Разбираемся в AI проектах OWASP: обзор для разработчиков и ИБ-специалистов
#owasp #ai #нейросети

OWASP — некоммерческая организация, которая занимается выпуском руководств и фреймворков в области безопасности. В условиях активного внедрения генеративного ИИ в самые разные сферы, OWASP анонсировал больше десяти разных проектов, чтобы охватить новые угрозы и привлечь внимание к безопасности AI-систем. Ниже расскажу про основные инициативы и документы, которые могут пригодится в работе тимлидам, разработчикам и специалистам по информационной безопасности.

На первый взгляд в глаза бросается обилие проектов, документов и рекомендаций. Материалы в отчётах пересекаются и запутаться в инициативах OWASP — легко. Связано это с тем, что проекты ведут разные команды и лидеры. В OWASP более 1000 человек только в slack-канале и около 100 активных участников.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

CVE больше не будет и переходим на БДУ ФСТЭК?
#CVE #БДУ

Вице-президент MITRE написал в соц сети, что финансирование со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE) истекает сегодня.

Что будет с CVE/CWE и другими программами? Неизвестно. В мире другой системы нумерации/систематизации уязвимостей нет. С другой стороны круто, что ФСТЭК продумала этот риск давно еще и в России есть CVE. Осталось, чтобы вендоры начали признавать свои уязвимости, тогда думаю кол-во БДУ (оно же CVE по ФСТЭК) будет рости, как на дрожжах

Тут можно найти CVElist обновленный 11 минут назад (на момент выхода поста).
https://github.com/CVEProject/cvelistV5

А что вы думаете по этому поводу?

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Спасибо большое за ваш фидбек. Я думал это не будет никому интересно. Условно как реализую очередную фичу, которая не нужна для MVP, но т.к. я перфекционист, то мне стыдно будет выпустить не идеальный продукт

➡️Давайте кратко о моем стартапе. Я вижу проблематику, что курсы по offensive security, либо устаревшие, либо неудобная платформа. Вопросы к качеству информации - очень спорные, т.к. всегда можно сказать что курс рассчитан на новичков, а я явно не интерн. Либо наоборот, что вот у тебя не было базы, поэтому ты ничего не смог. Т.е. отмазаться от вопроса к качеству курсов 100500 вариантов.

➡️Поэтому я решил, что раз у меня есть желание что-то реализовать, достаточно знаний и опыта кого-то учить (опыт менторства в прошлом году показал, что я очень плох в продажах, но учить и заинтересовать людей я умею) и хоть я абсолютный криворукий разраб, но желания у меня было много на момент весны 2024 года.

Начну с проблем, с которыми я столкнулся:
0️⃣Это критичная переоценка себя, как разраба. Первый срок релиза LMS (платформа обучения) был конец Q3. А коли я пишу этот пост, значит до сих пор она не завершена
1️⃣Мой долбанный перфекционизм и идеализм по отношению к своей работе. Это тоже критичная ошибка. Выпустить надо было еще в начале этого года в бете. С пару маленьких курсов, чтобы вы просто могли обкатать платформу, перед глобальным релизом.
2️⃣Оказалось, что сделать пентестероустойчивые лабы с уязвимостями и не подвергать рискам свою инфру, это охренеть сложная задача. Я походу разработки столько баг находил в своем коде, вы не представляете)
Это сильно закаляло разработчика внутри меня
3️⃣Golang прекрасный язык, на нем легко, понятно и предсказуемо разрабатывать. О NextJS могу написать целую статью под названием Любовь и Ненависть
4️⃣Выстраивание всего процесса appsec & devops — это очень тяжелая задача. Я практически ежедневно в чате жалуюсь, либо что-то не запускается, либо документация говно, либо я криворукий, но что-то получилось)

Как итог, имею на 80-90% готовую платформу, где из глобальных задач осталось только одна, это автозапуск лаб. Что важная задача, но первый запуск можно сделать и без неё.

Что по поводу курсов?
Первый курс будет по веб-пентесту с интересным названием) Оказалось сложно выдумать, чтобы нейминг не совпадал с конкурентами.
Из ближайших планов, это курс по AppSec с очень интересной механикой, а какой уже NDA.

По поводу багбаунти платформы?
Оно под вопросом. Неоплачиваемое точно будет или иными ресурсами, к примеру мерч уникальный. По ценам за баги думаю, деньги не печатаю, поэтому будет реинвестироваться из дохода платформы.

Есть ли команда?
Нет, работаю один.

Есть у вас есть вопросы, то задавайте их в комментариях. С радостью отвечу!

С любовью, Серёжа Похек 🌚

Коллега-админ написал интересный пост про импортозамещение и ситуацию с CVE.

Хоть и слишком с напором написан пост, мысль правильная. Также эту мысль подметили подписчики моего канала в комментариях к первому посту про остановку финансирования MITRE.

Да, круто что у нас есть БДУ от ФСТЭК. Но практически весь туллинг был заточен под базы CVE. Собственно моя мысль, что теперь стоит задуматься о дополнении своего ПО с помощью базы БДУ.

Я еще с прошлого года стал замечать отчеты с БДУ рядом с CVE идентификатором.

🌚 @poxek

Основные концепции сетевой архитектуры Kubernetes, а также CNI, Service Mesh и т.д
#k8s #CNI #service_mesh #kubernetes #DevOps #сети

Автор статьи работает DevOps-инженером и немного сисадмином в одной достаточно крупной компании, в его зоне ответственности несколько k8s-кластеров, которые он админит на ежедневной основе.

Он постарался собрать в этой статье самые важные понятия, связанные с организацией сети в Kubernetes, с внутрикластерным взаимодействием и т.д, которые крайне необходимы DevOps-инженеру. Теперь, если соискатель поплывёт на собеседовании, он сможет вместе с фидбеком прикладывать ссылку на эту статью, чтобы кандидат мог освежить свои знания) [+rep за такое]

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

#заметка

Если вам придётся столкнуться с делемой: docker для моего прода - мало, не хватает горизонательного масштабирования, нет удобного управления секретами или какая-то ещё причина и вы начинаете колабаться между Docker Swarm и Kubernetes, то советую почитать статью1 и статью2, где автор размышляет о ранее озвученной делеме.

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK

Как HTTP(S) используется для DNS: DNS-over-HTTPS на практике
#https #DNS #DoT #DoH #сети

Ни DNS-запросы, ни DNS-ответы в классической DNS никак не защищены: данные DNS-транзакций передаются в открытом виде. DNS-over-HTTPS (или DNS Queries over HTTPS, DoH) - самая распространённая сейчас технология для защиты DNS-трафика конечного пользователя от прослушивания и подмены. Несмотря на то что фактическую защиту в DoH обеспечивает TLS, технология не имеет никакого отношения к DNS-over-TLS (DoT). Не перепутайте. Например, реализация DoH ни на сервере, ни на клиенте не требует поддержки DoT (и наоборот). Да, DoH и DoT схожи по верхнеуровневой задаче: и первая, и вторая - это технологии защиты DNS-транзакций, однако у DoH иная архитектура и поэтому более узкая область применения, чем у DoT.

В отличие от DoT, DoH подходит строго для использования "на последней миле", то есть между приложением или операционной системой на компьютере пользователя и сервером, осуществляющим поиск информации в DNS - рекурсивным DNS-резолвером. HTTP в DNS-over-HTTPS слишком плотно "прилегает" к DNS, чтобы применение данной технологии на участке от рекурсивного резолвера до авторитативных серверов выглядело хотя бы минимально обоснованным. Собственно, исходный RFC и рассматривает только сценарий "последней мили", где DoH оказывается максимально полезной.

🔗Дальше душно

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Kubernetes The Hard Way
#k8s #kubernetes

Статья Путилина Дмитрия описывает общий опыт ручного развертывания Kubernetes без использования автоматизированных инструментов, таких как kubeadm. Представленный подход согласуется с нашей документацией, которую мы ведём согласно лучшим практикам и методологиям IAC.

Вся конфигурация, приведённая далее, в точности повторяет поведение kubeadm. В результате, итоговый кластер сложно отличить — собран ли он с помощью kubeadm или вручную.


➡️Чем интересна статья?
Зачастую у нас стоит цель развернуть очередной кластер как можно быстрее и мы не углубляемся в детали, а как оно работает шаг за шагом. Собственно у автора ушло около 2 лет и тысячи сгоревших нервных клеток, чтобы написать полноценный материал по создания кубер кластера без лавандового рафа))

➡️Оглавление
1. Введение
2. Почему «The Hard Way»
3. Архитектура развертывания
4. Создание инфраструктуры
5. Базовая настройка узлов
6. Загрузка модулей ядра
7. Настройка параметров sysctl
8. Установка компонентов
9. Настройка компонентов
10. Проверка готовности компонентов
11. Работа с сертификатами
12. Создание корневых сертификатов
13. Создание сертификатов приложений
14. Создание ключа подписи ServiceAccount
15*. Создание всех сертификатов
16. Создание конфигураций kubeconfig
17*. Создание всех kubeconfig
18. Проверка блока сертификатов
19. Создание static pod-ов управляющего контура
20*. Создание всех static pod-ов управляющего контура
21. Создание static pod-ов ETCD кластера
22. Запуск службы Kubelet
23. Проверка состояния кластера
24. Настройка ролевой модели
25. Загрузка конфигурации в кластер
26. Загрузка корневых сертификатов в кластер
27 Маркировка и ограничение узлов
🍀 Вывод

p.s. от себя добавлю, что у автора красивый MDX формат статьи

➡️ Рекомендую к прочтению и практике

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Как явно доказать вендору, что XSS и HTML инъекции не инфо/лоу
#meme

Оригинал видео

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

#заметка #k8s

🖼️ Установка gitlab-runner в k8s

0️⃣Для начала проверяем, что установлен Helm 3. Если нет, то выполняем

curl https://raw.githubusercontent.com/helm/helm/main/scripts/get-helm-3 | bash

1️⃣Добавляем helm chart gitlab'а

helm repo add gitlab https://charts.gitlab.io

2️⃣Обновляем данные репозитория

helm repo update gitlab

3️⃣Смотрим, какие есть доступные версии

helm search repo -l gitlab/gitlab-runner

Получаем примерно такой вывод:

NAME                  CHART VERSION  APP VERSION  DESCRIPTION  
gitlab/gitlab-runner  0.76.0         17.11.0      GitLab Runner
gitlab/gitlab-runner  0.75.1         17.10.1      GitLab Runner
gitlab/gitlab-runner  0.75.0         17.10.0      GitLab Runner
gitlab/gitlab-runner  0.74.3         17.9.3       GitLab Runner
gitlab/gitlab-runner  0.74.2         17.9.2       GitLab Runner
gitlab/gitlab-runner  0.74.1         17.9.1       GitLab Runner
gitlab/gitlab-runner  0.74.0         17.9.0       GitLab Runner
gitlab/gitlab-runner  0.73.5         17.8.5       GitLab Runner
gitlab/gitlab-runner  0.73.4         17.8.4       GitLab Runner
gitlab/gitlab-runner  0.73.3         17.8.3       GitLab Runner
gitlab/gitlab-runner  0.73.2         17.8.2       GitLab Runner

Выбираем последнюю совместимую версию с вашим Gitlab instance. Я попробовал поставить на версию выше, чем мой интанс гитлаб, вроде заработало, но лучше всё таки метчить со своей версией гитлаба.

4️⃣Сохраняем шаблон конфигурации в values.yaml

helm show values gitlab/gitlab-runner --version 0.76.0 > values.yaml

5️⃣Идём в нужный репозиторий (советую привязывать раннеры к конкретным репам). Settings > CI/CD > Runners > New project runner. Задаем нужные настройки и получаем 2 нужные нам переменные дальше: gitlabUrl & runnerToken

6️⃣Возвращаемся на сервер с кубером. Мы скачали values.yaml, но это только шаблон, нам нужно будет его отредактировать. Нам нужны поля gitlabUrl — сюда вставляем url нашего gitlab, runnerToken — в кавычки копипастим токен, который мы получили на предыдущем шаге, ищем пункт rbac и свойство create ставим true. Сохраняемся и выходим из файла.

7️⃣Создаем namespace для раннера/ов

kubectl create namespace gitlab-runner

8️⃣Применияем helm chart

helm install --namespace gitlab-runner gitlab-runner -f values.yaml gitlab/gitlab-runner --version 0.76.0

Если вы хотите добавить несколько gitlab runner'ов, то делайте примерно так:

helm install --namespace gitlab-runner gitlab-runner-service1 -f values-service1.yaml gitlab/gitlab-runner --version 0.76.0
helm install --namespace gitlab-runner gitlab-runner-service2 -f values-service2.yaml gitlab/gitlab-runner --version 0.76.0

Зачем может быть нужно более одного раннера в кубере? Я для себя ответил, что для паралльного деплоя из разных репозиторияев.

9️⃣Проверяем состояние наших раннеров

kubectl get pods -n gitlab-runner

❓Если какая-то ошибка, то вам помогут команды describe & logs

# смотрим конфиг и состояние пода (может несколько сразу показать, если они в одном namespace)
kubectl describe pods -n gitlab-runner
# смотрим логи пода
kubectl logs -n gitlab-runner gitlab-runner-<randomID>

Неплохая такая заметка получилась))
Следующую напишу про gitlab agent

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Game Hacking 1. От чит-кодов до kernel-level читов
#game_hacking #читкод #konami

Игровой хакинг — это не просто способ получить преимущество в виртуальном мире. Это сложная экосистема, где технические навыки пересекаются с киберпреступностью, а каждый новый патч защиты провоцирует ответные действия хакеров. Рассмотрим эволюцию читов, методы обхода античит-систем и аппаратные решения, которые превратили игровой взлом в многомиллионный теневой бизнес.

⬆️⬆️⬇️⬇️⬅️➡️⬅️➡️BA

➡️История читерства: от пакмана до соревновательных шутеров
Первые читы появились одновременно с самими видеоиграми. Ещё в 1980-х игроки в аркадных автоматах использовали «фамильные секреты» вроде знаменитого кода Konami, чтобы получить дополнительные жизни в Contra. С развитием PC-гейминга читинг стал технологичнее: в 1999 году для Quake разработали первый aimbot, анализировавший позиции противников через память процесса.

🔗Первая статья из 4

p.s. да, на картинке не правильный читкод, но лучше сгенерировать у меня не получилось)

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

⚠️ AI-агенты в Web3: как их ломают и почему это опасно ⚠️
#ai #web3 #LLM #DAO #jailbreak #gpt4 #claude #CTF

В 2025-м AI-агенты на базе LLM уже вовсю рулят в Web3: торгуют криптой, управляют DAO, анализируют блокчейн-данные. Но чем больше у них полномочий, тем жирнее цель для хакеров. Positive Technologies разобрали, как ломают таких агентов и почему старые методы уже не катят.

➡️ Главные векторы атак:
▪️Jailbreak через хитрые промпты: даже GPT-4 и Claude можно заставить нарушить правила, если грамотно замаскировать запрос. Прямолинейные «игнорируй инструкции» больше не работают, но сложные сценарии, ролевые игры и цепочки команд всё ещё пробивают защиту.
▪️Memory injection: если агент тянет инфу из разных каналов (Discord, Twitter и т.д.), можно «отравить» память вредоносной инструкцией. Атака может прийти из одного канала, а сработать — в другом.
▪️Many-shot jailbreak: закидываем в длинный контекст кучу примеров, где ассистент уже нарушал правила — и модель начинает думать, что так и надо.
▪️Мультимодальные атаки: скрытые команды в картинках или аудио. GPT-4 с OCR может прочитать промпт с фотки и выполнить его.
▪️Инфраструктурные дыры: иногда проще взломать дашборд или API, чем саму модель — и увести крипту напрямую.

➡️CTF и реальные кейсы:
В Teeception CTF атакующие ломали AI-агентов с реальными токенами на кону. Побеждали те, кто находил логические дыры в промптах — например, просили выполнить команду не для себя, а для «друга», или разбивали адрес на части, чтобы обойти фильтр.
Gray Swan Arena, Anthropic Red Team Trials, DEF CON — комьюнити постоянно ищет новые эксплойты, и ни одна LLM пока не выдержала всех атак.

➡️Вывод:
100% защищённых AI-агентов нет. Чем больше прав у бота — тем выше желание у хакецкеров его сломать, а следовательно выше риск, что в итоге обойдут систему защиты. Защита — это не только фильтры в LLM, но и классическая кибербезопасность: ограничение прав, проверка транзакций, логирование, изоляция контекстов и постоянный аудит.

➡️Рекомендации:
▪️Ограничивайте полномочия AI-агентов на уровне смарт-контрактов.
▪️Разделяйте контексты и фильтруйте ввод с разных платформ.
▪️Внедряйте внешние валидаторы для критичных действий.
▪️Используйте реальные кейсы атак для дообучения моделей.
▪️Не пускайте AI в финансы без двойной (а лучше ручной) проверки!

💀 Не доверяйте AI-агентам вслепую — иначе кто-то уведёт ваши данные, пока вы читаете этот пост.

🔗Безопасность AI-агентов в Web3 часть 1 и часть 2

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Game Hacking 2. Уязвимости в игровых серверах: когда игру ломают изнутри
#game_hacking #UE5 #RCE #PunkBusteraq

Серверная инфраструктура — это сердце любой онлайн-игры, но именно здесь разработчики чаще всего допускают критические ошибки. В 2023 году 78% успешных атак на игровые компании начинались с эксплуатации уязвимостей в бэкенде. Разберём, как хакеры взламывают серверы, и почему традиционные методы защиты часто бесполезны против целевых атак.

⬆️⬆️⬇️⬇️⬅️➡️⬅️➡️BA

➡️Архитектура игровых серверов: слабые звенья
Современные игры используют распределённые микросервисные архитектуры, где каждый компонент — потенциальная точка входа для атакёра:

➡️Авторизация и аутентификация
Системы вроде OAuth 2.0 часто внедряются с ошибками. В 2024 году исследователи нашли уязвимость в реализации Steam OpenID у 14% indie-проектов, позволявшую перехватывать сессионные токены через поддельные редиректы.

➡️Синхронизация игрового состояния
Протоколы синхронизации (например, Lockstep в RTS) уязвимы к спуфингу. В одном из мобильных MMO хакеры подменяли пакеты с координатами юнитов, создавая "фантомные армии", которые невозможно атаковать.

🔗Вторая статья из 4

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

🛡Две стороны одной медали: важность навыков пентеста для специалиста SOC и наоборот🔓
#SOC #pentest #purple_team #red_team #blue_team

Современная кибербезопасность требует симбиоза наступательных и оборонительных навыков. SOC-аналитики, владеющие техниками пентеста, обнаруживают угрозы на 40% быстрее, а пентестеры с пониманием SOC-процессов успешнее обходят системы защиты в 68% случаев. Интеграция подходов red team (атакующие) и blue team (защитники) через purple teaming формирует устойчивую киберзащиту, сокращая время реагирования на инциденты до 2 часов вместо стандартных 72. Развитие кросс-функциональных навыков через CTF сценарии типа Attack/Defence становится новым стандартом подготовки специалистов.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

«Пасхалка» в Telegram. Как я нашел способ авторизоваться без клауд-пароля и уведомлений
#telegram #небагафича #авторизация #auth

История про то, как телеграм отмазывается от бекдоров и говорит, что это фича, а не баг

Раз­работ­чики Telegram не сидят без дела: в мес­сен­дже­ре с каж­дым годом все боль­ше фун­кций. Но некото­рые из них, если переф­разиро­вать «Собачье сер­дце», могут прев­ратить­ся «из клас­сной фичи в мер­зкий баг». Этот матери­ал — о любопыт­ной уяз­вимос­ти, с которой я стол­кнул­ся, рас­сле­дуя, как укра­ли 200 мил­лионов руб­лей в крип­те зимой 2025 года.

P.s. приятно сказать, что это статья одного из подписчиков канала и активного участника чата)

P.S.p.s. автор статьи дал следующие рекомендации. Оказывается даже закрыть активные сессии не помогает.

🔗Читать дальше

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч

Game Hacking 3. RCE-уязвимости и атаки на игроков
#game_hacking #RCE #CSGO #Log4J #Minecraft #DarkSouls3 #BleedingPipe

Remote Code Execution (RCE) — это самая опасная категория уязвимостей в современной кибербезопасности, особенно в контексте игр. Эти уязвимости позволяют злоумышленникам удаленно выполнять произвольный код на устройстве жертвы, получая полный контроль над системой без ведома пользователя. В игровой индустрии RCE-атаки становятся все более изощренными и распространенными, представляя серьезную угрозу для миллионов геймеров по всему миру. В этой статье мы детально рассмотрим механизмы RCE-уязвимостей в играх, проанализируем реальные случаи их эксплуатации и разберем технические аспекты наиболее известных атак.

⬆️⬆️⬇️⬇️⬅️➡️⬅️➡️BA

➡️История известных RCE-атак через игры
За последние годы игровая индустрия стала свидетелем множества серьезных RCE-уязвимостей, некоторые из которых затронули миллионы пользователей по всему миру.

➡️Minecraft и Log4Shell (2021)
В декабре 2021 года была обнаружена критическая уязвимость Log4Shell (CVE-2021-44228) в библиотеке Log4j, широко используемой в Java-приложениях, включая Minecraft. Эксплуатация этой уязвимости была поразительно простой — достаточно было отправить определенное сообщение в чат игры, чтобы выполнить вредоносный код на сервере или клиенте игрока.

Как пример уязвимости — HTTP-сервер, который логирует строку, например, user agent. Для Minecraft была выпущена официальная версия 1.18.1, закрывающая эту уязвимость, но множество пользовательских серверов оставались уязвимыми.

➡️Counter-Strike: Global Offensive (2021)
В апреле 2021 года группа исследователей безопасности Secret Club сообщила о наличии удаленной уязвимости в движке Source, разработанном Valve и используемом для создания игр с десятками миллионов уникальных игроков. Эта уязвимость затрагивала множество популярных игр, включая Counter-Strike, Half-Life, Half-Life 2, Garry's Mod, Team Fortress, Left 4 Dead и Portal.

Другая исследовательская группа из Felipe и Alain, обнаружила три независимые RCE-уязвимости в CS:GO, каждая из которых могла сработать, когда игровой клиент подключался к вредоносному Python-серверу. Они даже разработали полноценный эксплойт, демонстрирующий выполнение произвольного кода на клиенте при подключении к серверу.

🔗Третья статья из 4

🌚 @poxek | 🌚 blog.poxek.cc | 📺 YT | 📺 RT | 📺 VK | 🌚 Мерч