Когда middleware пропускает не тех
Двухуровневая модель прав есть, а owner-check на чувствительных эндпоинтах — нет. Так устроен CVE-2026-32914 в OpenClaw.
🔑 Любой пользователь с базовой command-авторизацией читает и модифицирует
CVSS 8.7 (HIGH), CWE-863 — не «проверки нет», а «проверка не того уровня». Поэтому баг проходит мимо код-ревью: строчка авторизации на месте, просто проверяет не то.
🔍 Схема атаки:
1.
2.
Сетевая атака, низкий аккаунт, никакого взаимодействия с жертвой. Полный контроль над экземпляром.
Разбор и патч:
https://codeby.net/threads/cve-2026-32914-broken-access-control-v-openclaw-eskalatsiya-privilegii-cherez-config-i-debug-handlers.92585/
Двухуровневая модель прав есть, а owner-check на чувствительных эндпоинтах — нет. Так устроен CVE-2026-32914 в OpenClaw.
🔑 Любой пользователь с базовой command-авторизацией читает и модифицирует
/config и /debug — поверхности только для владельца экземпляра.CVSS 8.7 (HIGH), CWE-863 — не «проверки нет», а «проверка не того уровня». Поэтому баг проходит мимо код-ревью: строчка авторизации на месте, просто проверяет не то.
🔍 Схема атаки:
1.
/debug — разведка: переменные окружения, сессии, внутреннее состояние2.
/config — модификация конфигурации под себяСетевая атака, низкий аккаунт, никакого взаимодействия с жертвой. Полный контроль над экземпляром.
Разбор и патч:
https://codeby.net/threads/cve-2026-32914-broken-access-control-v-openclaw-eskalatsiya-privilegii-cherez-config-i-debug-handlers.92585/
«Нас ещё ни разу не взломали» — и бюджет убит
Именно эта фраза три раза уничтожала мой бюджет на бюджетном комитете. Для CFO она означает: «Зачем платить за то, что и так работает?»
💡 Проблема не в том, что бизнес не ценит безопасность. Проблема в том, что CISO не умеет говорить на языке денег.
Формула, которая работает:
Если контроль снижает годовые потери на 15 млн, а его TCO — 5 млн, получаем ROSI = 200%. Это язык, который CFO понимает без дополнительных слайдов.
🔢 Ключ — считать ALE (годовые ожидаемые потери) через частоту инцидентов и стоимость одного сбоя. Реальный пример: ransomware-риск на 5,6 млн/год ...
Подробности в статье:
https://codeby.net/threads/roi-kiberbezopasnosti-kak-izmerit-effektivnost-ib-investitsii-i-obosnovat-byudzhet-pered-biznesom.92590/
Именно эта фраза три раза уничтожала мой бюджет на бюджетном комитете. Для CFO она означает: «Зачем платить за то, что и так работает?»
💡 Проблема не в том, что бизнес не ценит безопасность. Проблема в том, что CISO не умеет говорить на языке денег.
Формула, которая работает:
ROSI = (ALE_до − ALE_после − Стоимость) / Стоимость × 100%Если контроль снижает годовые потери на 15 млн, а его TCO — 5 млн, получаем ROSI = 200%. Это язык, который CFO понимает без дополнительных слайдов.
🔢 Ключ — считать ALE (годовые ожидаемые потери) через частоту инцидентов и стоимость одного сбоя. Реальный пример: ransomware-риск на 5,6 млн/год ...
Подробности в статье:
https://codeby.net/threads/roi-kiberbezopasnosti-kak-izmerit-effektivnost-ib-investitsii-i-obosnovat-byudzhet-pered-biznesom.92590/
США инвестируют в то, что сами же санкционируют
561 организация, 46 стран, миллиарды долларов — легальная индустрия слежки. США стали её крупнейшим инвестором, обогнав Израиль.
🔍 За каждым заражённым устройством — корпоративная структура с SLA, техподдержкой и лицензиями. Pegasus продаётся как подписка: квота на 25-50 целей, обновление эксплойтов по мере закрытия.
⚡ Zero-click атаки FORCEDENTRY и BLASTPASS не требуют от жертвы ничего — достаточно получить сообщение. Закрыли вектор через
🏢 Брокеры, реселлеры, фронтовые компании — наименее изученная часть рынка, практически не покрытая регуляторами.
Полный разбор NSO, Intellexa, Candiru и QuaDream — бизнес-модели, CVE, корпоративные структуры:
https://codeby.net/threads/kommercheskoye-shpionskoye-po-razbor-rynka-nso-group-intellexa-candiru-i-quadream.92599/
561 организация, 46 стран, миллиарды долларов — легальная индустрия слежки. США стали её крупнейшим инвестором, обогнав Израиль.
🔍 За каждым заражённым устройством — корпоративная структура с SLA, техподдержкой и лицензиями. Pegasus продаётся как подписка: квота на 25-50 целей, обновление эксплойтов по мере закрытия.
⚡ Zero-click атаки FORCEDENTRY и BLASTPASS не требуют от жертвы ничего — достаточно получить сообщение. Закрыли вектор через
iMessage — NSO переключилась на следующий. Как Whac-A-Mole, только ставки выше.🏢 Брокеры, реселлеры, фронтовые компании — наименее изученная часть рынка, практически не покрытая регуляторами.
Полный разбор NSO, Intellexa, Candiru и QuaDream — бизнес-модели, CVE, корпоративные структуры:
https://codeby.net/threads/kommercheskoye-shpionskoye-po-razbor-rynka-nso-group-intellexa-candiru-i-quadream.92599/
Когда EDR ловит не бинарник, а цепочку вызовов
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
• Kernel —
• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
ntdll.dll• Kernel —
PsSetCreateProcessNotifyRoutine и minifilter-драйверы, из user-mode не обойти• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
ntdll.dll — классика, но CrowdStrike и SentinelOne восстанавливают хуки и детектируют само обращение к файлу.В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
От фишинга до SWIFT-перевода: как это работает на практике
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
Эксплойт вслепую не работает — никогда
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
-p- обязателен, сервисы на 33389, 8443, 13306 находятся именно так• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
👍2
Зашифровал шеллкод — и всё равно поймали? Проблема не в шифровании.
🔍 EDR не читает байты — он смотрит на поведение. Цепочка
⚙️ Современный EDR работает на четырёх уровнях: статические сигнатуры, поведенческий анализ через хуки в
В разборе — полный пайплайн загрузчика на C: от XOR и RC4 до AES-128 CBC, обфускации и in-memory execution. И честно про ограничения: user-mode техники не обходят kernel-mode драйверы EDR.
🔗 Полный разбор с кодом:
https://codeby.net/threads/obkhod-antivirusa-i-edr-razrabotka-kastomnykh-peiloadov-ot-shifrovaniya-do-in-memory-execution.92621/
🔍 EDR не читает байты — он смотрит на поведение. Цепочка
VirtualAlloc → WriteProcessMemory → CreateRemoteThread — и вердикт вынесен, даже если пейлоад зашифрован идеально.⚙️ Современный EDR работает на четырёх уровнях: статические сигнатуры, поведенческий анализ через хуки в
ntdll, сканирование памяти и kernel-mode телеметрия. Каждый уровень — отдельная техника обхода.В разборе — полный пайплайн загрузчика на C: от XOR и RC4 до AES-128 CBC, обфускации и in-memory execution. И честно про ограничения: user-mode техники не обходят kernel-mode драйверы EDR.
🔗 Полный разбор с кодом:
https://codeby.net/threads/obkhod-antivirusa-i-edr-razrabotka-kastomnykh-peiloadov-ot-shifrovaniya-do-in-memory-execution.92621/
💩1
Обновили профили на форуме: теперь видно, кто есть кто
Странная штука: открываешь тред с нетривиальным разбором, отвечают двое. Один с двумя сотнями сообщений, второй с двадцатью тысячами. Оба уверенно, оба по делу. Новичок листает и не понимает, кому верить.
А на форуме годами сидят люди с OSCP, сотнями машин на HTB, реальными пентестами, опытом в BlueTeam крупных контор. И ничего этого рядом с ником не видно. Тот, кто десять лет ковыряет периметр банков, и тот, кто зарегался вчера — в ленте выглядят одинаково.
Дело не в понтах. Один и тот же совет от этих двоих весит по-разному, и важно понимать, от кого он.
Переделали профили. Теперь можно показать специализацию, сертификаты, HTB, TryHackMe, HackerLab, портфолио — всё цепляется к мини-профилю у каждого поста. Плюс верификация, чтобы строчка про OSCP была не просто строчкой. Заполнять никто не гонит, заполнение профиля дело добровольное.
Подробности — в анонсе:
https://codeby.net/threads/obnovili-profili-teper-vidno-kto-yest-kto.92647/
Странная штука: открываешь тред с нетривиальным разбором, отвечают двое. Один с двумя сотнями сообщений, второй с двадцатью тысячами. Оба уверенно, оба по делу. Новичок листает и не понимает, кому верить.
А на форуме годами сидят люди с OSCP, сотнями машин на HTB, реальными пентестами, опытом в BlueTeam крупных контор. И ничего этого рядом с ником не видно. Тот, кто десять лет ковыряет периметр банков, и тот, кто зарегался вчера — в ленте выглядят одинаково.
Дело не в понтах. Один и тот же совет от этих двоих весит по-разному, и важно понимать, от кого он.
Переделали профили. Теперь можно показать специализацию, сертификаты, HTB, TryHackMe, HackerLab, портфолио — всё цепляется к мини-профилю у каждого поста. Плюс верификация, чтобы строчка про OSCP была не просто строчкой. Заполнять никто не гонит, заполнение профиля дело добровольное.
Подробности — в анонсе:
https://codeby.net/threads/obnovili-profili-teper-vidno-kto-yest-kto.92647/
❤3👍2🔥2
OSCP за 250 000 ₽ — или есть смысл выбрать другое?
Открываешь hh.ru по запросу «пентестер» — сертификаты почти не упоминаются. Открываешь LinkedIn — «OSCP required» в каждой второй вакансии. Два рынка, два разных ответа на вопрос: что учить в 2026-м? 🎯
Ключевые факты:
• С ноября 2024 OffSec убрал бонусные баллы за домашку — экзамен OSCP+ стал жёстче
• AD-сценарий — 40 баллов по принципу all-or-nothing: нет Domain Admin — нет баллов вообще
• CEH при цене ~120 000 ₽ не содержит практики — 125 тестовых вопросов за 4 часа
Реальная стоимость OSCP — не $2 749, а полгода жизни плюс ~250 000 ₽.
Выбор зависит от того, на какой рынок ты целишься и где находишься по уровню. 🔍
Полный разбор с российскими альтернативами и честными цифрами:
https://codeby.net/threads/kursy-po-etichnomu-khakingu-2026-oscp-ceh-ejpt-i-rossiiskiye-al-ternativy-chestnoye-sravneniye-ot-praktika.92658/
Открываешь hh.ru по запросу «пентестер» — сертификаты почти не упоминаются. Открываешь LinkedIn — «OSCP required» в каждой второй вакансии. Два рынка, два разных ответа на вопрос: что учить в 2026-м? 🎯
Ключевые факты:
• С ноября 2024 OffSec убрал бонусные баллы за домашку — экзамен OSCP+ стал жёстче
• AD-сценарий — 40 баллов по принципу all-or-nothing: нет Domain Admin — нет баллов вообще
• CEH при цене ~120 000 ₽ не содержит практики — 125 тестовых вопросов за 4 часа
Реальная стоимость OSCP — не $2 749, а полгода жизни плюс ~250 000 ₽.
eJPT закрывает вход в профессию за несравнимо меньший бюджет.Выбор зависит от того, на какой рынок ты целишься и где находишься по уровню. 🔍
Полный разбор с российскими альтернативами и честными цифрами:
https://codeby.net/threads/kursy-po-etichnomu-khakingu-2026-oscp-ceh-ejpt-i-rossiiskiye-al-ternativy-chestnoye-sravneniye-ot-praktika.92658/
87% уязвимостей — и полный провал без подсказки
GPT-4 автономно эксплуатирует 87% известных уязвимостей. Без CVE-описания — только 7%. Эта пропасть и есть честный портрет AI-пентеста в 2024-м.
🔍 Агент на ReAct-паттерне — не чат-бот, а цикл «мысль → действие → наблюдение»: запустил
На практике:
• Разведка: ручная работа сокращается с 40-60 минут до 10
• LLM видит бизнес-логику там, где сканер видит только баннер
• Автономные агенты решают 21% CTF-задач, полуавтономные — 64%
⚠️ Но он же галлюцинирует флаги
https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-i-gde-lomayut-sya-na-praktike.92653/
GPT-4 автономно эксплуатирует 87% известных уязвимостей. Без CVE-описания — только 7%. Эта пропасть и есть честный портрет AI-пентеста в 2024-м.
🔍 Агент на ReAct-паттерне — не чат-бот, а цикл «мысль → действие → наблюдение»: запустил
nmap, разобрал вывод, нашёл открытый 8080, попробовал SQL-инъекцию. Всё сам.На практике:
• Разведка: ручная работа сокращается с 40-60 минут до 10
• LLM видит бизнес-логику там, где сканер видит только баннер
• Автономные агенты решают 21% CTF-задач, полуавтономные — 64%
⚠️ Но он же галлюцинирует флаги
nmap, придумывает несуществующие бинарники и предлагает эксплойт-цепочки, которые не работают.https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-i-gde-lomayut-sya-na-praktike.92653/
47 алертов в 2 ночи — и ты не знаешь, атака это или плановый сканер
Именно так выглядит первая смена в SOC. Не эффектный взлом, а умение отличить шум от реальной угрозы.
🔍 Что проверяют на техническом интервью для junior SOC:
• Сети — объяснить DNS-запрос, прочитать pcap в Wireshark
• Windows — Event ID:
• MITRE ATT&CK — маппить активность на техники, а не просто знать аббревиатуру
Диплом не обязателен. По данным ISC2 2024, наниматели смотрят на демонстрируемые навыки. В SOC берут из техподдержки, сетевого администрирования и гуманитарных специальностей.
⚡ Переход L1 → L2 занимает 6–18 месяцев. На L2 пишешь корреляционные правила, автоматизируешь рутину на Python, строишь таймлайн атаки.
Полный разбор с роадмапом и инструментами:
https://codeby.net/threads/kar-yera-soc-analitika-v-2026-real-nyi-put-ot-novichka-do-spetsialista.92664/
Именно так выглядит первая смена в SOC. Не эффектный взлом, а умение отличить шум от реальной угрозы.
🔍 Что проверяют на техническом интервью для junior SOC:
• Сети — объяснить DNS-запрос, прочитать pcap в Wireshark
• Windows — Event ID:
4624, 4625, 4688, базовый PowerShell• MITRE ATT&CK — маппить активность на техники, а не просто знать аббревиатуру
Диплом не обязателен. По данным ISC2 2024, наниматели смотрят на демонстрируемые навыки. В SOC берут из техподдержки, сетевого администрирования и гуманитарных специальностей.
⚡ Переход L1 → L2 занимает 6–18 месяцев. На L2 пишешь корреляционные правила, автоматизируешь рутину на Python, строишь таймлайн атаки.
Полный разбор с роадмапом и инструментами:
https://codeby.net/threads/kar-yera-soc-analitika-v-2026-real-nyi-put-ot-novichka-do-spetsialista.92664/
60 млн загрузок в неделю — и CVSS 10.0. Но реальна ли угроза?
Исследователь, нашедший баг в Axios, сам говорит: «в реальном продакшене это не должно сработать». При этом NVD ставит максимальный балл.
🔗 CVE-2026-40175 — цепочка из трёх CWE:
• CWE-113 — CRLF-инъекция в заголовках
• CWE-444 — HTTP Request Smuggling
• CWE-918 — SSRF до AWS IMDS
Схема атаки: сторонняя библиотека (
💡 Scope: Changed в CVSS-векторе — вот почему 10.0, а не 9.8. Атака выходит за пределы Axios и бьёт по облачной инфраструктуре.
Полный разбор — где цепочка ломается и в каких edge-кейсах работает:
https://codeby.net/threads/cve-2026-40175-axios-uyazvimost-razbor-tsepochki-prototype-pollution-rce-i-obkhod-aws-imdsv2.92674/
Исследователь, нашедший баг в Axios, сам говорит: «в реальном продакшене это не должно сработать». При этом NVD ставит максимальный балл.
🔗 CVE-2026-40175 — цепочка из трёх CWE:
• CWE-113 — CRLF-инъекция в заголовках
• CWE-444 — HTTP Request Smuggling
• CWE-918 — SSRF до AWS IMDS
Схема атаки: сторонняя библиотека (
qs, minimist) загрязняет Object.prototype → Axios подхватывает «грязное» свойство при merge конфигов → CRLF разрывает HTTP-запрос → контрабандный PUT уходит на 169.254.169.254 за IMDSv2-токеном.💡 Scope: Changed в CVSS-векторе — вот почему 10.0, а не 9.8. Атака выходит за пределы Axios и бьёт по облачной инфраструктуре.
Полный разбор — где цепочка ломается и в каких edge-кейсах работает:
https://codeby.net/threads/cve-2026-40175-axios-uyazvimost-razbor-tsepochki-prototype-pollution-rce-i-obkhod-aws-imdsv2.92674/
Заголовок Issue в GitHub — и 700 000 машин под угрозой
Кто-то открывает тикет в репозитории IDE-расширения. Через несколько часов на каждой машине, запустившей
🔍 Это Clinejection — атака на расширение Cline (~700K установок). Вектор: indirect prompt injection через GitHub Issues в AI-workflow.
Цепочка:
• Вредоносный заголовок Issue переопределяет поведение Claude
• Агент выполняет
•
⚙️ Далее — cache poisoning в GitHub Actions: отравленный
704 000+ вредоносных open source пакетов с 2019 года, 6.6 триллиона загрузок в год. Supply chain — это уже конвейер.
Подробнее: https://codeby.net/threads/supply-chain-ataki-na-razrabotchikov-ot-vredonosnykh-ide-plaginov-do-komprometatsii-ci-cd.92662/
Кто-то открывает тикет в репозитории IDE-расширения. Через несколько часов на каждой машине, запустившей
npm update, работает AI-агент с полным доступом к файловой системе. Не zero-day. Просто plain text в заголовке.🔍 Это Clinejection — атака на расширение Cline (~700K установок). Вектор: indirect prompt injection через GitHub Issues в AI-workflow.
Цепочка:
• Вредоносный заголовок Issue переопределяет поведение Claude
• Агент выполняет
npm install с подменённым package.json•
preinstall-скрипт стягивает payload без предупреждений⚙️ Далее — cache poisoning в GitHub Actions: отравленный
node_modules попадает в nightly-workflow с доступом к NPM_RELEASE_TOKEN и OVSX_PAT. Один токен — и production скомпрометирован.704 000+ вредоносных open source пакетов с 2019 года, 6.6 триллиона загрузок в год. Supply chain — это уже конвейер.
Подробнее: https://codeby.net/threads/supply-chain-ataki-na-razrabotchikov-ot-vredonosnykh-ide-plaginov-do-komprometatsii-ci-cd.92662/
Какой менеджер паролей выдержит атаку на инфраструктуру?
Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера?
🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства.
Три контекста — три инструмента:
• Персональное →
• Команда 5–50 человек → self-hosted
• CI/CD →
В статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group.
https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/
Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера?
🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства.
Три контекста — три инструмента:
• Персональное →
KeePassXC + YubiKey• Команда 5–50 человек → self-hosted
Vaultwarden с LDAP• CI/CD →
HashiCorp Vault + Bitwarden CLIВ статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group.
https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/
CVSS 10.0 — и никакого логина. Как это вообще возможно?
🔴 CVE-2026-39337 в ChurchCRM — шелл без учётки, без взаимодействия пользователя, одним HTTP-запросом.
Механика проста: setup wizard CMS работает без аутентификации — учёток ещё нет. Поле пароля БД попадает напрямую в
В паре с ней — CVE-2026-27681 (CVSS 9.9): SQLi в SAP BPC/BW. Формально нужна учётка, но в SAP-среде минимальные привилегии есть у широкого круга сотрудников. Барьер входа фактически нулевой.
💻 В статье — полный лаб-гайд: Docker-стенд, Burp, внедрение пейлоада и получение шелла.
Детали и команды:
https://codeby.net/threads/pre-auth-rce-php-in-yektsiya-lab-gaid-po-cve-2026-39337-i-cve-2026-27681.92675/
🔴 CVE-2026-39337 в ChurchCRM — шелл без учётки, без взаимодействия пользователя, одним HTTP-запросом.
Механика проста: setup wizard CMS работает без аутентификации — учёток ещё нет. Поле пароля БД попадает напрямую в
Config.php без санитизации. Закрываешь строку, дописываешь PHP-код — он выполняется при подключении конфига. Патч выпустили, но закрыли не все спецсимволы.В паре с ней — CVE-2026-27681 (CVSS 9.9): SQLi в SAP BPC/BW. Формально нужна учётка, но в SAP-среде минимальные привилегии есть у широкого круга сотрудников. Барьер входа фактически нулевой.
💻 В статье — полный лаб-гайд: Docker-стенд, Burp, внедрение пейлоада и получение шелла.
Детали и команды:
https://codeby.net/threads/pre-auth-rce-php-in-yektsiya-lab-gaid-po-cve-2026-39337-i-cve-2026-27681.92675/
Три часа ночи, Splunk орёт, mimikatz на контроллере домена — это Blue Team
А теперь представь, что ты сам провёл эту атаку. Написал фишинг, получил shell, добрался до домена — и через неделю показываешь защитникам, где они тебя упустили.
Большинство статей рисуют Red, Blue и Purple Team как три изолированные коробки. На деле — это спектр. Как сформулировали в Cymulate: Blue и Red Team — существительные, а Purple Teaming — глагол. Не должность, а формат работы, когда атакующие и защитники вместе закрывают бреши.
🎯 Что реально делает Red Team каждый день:
• 60% времени — разведка: поддомены, LinkedIn, внешний периметр
• 20% — первоначальный доступ: фишинг, социальная инженерия
• 5% — отчётность, но именно она решает всё
И да — крутые пентестеры заваливают проекты именно на последнем пункте.
Выбор специализации — про тип мышления, который тебе ближе прямо сейчас.
https://codeby.net/threads/spetsializatsii-v-kiberbezopasnosti-red-team-blue-team-purple-team-kak-vybrat-svoi-put.92682/
А теперь представь, что ты сам провёл эту атаку. Написал фишинг, получил shell, добрался до домена — и через неделю показываешь защитникам, где они тебя упустили.
Большинство статей рисуют Red, Blue и Purple Team как три изолированные коробки. На деле — это спектр. Как сформулировали в Cymulate: Blue и Red Team — существительные, а Purple Teaming — глагол. Не должность, а формат работы, когда атакующие и защитники вместе закрывают бреши.
🎯 Что реально делает Red Team каждый день:
• 60% времени — разведка: поддомены, LinkedIn, внешний периметр
• 20% — первоначальный доступ: фишинг, социальная инженерия
• 5% — отчётность, но именно она решает всё
И да — крутые пентестеры заваливают проекты именно на последнем пункте.
Выбор специализации — про тип мышления, который тебе ближе прямо сейчас.
https://codeby.net/threads/spetsializatsii-v-kiberbezopasnosti-red-team-blue-team-purple-team-kak-vybrat-svoi-put.92682/
❤1👍1
Лаборатория пентестера за один вечер — без сервера за 128 ГБ RAM
«Купите мощный сервер» — и новичок закрывает вкладку. Но рабочий pentest-стенд разворачивается на ноутбуке с 16 ГБ RAM, бесплатно и за один вечер.
🔧 Три вещи, которые даёт домашняя лаборатория:
• Легальная среда — трафик внутри виртуального коммутатора, никаких уголовных рисков
• Снапшоты — сломал машину, откатился, попробовал другой вектор
• Привязка к MITRE ATT&CK — каждая атака становится техникой, а не просто «нажать кнопку»
По данным ISC2 2024, в мире не хватает 4,8 млн специалистов по кибербезопасности, и работодатели ставят практику выше диплома.
💡 Выбор гипервизора:
Полный разбор — от железа до первого реверс-шелла:
https://codeby.net/threads/domashnyaya-laboratoriya-dlya-pentesta-v-2026-ot-gipervizora-do-pervogo-vzloma-uyazvimogo-stenda.92704/
«Купите мощный сервер» — и новичок закрывает вкладку. Но рабочий pentest-стенд разворачивается на ноутбуке с 16 ГБ RAM, бесплатно и за один вечер.
🔧 Три вещи, которые даёт домашняя лаборатория:
• Легальная среда — трафик внутри виртуального коммутатора, никаких уголовных рисков
• Снапшоты — сломал машину, откатился, попробовал другой вектор
• Привязка к MITRE ATT&CK — каждая атака становится техникой, а не просто «нажать кнопку»
По данным ISC2 2024, в мире не хватает 4,8 млн специалистов по кибербезопасности, и работодатели ставят практику выше диплома.
💡 Выбор гипервизора:
VirtualBox для старта, VMware Workstation Pro (бесплатен с 2024) для повседневки, Proxmox VE — когда переросли ноутбук.Полный разбор — от железа до первого реверс-шелла:
https://codeby.net/threads/domashnyaya-laboratoriya-dlya-pentesta-v-2026-ot-gipervizora-do-pervogo-vzloma-uyazvimogo-stenda.92704/
👍1
Два CVE, два языка, одна дыра в архитектуре AI-агентов
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
Апрель 2026-го сломал иллюзию «безопасной песочницы» для мультиагентных фреймворков. Два критических бага — оба эксплуатируются по сети с низкой сложностью.
🔴 CVE-2026-39888 (CVSS 9.9) — PraisonAI. Блоклист содержит 11 атрибутов вместо 30+. Четыре пропущенных имени (
__traceback__, tb_frame, f_back, f_builtins) образуют цепочку frame traversal: поднимаешься по стеку до __builtins__, достаёшь exec — полный RCE на хосте.🔴 CVE-2026-34208 (CVSS 10.0) — SandboxJS. Prototype mutation через
this.constructor.call() обходит защиту глобальных объектов. Мутации живут между сессиями: один запрос отравляет shared state для всех пользователей.Оба бага — следствие AST-блоклистов вместо изоляции через gVisor или Kata Containers.
https://codeby.net/threads/sandbox-escape-v-ai-agentakh-2026-razbirayem-cve-2026-39888-i-cve-2026-34208.92719/
Forwarded from Codeby
MFA включена — значит всё в порядке? Не совсем
Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.
🎯 Три вектора против MFA:
• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости
По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.
🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.
https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/
Двухфакторка защищает ровно один момент — сам вход. Как только система выдала session token, MFA больше не нужна. Кто владеет токеном — тот и в аккаунте.
🎯 Три вектора против MFA:
• SS7-перехват — SMS с OTP маршрутизируется через узел атакующего
• SIM-свопинг — номер переносится через звонок в поддержку, все коды идут злоумышленнику
• MFA fatigue — поток push-запросов, пока пользователь не нажмёт «Подтвердить» от усталости
По данным Obsidian Security, 97%+ атак на MFA-защищённые аккаунты в 2025 году начинались не со взлома криптографии, а с поиска зазоров вокруг неё.
🔍 В статье — маппинг на MITRE ATT&CK, разбор adversary-in-the-middle фишинг-прокси и рекомендации для blue team.
https://codeby.net/threads/obkhod-mnogofaktornoi-autentifikatsii-ataki-cherez-otp-perekhvat-sim-svoping-i-push-ustalost.92728/
👍2
Forwarded from Hacker Lab
57% Patch Tuesday — это повышение привилегий. Совпадение?
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/
Получить reverse shell — полдела. Обычный пользователь не даст дампа LSASS, отключения EDR или нормального persistence. Нужен SYSTEM — и первое полугодие 2026-го выдало рекордный урожай LPE-уязвимостей.
🔥 Главная история — BlueHammer и CVE-2026-33825. Исследователь слил PoC через 12 дней после раскрытия. Механика: цепочка из пяти легитимных компонентов — Defender, VSS, Cloud Files API, Oplocks и Symbolic Links — по отдельности не сломан ни один. В связке дают чтение SAM-файла, NTLM-хеши и SYSTEM на полностью пропатченных Win10/11.
🎯 Вторая — CVE-2026-21533 в Remote Desktop, уже в каталоге CISA KEV. Из RDP-сессии рядового пользователя — прямой путь к сессиям доменных админов.
Полный разбор, энумерация и путь до SYSTEM:
https://codeby.net/threads/privilege-escalation-windows-2026-razbor-svezhikh-cve-iz-patch-tuesday-i-tekhniki-lpe-ekspluatatsii.92750/