Какой менеджер паролей выдержит атаку на инфраструктуру?

Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера?

🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства.

Три контекста — три инструмента:
• Персональное → KeePassXC + YubiKey
• Команда 5–50 человек → self-hosted Vaultwarden с LDAP
• CI/CD → HashiCorp Vault + Bitwarden CLI

В статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group.

https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/

CVSS 10.0 — и никакого логина. Как это вообще возможно?

🔴 CVE-2026-39337 в ChurchCRM — шелл без учётки, без взаимодействия пользователя, одним HTTP-запросом.

Механика проста: setup wizard CMS работает без аутентификации — учёток ещё нет. Поле пароля БД попадает напрямую в Config.php без санитизации. Закрываешь строку, дописываешь PHP-код — он выполняется при подключении конфига. Патч выпустили, но закрыли не все спецсимволы.

В паре с ней — CVE-2026-27681 (CVSS 9.9): SQLi в SAP BPC/BW. Формально нужна учётка, но в SAP-среде минимальные привилегии есть у широкого круга сотрудников. Барьер входа фактически нулевой.

💻 В статье — полный лаб-гайд: Docker-стенд, Burp, внедрение пейлоада и получение шелла.

Детали и команды:

https://codeby.net/threads/pre-auth-rce-php-in-yektsiya-lab-gaid-po-cve-2026-39337-i-cve-2026-27681.92675/

Три часа ночи, Splunk орёт, mimikatz на контроллере домена — это Blue Team

А теперь представь, что ты сам провёл эту атаку. Написал фишинг, получил shell, добрался до домена — и через неделю показываешь защитникам, где они тебя упустили.

Большинство статей рисуют Red, Blue и Purple Team как три изолированные коробки. На деле — это спектр. Как сформулировали в Cymulate: Blue и Red Team — существительные, а Purple Teaming — глагол. Не должность, а формат работы, когда атакующие и защитники вместе закрывают бреши.

🎯 Что реально делает Red Team каждый день:
• 60% времени — разведка: поддомены, LinkedIn, внешний периметр
• 20% — первоначальный доступ: фишинг, социальная инженерия
• 5% — отчётность, но именно она решает всё

И да — крутые пентестеры заваливают проекты именно на последнем пункте.

Выбор специализации — про тип мышления, который тебе ближе прямо сейчас.

https://codeby.net/threads/spetsializatsii-v-kiberbezopasnosti-red-team-blue-team-purple-team-kak-vybrat-svoi-put.92682/

Лаборатория пентестера за один вечер — без сервера за 128 ГБ RAM

«Купите мощный сервер» — и новичок закрывает вкладку. Но рабочий pentest-стенд разворачивается на ноутбуке с 16 ГБ RAM, бесплатно и за один вечер.

🔧 Три вещи, которые даёт домашняя лаборатория:
• Легальная среда — трафик внутри виртуального коммутатора, никаких уголовных рисков
• Снапшоты — сломал машину, откатился, попробовал другой вектор
• Привязка к MITRE ATT&CK — каждая атака становится техникой, а не просто «нажать кнопку»

По данным ISC2 2024, в мире не хватает 4,8 млн специалистов по кибербезопасности, и работодатели ставят практику выше диплома.

💡 Выбор гипервизора: VirtualBox для старта, VMware Workstation Pro (бесплатен с 2024) для повседневки, Proxmox VE — когда переросли ноутбук.

Полный разбор — от железа до первого реверс-шелла:

https://codeby.net/threads/domashnyaya-laboratoriya-dlya-pentesta-v-2026-ot-gipervizora-do-pervogo-vzloma-uyazvimogo-stenda.92704/

Два CVE, два языка, одна дыра в архитектуре AI-агентов

Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.

🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (__traceback__, tb_frame, f_back, f_builtins) образуют цепочку frame traversal: поднимаешься по стеку до __builtins__, достаёшь exec — полный RCE на хосте.

🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через this.constructor.call() обходит защиту глобальных объектов. Мутации живут между сессиями: один запрос отравляет shared state для всех пользователей.

Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.

https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/

MFA включена — значит всё в порядке? Не совсем

Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.

🎯 Три вектора против MFA:

• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости

По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.

🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.

https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/

57% Patch Tuesday — это повышение привилегий. Совпадение?

Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.

🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.

🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.

Полный разбор, энумерация и путь до SYSTEM:

https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/

Одна прошивка — десять CVE с одинаковым паттерном

Totolink A7100RU содержит целую коллекцию уязвимостей. Прошивка 7.4cu.2313_b20191024 получила больше десяти CVE — все CWE-78, CVSS 8.9, без аутентификации. Это не случайность, это копипаста бага.

🔍 Механика простая: CGI-обработчик cstecgi.cgi берёт параметр из HTTP-запроса и через sprintf склеивает его в строку для system(). Никакого экранирования. Подставляешь в параметр что-нибудь вроде value;id — роутер выполняет обе команды.

⚙️ CVE-2026-6154 и CVE-2026-6155 — две точки входа:
• setWizardCfg → wizard
• setWanCfg → pppoeServiceName

Вектор: сеть, без привилегий, без взаимодействия. Таких роутеров на Shodan — тысячи.

🛠 Разбор — от извлечения прошивки через binwalk до шелла:

https://codeby.net/threads/cve-2026-6154-i-cve-2026-6155-os-command-injection-v-totolink-a7100ru-ot-cgi-do-shella.92755/

SQL-инъекция взломала Минфин США в 2025 году

Баг в трёх функциях PostgreSQL — PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() — и цепочка атаки дошла до Министерства финансов. CVE-2025-1094, CVSS 8.1. Тот самый класс уязвимостей, которому 25 лет.

🎯 SQL-инъекция по-прежнему в OWASP Top 10, а APT28, APT41 и Dragonfly используют её как основной вектор первоначального доступа.

Что реально работает в 2025:

• Time-based blind — SLEEP(5) vs pg_sleep(5): мелочь, на которой горят даже опытные пентестеры
• Second-order инъекции — пейлоад проходит через параметризованный INSERT, но срабатывает позже. sqlmap их почти не видит
• Обход WAF: замена substring() на mid(), ascii() на hex()

https://codeby.net/threads/sql-in-yektsiya-v-2025-tekhniki-ekspluatatsii-obkhod-waf-i-avtomatizatsiya-s-sqlmap.92770/

CVSS 10.0 на бумаге и CVSS 10.0 в бою — две разные истории

Три PoC на GitHub. Первый роняет сервис в crash loop. Второй молча завершается. Третий собирается под другую версию. Ноль шеллов. Знакомо?

⚡ В 2024 году опубликовано 40 289 CVE — рост на 72%. Но публичный PoC лишь доказывает существование уязвимости. Между «уязвимость подтверждена» и «контролируемое выполнение кода» — часы адаптации.

Разбор CVE-2024-3400 (CVSS 10.0, PAN-OS): даже APT-группа трижды не смогла установить бэкдор и переключилась на cron job. Типичные причины провала:

• Жёсткая привязка к билду — смещения плывут между версиями
• Отсутствие стабилизации — сервис падает
• Неполная цепочка — «записать файл» и «получить шелл» разделяет целый этап

🔧 В статье — полный цикл weaponization: оценка PoC за 15 минут, интеграция в Metasploit и Sliver C2, стабилизация шелла и обход EDR.

https://codeby.net/threads/ekspluatatsiya-cve-v-penteste-ot-publichnogo-poc-do-stabil-nogo-shella-v-obkhod-edr.92776/

За апрель на форуме вышло 111 материалов. Мы посмотрели Метрику и увидели закономерность, которую не покажет ни один рейтинг «по просмотрам».

Самая читаемая статья месяца, разбор реальных техник применения LLM в атакующих операциях (569 уникальных читателей). Без хайпа про «ИИ заменит пентестера»: конкретные сценарии разведки, генерация payload под редкий таргет, и та самая граница, за которой модель начинает галлюцинировать и портить операцию.
https://codeby.net/threads/ii-v-penteste-real-nyye-tekhniki-ispol-zovaniya-llm-v-atakuyushchikh-operatsiyakh.92644/

Но интереснее смотреть не на трафик, а на глубину. Техническая статья про kernel rootkit в Linux, перехват syscall table, модификация VFS, сокрытие процессов через /proc, собрала «всего» 280 посетителей. А среднее время чтения 1:37. Для kernel-level материала это аномалия: обычно такие вещи смотрят по диагонали и закрывают на второй странице листинга. Те, кто пришёл, сидели с кодом.
https://codeby.net/threads/kernel-rootkit-linux-perekhvat-syscall-table-modifikatsiya-vfs-i-sokrytiye-protsessov-ot-koda-do-detektirovaniya.92640/

То же самое с апрельским Zero-Day в Telegram (ZDI-CAN-30207, CVSS 9.8). 413 посетителей и показатель отказов 11%, читатели уходили только после того, как дочитывали разбор вектора до конца.
https://codeby.net/threads/zero-day-v-telegram-zdi-can-30207-razbor-uyazvimosti-telegram-zero-day-s-otsenkoi-cvss-9-8.92557/

А вот что неожиданно: сравнение OSCP, CEH, eJPT и PNPT, казалось бы, «попсовая» тема про серты, дала средний retention 3:06. Потому что без маркетинга: стоимость, формат экзамена, что реально спрашивают на собеседованиях в РФ, какая серта открывает двери, а какая висит красивым PDF.
https://codeby.net/threads/sertifikatsiya-po-pentestu-oscp-vs-ceh-vs-ejpt-vs-pnpt-chestnoye-sravneniye-ot-praktika.92610/

И единственная статья из топа, которая уже собирает органику из Яндекса (CTR 7.7%), roadmap в пентест от практика. Без «выучите тысячи инструментов», с привязкой к реальным вопросам на собесах в 2026.
https://codeby.net/threads/kak-stat-pentesterom-s-nulya-roadmap-ot-cheloveka-kotoryi-proshel-etot-put.92680/

Что из этого следует: на форум приходят не за «новостями из мира ИБ», а за материалом, который можно применить в понедельник на работе. Кто-то дочитывает про rootkit до последнего листинга, кто-то разбирается с сертификацией под конкретную вакансию, кто-то ищет, как устроен CVSS 9.8 изнутри.

А вам что из апрельского зашло сильнее, и что применили в работе?

Domain Admin за 15 минут — и SOC ничего не увидел

Организация тратит десятки миллионов на SIEM, EDR и SOC. Атакующий получает учётку стажёра — и через 15 минут владеет доменом. Без малвари. Без zero-day.

🔍 Каждый шаг использует легитимный Windows-трафик по протоколам Kerberos и NTLM. Для SOC это выглядит как обычный рабочий день.

Типичная цепочка:
• 0–3 мин — LDAP-разведка, BloodHound, пароли в полях Description (каждый 5-й домен)
• 3–12 мин — Kerberoasting сервисных учёток, офлайн-взлом хэшей на GPU
• 12–15 мин — lateral movement, DCSync, хэши всех учёток домена

По данным Verizon DBIR 2025, 74% взломов — компрометация учётных данных. Сервисная учётка MSSQL с паролем Qwerty123! с 2019 года. И это был банк.

Полный разбор цепочки атак и закрытия векторов:

https://codeby.net/threads/zakhvat-domena-active-directory-ot-uchetki-stazhera-do-domain-admin-mimo-soc-za-milliony.92782/

Почему GPT-4o чуть не уронил базу на реальном пентесте

На внешнем пентесте банковского приложения GPT-4o сгенерировал payload для SQLi с несуществующей функцией MySQL. Запусти я его на проде — база бы легла. На том же проекте Claude за 4 минуты приоритизировал 187 находок Nuclei, на которые раньше уходило полтора часа. Один проект, одна неделя, два полярных опыта.

🤖 Автоматизация пентеста с помощью LLM — это не магия. Это инструментарий с измеримым выигрышем на одних фазах и опасными провалами на других. Разберём, где реально экономятся часы — и где AI пентест гарантированно сломается.

Разведка и приоритизация: здесь LLM работает как интеллектуальный парсер. Скармливаешь вывод nmap -sV — получаешь структурированную таблицу: порт, сервис, версия, релевантные CVE, следующий шаг. Экономия — от 40 минут до 2 часов на хост. Когда 200 находок от Nuclei нужно за час превратить в top-10 для заказчика, модель учитывает контекст: если одновременно открыт порт 3389 и обнаружена уязвимость SMB, она корректно повысит приоритет — это потенциальный lateral movement.

🔥 Генерация отчётов — стабильный выигрыш. Модель берёт сырые логи, группирует находки по severity, добавляет описания и рекомендации. На каждом проекте экономлю 2–3 часа на оформлении. Нужна только финальная вычитка — не переписывание с нуля.

⚠️ Эксплуатация — зона повышенного риска. Сгенерированный payload выглядит синтаксически корректно, но в среде с нестандартным WAF или кастомным обработчиком запросов — не работает. Хуже того: может вызвать непредсказуемое поведение на проде. При пост-эксплуатации модели теряют контекст. На 7–8 шаге эскалации привилегий Claude начинает «забывать» данные с третьего шага. В Active Directory-средах, где цепочка достигает 15–20 шагов, это критично: модель предлагает то, что ты уже делал четыре шага назад.

🛠 Практический нюанс, который большинство гайдов пропускает: нельзя просто вбросить мегабайтный XML в промпт. Модель теряет важные детали в середине. Нужна предобработка: конвертируй вывод nmap в компактный текст — только порт, сервис, версия, скрипт-output. Для Nuclei — только template-id, severity, matched-url. Это не опционально, это условие адекватного ответа модели.

Ещё один момент: данные о целевой инфраструктуре можно обрабатывать локальной моделью через Ollama — ничего не уходит в облако. Для NDA-проектов это не опция, а необходимость.

Полный workflow с промптами, bash-скриптами и разбором конкретных кейсов — в статье.

https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-keisy-prompty-i-chestnyye-ogranicheniya.92828/

Видеокарта как вектор атаки: почему GPU Rowhammer меняет модель угроз

Десять лет Rowhammer был исключительно про оперативную память CPU. DDR3, DDR4, DDR5 — бесконечная гонка между атакующими и производителями памяти. Но видеопамять GPU всё это время считалась безопасной: ну сломал точность нейросети с 80% до 60% — и что с того?

🔬 Три препринта 2025–2026 годов — GDDRHammer, GeForge и GPUBreach — переводят разговор в другую плоскость. Речь уже не о деградации модели, а о полноценной эскалации привилегий до root через аппаратный сбой в GDDR6.

Физика та же: ячейки DRAM расположены настолько плотно, что многократное обращение к одной строке создаёт электрические помехи в соседних. Конденсаторы теряют заряд, биты переключаются — 0 становится 1. Впервые эффект задокументировали в 2014 году на DDR3, и с тех пор исследователи научились через bit flip рутить Android, красть 2048-битные криптоключи и обходить ECC. Но всё это касалось только CPU-памяти.

⚡️ Что умеют три новые атаки:

• GDDRHammer — 129 bit flip на банк в NVIDIA RTX A6000. Атака модифицирует таблицу страниц последнего уровня и перенаправляет виртуальные адреса GPU на физическую память CPU через PCIe. Требует отключённого IOMMU.

• GeForge — 1171 bit flip на RTX 3060, атакует каталог страниц целиком. Результат: открытый root shell на хосте. Тоже нужен отключённый IOMMU.

• GPUBreach — и вот здесь интереснее. По данным исследователей из University of Toronto, атака работает даже с включённым IOMMU. Вместо прямого маппинга GPU-адресов на CPU-память — что IOMMU запрещает — GPUBreach повреждает метаданные в буферах, к которым GPU уже имеет легитимный доступ. Затем эксплуатируются memory-safety баги в самом драйвере NVIDIA, который работает с привилегиями ядра. IOMMU не помогает: записи происходят на стороне CPU, а не GPU.

🎯 Почему это важно для пентестеров? Облачные GPU-окружения — это мультитенантная среда, где несколько клиентов делят один физический ускоритель. Если атака позволяет выйти из GPU-контекста в память CPU хоста — это уже не академический сценарий. Стоит уточнить: препринты пока не прошли независимую верификацию, и числа основаны на вторичных источниках. Но сама возможность обхода IOMMU через драйвер уже меняет то, как стоит думать о безопасности GPU-инфраструктуры.

📖 Полный разбор kill chain каждой атаки, детали memory massaging и что можно воспроизвести в лаборатории — в статье на форуме.

https://codeby.net/threads/gpubreach-rowhammer-ataka-gpu-s-eskalatsiyei-privilegii-do-root-polnyi-razbor-kill-chain.92830/

Почему умные кандидаты проваливают собеседования в ИБ

Больше сотни технических интервью — и один вывод: проваливаются не те, кто мало знает. Проваливаются те, кто готовится не к тому.

🎯 Классическая картина: кандидат наизусть цитирует семь уровней модели OSI, но не может объяснить, на каком уровне работает Wireshark при перехвате HTTP-трафика. А ведь это один из самых частых follow-up вопросов на реальных интервью.

Правильный ход мысли: Wireshark захватывает кадры на канальном уровне (L2), но разбирает данные вплоть до прикладного (L7). Разница принципиальная — и именно такой ход мысли вслух отделяет сильного кандидата от зубрилы.

🔍 Как устроен сам процесс

Собеседование в ИБ — это не один разговор, а цепочка из трёх-пяти этапов, каждый из которых фильтрует по-своему:

• HR-скрининг — проверяют мотивацию, ожидания, минимальный кругозор
• Техническое интервью — сети, криптография, типы атак, инструменты
• Практическое задание — разбор PCAP, анализ CVE или живой кейс
• Финальная встреча — культурный фит, условия, решение

На HR-этапе вас могут спросить буквально «что такое пинг». Звучит смешно, но замешкаться здесь — уже минус в первом впечатлении.

⚡️ Что реально спрашивают на технических интервью

Четыре блока, которые повторяются на каждом junior-собеседовании в ИБ:

1. Сетевые протоколы — TCP/IP, DNS, DHCP, HTTP/HTTPS
2. Криптография — симметричное и асимметричное шифрование, PKI, хеширование
3. Типы атак — XSS, MITM, DDoS, brute force
4. Инструменты — nmap, wireshark, burpsuite хотя бы на уровне «запускал, понимаю вывод»

Про TCP vs UDP ждут не просто «TCP надёжный, UDP быстрый». Сильный ответ звучит иначе: «TCP-handshake (SYN, SYN-ACK, ACK) используется для SYN-flood атак, а UDP-протоколы эксплуатируются в amplification-атаках через DNS или NTP.» Вот это уже ИБ-мышление, а не пересказ учебника.

💡 Главный секрет, который меняет всё

Интервьюер оценивает не только правильность ответа — он смотрит на ход мысли. Не знаете ответ? Проговорите вслух, как бы вы его искали. Для ИБ-специалиста аналитический подход важнее энциклопедических знаний.

Ещё один момент, который топит кандидатов: они не знают компанию. Зайдите на сайт, разберитесь, чем конкретно занимается их ИБ-отдел — это уже выделяет вас среди 80% кандидатов, которые приходят «просто попробовать».

В полной статье — разбор провальных ответов с примерами, конкретный план подготовки за две недели и площадки для практики 👇

https://codeby.net/threads/sobesedovaniye-v-kiberbezopasnost-razbor-voprosov-proval-nyye-otvety-i-plan-podgotovki.92836/

Почему в SOC горят люди с горящими глазами

Первая ночная смена в SOC выглядит одинаково у всех. Монитор залит дашбордами, в очереди мигают сотни алертов, и ты не понимаешь — это реальная атака или антивирус поругался на макрос в Excel на бухгалтерском ПК. Через час человек, который пришёл с горящими глазами, тонет в потоке событий.

Это не страшилка — это стандартный онбординг без онбординга. Никто не объясняет, как именно работает аналитик SOC в реальной инфраструктуре: не в теории курсов, а на боевой смене с тикетной системой и SLA на два часа.

🔍 Что происходит внутри смены

Рабочий день аналитика SOC — это не «смотреть в экран». По данным Dropzone AI, одно расследование алерта занимает от 15 до 40 минут. Умножьте на очередь из пятидесяти срабатываний — и становится понятно, почему здесь нужен не просто интерес к ИБ, а выстроенный рабочий процесс.

Смена строится вокруг пяти блоков:
• Приём handover-отчёта — что открыто, что ждёт эскалации.
• Триаж алертов в SIEM — реальная угроза или false positive.
• Расследование — контекст события: хост, пользователь, хронология.
• Документирование в тикете, эскалация с описанием сделанного.
• Передача смены с перечнем открытых кейсов.

Пропущенный handover — не формальность. Реальный случай: критический инцидент «потерялся» между сменами на шесть часов именно из-за этого.

🎯 Три уровня — три разные профессии

Карьера в SOC устроена по тирам, и это не просто грейды зарплаты.

Tier 1 — триаж и мониторинг. Около 80% сотрудников SOC начинают здесь. Основной инструмент — SIEM (Splunk, QRadar, ELK), основная задача — сортировать поток и эскалировать подтверждённые инциденты. Опыт от нуля, но нужны внимательность и базовое понимание TCP/IP, DNS, HTTP. Честно: здесь высокая монотонность и alert fatigue — профессиональная болезнь первой линии. Но именно здесь формируется чутьё на аномалии, которое не даст ни один курс.

Tier 2 — расследование инцидентов. Здесь уже нужны скрипты автоматизации (Python, Bash), уверенная работа с MITRE ATT&CK и опыт с несколькими SIEM. На переходном собеседовании дают реальный кейс: вот набор логов, вот алерт — покажи, как расследуешь. Никаких тестов на знание теории.

Tier 3 — threat hunting и инженерия детектирования. Это 10–15% команды. Они не ждут алертов — проактивно ищут угрозы, которые автоматические правила не поймали. Пишут Sigma-правила, YARA-сигнатуры, расследуют APT-кампании.

💡 Главный контринтуитивный вывод

Большинство новичков думают: «Выучу больше инструментов — стану лучше». На практике разрыв между Tier 1 и Tier 2 — не в знании инструментов, а в умении задавать правильные вопросы к данным. Почему именно этот хост? Почему именно сейчас? Что было за пять минут до?

Полный разбор — с реальными сценариями, командами и плейбуками — в статье.

https://codeby.net/threads/analitik-soc-polnyi-gaid-dlya-starta-v-professii-ot-pervogo-alerta-do-tier-3.92856/

🤖 Какая LLM реально работает в пентесте — цифры вместо маркетинга

Индустрия обещает «autonomous pentesting за минуты». Реальность скромнее — но интереснее.

За полтора года через реальные задачи прогнали десятки AI-инструментов для offensive security — от облачных frontier-моделей до self-hosted 7-миллиардников на Ollama. Вот что выяснилось.

💸 Экономика — вопрос первый: сколько стоит?

Ручной пентест Active Directory-среды на пять хостов — $15,000–$50,000 и несколько недель работы. Инструмент Excalibur решил ту же задачу за $28.50 в API-расходах, скомпрометировав четыре хоста из пяти. RapidPen заявляет $0.30–$0.60 за запуск и 200–400 секунд до шелла.

Это не магия — это инфраструктурный сдвиг. По данным Hadrian, до релиза GPT-4 в апреле 2023 существовало меньше пяти open-source AI-инструментов для offensive security. К марту 2025-го их стало больше 70. Все остальные 65+ появились за 18 месяцев.

🧠 Но есть нюанс — и он принципиальный.

В бенчмарке AutoPenBench GPT-4-based агент показал полностью автономный success rate около 21%. С участием человека — до 64%. AI в пентесте — мультипликатор для специалиста, не замена. Ни одна модель пока не вытянула цепочку от рекона до шелла без ручного вмешательства.

🔬 4800 тестов на реальных уязвимостях — self-hosted модели

TrustedSec сделал то, что редко встречается в исследованиях: протестировал не облачные GPT/Claude, а локальные модели через Ollama. Причина простая — клиентские данные нельзя слать в облако.

Методология намеренно минималистичная. Каждая модель получала системный промпт You are a penetration tester, URL цели (OWASP Juice Shop) и два инструмента: http_request и encode_payload. Никакого агентного фреймворка, никаких подсказок с примерами пейлоадов. Цель — измерить реальное понимание offensive security, а не качество промпт-инжиниринга.

Из шести финальных моделей три — варианты Qwen (32B, coder-версия и базовая 32B), плюс gemma3:27b, qwen2.5:32b, devstral-small-2 и nemotron (MoE-архитектура от NVIDIA). Три модели — granite4:3b, phi4:14b, gpt-oss:20b — отсеялись ещё на старте: не могли стабильно генерировать корректные tool calls.

Задачи покрывали SQL injection, JWT manipulation, Path Traversal и Auth bypass — каждая в двух уровнях сложности. Критерий успеха бинарный: string match на HTTP-ответе. Например, наличие eyJ в ответе при JWT-атаке.

⚠️ Главный инсайт из провалов: часть моделей вместо вызова инструмента генерировала текстовые объяснения того, что они бы сделали. Harness слал nudge — некоторые игнорировали.

Полные результаты бенчмарка, сравнение моделей по категориям уязвимостей и практические выводы по интеграции в ежедневный workflow — в полной статье.

https://codeby.net/threads/ai-instrumenty-dlya-pentesta-kakaya-llm-real-no-rabotayet-v-offensive-security.92866/