CVSS 9.8 — и Telegram говорит «всё в порядке»

🔍 Март 2026: исследователь сдаёт в ZDI отчёт о критическом zero-click баге в Telegram. Telegram отвечает: «ошибка исследователя». Детали закрыты до июля. Миллионы пользователей ждут.

⚡ Аргумент Telegram — серверная фильтрация стикеров убивает вектор атаки. Но серверная конвертация обходится, не все форматы обрабатываются одинаково, а баг может жить в логике метаданных уже после фильтрации.

🎯 Поверхность атаки мессенджера шире, чем кажется: медиапарсеры, VoIP-стек, превью ссылок, push-уведомления. Исторически именно медиапарсеры дают большинство RCE: libwebp в 2023 уронила все мессенджеры сразу. Статья разбирает методологию поиска таких багов: реверс, фаззинг, харнесы для парсеров — от теории до инструментов.

Полный разбор:

https://codeby.net/threads/uyazvimost-nulevogo-dnya-v-messendzherakh-zdi-can-30207-v-telegram-i-metodologiya-okhoty-na-zero-day-bagi.92551/

Один клик — и роутер под контролем атакующего

💀 Открыл письмо, кликнул по ссылке — браузер молча отправил POST-запрос на 192.168.1.1. Без пароля. Без уведомления. Добро пожаловать в CVE-2025-15101.

🔍 Связка CSRF + OS Command Injection в роутерах ASUS (прошивка 3.0.0.6_102 и ниже) даёт атакующему root shell через браузер жертвы. Почему это критично:

• httpd на ASUS работает от root — команды уходят сразу с максимальными привилегиями
• сессия админа в AsusWRT не истекает часами — окно атаки всегда открыто
• нет WAF, CSP, SIEM — атака проходит в тишине

⚠️ Аналогичный паттерн в AsusWRT фиксировали ещё в 2018-м. Номера CVE меняются — архитектура нет.

Полный разбор kill chain, лабораторный стенд и чеклист митигации:

https://codeby.net/threads/cve-2025-15101-csrf-os-command-injection-v-routerakh-asus-polnaya-karta-uyazvimosti-ot-klika-do-root-shell.92554/

Один PDF — и агент уже не ваш

70% организаций уже столкнулись с атаками через LLM. А большинство команд безопасности всё ещё ищут SQL-инъекции там, где работает совершенно другая плоскость. 🎯

Главное, что ломает мозг: LLM не разделяет инструкции и данные на архитектурном уровне. Системный промпт, пользовательский запрос, контент из RAG-базы — для модели это одинаковый текст в одном окне. Атаки работают на уровне семантики, а не синтаксиса.

Что внутри разбора:
• Prompt injection: direct, indirect, multimodal
• 7 техник jailbreak, которые работают сейчас
• AI Red Teaming: Garak, PyRIT, кастомные фреймворки
• EU AI Act и NIST AI RMF — в технических контролях
• 6 уровней защиты и чеклист для команды 🛡️

Полный разбор:
https://codeby.net/threads/bezopasnost-llm-polnaya-karta-atak-na-yazykovyye-modeli-prompt-injection-i-regulyatornyye-trebovaniya-k-ii-v-2026-godu.92553/

End-to-end шифрование не защищает, если атакующий стал вашим «вторым устройством»

🔗 Никакого взлома криптографии. Никаких zero-day. Жертва сканирует QR-код, нажимает «подтвердить» — и атакующий читает входящие в реальном времени.

Именно так работали российские APT-группы в 2024–2025 годах против военных, журналистов, чиновников.

🎯 Механизм прост: Signal позволяет привязывать дополнительные устройства через QR. Между «отсканировал» и «скомпрометирован» — одно нажатие. Без рута, без малвари, без следов на устройстве. Группировки UNC5792 и UNC4221 собрали под это специализированный инструментарий: от поддельных group invite до кастомных фишинг-китов, мимикрирующих интерфейс Signal.

🛡 Полный разбор: архитектура linked devices, kill chain из 5 этапов, инструменты red team и чеклист харденинга.

Подробнее:
https://codeby.net/threads/vzlom-signal-akkaunta-polnyi-razbor-atak-cherez-linked-devices-i-qr-fishing.92566/

Burp — не единственный вариант. И это уже не мнение, а рабочая практика.

🔍 Подборки «топ-10 инструментов» не меняются с 2018-го: Burp, Nmap, sqlmap. Но реальный арсенал пентестера в 2026-м выглядит иначе.

⚙️ Что реально работает на engagement'ах:

• Caido (Rust) — обрабатывает трафик SPA без просадок, где Burp уже тормозит. Плюс HTTPQL вместо regex-фильтров
• Nuclei — не просто сканер, а фреймворк: YAML-шаблон под конкретный IDOR пишется за 20 минут
• ffuf — изменился настолько, что workflow 2024 года уже устарел

Один confirmed IDOR стоит больше, чем 200 информационных findings о missing headers. Критерий один: принимают ли баг на bug bounty.

Полный разбор с примерами кода и реальными сценариями:
https://codeby.net/threads/instrumenty-dlya-pentesta-veb-prilozhenii-2026-chto-real-no-rabotayet-na-engagementakh.92579/

🔍 Шифровальщик уже в сети. Вы просто ещё не знаете

К моменту алерта о шифровании атакующий провёл в вашей сети от 2 до 14 дней. Финальный запуск шифровальщика — это финальный акт, не начало.

⚙️ Классические IOC протухают за часы: операторы RaaS перекомпилируют билды перед каждой атакой. В 2024 году только в одном регионе зафиксировали 51 вариант ransomware — половина из них вообще не попадёт в ваши фиды.

Поэтому охота строится на TTP, а не на хешах. В статье — рабочие Sigma-правила и SPL-запросы для трёх ключевых фаз:
• LSASS dump через comsvcs.dll
• lateral movement по RDP и PsExec
• уничтожение теневых копий перед шифрованием

🎯 Каждое правило — с объяснением, как отделить атаку от легитимной активности.

Полный разбор с кодом:

https://codeby.net/threads/threat-hunting-ransomware-obnaruzheniye-pre-ransomware-aktivnosti-v-korporativnoi-seti-cherez-siem-pravila-i-ioc.92595/

Permission denied — это ещё не конец

🐚 Ты внутри системы от имени www-data, но /etc/shadow недоступен. Между тобой и root — один правильный вектор.

Повышение привилегий — это 80% разведка и только 20% эксплуатация. Большинство застревает именно здесь: бросаются запускать эксплойты, не понимая поверхность атаки.

🎯 Четыре вектора, которые реально работают:
• SUID-бинари — find с SUID-битом даёт root одной командой
• Cron-задачи — если скрипт от root перезаписываемый, ты контролируешь его код
• Linux capabilities — тихая альтернатива SUID, которую часто забывают проверить
• Kernel exploits — когда остальное закрыто

Каждый вектор — с реальным выводом терминала и объяснением механики на уровне Unix-прав. Не просто «скопируй команду», а почему это работает.

🔗 Полный разбор всех четырёх техник с командами:

https://codeby.net/threads/povysheniye-privilegii-linux-poshagovoye-rukovodstvo-ot-pervogo-shella-do-root.92604/

Первый оффер без опыта в ИБ: это реально

Диплом не по специальности, ноль строк в трудовой. Но именно так автор статьи получил позицию junior-пентестера — через портфолио, а не сертификаты. 🎯

Вот что реально работает:

• GitHub с осмысленными репозиториями — не test1 и lab, а recon-subdomain-scanner с README и выводами

• Home lab на ноутбуке с 8 ГБ RAM — Metasploitable 2 + OWASP Juice Shop в изолированной сети

• Write-ups по CTF с объяснением методологии, а не просто скриншоты флагов

Нанимающий менеджер открывает ваш GitHub и за 30 секунд решает: в шортлист или в корзину. Разница между «я умею» и «вот доказательство» — именно здесь. 🔍

В статье — чеклист с конкретными шагами, шаблон README, команды для разворачивания стенда и структура репозиториев.

Полный разбор:

https://codeby.net/threads/portfolio-po-informatsionnoi-bezopasnosti-bez-opyta-poshagovaya-sborka-s-nulya-do-offera.92614/

Один алерт. Пять артефактов. Ноль контекста — пока не начнёшь коррелировать

EDR сработал, процесс завершился. Что делать L1-аналитику, когда таймлайн пустой, а атакующий уже ушёл латерально?

🔍 Ни один артефакт Windows не даёт полной картины в одиночку:
• Event Log покажет логон — но промолчит про запущенный бинарник
• Prefetch подтвердит запуск — но не скажет, откуда файл взялся
• MFT хранит метки времени — но без реестра они просто цифры

Сила DFIR — в перекрёстной валидации. Prefetch фиксирует mimikatz.exe в 32, Event ID 4624 в 30 с нетипичного хоста, MFT подтверждает создание файла в 31 — вектор атаки как на ладони.

В статье разобраны Event Logs, $MFT, реестр, Prefetch и Amcache: конкретные команды, инструменты Циммермана и корреляция артефактов для единого таймлайна.

https://codeby.net/threads/forenzika-windows-poshagovyi-razbor-artefaktov-pri-rassledovanii-intsidenta.92626/

🚩 Новые задания на платформе HackerLab!

🕵️ Категория Форензика — Таска не будет, я устал
——————————————

🗂 В архив добавлены задания + райтапы:

— Веб - Прыжок
— Веб - GhostRegister

Приятного хакинга!

С парковки — в доменную сеть. Без пароля от Wi-Fi

WPA2-Enterprise выглядит неприступно: RADIUS, индивидуальная аутентификация, EAP-туннели. Но в реальных ассессментах доменные учётные данные перехватываются прямо с улицы — ноутбук, Alpha-адаптер, парковка у офиса.

🎯 Корень проблемы — в цепочке доверия. Если клиент не валидирует сертификат RADIUS-сервера в Phase 1, он установит TLS-туннель с evil twin и отдаст credentials в Phase 2. А не валидируют почти все:

• Android до 11 — не требует CA-сертификата по умолчанию
• Windows без GPO — валидация не настроена
• BYOD без MDM — почти никогда не сконфигурированы правильно

В статье — полный разбор атаки через hostapd-mana: от разведки EAP-типов до перехвата MSCHAPv2-хэндшейков и крека. Плюс — что меняется с WPA3-Enterprise.

https://codeby.net/threads/pentest-korporativnogo-wi-fi-ataki-na-802-1x-cherez-evil-twin-i-perekhvat-eap.92633/