⚡ 70% кибератак начинаются не со взлома кода — а со взлома человека
Представь такую картину: тебе звонит «сотрудник банка». Называет твоё имя, последние цифры карты, сообщает о подозрительном переводе. Сердце колотится. Через минуту деньги уже ушли. Никакого вируса, никакого брутфорса. Взломали не систему — взломали тебя.
По данным Verizon, более 70% успешных кибератак включают элемент социальной инженерии. Это означает одно: самый дорогой файрвол бесполезен, если сотрудник продиктовал код из SMS незнакомцу по телефону.
🧠 Почему это работает даже на умных людей
Социальные инженеры не эксплуатируют уязвимости в коде — они эксплуатируют когнитивные ярлыки. Те самые автоматические реакции, которые помогают нам быстро принимать решения в обычной жизни.
Вот пять рычагов, на которые давят атакующие:
• Авторитет — уверенный тон, профессиональный жаргон, «корочка». Критическое мышление выключается.
• Срочность — «ваш аккаунт заблокируют через 15 минут». Мозг переключается в режим «делай, потом думай».
• Страх потери — угроза лишиться денег или данных вызывает панику и желание немедленно действовать.
• Взаимность — кто-то «помог» тебе, и теперь ты чувствуешь моральный долг ответить.
• Любопытство — «смотри, какие фото с корпоратива утекли!» — рука сама тянется кликнуть.
🎣 Три метода, о которых стоит знать
Фишинг — самая массовая угроза. Поддельное письмо от «почтовой службы»: «ваша посылка задержана, подтвердите адрес». Ссылка ведёт на сайт-клон, где жертва вводит данные карты. Отдельно выделяют спир-фишинг — точечную атаку на конкретного человека с персонализированным письмом после изучения его соцсетей.
Вишинг — телефонный фишинг. Живой голос в трубке работает мощнее любого письма: сложнее остановиться и проверить, когда тебе говорят, что деньги уже уходят.
Претекстинг — создание легенды. Атакующий заранее изучает жертву и выстраивает убедительный сценарий: «я из IT-отдела, проверяем учётные записи после инцидента». Всё выглядит правдоподобно, потому что атакующий знает детали.
🛡 Как защититься
Знание этих рычагов — уже половина защиты. Несколько правил, которые реально работают:
1. Любая «срочная» просьба — сигнал притормозить, а не ускориться.
2. Перезванивай по официальному номеру, а не тому, с которого позвонили.
3. Банк и техподдержка никогда не просят коды из SMS и пароли.
4. Проверяй адрес
Представь такую картину: тебе звонит «сотрудник банка». Называет твоё имя, последние цифры карты, сообщает о подозрительном переводе. Сердце колотится. Через минуту деньги уже ушли. Никакого вируса, никакого брутфорса. Взломали не систему — взломали тебя.
По данным Verizon, более 70% успешных кибератак включают элемент социальной инженерии. Это означает одно: самый дорогой файрвол бесполезен, если сотрудник продиктовал код из SMS незнакомцу по телефону.
🧠 Почему это работает даже на умных людей
Социальные инженеры не эксплуатируют уязвимости в коде — они эксплуатируют когнитивные ярлыки. Те самые автоматические реакции, которые помогают нам быстро принимать решения в обычной жизни.
Вот пять рычагов, на которые давят атакующие:
• Авторитет — уверенный тон, профессиональный жаргон, «корочка». Критическое мышление выключается.
• Срочность — «ваш аккаунт заблокируют через 15 минут». Мозг переключается в режим «делай, потом думай».
• Страх потери — угроза лишиться денег или данных вызывает панику и желание немедленно действовать.
• Взаимность — кто-то «помог» тебе, и теперь ты чувствуешь моральный долг ответить.
• Любопытство — «смотри, какие фото с корпоратива утекли!» — рука сама тянется кликнуть.
🎣 Три метода, о которых стоит знать
Фишинг — самая массовая угроза. Поддельное письмо от «почтовой службы»: «ваша посылка задержана, подтвердите адрес». Ссылка ведёт на сайт-клон, где жертва вводит данные карты. Отдельно выделяют спир-фишинг — точечную атаку на конкретного человека с персонализированным письмом после изучения его соцсетей.
Вишинг — телефонный фишинг. Живой голос в трубке работает мощнее любого письма: сложнее остановиться и проверить, когда тебе говорят, что деньги уже уходят.
Претекстинг — создание легенды. Атакующий заранее изучает жертву и выстраивает убедительный сценарий: «я из IT-отдела, проверяем учётные записи после инцидента». Всё выглядит правдоподобно, потому что атакующий знает детали.
🛡 Как защититься
Знание этих рычагов — уже половина защиты. Несколько правил, которые реально работают:
1. Любая «срочная» просьба — сигнал притормозить, а не ускориться.
2. Перезванивай по официальному номеру, а не тому, с которого позвонили.
3. Банк и техподдержка никогда не просят коды из SMS и пароли.
4. Проверяй адрес
Один PDF — и агент уже не ваш
70% организаций уже столкнулись с атаками через LLM. А большинство команд безопасности всё ещё ищут SQL-инъекции там, где работает совершенно другая плоскость. 🎯
Главное, что ломает мозг: LLM не разделяет инструкции и данные на архитектурном уровне. Системный промпт, пользовательский запрос, контент из RAG-базы — для модели это одинаковый текст в одном окне. Атаки работают на уровне семантики, а не синтаксиса.
Что внутри разбора:
• Prompt injection: direct, indirect, multimodal
• 7 техник jailbreak, которые работают сейчас
• AI Red Teaming:
• EU AI Act и NIST AI RMF — в технических контролях
• 6 уровней защиты и чеклист для команды 🛡️
Полный разбор:
https://codeby.net/threads/bezopasnost-llm-polnaya-karta-atak-na-yazykovyye-modeli-prompt-injection-i-regulyatornyye-trebovaniya-k-ii-v-2026-godu.92553/
70% организаций уже столкнулись с атаками через LLM. А большинство команд безопасности всё ещё ищут SQL-инъекции там, где работает совершенно другая плоскость. 🎯
Главное, что ломает мозг: LLM не разделяет инструкции и данные на архитектурном уровне. Системный промпт, пользовательский запрос, контент из RAG-базы — для модели это одинаковый текст в одном окне. Атаки работают на уровне семантики, а не синтаксиса.
Что внутри разбора:
• Prompt injection: direct, indirect, multimodal
• 7 техник jailbreak, которые работают сейчас
• AI Red Teaming:
Garak, PyRIT, кастомные фреймворки• EU AI Act и NIST AI RMF — в технических контролях
• 6 уровней защиты и чеклист для команды 🛡️
Полный разбор:
https://codeby.net/threads/bezopasnost-llm-polnaya-karta-atak-na-yazykovyye-modeli-prompt-injection-i-regulyatornyye-trebovaniya-k-ii-v-2026-godu.92553/
🔥1
Forwarded from Hacker Lab
В HackerLab запускается сертификация. На текущий момент сертификат доступен участникам, успешно завершившим курс SQL Injection Master и сдавшим итоговый экзамен.
Экзамен представляет собой практическую эксплуатацию уязвимостей в изолированной инфраструктуре. Вы не отвечаете на вопросы - вы атакуете систему, находите уязвимости и шаг за шагом развиваете атаку.
Это не просто «галочка», а результат, подтверждённый практикой.
PRO20
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1🔥1
End-to-end шифрование не защищает, если атакующий стал вашим «вторым устройством»
🔗 Никакого взлома криптографии. Никаких zero-day. Жертва сканирует QR-код, нажимает «подтвердить» — и атакующий читает входящие в реальном времени.
Именно так работали российские APT-группы в 2024–2025 годах против военных, журналистов, чиновников.
🎯 Механизм прост: Signal позволяет привязывать дополнительные устройства через QR. Между «отсканировал» и «скомпрометирован» — одно нажатие. Без рута, без малвари, без следов на устройстве. Группировки UNC5792 и UNC4221 собрали под это специализированный инструментарий: от поддельных group invite до кастомных фишинг-китов, мимикрирующих интерфейс Signal.
🛡 Полный разбор: архитектура linked devices, kill chain из 5 этапов, инструменты red team и чеклист харденинга.
Подробнее:
https://codeby.net/threads/vzlom-signal-akkaunta-polnyi-razbor-atak-cherez-linked-devices-i-qr-fishing.92566/
🔗 Никакого взлома криптографии. Никаких zero-day. Жертва сканирует QR-код, нажимает «подтвердить» — и атакующий читает входящие в реальном времени.
Именно так работали российские APT-группы в 2024–2025 годах против военных, журналистов, чиновников.
🎯 Механизм прост: Signal позволяет привязывать дополнительные устройства через QR. Между «отсканировал» и «скомпрометирован» — одно нажатие. Без рута, без малвари, без следов на устройстве. Группировки UNC5792 и UNC4221 собрали под это специализированный инструментарий: от поддельных group invite до кастомных фишинг-китов, мимикрирующих интерфейс Signal.
🛡 Полный разбор: архитектура linked devices, kill chain из 5 этапов, инструменты red team и чеклист харденинга.
Подробнее:
https://codeby.net/threads/vzlom-signal-akkaunta-polnyi-razbor-atak-cherez-linked-devices-i-qr-fishing.92566/
GitHub как вектор заражения: как Vidar прячется за фейковыми репозиториями
После того как Microsoft и DOJ снесли инфраструктуру Lumma Stealer, освободившуюся нишу занял Vidar — и выбрал неожиданный вектор: сотни фейковых GitHub-репозиториев. 🎯
Почему GitHub? Домен
Что делает Vidar 2.0 особенно неудобным для детекта:
• серверный билдер генерирует уникальный бинарник для каждой раздачи
• хэш каждого образца уникален — детект по SHA-256 бесполезен
• GitHub Releases — слепая зона: бинарники там не сканируются автоматически 🛡
Полный разбор с YARA-правилами и Sigma-запросами:
https://codeby.net/threads/vidar-infostealer-cherez-feikovyye-github-repozitorii-polnyi-razbor-ataki-i-detekshn.92582/
После того как Microsoft и DOJ снесли инфраструктуру Lumma Stealer, освободившуюся нишу занял Vidar — и выбрал неожиданный вектор: сотни фейковых GitHub-репозиториев. 🎯
Почему GitHub? Домен
github.com не блокируется корпоративными прокси, файлы из Releases не вызывают подозрений у EDR, а звёзды и форки создают иллюзию легитимности. Жертва сама скачивает и запускает троян, думая, что это читы для CS2 или утёкший исходник Claude Code. 🔍Что делает Vidar 2.0 особенно неудобным для детекта:
• серверный билдер генерирует уникальный бинарник для каждой раздачи
• хэш каждого образца уникален — детект по SHA-256 бесполезен
• GitHub Releases — слепая зона: бинарники там не сканируются автоматически 🛡
Полный разбор с YARA-правилами и Sigma-запросами:
https://codeby.net/threads/vidar-infostealer-cherez-feikovyye-github-repozitorii-polnyi-razbor-ataki-i-detekshn.92582/
Когда middleware пропускает не тех
Двухуровневая модель прав есть, а owner-check на чувствительных эндпоинтах — нет. Так устроен CVE-2026-32914 в OpenClaw.
🔑 Любой пользователь с базовой command-авторизацией читает и модифицирует
CVSS 8.7 (HIGH), CWE-863 — не «проверки нет», а «проверка не того уровня». Поэтому баг проходит мимо код-ревью: строчка авторизации на месте, просто проверяет не то.
🔍 Схема атаки:
1.
2.
Сетевая атака, низкий аккаунт, никакого взаимодействия с жертвой. Полный контроль над экземпляром.
Разбор и патч:
https://codeby.net/threads/cve-2026-32914-broken-access-control-v-openclaw-eskalatsiya-privilegii-cherez-config-i-debug-handlers.92585/
Двухуровневая модель прав есть, а owner-check на чувствительных эндпоинтах — нет. Так устроен CVE-2026-32914 в OpenClaw.
🔑 Любой пользователь с базовой command-авторизацией читает и модифицирует
/config и /debug — поверхности только для владельца экземпляра.CVSS 8.7 (HIGH), CWE-863 — не «проверки нет», а «проверка не того уровня». Поэтому баг проходит мимо код-ревью: строчка авторизации на месте, просто проверяет не то.
🔍 Схема атаки:
1.
/debug — разведка: переменные окружения, сессии, внутреннее состояние2.
/config — модификация конфигурации под себяСетевая атака, низкий аккаунт, никакого взаимодействия с жертвой. Полный контроль над экземпляром.
Разбор и патч:
https://codeby.net/threads/cve-2026-32914-broken-access-control-v-openclaw-eskalatsiya-privilegii-cherez-config-i-debug-handlers.92585/
«Нас ещё ни разу не взломали» — и бюджет убит
Именно эта фраза три раза уничтожала мой бюджет на бюджетном комитете. Для CFO она означает: «Зачем платить за то, что и так работает?»
💡 Проблема не в том, что бизнес не ценит безопасность. Проблема в том, что CISO не умеет говорить на языке денег.
Формула, которая работает:
Если контроль снижает годовые потери на 15 млн, а его TCO — 5 млн, получаем ROSI = 200%. Это язык, который CFO понимает без дополнительных слайдов.
🔢 Ключ — считать ALE (годовые ожидаемые потери) через частоту инцидентов и стоимость одного сбоя. Реальный пример: ransomware-риск на 5,6 млн/год ...
Подробности в статье:
https://codeby.net/threads/roi-kiberbezopasnosti-kak-izmerit-effektivnost-ib-investitsii-i-obosnovat-byudzhet-pered-biznesom.92590/
Именно эта фраза три раза уничтожала мой бюджет на бюджетном комитете. Для CFO она означает: «Зачем платить за то, что и так работает?»
💡 Проблема не в том, что бизнес не ценит безопасность. Проблема в том, что CISO не умеет говорить на языке денег.
Формула, которая работает:
ROSI = (ALE_до − ALE_после − Стоимость) / Стоимость × 100%Если контроль снижает годовые потери на 15 млн, а его TCO — 5 млн, получаем ROSI = 200%. Это язык, который CFO понимает без дополнительных слайдов.
🔢 Ключ — считать ALE (годовые ожидаемые потери) через частоту инцидентов и стоимость одного сбоя. Реальный пример: ransomware-риск на 5,6 млн/год ...
Подробности в статье:
https://codeby.net/threads/roi-kiberbezopasnosti-kak-izmerit-effektivnost-ib-investitsii-i-obosnovat-byudzhet-pered-biznesom.92590/
США инвестируют в то, что сами же санкционируют
561 организация, 46 стран, миллиарды долларов — легальная индустрия слежки. США стали её крупнейшим инвестором, обогнав Израиль.
🔍 За каждым заражённым устройством — корпоративная структура с SLA, техподдержкой и лицензиями. Pegasus продаётся как подписка: квота на 25-50 целей, обновление эксплойтов по мере закрытия.
⚡ Zero-click атаки FORCEDENTRY и BLASTPASS не требуют от жертвы ничего — достаточно получить сообщение. Закрыли вектор через
🏢 Брокеры, реселлеры, фронтовые компании — наименее изученная часть рынка, практически не покрытая регуляторами.
Полный разбор NSO, Intellexa, Candiru и QuaDream — бизнес-модели, CVE, корпоративные структуры:
https://codeby.net/threads/kommercheskoye-shpionskoye-po-razbor-rynka-nso-group-intellexa-candiru-i-quadream.92599/
561 организация, 46 стран, миллиарды долларов — легальная индустрия слежки. США стали её крупнейшим инвестором, обогнав Израиль.
🔍 За каждым заражённым устройством — корпоративная структура с SLA, техподдержкой и лицензиями. Pegasus продаётся как подписка: квота на 25-50 целей, обновление эксплойтов по мере закрытия.
⚡ Zero-click атаки FORCEDENTRY и BLASTPASS не требуют от жертвы ничего — достаточно получить сообщение. Закрыли вектор через
iMessage — NSO переключилась на следующий. Как Whac-A-Mole, только ставки выше.🏢 Брокеры, реселлеры, фронтовые компании — наименее изученная часть рынка, практически не покрытая регуляторами.
Полный разбор NSO, Intellexa, Candiru и QuaDream — бизнес-модели, CVE, корпоративные структуры:
https://codeby.net/threads/kommercheskoye-shpionskoye-po-razbor-rynka-nso-group-intellexa-candiru-i-quadream.92599/
Когда EDR ловит не бинарник, а цепочку вызовов
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
• Kernel —
• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
🔍 Cobalt Strike, PowerShell-однострочники, кастомные .NET-загрузчики — всё сгорело. Агент перехватил не файл, а поведенческую сигнатуру API-цепочки.
Коммерческие EDR работают на трёх уровнях телеметрии — обход одного не отключает остальные:
• User-mode — inline-хуки в
ntdll.dll• Kernel —
PsSetCreateProcessNotifyRoutine и minifilter-драйверы, из user-mode не обойти• ETW + облако — ловит многоэтапные атаки, которые хуки пропускают
⚠️ API Unhooking через маппинг чистой
ntdll.dll — классика, но CrowdStrike и SentinelOne восстанавливают хуки и детектируют само обращение к файлу.В статье — разбор с кодом: как устроены SentinelOne, CrowdStrike и Defender for Endpoint изнутри.
🔗 Полный разбор:
https://codeby.net/threads/obkhod-edr-windows-tekhniki-bypass-crowdstrike-sentinelone-i-defender-for-endpoint.92608/
От фишинга до SWIFT-перевода: как это работает на практике
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
🏦 Большинство материалов про пентест банка — это номера ГОСТов и положений ЦБ. Но ни один ГОСТ не объяснит, как атакующий проходит путь от письма до несанкционированного перевода.
⚡ Три находки из реальных red team операций:
• REST API между АБС и процессингом — без авторизации, достаточно попасть в нужный VLAN
• JWT мобильного банка с ID клиента в payload — signature не проверялась вообще
• OTP без rate-limiting — предсказуемая генерация, не привязан к операции
🔍 Банк — не плоская корпоративная сеть. Здесь сегменты АБС, процессинга, SWIFT, ДБО и офиса разделены. Пентестер обязан понимать топологию до первого запроса.
Полный kill chain, методика и разбор SWIFT-архитектур A1–A4 — в статье:
https://codeby.net/threads/pentest-banka-vektory-atak-i-tekhniki-proniknoveniya-v-finansovuyu-infrastrukturu.92615/
Эксплойт вслепую не работает — никогда
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
За 5 лет пентестов правило одно: сначала разведка, потом атака. Но большинство останавливается на банальном `nmap -sV`.
🔍 Разница между «открыт порт 3389» и «Network Service Discovery (T1046) выявил RDP на нестандартном порту 33389 без ограничения по источникам» — это разница между отчётом, который пожмут плечами, и находкой для CISO.
Три этапа, которые нельзя пропускать:
• Обнаружение хостов — ARP надёжнее ICMP в локалке
• Сканирование портов — флаг
-p- обязателен, сервисы на 33389, 8443, 13306 находятся именно так• Fingerprinting — версии, ОС, баннеры
⚡ Связка masscan + nmap: masscan находит порты за секунды, nmap делает детальный fingerprint по живым целям.
https://codeby.net/threads/setevaya-razvedka-i-skanirovaniye-portov-prakticheskoye-rukovodstvo-po-nmap-i-masscan.92635/
👍2
Зашифровал шеллкод — и всё равно поймали? Проблема не в шифровании.
🔍 EDR не читает байты — он смотрит на поведение. Цепочка
⚙️ Современный EDR работает на четырёх уровнях: статические сигнатуры, поведенческий анализ через хуки в
В разборе — полный пайплайн загрузчика на C: от XOR и RC4 до AES-128 CBC, обфускации и in-memory execution. И честно про ограничения: user-mode техники не обходят kernel-mode драйверы EDR.
🔗 Полный разбор с кодом:
https://codeby.net/threads/obkhod-antivirusa-i-edr-razrabotka-kastomnykh-peiloadov-ot-shifrovaniya-do-in-memory-execution.92621/
🔍 EDR не читает байты — он смотрит на поведение. Цепочка
VirtualAlloc → WriteProcessMemory → CreateRemoteThread — и вердикт вынесен, даже если пейлоад зашифрован идеально.⚙️ Современный EDR работает на четырёх уровнях: статические сигнатуры, поведенческий анализ через хуки в
ntdll, сканирование памяти и kernel-mode телеметрия. Каждый уровень — отдельная техника обхода.В разборе — полный пайплайн загрузчика на C: от XOR и RC4 до AES-128 CBC, обфускации и in-memory execution. И честно про ограничения: user-mode техники не обходят kernel-mode драйверы EDR.
🔗 Полный разбор с кодом:
https://codeby.net/threads/obkhod-antivirusa-i-edr-razrabotka-kastomnykh-peiloadov-ot-shifrovaniya-do-in-memory-execution.92621/
💩1
Обновили профили на форуме: теперь видно, кто есть кто
Странная штука: открываешь тред с нетривиальным разбором, отвечают двое. Один с двумя сотнями сообщений, второй с двадцатью тысячами. Оба уверенно, оба по делу. Новичок листает и не понимает, кому верить.
А на форуме годами сидят люди с OSCP, сотнями машин на HTB, реальными пентестами, опытом в BlueTeam крупных контор. И ничего этого рядом с ником не видно. Тот, кто десять лет ковыряет периметр банков, и тот, кто зарегался вчера — в ленте выглядят одинаково.
Дело не в понтах. Один и тот же совет от этих двоих весит по-разному, и важно понимать, от кого он.
Переделали профили. Теперь можно показать специализацию, сертификаты, HTB, TryHackMe, HackerLab, портфолио — всё цепляется к мини-профилю у каждого поста. Плюс верификация, чтобы строчка про OSCP была не просто строчкой. Заполнять никто не гонит, заполнение профиля дело добровольное.
Подробности — в анонсе:
https://codeby.net/threads/obnovili-profili-teper-vidno-kto-yest-kto.92647/
Странная штука: открываешь тред с нетривиальным разбором, отвечают двое. Один с двумя сотнями сообщений, второй с двадцатью тысячами. Оба уверенно, оба по делу. Новичок листает и не понимает, кому верить.
А на форуме годами сидят люди с OSCP, сотнями машин на HTB, реальными пентестами, опытом в BlueTeam крупных контор. И ничего этого рядом с ником не видно. Тот, кто десять лет ковыряет периметр банков, и тот, кто зарегался вчера — в ленте выглядят одинаково.
Дело не в понтах. Один и тот же совет от этих двоих весит по-разному, и важно понимать, от кого он.
Переделали профили. Теперь можно показать специализацию, сертификаты, HTB, TryHackMe, HackerLab, портфолио — всё цепляется к мини-профилю у каждого поста. Плюс верификация, чтобы строчка про OSCP была не просто строчкой. Заполнять никто не гонит, заполнение профиля дело добровольное.
Подробности — в анонсе:
https://codeby.net/threads/obnovili-profili-teper-vidno-kto-yest-kto.92647/
❤3👍2🔥2
OSCP за 250 000 ₽ — или есть смысл выбрать другое?
Открываешь hh.ru по запросу «пентестер» — сертификаты почти не упоминаются. Открываешь LinkedIn — «OSCP required» в каждой второй вакансии. Два рынка, два разных ответа на вопрос: что учить в 2026-м? 🎯
Ключевые факты:
• С ноября 2024 OffSec убрал бонусные баллы за домашку — экзамен OSCP+ стал жёстче
• AD-сценарий — 40 баллов по принципу all-or-nothing: нет Domain Admin — нет баллов вообще
• CEH при цене ~120 000 ₽ не содержит практики — 125 тестовых вопросов за 4 часа
Реальная стоимость OSCP — не $2 749, а полгода жизни плюс ~250 000 ₽.
Выбор зависит от того, на какой рынок ты целишься и где находишься по уровню. 🔍
Полный разбор с российскими альтернативами и честными цифрами:
https://codeby.net/threads/kursy-po-etichnomu-khakingu-2026-oscp-ceh-ejpt-i-rossiiskiye-al-ternativy-chestnoye-sravneniye-ot-praktika.92658/
Открываешь hh.ru по запросу «пентестер» — сертификаты почти не упоминаются. Открываешь LinkedIn — «OSCP required» в каждой второй вакансии. Два рынка, два разных ответа на вопрос: что учить в 2026-м? 🎯
Ключевые факты:
• С ноября 2024 OffSec убрал бонусные баллы за домашку — экзамен OSCP+ стал жёстче
• AD-сценарий — 40 баллов по принципу all-or-nothing: нет Domain Admin — нет баллов вообще
• CEH при цене ~120 000 ₽ не содержит практики — 125 тестовых вопросов за 4 часа
Реальная стоимость OSCP — не $2 749, а полгода жизни плюс ~250 000 ₽.
eJPT закрывает вход в профессию за несравнимо меньший бюджет.Выбор зависит от того, на какой рынок ты целишься и где находишься по уровню. 🔍
Полный разбор с российскими альтернативами и честными цифрами:
https://codeby.net/threads/kursy-po-etichnomu-khakingu-2026-oscp-ceh-ejpt-i-rossiiskiye-al-ternativy-chestnoye-sravneniye-ot-praktika.92658/
87% уязвимостей — и полный провал без подсказки
GPT-4 автономно эксплуатирует 87% известных уязвимостей. Без CVE-описания — только 7%. Эта пропасть и есть честный портрет AI-пентеста в 2024-м.
🔍 Агент на ReAct-паттерне — не чат-бот, а цикл «мысль → действие → наблюдение»: запустил
На практике:
• Разведка: ручная работа сокращается с 40-60 минут до 10
• LLM видит бизнес-логику там, где сканер видит только баннер
• Автономные агенты решают 21% CTF-задач, полуавтономные — 64%
⚠️ Но он же галлюцинирует флаги
https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-i-gde-lomayut-sya-na-praktike.92653/
GPT-4 автономно эксплуатирует 87% известных уязвимостей. Без CVE-описания — только 7%. Эта пропасть и есть честный портрет AI-пентеста в 2024-м.
🔍 Агент на ReAct-паттерне — не чат-бот, а цикл «мысль → действие → наблюдение»: запустил
nmap, разобрал вывод, нашёл открытый 8080, попробовал SQL-инъекцию. Всё сам.На практике:
• Разведка: ручная работа сокращается с 40-60 минут до 10
• LLM видит бизнес-логику там, где сканер видит только баннер
• Автономные агенты решают 21% CTF-задач, полуавтономные — 64%
⚠️ Но он же галлюцинирует флаги
nmap, придумывает несуществующие бинарники и предлагает эксплойт-цепочки, которые не работают.https://codeby.net/threads/ai-pentest-kak-llm-agenty-uskoryayut-poisk-uyazvimostei-i-gde-lomayut-sya-na-praktike.92653/
47 алертов в 2 ночи — и ты не знаешь, атака это или плановый сканер
Именно так выглядит первая смена в SOC. Не эффектный взлом, а умение отличить шум от реальной угрозы.
🔍 Что проверяют на техническом интервью для junior SOC:
• Сети — объяснить DNS-запрос, прочитать pcap в Wireshark
• Windows — Event ID:
• MITRE ATT&CK — маппить активность на техники, а не просто знать аббревиатуру
Диплом не обязателен. По данным ISC2 2024, наниматели смотрят на демонстрируемые навыки. В SOC берут из техподдержки, сетевого администрирования и гуманитарных специальностей.
⚡ Переход L1 → L2 занимает 6–18 месяцев. На L2 пишешь корреляционные правила, автоматизируешь рутину на Python, строишь таймлайн атаки.
Полный разбор с роадмапом и инструментами:
https://codeby.net/threads/kar-yera-soc-analitika-v-2026-real-nyi-put-ot-novichka-do-spetsialista.92664/
Именно так выглядит первая смена в SOC. Не эффектный взлом, а умение отличить шум от реальной угрозы.
🔍 Что проверяют на техническом интервью для junior SOC:
• Сети — объяснить DNS-запрос, прочитать pcap в Wireshark
• Windows — Event ID:
4624, 4625, 4688, базовый PowerShell• MITRE ATT&CK — маппить активность на техники, а не просто знать аббревиатуру
Диплом не обязателен. По данным ISC2 2024, наниматели смотрят на демонстрируемые навыки. В SOC берут из техподдержки, сетевого администрирования и гуманитарных специальностей.
⚡ Переход L1 → L2 занимает 6–18 месяцев. На L2 пишешь корреляционные правила, автоматизируешь рутину на Python, строишь таймлайн атаки.
Полный разбор с роадмапом и инструментами:
https://codeby.net/threads/kar-yera-soc-analitika-v-2026-real-nyi-put-ot-novichka-do-spetsialista.92664/
60 млн загрузок в неделю — и CVSS 10.0. Но реальна ли угроза?
Исследователь, нашедший баг в Axios, сам говорит: «в реальном продакшене это не должно сработать». При этом NVD ставит максимальный балл.
🔗 CVE-2026-40175 — цепочка из трёх CWE:
• CWE-113 — CRLF-инъекция в заголовках
• CWE-444 — HTTP Request Smuggling
• CWE-918 — SSRF до AWS IMDS
Схема атаки: сторонняя библиотека (
💡 Scope: Changed в CVSS-векторе — вот почему 10.0, а не 9.8. Атака выходит за пределы Axios и бьёт по облачной инфраструктуре.
Полный разбор — где цепочка ломается и в каких edge-кейсах работает:
https://codeby.net/threads/cve-2026-40175-axios-uyazvimost-razbor-tsepochki-prototype-pollution-rce-i-obkhod-aws-imdsv2.92674/
Исследователь, нашедший баг в Axios, сам говорит: «в реальном продакшене это не должно сработать». При этом NVD ставит максимальный балл.
🔗 CVE-2026-40175 — цепочка из трёх CWE:
• CWE-113 — CRLF-инъекция в заголовках
• CWE-444 — HTTP Request Smuggling
• CWE-918 — SSRF до AWS IMDS
Схема атаки: сторонняя библиотека (
qs, minimist) загрязняет Object.prototype → Axios подхватывает «грязное» свойство при merge конфигов → CRLF разрывает HTTP-запрос → контрабандный PUT уходит на 169.254.169.254 за IMDSv2-токеном.💡 Scope: Changed в CVSS-векторе — вот почему 10.0, а не 9.8. Атака выходит за пределы Axios и бьёт по облачной инфраструктуре.
Полный разбор — где цепочка ломается и в каких edge-кейсах работает:
https://codeby.net/threads/cve-2026-40175-axios-uyazvimost-razbor-tsepochki-prototype-pollution-rce-i-obkhod-aws-imdsv2.92674/
Заголовок Issue в GitHub — и 700 000 машин под угрозой
Кто-то открывает тикет в репозитории IDE-расширения. Через несколько часов на каждой машине, запустившей
🔍 Это Clinejection — атака на расширение Cline (~700K установок). Вектор: indirect prompt injection через GitHub Issues в AI-workflow.
Цепочка:
• Вредоносный заголовок Issue переопределяет поведение Claude
• Агент выполняет
•
⚙️ Далее — cache poisoning в GitHub Actions: отравленный
704 000+ вредоносных open source пакетов с 2019 года, 6.6 триллиона загрузок в год. Supply chain — это уже конвейер.
Подробнее: https://codeby.net/threads/supply-chain-ataki-na-razrabotchikov-ot-vredonosnykh-ide-plaginov-do-komprometatsii-ci-cd.92662/
Кто-то открывает тикет в репозитории IDE-расширения. Через несколько часов на каждой машине, запустившей
npm update, работает AI-агент с полным доступом к файловой системе. Не zero-day. Просто plain text в заголовке.🔍 Это Clinejection — атака на расширение Cline (~700K установок). Вектор: indirect prompt injection через GitHub Issues в AI-workflow.
Цепочка:
• Вредоносный заголовок Issue переопределяет поведение Claude
• Агент выполняет
npm install с подменённым package.json•
preinstall-скрипт стягивает payload без предупреждений⚙️ Далее — cache poisoning в GitHub Actions: отравленный
node_modules попадает в nightly-workflow с доступом к NPM_RELEASE_TOKEN и OVSX_PAT. Один токен — и production скомпрометирован.704 000+ вредоносных open source пакетов с 2019 года, 6.6 триллиона загрузок в год. Supply chain — это уже конвейер.
Подробнее: https://codeby.net/threads/supply-chain-ataki-na-razrabotchikov-ot-vredonosnykh-ide-plaginov-do-komprometatsii-ci-cd.92662/
Какой менеджер паролей выдержит атаку на инфраструктуру?
Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера?
🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства.
Три контекста — три инструмента:
• Персональное →
• Команда 5–50 человек → self-hosted
• CI/CD →
В статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group.
https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/
Обычные обзоры сравнивают цену и устройства. Но никто не отвечает на главное: что получит атакующий при полном дампе серверов провайдера?
🔐 Ключевой вопрос — где живёт ключ шифрования хранилища. У 1Password он деривируется из мастер-пароля и Secret Key, который генерируется локально и на серверы не передаётся. Брутфорс бесполезен без 128-битного ключа с устройства.
Три контекста — три инструмента:
• Персональное →
KeePassXC + YubiKey• Команда 5–50 человек → self-hosted
Vaultwarden с LDAP• CI/CD →
HashiCorp Vault + Bitwarden CLIВ статье — threat model на базе MITRE ATT&CK (T1555.005, T1195.002) и аудиты Cure53 и NCC Group.
https://codeby.net/threads/menedzher-parolei-dlya-security-inzhenera-threat-model-arkhitektura-i-rezul-taty-auditov.92663/