LLM в пентесте: где реально помогает, а где кладёт прод
Год экспериментов с AI в bug bounty и корпоративных аудитах — честный итог: часть сэкономила часы рутины, часть галлюцинировала несуществующими CVE и роняла терминал.
🎯 Три зоны, где LLM ускоряет работу:
• Разведка — парсинг вывода
• Приоритизация — ранжирование находок сканера по реальной эксплуатируемости
• Отчёты — из сырых логов в читаемый документ. Экономия 2-3 часа на проект
⚠️ На этапе эксплуатации — осторожно. Сгенерированный скрипт едва не положил прод-базу заказчика.
Отдельно — про METATRON: локальный CLI-ассистент без облака, не сливает данные на серверы Anthropic или OpenAI. Для NDA-проектов незаменим. И про Claude MCP на Kali Linux — прямой доступ к
Полный разбор с кодом и конфигами:
https://codeby.net/threads/ai-instrumenty-dlya-pentesta-metatron-claude-mcp-i-llm-assistenty-na-praktike.92716/
Год экспериментов с AI в bug bounty и корпоративных аудитах — честный итог: часть сэкономила часы рутины, часть галлюцинировала несуществующими CVE и роняла терминал.
🎯 Три зоны, где LLM ускоряет работу:
• Разведка — парсинг вывода
nmap, корреляция портов с уязвимостями• Приоритизация — ранжирование находок сканера по реальной эксплуатируемости
• Отчёты — из сырых логов в читаемый документ. Экономия 2-3 часа на проект
⚠️ На этапе эксплуатации — осторожно. Сгенерированный скрипт едва не положил прод-базу заказчика.
Отдельно — про METATRON: локальный CLI-ассистент без облака, не сливает данные на серверы Anthropic или OpenAI. Для NDA-проектов незаменим. И про Claude MCP на Kali Linux — прямой доступ к
sqlmap и Metasploit через естественный язык.Полный разбор с кодом и конфигами:
https://codeby.net/threads/ai-instrumenty-dlya-pentesta-metatron-claude-mcp-i-llm-assistenty-na-praktike.92716/
❤5👍4🔥4
Два CVE, два языка, одна дыра в архитектуре AI-агентов
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
__traceback__, tb_frame, f_back, f_builtins) образуют цепочку frame traversal: поднимаешься по стеку до __builtins__, достаёшь exec — полный RCE на хосте.🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
this.constructor.call() обходит защиту глобальных объектов. Мутации живут между сессиями: один запрос отравляет shared state для всех пользователей.Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
👍7✍5❤3🔥2
Forwarded from Codeby
ИИ не взламывает за вас — но экономит часы рутины
За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк
🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.
⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу
• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал
🛡 Облачные LLM — только с NDA. Для чувствительных проектов —
https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/
За 8 месяцев на реальных engagement'ах выяснилось: LLM не заменяет пентестера, зато разгребает 3000 строк
nmap-вывода за минуты и пишет черновик отчёта, пока ты пьёшь кофе.🔍 Главная проблема обзоров «AI для пентеста» — в одну кучу валят разные вещи. Рынок делится на 7 сегментов: от AI-ассистентов внутри Burp до автономных black-box движков. Сравнивать PentestGPT с Pentera — всё равно что Burp Repeater с Nessus.
⚡ Где LLM реально ускоряет:
• Анализ разведки — промпт к выводу
subfinder/amass находит «забытые» Jenkins с дефолтными кредами• Генерация payload'ов — Unicode normalization abuse против WAF вместо заблокированных UNION-векторов
• Черновики отчётов — стартовая точка, не финал
🛡 Облачные LLM — только с NDA. Для чувствительных проектов —
ollama или локальный routing.https://codeby.net/threads/ii-dlya-pentesta-v-2026-chto-real-no-rabotayet-na-engagementakh-a-chto-marketing.92721/
👍6❤4👎2🔥2
SMB signing в AD включён по умолчанию? Только на контроллерах домена
Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.
🎯 Что проверяет атакующий за три команды nmap:
•
•
•
Три команды — и готовый список целей для NTLM relay.
SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.
🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например,
https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/
Microsoft выставляет SMB signing = required только на DC. На member servers — file, print, application, terminal — по умолчанию стоит negotiate. Это значит: если атакующий перехватит NTLM-хендшейк, подпись можно даунгрейднуть и зарелеить аутентификацию в шару другого хоста через ntlmrelayx. Если перехваченная учётка имеет там админские права — компрометация готова.
🎯 Что проверяет атакующий за три команды nmap:
•
-sn по подсети — список живых хостов•
-p 88,389,445,636 — отсев DC от member servers•
--script smb-security-mode — на каких member servers signing в статусе disabledТри команды — и готовый список целей для NTLM relay.
SMB signing = disabled стабильно встречается на свежих серверах 2025–2026 года, не только на legacy-инфраструктуре. Microsoft не меняет дефолтные политики для member servers, а админы исходят из того, что в современной Windows всё настроено безопасно из коробки. Атакующему это на руку — один Nmap-скан находит все уязвимые хосты сразу.
🔍 В статье — полная шпаргалка Nmap для AD: NSE-скрипты под LDAP/Kerberos/SMB, маппинг на MITRE ATT&CK и gotcha-моменты из практики (например,
-sS без sudo молча падает в -sT — скан идёт полным TCP-хендшейком и светится в логах целевой машины).https://codeby.net/threads/nmap-shpargalka-komandy-dlya-pentesta-active-directory.92733/
❤4👍2🔥2
Вы внутри. Но надолго ли?
Reverse shell получен — и сразу вторая мысль: «завтра админ перезагрузит сервер, и всё пропало». Здесь начинается настоящая работа.
🎯 Пять техник закрепления из реального Red Team:
• Cron — частый, но шумный. Мало проверить
• Systemd — элегантнее: сервис с
• SSH-ключи, LD_PRELOAD и rootkits — от простого к сложному, с разбором когда что выбирать
🔍 Для каждой техники — команды детекта, привязка к MITRE ATT\&CK и ловушки для атакующих и защитников.
https://codeby.net/threads/tekhniki-zakrepleniya-v-linux-cron-systemd-ssh-klyuchi-ld_preload-i-rootkits-na-praktike.92738/
Reverse shell получен — и сразу вторая мысль: «завтра админ перезагрузит сервер, и всё пропало». Здесь начинается настоящая работа.
🎯 Пять техник закрепления из реального Red Team:
• Cron — частый, но шумный. Мало проверить
crontab -l — нужно смотреть минимум пять мест, включая crontab сервисных пользователей вроде www-data• Systemd — элегантнее: сервис с
Restart=always переживёт перезагрузку и выглядит как обычный демон. Никаких backdoor.service — только syslogd-helper• SSH-ключи, LD_PRELOAD и rootkits — от простого к сложному, с разбором когда что выбирать
🔍 Для каждой техники — команды детекта, привязка к MITRE ATT\&CK и ловушки для атакующих и защитников.
https://codeby.net/threads/tekhniki-zakrepleniya-v-linux-cron-systemd-ssh-klyuchi-ld_preload-i-rootkits-na-praktike.92738/
❤9👍4🔥4👎2
🔐 Три ACL-права, которые превращают рядового юзера в Domain Admin
Закрепился в домене под обычной учёткой — и что дальше? Брутфорс и CVE — пути очевидные, но шумные. Самые элегантные цепочки эскалации идут через ACL-мисконфигурации — они не требуют zero-day, не генерируют аномальный трафик и работают через штатные механизмы AD. Ты не ломаешь систему — ты пользуешься ею «по инструкции».
Каждый объект в AD защищён списком DACL, который состоит из записей ACE. Каждая ACE определяет: кто и что может делать с объектом. Проблема в том, что в реальных доменах ACL копятся годами. Helpdesk получает право сбрасывать пароли, но scope не ограничен. Подрядчик ушёл — а его ACE на OU с серверами осталась. Домену 10+ лет, три поколения админов сменилось, а ACL — как геологические слои.
🎯 Три права, которые реально опасны:
1. GenericAll — полный контроль над объектом. На пользователе: сброс пароля, установка SPN для Kerberoasting, запись в
2. WriteDACL — право переписать правила игры. Имея WriteDACL на объект домена, добавляешь себе
3. WriteOwner — стать владельцем объекта. Владелец может модифицировать DACL, значит путь всё равно ведёт туда же. Двухшаговая операция: сначала
⚠️ Отдельного внимания заслуживает WriteDACL на корневой домен. На одном из проектов обнаружилось, что сервисная учётка системы мониторинга имела это право — админ когда-то делегировал ей доступ для чтения атрибутов, но промахнулся со scope. Итог: прямой путь к DCSync через учётку мониторинга.
🔍 Искать такие пути удобно через BloodHound с кастомными Cypher-запросами. Стандартный «Shortest Path to Domain Admins» находит очевидное, но настоящие артефакты скрыты глубже. Запрос для поиска неожиданных принципалов с WriteDACL на домен:
Отсекаешь легитимные пути от Domain Admins — и видишь всё остальное. Иногда результат заставляет поседеть.
Полный разбор цепочек — GenericAll до DCSync, делегирование Kerberos, RBCD-атаки — в статье. Читай, пока не прочитал твой Blue Team.
https://codeby.net/threads/privilege-escalation-v-active-directory-acl-ataki-delegirovaniye-i-tsepochki-ot-genericall-do-dcsync.92729/
Закрепился в домене под обычной учёткой — и что дальше? Брутфорс и CVE — пути очевидные, но шумные. Самые элегантные цепочки эскалации идут через ACL-мисконфигурации — они не требуют zero-day, не генерируют аномальный трафик и работают через штатные механизмы AD. Ты не ломаешь систему — ты пользуешься ею «по инструкции».
Каждый объект в AD защищён списком DACL, который состоит из записей ACE. Каждая ACE определяет: кто и что может делать с объектом. Проблема в том, что в реальных доменах ACL копятся годами. Helpdesk получает право сбрасывать пароли, но scope не ограничен. Подрядчик ушёл — а его ACE на OU с серверами осталась. Домену 10+ лет, три поколения админов сменилось, а ACL — как геологические слои.
🎯 Три права, которые реально опасны:
1. GenericAll — полный контроль над объектом. На пользователе: сброс пароля, установка SPN для Kerberoasting, запись в
msDS-KeyCredentialLink для Shadow Credentials. На группе — добавить себя в неё. На компьютере — настроить RBCD. Классический кейс: пользователь с GenericAll на привилегированного юзера, тот — член группы с доступом к Azure AD Sync, у которой права репликации. Три хопа — и DCSync.2. WriteDACL — право переписать правила игры. Имея WriteDACL на объект домена, добавляешь себе
DS-Replication-Get-Changes и DS-Replication-Get-Changes-All — и вот тебе DCSync. Интересный нюанс: WriteDACL оставляет меньше следов, чем WriteOwner. Смена владельца генерирует Event ID 4662 с отдельной записью аудита, а прямая правка DACL — нет.3. WriteOwner — стать владельцем объекта. Владелец может модифицировать DACL, значит путь всё равно ведёт туда же. Двухшаговая операция: сначала
Set-DomainObjectOwner, затем Add-DomainObjectAcl — и ты контролируешь объект.⚠️ Отдельного внимания заслуживает WriteDACL на корневой домен. На одном из проектов обнаружилось, что сервисная учётка системы мониторинга имела это право — админ когда-то делегировал ей доступ для чтения атрибутов, но промахнулся со scope. Итог: прямой путь к DCSync через учётку мониторинга.
🔍 Искать такие пути удобно через BloodHound с кастомными Cypher-запросами. Стандартный «Shortest Path to Domain Admins» находит очевидное, но настоящие артефакты скрыты глубже. Запрос для поиска неожиданных принципалов с WriteDACL на домен:
MATCH p=(n)-[:WriteDacl]->(m:Domain)
WHERE NOT n.name STARTS WITH 'DOMAIN ADMINS'
RETURN pОтсекаешь легитимные пути от Domain Admins — и видишь всё остальное. Иногда результат заставляет поседеть.
Полный разбор цепочек — GenericAll до DCSync, делегирование Kerberos, RBCD-атаки — в статье. Читай, пока не прочитал твой Blue Team.
https://codeby.net/threads/privilege-escalation-v-active-directory-acl-ataki-delegirovaniye-i-tsepochki-ot-genericall-do-dcsync.92729/
❤6👍4🔥4👎1
Forwarded from Codeby
Themida снята через unlicense — но динамический анализ не живёт.
ScyllaHide падает в
🎯 Что уже стоит на столе у автора:
• Unlicense отработал, IAT и OEP восстановлены — есть
• MinHook в чужом патче почему-то проходит CRC-проверку импортов/экспортов — и это само по себе вопрос
• Динамика умерла: 64dbg + ScyllaHide =
• Подозрение, что оригинальный алгоритм генерации затёрт, а рабочий спрятан в injected DLL — тоже под Themida
🔍 У человека конкретные три вопроса: как отличить hooked-функцию от динамически подгруженной из уже пропатченных библиотек, стоит ли дальше копать динамику через обход debugger detection, и как снимать защиту с .dll если она под VMProtect сверху. Если кто-то воевал с Themida на .dll или разбирался с injected MinHook-патчами без исходников — загляните, человек не новичок, но застрял на 4-й день.
https://codeby.net/threads/vopros-khuk-vytashchit-algoritm-generatsii-themida.92760/
ScyllaHide падает в
Fatal Error 0x00005c, KsDumper молчит, TitanHide крашит процесс. Патч от третьих лиц через MinHook непонятным образом проходит проверку контрольной суммы импортов и переводит приложение с Dongle-проверки на сверку лицензии с файлом в папке. Алгоритм генерации этого файла — внутри. Но добраться до него не получается: защищённые .dll, замусоренный трейс после MinHook_Initialise_Hook, и приложение ещё и детектит VM.🎯 Что уже стоит на столе у автора:
• Unlicense отработал, IAT и OEP восстановлены — есть
unpacked_.exe для статики• MinHook в чужом патче почему-то проходит CRC-проверку импортов/экспортов — и это само по себе вопрос
• Динамика умерла: 64dbg + ScyllaHide =
Violation Access, чем больше опций включено, тем стабильнее краш• Подозрение, что оригинальный алгоритм генерации затёрт, а рабочий спрятан в injected DLL — тоже под Themida
🔍 У человека конкретные три вопроса: как отличить hooked-функцию от динамически подгруженной из уже пропатченных библиотек, стоит ли дальше копать динамику через обход debugger detection, и как снимать защиту с .dll если она под VMProtect сверху. Если кто-то воевал с Themida на .dll или разбирался с injected MinHook-патчами без исходников — загляните, человек не новичок, но застрял на 4-й день.
https://codeby.net/threads/vopros-khuk-vytashchit-algoritm-generatsii-themida.92760/
👍2
57% Patch Tuesday — это повышение привилегий. Совпадение?
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/
❤4👍3👎3🔥3
79% атак — без единого файла малвари. Как это работает?
Медианное время от первого доступа до горизонтального перемещения — 48 минут. Рекорд — 51 секунда. Без единого файла, который спалит EDR.
🔍 Windows сама даёт атакующему всё необходимое: WMI, PowerShell Remoting и DCOM — легитимные механизмы, которые админы используют ежедневно. Именно поэтому детект буксует.
Три вектора из статьи:
• WMI — создаёт процесс на удалённом хосте без копирования файлов;
• PSRemoting — WinRM по TCP 5985/5986, Kerberos и NTLM; Pass-the-Hash через
• DCOM — движение через COM-объекты,
⚙️ Для каждой техники — команды, сетевые артефакты и почему одни подходы проходят мимо SOC, а другие детектятся мгновенно.
https://codeby.net/threads/lateral-movement-v-windows-bez-malvari-wmi-psremoting-i-dcom-na-praktike.92753/
Медианное время от первого доступа до горизонтального перемещения — 48 минут. Рекорд — 51 секунда. Без единого файла, который спалит EDR.
🔍 Windows сама даёт атакующему всё необходимое: WMI, PowerShell Remoting и DCOM — легитимные механизмы, которые админы используют ежедневно. Именно поэтому детект буксует.
Три вектора из статьи:
• WMI — создаёт процесс на удалённом хосте без копирования файлов;
wmiprvse.exe как родитель cmd.exe — главный артефакт• PSRemoting — WinRM по TCP 5985/5986, Kerberos и NTLM; Pass-the-Hash через
Evil-WinRM• DCOM — движение через COM-объекты,
dcomexec.py из Impacket⚙️ Для каждой техники — команды, сетевые артефакты и почему одни подходы проходят мимо SOC, а другие детектятся мгновенно.
https://codeby.net/threads/lateral-movement-v-windows-bez-malvari-wmi-psremoting-i-dcom-na-praktike.92753/
❤4👍3👎3🔥3
Одна цифра в запросе — и чужие паспортные данные у тебя в браузере
Именно так работает IDOR. Меняешь `1234` на `1235` в API-запросе — сервер отдаёт чужой документ. WAF молчит, сканер ничего не нашёл, разработчик уверен, что всё защищено.
🎯 Почему это золотая жила в bug bounty:
• Автоматика IDOR не ловит — нужен ручной анализ бизнес-логики
• Одна уязвимость = от $200 до $5000+
• Цепочка IDOR → Account Takeover — гарантированный P1 и максимальная выплата
Разница между $300 и $3000 за ту же технику — в классификации импакта. Читаешь чужие данные — одна цена. Захватываешь аккаунт — совсем другая история.
По кейсам от Deteact: только за несколько IDOR-находок выплатили более $25 000.
Методология, инструменты и структура репорта на P1:
https://codeby.net/threads/idor-uyazvimost-v-bug-bounty-kak-nakhodit-i-reportit-dlya-maksimal-nykh-vyplat.92767/
Именно так работает IDOR. Меняешь `1234` на `1235` в API-запросе — сервер отдаёт чужой документ. WAF молчит, сканер ничего не нашёл, разработчик уверен, что всё защищено.
🎯 Почему это золотая жила в bug bounty:
• Автоматика IDOR не ловит — нужен ручной анализ бизнес-логики
• Одна уязвимость = от $200 до $5000+
• Цепочка IDOR → Account Takeover — гарантированный P1 и максимальная выплата
Разница между $300 и $3000 за ту же технику — в классификации импакта. Читаешь чужие данные — одна цена. Захватываешь аккаунт — совсем другая история.
По кейсам от Deteact: только за несколько IDOR-находок выплатили более $25 000.
Методология, инструменты и структура репорта на P1:
https://codeby.net/threads/idor-uyazvimost-v-bug-bounty-kak-nakhodit-i-reportit-dlya-maksimal-nykh-vyplat.92767/
❤5👍4🔥4
Burp Suite + OWASP Top 10: какой плагин ставить и зачем
Один extension на каждую категорию OWASP:
• A01 Broken Access Control →
• A03 Injection →
• A04 Insecure Design →
• A07 Auth Failures →
• A10 SSRF →
Плюс
https://codeby.net/threads/burp-suite-extensions-shpargalka-po-owasp-top-10-2025-kakoi-plagin-stavit-i-zachem.92768/
Один extension на каждую категорию OWASP:
• A01 Broken Access Control →
Autorize: вставил cookie низкопривилегированного юзера, браузишь как админ — красный «Bypassed!» = готовый IDOR• A03 Injection →
ActiveScan++: добавляет XXE, SSTI, улучшенный SQLi• A04 Insecure Design →
Turbo Intruder: race conditions на промокодах — тысячи req/sec• A07 Auth Failures →
JWT Editor: атаки alg:none, weak secret, key confusion из Repeater• A10 SSRF →
Collaborator Everywhere: браузишь приложение, extension инжектирует заголовки и ловит out-of-band callbacksПлюс
Param Miner (до 65 000 параметров за запрос) и Retire.js для уязвимых JS-библиотек.https://codeby.net/threads/burp-suite-extensions-shpargalka-po-owasp-top-10-2025-kakoi-plagin-stavit-i-zachem.92768/
❤6👍3🔥3
За апрель на форуме вышло 111 материалов. Мы посмотрели Метрику и увидели закономерность, которую не покажет ни один рейтинг «по просмотрам».
Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/
Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/
То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/
А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/
И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.
А вам что из апрельского зашло сильнее, и что применили в работе?
Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/
Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/
То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/
А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/
И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/
Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.
А вам что из апрельского зашло сильнее, и что применили в работе?
❤3🔥3⚡2❤🔥2👍2
Charming Kitten не взламывает системы — они взламывают людей
Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.
APT42 (Charming Kitten, IRGC-IO) работает иначе:
• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки
Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.
Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:
https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/
Недели переписки в WhatsApp, легитимные PDF, приглашения на реальные конференции. И только потом — ссылка. Ни малвари, ни эксплойтов. Просто украденная сессия и полный доступ к Microsoft 365.
APT42 (Charming Kitten, IRGC-IO) работает иначе:
• Фейковые аккаунты журналистов и организаторов конференций выстраивают доверие неделями
• Фишинговые киты перехватывают TOTP-код в реальном времени — MFA не спасает
• Инфраструктура на Google Sites и Cloudflare Workers не триггерит блокировки
Стандартный SOC заточен под вредоносные вложения и подозрительные домены. APT42 не даёт ни того, ни другого — атака идёт на личный Gmail, где корпоративная защита не работает.
Полный kill chain с маппингом на MITRE ATT&CK и примерами детектирования в SIEM:
https://codeby.net/threads/apt42-sotsial-naya-inzheneriya-kak-irgc-khakery-obkhodyat-mfa-i-kradut-uchetnyye-dannyye-bez-malvari.92779/
❤2👍2🔥1
Хакер думает, что взломал живой сервер. А он разговаривает с языковой моделью.
Классический Cowrie раскусывается за секунды: захардкоженные команды, одинаковая файловая система. Mirai-ботнеты знают эти паттерны наизусть.
🎯 LLM honeypot меняет правила: языковая модель генерирует уникальный ответ на каждую команду. Атакующий расслабляется и сливает свои TTPs. По данным HoneyGPT (arXiv:2406.01882), подход увеличивает длину сессии и фиксирует тактики, маппящиеся на MITRE ATT&CK.
🔧 В статье — сборка на Linux:
•
• Prompt manager с «личностью» системы и сессионным контекстом
• Rate limiting против API-разорения
• Логирование в JSON для ELK
Локально через
📖 Полный разбор с кодом:
https://codeby.net/threads/llm-honeypot-stroim-primanku-na-baze-yazykovoi-modeli-dlya-monitoringa-vsekh-65535-portov.92787/
Классический Cowrie раскусывается за секунды: захардкоженные команды, одинаковая файловая система. Mirai-ботнеты знают эти паттерны наизусть.
🎯 LLM honeypot меняет правила: языковая модель генерирует уникальный ответ на каждую команду. Атакующий расслабляется и сливает свои TTPs. По данным HoneyGPT (arXiv:2406.01882), подход увеличивает длину сессии и фиксирует тактики, маппящиеся на MITRE ATT&CK.
🔧 В статье — сборка на Linux:
•
nftables REDIRECT для приёма трафика на все 65535 портов• Prompt manager с «личностью» системы и сессионным контекстом
• Rate limiting против API-разорения
• Логирование в JSON для ELK
Локально через
Ollama или облако — разбор компромиссов внутри.📖 Полный разбор с кодом:
https://codeby.net/threads/llm-honeypot-stroim-primanku-na-baze-yazykovoi-modeli-dlya-monitoringa-vsekh-65535-portov.92787/
❤5👍3🔥2
Атакующие сидели в SD-WAN с 2023 года — и никто не заметил
CISA дала 48 часов на патч CVE-2026-20127 (CVSS 10.0) вместо стандартных 14–21 дней — это паника регулятора.
🔍 Sigma-правила из SigmaHQ здесь бесполезны. Группировка UAT-8616 не загружала малварь — только NETCONF, SSH и легитимные механизмы обновления. Living off the land на сетевой инфраструктуре: каждый шаг неотличим от работы администратора.
Почему стандартные детекты не работают:
• На
•
• Без форвардинга syslog в SIEM — visibility равен нулю
Атака: rogue-пир в control plane, даунгрейд прошивки до root, зачистка
Разбор с готовыми Sigma-правилами и pipeline-маппингом:
https://codeby.net/threads/sigma-pravila-detektsii-cisco-sd-wan-pishem-detekty-na-cve-2026-20127-i-lateral-movement-cherez-netconf.92785/
CISA дала 48 часов на патч CVE-2026-20127 (CVSS 10.0) вместо стандартных 14–21 дней — это паника регулятора.
🔍 Sigma-правила из SigmaHQ здесь бесполезны. Группировка UAT-8616 не загружала малварь — только NETCONF, SSH и легитимные механизмы обновления. Living off the land на сетевой инфраструктуре: каждый шаг неотличим от работы администратора.
Почему стандартные детекты не работают:
• На
vManage и vSmart нельзя поставить EDR-агент•
service: sdwan в SigmaHQ отсутствует• Без форвардинга syslog в SIEM — visibility равен нулю
Атака: rogue-пир в control plane, даунгрейд прошивки до root, зачистка
wtmp, lastlog, bash_history.Разбор с готовыми Sigma-правилами и pipeline-маппингом:
https://codeby.net/threads/sigma-pravila-detektsii-cisco-sd-wan-pishem-detekty-na-cve-2026-20127-i-lateral-movement-cherez-netconf.92785/
❤2👍2🔥2
CVSS 9.8 — и ты уже строишь эксплойт? Зря
Большинство джуниор-пентестеров читают CVE неправильно: сначала описание, потом скор — и либо паникуют от «CRITICAL», либо пропускают уязвимость без готового эксплойта.
🎯 Реальный анализ начинается не с текста и не с числа:
1. CWE — класс уязвимости, сразу даёт ментальную модель атаки
2. CVSS-вектор — строка, а не скор: нужен ли доступ, нужна ли жертва, выходит ли атака за границы компонента
3. References — есть ли патч или vendor advisory
Follina (CVSS 7.8) имеет Local-вектор — и активно использовалась в ransomware-кампаниях. Log4Shell (CVSS 10.0) — сеть, без аутентификации, без действий пользователя. Разница между ними важнее, чем разница в числах.
⚡ После февраля 2024 года 93% новых CVE в NVD выходят без CVSS и CPE. NVD — стартовая точка, не финишная.
https://codeby.net/threads/analiz-cve-uyazvimostei-ot-strochki-v-nvd-do-rabochei-gipotezy-ekspluatatsii.92794/
Большинство джуниор-пентестеров читают CVE неправильно: сначала описание, потом скор — и либо паникуют от «CRITICAL», либо пропускают уязвимость без готового эксплойта.
🎯 Реальный анализ начинается не с текста и не с числа:
1. CWE — класс уязвимости, сразу даёт ментальную модель атаки
2. CVSS-вектор — строка, а не скор: нужен ли доступ, нужна ли жертва, выходит ли атака за границы компонента
3. References — есть ли патч или vendor advisory
Follina (CVSS 7.8) имеет Local-вектор — и активно использовалась в ransomware-кампаниях. Log4Shell (CVSS 10.0) — сеть, без аутентификации, без действий пользователя. Разница между ними важнее, чем разница в числах.
⚡ После февраля 2024 года 93% новых CVE в NVD выходят без CVSS и CPE. NVD — стартовая точка, не финишная.
https://codeby.net/threads/analiz-cve-uyazvimostei-ot-strochki-v-nvd-do-rabochei-gipotezy-ekspluatatsii.92794/
👍3🔥3❤2🎉1
Фаззер лёг. Что дальше?
Большинство материалов по эксплуатации памяти заканчиваются на теории стека или запуске чужого PoC с Exploit-DB. Дальше — «ну вы поняли». Полного цикла на русском почти нет.
🔍 Разбор идёт от первого краша до рабочего PoC:
• Триаж — 10 минут в отладчике решают, стоит ли вообще браться.
• Offset — циклический паттерн через
• Митигации —
💡 На примерах реальных CVE — включая UAF в win32k, эксплуатировавшийся APT-группами, и CVSS 10.0 в PAN-OS GlobalProtect.
Полный разбор с командами и инструментами:
https://codeby.net/threads/razrabotka-eksploita-dlya-cve-primer-polnogo-tsikla-ot-crash-do-rabochego-poc.92804/
Большинство материалов по эксплуатации памяти заканчиваются на теории стека или запуске чужого PoC с Exploit-DB. Дальше — «ну вы поняли». Полного цикла на русском почти нет.
🔍 Разбор идёт от первого краша до рабочего PoC:
• Триаж — 10 минут в отладчике решают, стоит ли вообще браться.
!analyze -v в WinDbg или context в pwndbg сразу покажут класс бага• Offset — циклический паттерн через
msf-pattern_create даёт точное смещение до EIP/RIP без угадывания• Митигации —
checksec до начала работы, иначе ты вслепую: NX, PIE, Canary влияют на весь дальнейший путь💡 На примерах реальных CVE — включая UAF в win32k, эксплуатировавшийся APT-группами, и CVSS 10.0 в PAN-OS GlobalProtect.
Полный разбор с командами и инструментами:
https://codeby.net/threads/razrabotka-eksploita-dlya-cve-primer-polnogo-tsikla-ot-crash-do-rabochego-poc.92804/
❤2👍1🔥1
Почему Nmap без kill chain — просто сканер портов
Каждый раз, когда я веду воркшоп для начинающих, первый вопрос всегда один: «Какие инструменты установить?» И каждый раз я отвечаю встречным: «А на каком этапе атаки ты сейчас находишься?»
Разница между джуном и опытным пентестером не в количестве утилит, а в понимании — зачем конкретный инструмент запускается именно сейчас. Nmap без контекста — просто сканер портов. Nmap в начале kill chain — разведывательный модуль, от которого зависит весь дальнейший вектор атаки.
🔍 Большинство гайдов по инструментам хакера строятся как плоский список: вот Nmap, вот Metasploit, вот Wireshark — пользуйтесь. Это примерно как дать человеку скальпель, пилу и зажим и сказать: «Теперь ты хирург». Без понимания последовательности инструменты бесполезны.
В реальном пентесте каждый шаг определяет следующий. Сначала разведка — выясняешь, что вообще живёт на периметре. Затем анализ поверхности атаки — ищешь веб-приложения, открытые сервисы, точки входа. Потом эксплуатация — превращаешь найденную уязвимость в доступ. После — повышение привилегий и перемещение по сети.
⚡ MITRE ATT&CK формализует эту логику. Каждой фазе соответствуют конкретные техники. Запускаешь Nmap — выполняешь Network Service Discovery (T1046). Пробиваешь веб-форму через SQLmap — Exploit Public-Facing Application (T1190). Перебираешь пароли Hydra — Brute Force (T1110). Такой подход делает пентест системным и позволяет писать отчёты, которые заказчик реально может использовать.
🛠 Что конкретно даёт привязка к kill chain? Возьмём типичный вывод
• Порт 22 с OpenSSH 7.9 — проверяем на известные CVE, но скорее всего идём через веб
• MySQL на порту 3306 торчит наружу — потенциальный вектор брутфорса (зачем он вообще открыт на периметре?)
• Apache Tomcat 9.0.30 на 8080 — горячая находка: старые версии часто содержат дыры в менеджере деплоя
Это не просто список открытых портов. Это карта решений: куда идти дальше, что фаззить, что брутить, где искать CVE.
🎯 Опытные пентестеры при работе с десятками хостов комбинируют инструменты: Masscan делает быстрое первичное сканирование всех портов, а Nmap с флагом
Это лишь первая фаза из десяти. Дальше — Burp Suite, SQLmap, Metasploit, Hydra, Hashcat и другие инструменты, каждый из которых привязан к конкретному этапу атаки. Читай полный разбор в статье 👇
https://codeby.net/threads/instrumenty-pentestera-top-10-s-real-nymi-primerami-v-kazhdoi-faze-ataki.92812/
Каждый раз, когда я веду воркшоп для начинающих, первый вопрос всегда один: «Какие инструменты установить?» И каждый раз я отвечаю встречным: «А на каком этапе атаки ты сейчас находишься?»
Разница между джуном и опытным пентестером не в количестве утилит, а в понимании — зачем конкретный инструмент запускается именно сейчас. Nmap без контекста — просто сканер портов. Nmap в начале kill chain — разведывательный модуль, от которого зависит весь дальнейший вектор атаки.
🔍 Большинство гайдов по инструментам хакера строятся как плоский список: вот Nmap, вот Metasploit, вот Wireshark — пользуйтесь. Это примерно как дать человеку скальпель, пилу и зажим и сказать: «Теперь ты хирург». Без понимания последовательности инструменты бесполезны.
В реальном пентесте каждый шаг определяет следующий. Сначала разведка — выясняешь, что вообще живёт на периметре. Затем анализ поверхности атаки — ищешь веб-приложения, открытые сервисы, точки входа. Потом эксплуатация — превращаешь найденную уязвимость в доступ. После — повышение привилегий и перемещение по сети.
⚡ MITRE ATT&CK формализует эту логику. Каждой фазе соответствуют конкретные техники. Запускаешь Nmap — выполняешь Network Service Discovery (T1046). Пробиваешь веб-форму через SQLmap — Exploit Public-Facing Application (T1190). Перебираешь пароли Hydra — Brute Force (T1110). Такой подход делает пентест системным и позволяет писать отчёты, которые заказчик реально может использовать.
🛠 Что конкретно даёт привязка к kill chain? Возьмём типичный вывод
nmap -sV -sC -p- 10.10.10.100:• Порт 22 с OpenSSH 7.9 — проверяем на известные CVE, но скорее всего идём через веб
• MySQL на порту 3306 торчит наружу — потенциальный вектор брутфорса (зачем он вообще открыт на периметре?)
• Apache Tomcat 9.0.30 на 8080 — горячая находка: старые версии часто содержат дыры в менеджере деплоя
Это не просто список открытых портов. Это карта решений: куда идти дальше, что фаззить, что брутить, где искать CVE.
🎯 Опытные пентестеры при работе с десятками хостов комбинируют инструменты: Masscan делает быстрое первичное сканирование всех портов, а Nmap с флагом
-sV точечно добивает найденное. NSE-скрипты добавляют глубину: smb-vuln-ms17-010 проверяет EternalBlue, ssl-heartbleed обнаруживает Heartbleed, а http-enum находит стандартные директории веб-серверов за один проход.Это лишь первая фаза из десяти. Дальше — Burp Suite, SQLmap, Metasploit, Hydra, Hashcat и другие инструменты, каждый из которых привязан к конкретному этапу атаки. Читай полный разбор в статье 👇
https://codeby.net/threads/instrumenty-pentestera-top-10-s-real-nymi-primerami-v-kazhdoi-faze-ataki.92812/
👍4❤2⚡1🔥1
🎯 Ты решаешь CTF — а первый репорт прилетает обратно со статусом Duplicate
Знакомо? Ты находишь реальную уязвимость, но кто-то успел за три часа до тебя. Или хуже — репорт закрывают как out-of-scope, потому что ты полез не на тот домен.
Переход с CTF на bug bounty — это не смена уровня сложности. Это смена дисциплины целиком.
В CTF ты ищешь флаг. В bug bounty ты доказываешь бизнес-импакт. И вот где ломается большинство.
🔍 Пять точек слома
• Scope. В CTF атакуй что хочешь. В bug bounty одна ошибка в scope — бан на платформе. Даже если нашёл реальный баг на CDN-провайдере таргета — это не твоё дело юридически.
• Импакт. Stored XSS, который стреляет только в твой аккаунт — это
• Отчёт. В CTF достаточно вставить
• Дубликаты. На публичных программах HackerOne можно отправить 10 валидных репортов и не получить ни одной выплаты — просто потому что все эти IDOR и XSS уже нашли до тебя.
💡 Что переносится, а что нет
Хорошая новость: 60–70% CTF-навыков работают в bug bounty напрямую. Веб-эксплуатация, понимание OWASP Top 10, базовая криптография — всё это актуально.
Плохая новость: оставшиеся 30–40% — именно то, что отделяет оплаченный репорт от закрытого тикета.
Три навыка, которых CTF не даёт:
1. Recon. В CTF тебе дали URL. В bug bounty ты сам ищешь поддомены, скрытые API-эндпоинты, забытые staging-серверы. Опытный хантер тратит на разведку 70% времени.
2. Бизнес-логика. Race condition при покупке, IDOR в чужих счетах, privilege escalation через смену роли — это не технические дыры, а логические. И именно они приносят самые высокие выплаты.
3. Коммуникация. Написание отчёта, обоснование severity, общение с триаж-командой — мягкие навыки, которые CTF не тренирует. А они напрямую влияют на выплату.
🛡️ И ещё один момент, который новички часто игнорируют: легальность. Формальное участие в программе на Standoff 365 или BI.ZONE Bug Bounty защищает юридически — но только в рамках scope. Выход за пределы — это уже ст. 272 УК РФ.
В полной статье — конкретный 12-недельный roadmap с разбивкой по неделям: какие платформы выбрать первыми, как строить recon-пайплайн, как писать первый отчёт. Читай, если хочешь конвертировать CTF-скиллы в реальные выплаты.
https://codeby.net/threads/kak-nachat-bug-bounty-posle-ctf-prakticheskii-roadmap-perekhoda-na-real-nyi-pentest.92814/
Знакомо? Ты находишь реальную уязвимость, но кто-то успел за три часа до тебя. Или хуже — репорт закрывают как out-of-scope, потому что ты полез не на тот домен.
Переход с CTF на bug bounty — это не смена уровня сложности. Это смена дисциплины целиком.
В CTF ты ищешь флаг. В bug bounty ты доказываешь бизнес-импакт. И вот где ломается большинство.
🔍 Пять точек слома
• Scope. В CTF атакуй что хочешь. В bug bounty одна ошибка в scope — бан на платформе. Даже если нашёл реальный баг на CDN-провайдере таргета — это не твоё дело юридически.
• Импакт. Stored XSS, который стреляет только в твой аккаунт — это
Self-XSS, severity "None". Тот же Stored XSS, крадущий session cookie администратора — это P2/High с выплатой от $1000. Один класс уязвимости, радикально разная ценность.• Отчёт. В CTF достаточно вставить
flag{...}. В bug bounty — документ на 300–500 слов: summary, steps to reproduce, impact, remediation. Плохой отчёт = закрытый тикет, даже если баг реальный.• Дубликаты. На публичных программах HackerOne можно отправить 10 валидных репортов и не получить ни одной выплаты — просто потому что все эти IDOR и XSS уже нашли до тебя.
💡 Что переносится, а что нет
Хорошая новость: 60–70% CTF-навыков работают в bug bounty напрямую. Веб-эксплуатация, понимание OWASP Top 10, базовая криптография — всё это актуально.
Плохая новость: оставшиеся 30–40% — именно то, что отделяет оплаченный репорт от закрытого тикета.
Три навыка, которых CTF не даёт:
1. Recon. В CTF тебе дали URL. В bug bounty ты сам ищешь поддомены, скрытые API-эндпоинты, забытые staging-серверы. Опытный хантер тратит на разведку 70% времени.
2. Бизнес-логика. Race condition при покупке, IDOR в чужих счетах, privilege escalation через смену роли — это не технические дыры, а логические. И именно они приносят самые высокие выплаты.
3. Коммуникация. Написание отчёта, обоснование severity, общение с триаж-командой — мягкие навыки, которые CTF не тренирует. А они напрямую влияют на выплату.
🛡️ И ещё один момент, который новички часто игнорируют: легальность. Формальное участие в программе на Standoff 365 или BI.ZONE Bug Bounty защищает юридически — но только в рамках scope. Выход за пределы — это уже ст. 272 УК РФ.
В полной статье — конкретный 12-недельный roadmap с разбивкой по неделям: какие платформы выбрать первыми, как строить recon-пайплайн, как писать первый отчёт. Читай, если хочешь конвертировать CTF-скиллы в реальные выплаты.
https://codeby.net/threads/kak-nachat-bug-bounty-posle-ctf-prakticheskii-roadmap-perekhoda-na-real-nyi-pentest.92814/
👍6❤5🔥2
🤖 82% хакеров уже используют AI — но большинство делает это неправильно
Bugcrowd опросил более 2 000 исследователей безопасности — и выяснилось, что 82% из них уже встроили AI в рабочий процесс. Звучит как революция. Но дьявол в деталях: большинство использует модели как продвинутый поиск, а не как инструмент ускорения конкретных этапов охоты за уязвимостями.
Разница между «AI помогает» и «AI экономит мне 3–4 часа на каждом таргете» — принципиальная. Второе требует чёткого понимания, куда именно направить модель.
🔍 Где LLM реально работает
Возьмём конкретный пример. Современный SPA генерирует JavaScript-бандлы по 200–500 КБ минифицированного кода. Опытный исследователь тратит на ручной разбор такого файла 2–4 часа. LLM справляется за секунды — если правильно сформулировать задачу.
Ключевой момент: не просите модель «найти уязвимости». Просите извлечь структурированные данные:
• все API-эндпоинты с полными путями
• хардкоженные токены и ключи
• функции, обрабатывающие пользовательский ввод
• скрытые или закомментированные параметры
Вы сами решаете, что тестировать. LLM здесь — высокоскоростной парсер, а не «хакер на удалёнке».
⚡️ Вариация payload: итерации в 3 раза быстрее
Нашли потенциальную SSTI во Flask-приложении, но стандартные пейлоады фильтруются? Описываете модели контекст — фреймворк, WAF, что именно блокируется — и получаете десяток bypass-вариаций за минуту. То же работает для XSS с кастомным WAF, SQL-инъекций и SSRF с ограничением по протоколу.
Это не замена ручного крафта — это ускорение итераций. Вместо того чтобы вспоминать все вариации обхода
📊 Масштаб проблемы, которую AI помогает решить
По прогнозу FIRST Vulnerability Forecast, в 2026 году ожидается около 60 000 CVE — против 50 000 в 2025-м и 40 000 в 2024-м. Рост — 25% ежегодно. Средний SaaS-таргет сегодня — это 300+ эндпоинтов, микросервисная архитектура и облачные ассеты у нескольких провайдеров. Руками всё это приоритизировать в рамках таймбокса — нереально.
Связка BBOT для сбора данных плюс LLM для ранжирования по вероятной эксплуатабельности закрывает этот разрыв. Инструменты вроде PentestGPT принимают вывод
Где AI точно не справится сам — в логических цепочках из нескольких уязвимостей, в бизнес-контексте таргета и в нестандартных векторах, которые требуют интуиции. Об этом, а также о реальных CVE, найденных с помощью AI, — в полной статье.
https://codeby.net/threads/ai-bug-bounty-gde-llm-real-no-uskoryayet-poisk-uyazvimostei-a-gde-tratit-vashe-vremya.92826/
Bugcrowd опросил более 2 000 исследователей безопасности — и выяснилось, что 82% из них уже встроили AI в рабочий процесс. Звучит как революция. Но дьявол в деталях: большинство использует модели как продвинутый поиск, а не как инструмент ускорения конкретных этапов охоты за уязвимостями.
Разница между «AI помогает» и «AI экономит мне 3–4 часа на каждом таргете» — принципиальная. Второе требует чёткого понимания, куда именно направить модель.
🔍 Где LLM реально работает
Возьмём конкретный пример. Современный SPA генерирует JavaScript-бандлы по 200–500 КБ минифицированного кода. Опытный исследователь тратит на ручной разбор такого файла 2–4 часа. LLM справляется за секунды — если правильно сформулировать задачу.
Ключевой момент: не просите модель «найти уязвимости». Просите извлечь структурированные данные:
• все API-эндпоинты с полными путями
• хардкоженные токены и ключи
• функции, обрабатывающие пользовательский ввод
• скрытые или закомментированные параметры
Вы сами решаете, что тестировать. LLM здесь — высокоскоростной парсер, а не «хакер на удалёнке».
⚡️ Вариация payload: итерации в 3 раза быстрее
Нашли потенциальную SSTI во Flask-приложении, но стандартные пейлоады фильтруются? Описываете модели контекст — фреймворк, WAF, что именно блокируется — и получаете десяток bypass-вариаций за минуту. То же работает для XSS с кастомным WAF, SQL-инъекций и SSRF с ограничением по протоколу.
Это не замена ручного крафта — это ускорение итераций. Вместо того чтобы вспоминать все вариации обхода
Jinja2-sandbox, получаете стартовый список и адаптируете под конкретный таргет.📊 Масштаб проблемы, которую AI помогает решить
По прогнозу FIRST Vulnerability Forecast, в 2026 году ожидается около 60 000 CVE — против 50 000 в 2025-м и 40 000 в 2024-м. Рост — 25% ежегодно. Средний SaaS-таргет сегодня — это 300+ эндпоинтов, микросервисная архитектура и облачные ассеты у нескольких провайдеров. Руками всё это приоритизировать в рамках таймбокса — нереально.
Связка BBOT для сбора данных плюс LLM для ранжирования по вероятной эксплуатабельности закрывает этот разрыв. Инструменты вроде PentestGPT принимают вывод
nmap, находки Burp и логи перечисления — и возвращают приоритизированный список следующих шагов с обоснованием. Не автономный пентест, а reasoning layer поверх вашего тулчейна. Думалка, а не делалка.Где AI точно не справится сам — в логических цепочках из нескольких уязвимостей, в бизнес-контексте таргета и в нестандартных векторах, которые требуют интуиции. Об этом, а также о реальных CVE, найденных с помощью AI, — в полной статье.
https://codeby.net/threads/ai-bug-bounty-gde-llm-real-no-uskoryayet-poisk-uyazvimostei-a-gde-tratit-vashe-vremya.92826/
❤5👍2🔥2
Пасхальная суббота, взломанная инфраструктура и CVE без патча
31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.
🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.
CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.
🔍 Что такое FortiClient EMS и почему это главная цель?
FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.
Компрометация EMS на red team — это джекпот. Атакующий получает:
• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией
По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.
⚙️ Почему баг вообще работает?
Вектор
Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.
Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.
🔗 Параллельный вектор
CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.
Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.
https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/
31 марта 2026 года сенсоры watchTowr зафиксировали активную эксплуатацию уязвимости, для которой не существовало ни advisory, ни патча. Четырьмя днями позже, в пасхальную субботу, Fortinet выкатила бюллетень. К тому моменту атакующие уже сидели внутри.
🎯 Почему праздники? SOC работает в полсилы, дежурный смотрит в потолок, а окно между компрометацией и детектом растягивается с часов до дней. CEO watchTowr сказал об этом прямо: атакующие давно поняли, что праздники — лучшее время для работы.
CVE-2026-35616 — pre-auth RCE с CVSS 9.8 в FortiClient EMS версий 7.4.5–7.4.6. Не академическая строчка из бюллетеня, а рабочий zero-day, который эксплуатировался до публикации патча.
🔍 Что такое FortiClient EMS и почему это главная цель?
FortiClient EMS — не просто сервер мониторинга. Это центральный management plane всей endpoint-инфраструктуры Fortinet. Через него проходит всё: VPN-политики, compliance-проверки, телеметрия с агентов, интеграция с FortiSandbox и FortiGate.
Компрометация EMS на red team — это джекпот. Атакующий получает:
• управление защитой на всех endpoint'ах
• возможность раскатывать произвольные пакеты через легитимный push-механизм
• доступ к телеметрии с VPN-токенами
• манипуляцию FortiSandbox-интеграцией
По данным Shadowserver, около 2000 экземпляров FortiClient EMS торчат в интернет напрямую — вопреки всем рекомендациям Fortinet. Но кого когда останавливали рекомендации.
⚙️ Почему баг вообще работает?
Вектор
CVSS:3.1/AV:N/AC:L/PR:N/UI:N — это значит: удалённо, без сложных условий, без учётки, без каких-либо действий со стороны жертвы. Один запрос — один результат.Корневая причина — отсутствие auth-middleware на конкретных API-эндпоинтах. Механизм аутентификации не взламывается и не обходится через инъекцию — он просто не применяется к определённым запросам. Разработчики добавили новый route, забыли навесить auth-декоратор — классика жанра. Такой паттерн встречается при аудите корпоративных REST API регулярно.
Отдельный момент: в русскоязычных источниках гуляет ошибка — якобы версия 7.4.6 закрывает уязвимость. Это неверно. По NVD, уязвимы обе версии — и 7.4.5, и 7.4.6. Исправление только через обновление до 7.4.7.
🔗 Параллельный вектор
CVE-2026-35616 — не изолированный случай. CVE-2026-21643 — SQL-инъекция в версии 7.4.4 с тем же CVSS 9.8 и идентичным вектором. Два разных класса уязвимостей, один и тот же критический уровень, одна и та же цель. FortiClient EMS явно требует более глубокого security-аудита.
Полная механика эксплуатации — от разведки и API bypass до lateral movement через Fortinet-инфраструктуру — в статье на форуме.
https://codeby.net/threads/cve-2026-35616-ekspluatatsiya-uyazvimosti-forticlient-ems-ot-api-bypass-do-zakhvata-fortinet-infrastruktury.92827/
❤3👍2🔥2