Не случайно NIST CSF 2.0 ввёл функцию GOVERN как фундаментальную — в предыдущей версии фреймворка её просто не существовало.
• Централизованная — всё под единым CISO. Единые стандарты, понятная ответственность. Минус: bottleneck при масштабировании, особенно если бизнес распределён географически.
• Распределённая — ответственности делегированы подразделениям или регионам. Быстрая реакция на локальные угрозы, но три подразделения с тремя разными подходами к классификации инцидентов делают агрегированный reporting невозможным.
• Гибридная — центральный CISO задаёт стратегию и политики, а в подразделениях работают security-координаторы, адаптирующие требования к локальному контексту. Доминирует в компаниях от 500+ человек.
Выбор зависит не от размера штата, а от трёх факторов: уровень регуляторного давления, географическая распределённость и зрелость ИТ-процессов.
Ещё один инструмент, без которого governance разваливается — матрица RACI. Она фиксирует для каждого процесса, кто Responsible, кто Accountable, кого Consulted, кого Informed. Без неё в момент инцидента начинается перекидывание ответственности, а время утекает.
https://codeby.net/threads/governance-informatsionnoi-bezopasnosti-orgstruktura-roli-raci-i-reporting-dlya-zreloi-ib-programmy.94136/
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤3🔥2
Веб-приложения остаются самой частой точкой входа в инфраструктуру, а специалистов, которые умеют находить и эксплуатировать уязвимости, по-прежнему не хватает.
Цифры по рынку:
Наш курс WAPT выводит как раз на уровень Middle — и не на теории, а в большой лаборатории из 66 заданий разной сложности.
Чему учим на курсе:
Навыки одинаково работают и в коммерческом пентесте, и в Bug Bounty.
Формат:
Кураторы и авторы курса:
Александр Медведев — 10+ лет в ИБ, OSCP / PNPT / CEH / CWAPT / SQLIM, 3-кратный победитель Standoff в составе Codeby
Руслан Русланов — десятки проектов по пентесту крупных компаний и банков
Старт ближайшего потока — 16 июля. При оплате курса сразу, дарим скидку 30%
Бесплатная консультация — @CodebyAcademyBot
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤5🔥4😁4👎1
REALITY — механизм маскировки в Xray, делающий VPN-трафик практически неотличимым от Что увидит система DPI при анализе корректно настроенного соединения VLESS + REALITY?
Anonymous Quiz
0%
Трафик OpenVPN
7%
Трафик WireGuard
4%
Соединение с прокси-сервером
89%
Обычный HTTPS-трафик к легитимному сайту
REALITY стал одним из самых популярных решений в экосистеме Xray благодаря своему нестандартному подходу к установке защищенных соединений. Эта технология часто обсуждается в контексте современных методов фильтрации трафика.
А насколько хорошо вы разбираетесь в том, как работает REALITY? Проверим
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰1