Codeby

«Кто это сделал?» — фраза, с которой в командах начинается половина расследований. Ответ на такой вопрос даёт сервис аудитных логов. Звучит просто:

фиксируй событие и показывай в интерфейсе.

На практике — Kafka, Iceberg, StarRocks, собственная библиотека для сервисов и отдельный компонент, который страхует от потери событий при сетевых авариях. В MWS Cloud Platform объяснили архитектуру своего сервиса аудитных логов целиком — от генерации события в сервисе до запроса пользователя. Технический разбор со схемами и описанием развилок: что пробовали, что отмели и почему➡️ читайте в статье на Хабре.

Plaso ☁️ Plaso — это Python-фреймворк с открытым исходным кодом для цифровой криминалистики, предназначенный для извлечения временных меток и событий из различных артефактов файловой системы, логов и образов дисков. Он формирует единый supertimeline, объединяя данные из десятков источников в хронологический порядок для анализа последовательности событий в расследованиях. 🕸 Plaso включает ключевые утилиты log2timeline (сбор и парсинг событий в файл .plaso), psort (фильтрация и экспорт в CSV/JSON/TLE), pinfo (статистика хранилища). Поддерживает 1000+ парсеров для Windows (Event Logs, MFT, Prefetch, Amcache, реестр, Jump Lists), Linux (syslog, bash_history, apt), macOS, Android/iOS, браузеров и облачных артефактов. Работает с сырыми образами (E01, dd), VSS-снимками, живыми системами Основные свойства: ➡️ Извлечение и парсинг артефактов: Автоматически собирает временные метки из 1000+ источников — Event Logs (EVTX), MFT/$LogFile (NTFS), реестр Windows (SAM, SYSTEM), Prefetch/Amcache, браузеры (Chrome/Firefox history), syslog/bash_history (Linux), мобильные данные (Android/iOS), облачные артефакты. ➡️ Supertimeline: Агрегирует все события в единую хронологическую последовательность (по UTC/TZ), упрощая корреляцию (например, запуск malware + сетевое соединение). ➡️ Кроссплатформенность: Работает на Windows/Linux/macOS, обрабатывает NTFS/ext4/HFS+/APFS, сырые образы (E01/dd), VSS-снимки, живые системы без монтирования. ➡️ Фильтрация и анализ: Мощные запросы в psort (по дате, ключевым словам, sourcetype, MACB — Modified/Accessed/Changed/Birth); экспорт в CSV/JSON/HTML/TLE для Timesketch/ELK/Autopsy. ➡️ Распараллеливание и производительность: Многопоточный парсинг, поддержка кластеров; обрабатывает ТБ данных (рекомендуется 32+ GB RAM). ➡️ Расширяемость: Плагины для VirusTotal-хешей, геолокации IP; интеграция с Velociraptor/GRR; скриптинг на PlasoLang. ⬇️ Установка:

sudo apt install python3-pip plaso-tools
pip3 install plaso

🪧 Создание таймлайна из образа диска:

log2timeline.py --storage-file /path/plaso.dump /path/plaso.vhdx
pinfo evidence.plaso  
psort -o l2tcsv -w timeline.csv "sourcetype='WINEVTLOG_EVENTLOG' AND message:*malware*" evidence.plaso

#plaso #log2timeline #forensics #dfir 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

⏺️10 ноября 1983 года (рождение вируса) Аспирант Университета Южной Калифорнии Фред Коэн публично продемонстрировал самовоспроизводящийся код, который самостоятельно распространялся по системе. Это был первый в истории компьютерный вирус.

«Это похоже на биологический вирус», — заметил наставник Коэна, Лен Адельман. Название закрепилось мгновенно.

⏺️Как был устроен первый вирус Идея родилась 3 ноября 1983 года — на еженедельном семинаре по компьютерной безопасности. Коэну потребовалось 8 часов работы на VAX 11/750 под управлением Unix, чтобы создать программу-прототип. Принцип был элегантен: ▶️Вирус встроили в новую утилиту vd (графический дисплей Unix-структур), которую предложили пользователям через системную доску объявлений ▶️Код разместили в начале программы, чтобы он запускался до любой другой обработки ▶️При каждом запуске заражённой программы вирус использовал права текущего пользователя для заражения других файлов Результаты пяти экспериментов оказались шокирующими даже для самого Коэна: ▶️минимальное время получения полного контроля над системой — менее 5 минут ▶️среднее время — менее 30 минут ▶️заражению подвергались даже те пользователи, которые знали, что эксперимент проводится

«После объявления результатов администраторы VAX 11/750 запретили любые дальнейшие эксперименты по компьютерной безопасности на своей системе», — писал Коэн

Все файлы были очищены, код удалён, ущерба не нанесено. Но предупреждение прозвучало. ⏺️«Если бы мы знали…» После демонстрации к Коэну подошёл представитель АНБ США:

«Если бы мы знали о содержании вашего доклада, вам не позволили бы его проводить»

Коэн ответил: «Именно поэтому я никому не сказал». С этого момента государство рассматривало его как потенциальную угрозу. ⏺️Двойная жизнь: подозреваемый и ценный кадр Власти инициировали наблюдение за Коэном: ▶️задержания на границе ▶️отслеживание передвижений ▶️инцидент в аэропорту (такси с Коэном не выпускали, пока автомобиль с сотрудниками спецслужб не проследовал за ним) Одновременно DARPA (подразделение Минобороны США) привлекла Коэна к взлому собственных защищённых компьютеров Пентагона. Парадокс преследования и доверия стал определяющим фактором его карьеры. ⏺️1984 В научной работе того года Коэн сформулировал два фундаментальных тезиса: ▶️Любая система с транзитивностью уязвима. Поскольку этим свойством обладает каждый компьютер, абсолютно защищённых систем не существует ▶️Универсальный антивирус невозможен в принципе

«Теория определила вектор кибербезопасности на десятилетия», — констатируют эксперты.

⏺️1988. Первая массовая атака (червь Морриса) Четыре года спустя теория Коэна получила практическое подтверждение. Студент Корнелла Роберт Моррис (сын сотрудника АНБ) запустил в сеть червя.

«Я просто хотел показать уязвимости», — утверждал он.

Результаты: ▶️за 24 часа заражено 6 000 компьютеров — 10% всего интернета ▶️многократное самовоспроизведение червя приводило к полной остановке систем ▶️первая зафиксированная DDoS-атака в истории Моррис получил условный срок и штраф, став первым в США осуждённым за компьютерное преступление. ⏺️Главная уязвимость — человек На основе анализа инцидента Коэн сформулировал ключевой тезис:

«Нельзя сделать патч для сознания»

Техническое совершенство системы не имеет значения, если её оператором является человек. Именно человеческий фактор остаётся основным вектором атак. ⏺️Последующие атаки подтвердили правоту Коэна: ▶️2000 год (ILOVEYOU) - распространялся через письма с темой «Я тебя люблю». 55 млн заражённых компьютеров, ущерб — миллиарды долларов ▶️2010 год (Stuxnet) - первый вирус, наносящий физический урон. Разработан при поддержке правительства США для вывода из строя иранских центрифуг ▶️2017 год (NotPetya) - червь, уничтожавший данные под видом вымогателя. Парализовал Maersk, FedEx. Ущерб — десятки миллиардов долларов #ФредКоэн #Моррис #virus #DDoS 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Предсказуемый sequence number — и чужая сессия у тебя в руках Полгода назад на внутреннем пентесте я перехватил TCP-сессию между сервером мониторинга и управляющей консолью. RST-инъекция сработала с первого пакета — от обнаружения открытого порта до разрыва чужого соединения прошло 12 минут. Коллега-джуниор, наблюдавший в Wireshark, не мог понять, что происходит. Он знал, что TCP — «надёжный протокол». Но не представлял, как именно эта надёжность становится уязвимостью. 🔍 Суть проблемы — в механике трёхстороннего рукопожатия. Клиент отправляет SYN с начальным sequence number, сервер отвечает SYN-ACK со своим, клиент подтверждает ACK. Три пакета — соединение установлено. Просто? Да. Но дьявол в деталях: • Сервер после получения SYN выделяет ресурсы на полуоткрытое соединение ещё до завершения handshake. Запись в SYN-очереди висит ~31 секунду, ожидая финального ACK. Отправь тысячи SYN без продолжения — и очередь переполнится. Это классический SYN flood. • В устаревших TCP-стеках начальные sequence numbers генерировались линейно. Атакующий предсказывал ISN удалённого хоста и инжектировал пакеты в чужую сессию вслепую — blind TCP injection. Современные ОС вычисляют ISN через криптографический хеш (RFC 6528), но legacy-системы в промышленных сетях и SCADA — до сих пор уязвимы. ⚡ А теперь про разведку. SYN-скан в Nmap (nmap -sS) — первое, что запускаешь на новом проекте. Отправляется SYN, анализируется ответ, тут же шлётся RST — рукопожатие не завершается. Три варианта ответа: • SYN-ACK → порт открыт, сервис слушает • RST → порт закрыт • Тишина → файрвол дропает пакет Разница между SYN-сканом и обычным connect-сканом (-sT) — как между подглядыванием в замочную скважину и стуком в дверь. Первый не оставляет записей в логах сервиса, второй — оставляет. 🛡 Каждый уровень TCP/IP-стека — отдельная поверхность атаки. На L2 — ARP-спуфинг и MAC-flooding. На L3 — IP-спуфинг и фрагментация. На L4 — манипуляции флагами, SYN flood, session hijacking. На L7 — SQL-инъекции и перехват сессий. Один пентестер за час может работать на трёх уровнях — и каждый раз правила игры меняются. TCP-атаки — не финальная цель. Это разведка и плацдарм для lateral movement и privilege escalation. Без понимания транспортного уровня весь пентест строится на догадках. 📖 В полной статье — разбор всех TCP-флагов, практика с Scapy и Wireshark, реальные примеры RST-инъекций и защита от них. Читайте на Codeby. https://codeby.net/threads/tcp-ip-stek-protokolov-dlya-khakera-flagi-rukopozhatiye-i-real-nyye-ataki.93696/

Subzy

Инструмент для захвата субдоменов, работающий на основе сопоставления отпечатков ответов.

📐Функции: 📉Возможность сканировать несколько поддоменов списком 📉Скрытие неудачных проверок или неуязвимых домменов 🖱Проверка действительности SSL ⬇️Установка: 0️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/PentestPad/subzy.git

cd subzy/

1️⃣Устанавливаем язык GO:

sudo apt install golang-go

2️⃣Собираем проект:

go build

⛓️‍💥Запуск: ▶️Запуск и сканирование одной цели:

./subzy r --target {URL}

▶️Запуск и сканирование списка поддоменов:

./subzy r --targets {TXT}

▶️Запуск и сканирование несольких целей, без использования списка:

./subzy r --targets {URL},{URL}

#web #wapt 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

732 байта Python-кода — и детерминистический root на любом Linux Представьте: один скрипт, никаких race condition, никаких per-distro offsets — и через пару секунд ваш www-data превращается в root. Именно так работает CVE-2026-31431, она же Copy Fail — уязвимость, которая пряталась в ядре Linux девять лет. 🔎Суть бага — в пересечении трёх подсистем ядра, которые по отдельности работают корректно: • AF_ALG — сокетный интерфейс к крипто-API ядра, доступный любому непривилегированному процессу • splice() — системный вызов, который передаёт данные через ссылки на страницы page cache без копирования • Page cache — общесистемный кеш, где одна и та же страница памяти обслуживает все процессы, включая setuid-бинари В 2017 году модуль algif_aead получил оптимизацию: destination и reference pages объединили в единый scatterlist. Но код не проверял, можно ли записывать за пределы output-региона. Шаблон authencesn при расшифровке пишет 4 байта scratch-данных по фиксированному смещению. Через splice() атакующий подставляет страницы page cache от setuid-бинаря — и эти четыре байта записываются прямо в кешированный образ /usr/bin/su. На диске файл не тронут, а в памяти — уже модифицирован. 👉Почему это страшнее Dirty Pipe? Три причины: 1. Детерминизм — нет окна гонки, эксплойт срабатывает со 100% вероятностью 2. Универсальность — работает на каждом крупном дистрибутиве с ядром от 2017 года (Ubuntu, RHEL, Amazon Linux, SUSE, Debian) 3. Container escape — page cache общий для хоста и контейнеров с shared kernel, так что Copy Fail — это ещё и побег из контейнера. PoC для Kubernetes уже валидирован на EKS, GKE и Alibaba Cloud ACK. 🎇Что устояло? МикроВМ (AWS Firecracker, Fargate), gVisor, V8-изоляты Cloudflare Workers — всё, где у каждого tenant своё ядро. Интересный момент: баг прятался так долго, потому что подсистему crypto/ ревьюили криптографы. Они проверяли IND-CPA, side channels, валидацию параметров. А вопрос «должна ли эта страница памяти вообще быть writeable?» — из другой дисциплины, и он просто выпал из поля зрения. Девять лет. На практике для пентестера это значит: после получения low-priv shell проверка Copy Fail занимает меньше времени, чем перебор SUID-бинарей или разбор cron jobs. Если модуль algif_aead загружен и ядро не пропатчено — root за секунды. Полный разбор механики, пошаговую эксплуатацию и рекомендации по защите читайте в полной статье. https://codeby.net/threads/cve-2026-31431-copy-fail-razbor-linux-privilege-escalation-bez-race-condition.93766/

🔑 Анатомия реестра Windows: SAM, BootKey и извлечение NTLM-хэшей «Для доступа к SAM нужны права SYSTEM, а хэши — только через дамп lsass». Все это повторяют, но это не совсем так. Заключительная часть серии по внутренним особенностям реестра. На этот раз — практический разбор того, как Mimikatz, Hashcat и PassRecovery вытаскивают пароли из учётных записей Windows. Что внутри: 📌 Как устроена база SAM — аутентификация, SID, политики безопасности и связь с lsass.exe 📌 BootKey — сборка 16-байтного ключа шифрования из скрытых полей ClassName четырёх ключей LSA (JD, Skew1, Data, GBG) 📌 Недокументированные структуры параметров F (fixed) и V (variable) — где лежат хэши NTLM, имена учёток, даты входа и счётчики 📌 Почему Credential Guard и RunAsPPL блокируют дамп lsass, но не закрывают доступ через реестр ⚙️ Практика — рабочий код на FASM, который из пользовательской сессии с привилегией SeBackup читает ветку SAM через RegCreateKeyEx + REG_OPTION_BACKUP_RESTORE. Без дампов памяти, без обращения к lsass. Флаг не наследуется, документации на структуры нет с времён WinXP, а различия между Win7 и Win10+ ломают все старые парсеры. Автор нашёл актуальные структуры и показывает всё на живой системе. 👉 https://codeby.net/threads/anatomiya-reyestra-windows-3-baza-dannykh-sam-i-kheshi-paroley.93745/

🚩 Новые задания на платформе HackerLab! 🎢 Категория Разное — Анонимизатор —————————————— 🗂 В архив добавлены задания + райтапы: 🔵PWN - Piece of cake Приятного хакинга!

🚗Пятничный опрос Проверим знания не по вебу, а по сетевой безопасности 🧠

🔍 Сетевая разведка за 30 дней — 4 недели практики на HackerLab 80% реальных пентест-engagement'ов начинаются с nmap и gobuster, а не с экзотических эксплойтов. Кто умеет читать вывод сканера — находит уязвимости. Кто пропускает recon — стоит на брутфорсе вечно. С 1 по 28 июня — бесплатная серия из 4 задач на hackerlab.pro. Одна неделя = один инструмент, сложность растёт: 📌 Неделя 1 — nmap: port scan + banner grabbing 📌 Неделя 2 — nmap -sV, ssh-audit: service enumeration 📌 Неделя 3 — gobuster, ffuf, wfuzz: web recon, directory + vhost 📌 Неделя 4 — nmap + Burp + hydra: полная цепочка recon → exploitation Всё решается прямо на платформе — никаких VPN, регистраций, скачиваний. ⚙️ Каждый понедельник — новый weekly-тред с intro, ссылками и discussion prompts. До дедлайна обсуждаем подходы и ошибки без спойлеров, после — открываем writeup'ы. 🎁 Топ-3 первых solver'ов каждой недели — мерч от Codeby + упоминание в рекапе. Лучшие writeup'ы закрепляются в треде. Подходит всем уровням: от первого запуска nmap до «code review» recon-привычек для middle. К концу июня — свой чеклист «что делать, когда увидел новый IP» и публичные writeup'ы в портфолио. 📅 Старт — 1 июня. Первая машина — «Кто там?» 👉 https://codeby.net/threads/misen-setevaya-razvedka-za-30-dnei-4-nedeli-praktiki-na-hackerlab.93740/

38 минут от первого запроса до пароля domain-админа: почему сетевые протоколы — самое слабое звено Внутренний пентест логистической компании. Nmap показал порт 161/udp с дефолтной community string, и SNMP-сервис радостно выдал имена хостов, интерфейсы и запущенные процессы. Два перехода по SMB-шарам с анонимным доступом, файл passwords.xlsx в открытом виде — домен скомпрометирован. Три сервиса, ни один не настроили. Сложных эксплойтов не понадобилось. Это не редкость, а типичная картина. Протоколы вроде SMB, FTP, SNMP и SMTP существуют десятилетиями, и именно поэтому их конфигурации часто остаются «как было при установке». Админы фокусируются на WAF и EDR, а дефолтный public на SNMP живёт годами. 🔎SNMP — часто самый недооценённый вектор. Community string — по сути пароль для доступа к информации об устройстве. На огромном количестве оборудования стоит public для чтения и private для записи. Одна команда — и вы читаете конфигурацию маршрутизаторов, коммутаторов, серверов. Имена хостов, сетевые интерфейсы, список процессов — всё это отличная стартовая точка для дальнейшего продвижения по сети. SMB — классика внутреннего пентеста. Два ключевых момента: ⏺️Анонимный доступ к шарам — файлы с паролями, конфиги, бэкапы баз лежат в открытом виде чаще, чем хочется верить ⏺️SMB signing отключён на рабочих станциях — до Windows 11 24H2 подпись пакетов включена, но не обязательна. Это открывает дверь для SMB relay: перехватил запрос аутентификации, перенаправил на другой хост, получил доступ Отдельная история — NTLM-хеши. Windows хранит не пароль, а его хеш. Зная хеш, можно аутентифицироваться без самого пароля (Pass-the-Hash). Расшифровывать ничего не нужно. ✉️ SMTP тоже не отстаёт. Open relay — почтовый сервер, который пересылает письма от кого угодно кому угодно. Фишинговое письмо с настоящего IP компании проходит базовые проверки на ура. Что объединяет все эти сервисы? Проблема не в протоколах, а в конфигурации. Каждый из них можно настроить безопасно — но этого часто не делают. 🎇В полной версии статьи — пошаговая разведка через Nmap, конкретные команды для эксплуатации каждого протокола, инструкция по развёртыванию лаборатории на Metasploitable 2 и детальный разбор техник. Читайте и практикуйте в безопасной среде. https://codeby.net/threads/ataki-na-setevyye-protokoly-pri-penteste-ekspluatatsiya-smb-ftp-snmp-i-smtp.93694/

🎯 Карьерный навигатор в кибербезопасности 2026 Пять треков, реальные зарплаты, конкретные точки входа — без воды и мотивационных речей. Каждую неделю в личку форума прилетает одно и то же: «С чего начать в инфобезе?» или «Год в SOC L1 — куда дальше?». Вместо того чтобы отвечать в личку 50 раз — собрали всё в одном треде. 🔬 Пять треков, между которыми нужно выбирать: • Pentester / Offensive Security — от 100K junior до 400K+ senior • SOC Analyst — от 90K на L1 до 450K руководитель SOC • DFIR — от 140K trainee до 600K forensic lead • AppSec / Secure Development — от 150K до 800K в финтехе • Red Team — входной билет от 200K, потолок 700K+ Цифры — медиана по Москве на 2026, данные hh.ru, SuperJob, Habr Career. ⚙️ Для каждого трека внутри: необходимые навыки, инструменты, сертификации, точка входа и ссылки на профильные гайды форума. Отдельный блок — для тех, кто уже junior и упёрся в потолок: три конкретных действия за год, которые меняют финальный оффер на 30–50%. 💬 В конце — открытый опрос и живое обсуждение. Пишите, на каком вы этапе и что мешает следующему шагу — отвечаем лично каждому. 👉 https://codeby.net/threads/misen-kar-yernyi-navigator-v-kiberbezopasnosti-2026-treki-zarplaty-tochki-vkhoda.93738/

Почему банкомат выдаёт деньги без карты — и как это ловить В 2024–2025 годах по США прокатилась волна jackpotting-атак: преступники опустошали кассеты банкоматов без единой карты и без стандартной транзакции. FBI и Secret Service выпускали экстренные предупреждения, аресты шли сразу в нескольких штатах. Восстановление одного заражённого банкомата обходится свыше $25 000 — форензика, переустановка ОС, сертификация, простой. Умножьте на десятки машин — и масштаб проблемы станет очевидным. 🔩 Всё начинается с физики. Банкомат делится на бронированный сейф внизу и так называемый «top hat» — верхнюю панель с системным блоком, USB-портами и сетевыми интерфейсами. Замки этих панелей серийные — один ключ на целую партию устройств. Атакующий в форме техника открывает корпус за 2–5 минут, вставляет USB-флешку — и дальше работает малварь. Самые известные семейства — Ploutus и Tyupkin. Оба бьют в одну архитектурную слабость: стандарт XFS (Extensions for Financial Services), через который банковское ПО управляет диспенсером, кардридером и пинпадом. XFS-команды на уровне middleware не требуют аутентификации конечного пользователя. Получив возможность выполнить код на ОС банкомата, атакующий отправляет WFSExecute напрямую к диспенсеру — минуя бэкенд и процессинг. Для банка эта операция просто не существует. Ploutus подменяет библиотеку msxfs.dll, прописывается в автозагрузку через ключ реестра Userinit и активируется по mule-кодам с внешней USB-клавиатуры. Скрытый интерфейс показывает содержимое кассет, скорость выдачи — свыше 100 купюр в минуту. Банкомат можно опустошить менее чем за 10 минут. Есть и второй метод — black-box. Тут ОС вообще не трогают: штатный системный блок отключают от диспенсера, подключают одноплатник или ноутбук напрямую к шине и шлют команды выдачи, имитируя контроллер. ⚡ Что может сделать SOC? Три конкретных шага: • Тамперный датчик на вскрытие корпуса должен генерировать P1-алерт в SIEM с автоматическим блокированием сетевого порта через NAC. Без этой связки между физическим и логическим мониторингом — слепая зона размером с весь ATM-парк. • Application whitelisting на каждом банкомате. Если бинарь не в белом списке — он не запустится. Kaspersky Embedded Systems Security или Trellix Application Control при корректной настройке закрывают малварный вектор. • Шифрование XFS-канала между middleware и диспенсером. Последние поколения NCR это поддерживают — без валидных ключей black-box становится бесполезен. 🔍 Отдельный риск — инсайдер. Скомпрометированный сотрудник подрядчика ставит малварь при плановом визите. Легитимный доступ, легитимные инструменты — тут спасает только dual-control и жёсткий контроль на уровне СКУД. Тема глубже, чем кажется: shimming POS-терминалов, detection-правила под MITRE ATT&CK, конкретные маппинги техник — всё это разобрано в полной статье на форуме. https://codeby.net/threads/pentest-bankomatov-i-pos-terminalov-jackpotting-shimming-i-detection-dlya-soc.93681/

Вы умеете находить следы взлома, когда их пытаются скрыть? После атак злоумышленники чистят логи, маскируют ВПО и заметают следы. Большинство видит пустоту. Только настоящий профессионал восстанавливает картину целиком. Курс по реагированию на компьютерные инциденты — та самая база для будущих экспертов в BlueTeam и IRT. Курс РКИ — это не теория. Это практический курс, после которого вы будете: ⏺️собирать дампы памяти и артефакты с Windows/Linux ⏺️анализировать логи и вредоносное ПО ⏺️применять Threat Intelligence и Threat Hunting для поиска скрытых угроз ⏺️грамотно реагировать на атаки и искать следы проникновения Что в программе ➡️26 тем, практические ДЗ (с 5-ой темы) и итоговый экзамен: теория (30 вопросов) + расследование реального кейса по виртуальной машине с подготовкой отчёта. Стартуем 8 июня 😀☺️😚🥲😎Подписка на hackerlab.pro — 40+ заданий по форензике и реагированию при записи на курс! Узнать подробнее о курсе

WaspSting

WaspSting - это инструмент командной строки на Python для белого тестирования на проникновение, поиска уязвимостей и проведения исследований в области безопасности. Он решает одну из самых трудоемких задач пентестинга - документирование - автоматически генерируя структурированные отчеты, шаблоны доказательств и планы тестирования по мере вашей работы.

📐Возможности: 📉Автоматическая документация - шаблоны для заполнения доказательств по каждой обнаруженной уязвимости, отчет создается автоматически 📉Перечисление поддоменов - crt.sh + HackerTarget + перебор DNS 📉Галерея ресурсов - скриншоты + метаданные каждого обнаруженного поддомена 📉Фаззер полезных нагрузок - SQLi, XSS, SSTI, SSRF, внедрение запросов, обход пути + пользовательские списки слов 📉Уведомления в реальном времени - веб-хуки Slack/Discord + автоматические задачи GitHub, создаваемые на основе обнаруженных уязвимостей 📉Локальный ИИ через Ollama - проверка кода + информация bug bounty, без ключа API, ничего не покидает ваш компьютер 📉HTML-отчет для руководителей - оценка риска, диаграммы серьезности, фильтруемая таблица обнаруженных уязвимостей 📉Конфигурация Burp Suite Community - предварительно настроенные области действия, полезные нагрузки и запросы Repeater 🖱Поиск CVE в NVD - без необходимости в ключах ⬇️Установка: 0️⃣Клонируем репозиторий и переходим в рабочую директорию:

git clone https://github.com/N00dleN00b/waspsting.git

cd waspsting

1️⃣Создаём виртуальное окружение venv:

python -m venv venv

source venv/bin/activate

2️⃣Установка зависимостей:

pip install -r requirements.txt

3️⃣Установка локальной ИИ (olama):

curl -fsSL https://ollama.ai/install.sh | sh

ollama pull llama3

ollama serve

4️⃣Устанавливаем chromium для скриншотов (не обязательно):

sudo apt install chromium

⛓️‍💥Запуск: ▶️Сканирование цели:

python waspsting.py -t {URL}

▶️Статический анализ кода:

python waspsting.py --repo https://github.com/{username}/{repo} --mode sast

▶️Проверка на наличие уязвимостей (Recon + CVE) в вашем собственном приложении:

python waspsting.py --target {URL} --mode recon --cve --confirm

▶️Перечисление поддоменов:

python waspsting.py --target {URL} --mode enum --screenshot --confirm

▶️Планировщик Bug Bounty:

python waspsting.py --mode bounty

▶️Аудит аутентификации:

python waspsting.py -t {URL} --mode auth --wordlist {WORDLIST} --confirm

#web #wapt #nmap 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Взлом GitHub — взлом устройств сотрудников привёл к утечке данных из более чем 3800 внутренних репозиториев. 🔎Во вторник GitHub сообщил о расследовании несанкционированного доступа к своим внутренним репозиториям после того, как печально известный злоумышленник, действующий под псевдонимом TeamPCP, выставил на продажу на одном из киберпреступных форумов исходный код платформы и данные о её внутренней структуре. GitHub утверждает, что инцидент не затронул информацию клиентов, хранящуюся за пределами внутренних репозиториев GitHub, но они внимательно отслеживают инфраструктуру на предмет возможной последующей активности. Компания также отметила, что в случае обнаружения каких-либо последствий она уведомит об этом клиентов через установленные каналы реагирования на инциденты и оповещения. ❗️Группа хакеров TeamPCP, стоящая за серией атак на цепочки поставок ПО, нацеленных на пакеты с открытым исходным кодом - выставила на продажу исходный код GitHub по цене не менее 50.000 долларов. Предполагаемый дамп включает около 4000 репозиториев. Также TeamPCP заявила, что не преследует цели вымогать деньги у GitHub: "Достаточно одного покупателя - и мы уничтожим данные с нашей стороны. Похоже, мы скоро уходим на покой, поэтому, если покупатель не найдётся, мы сольём данные бесплатно." ➡️Источник: https://thehackernews.com/2026/05/github-investigating-teampcp-claimed.html #news #github #TeamPCP 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

340 резюме, 8 офферов: что реально нужно для стажировки в кибербезе Недавно я наткнулся на показательную статистику одного SOC-подразделения: из 340 резюме оффер получили только 8 человек. Конверсия — 2,3%. Звучит жёстко, но вот что интересно: ни у одного из этих восьми не было коммерческого опыта в ИБ. Зато у каждого — конкретные артефакты: разобранные CTF-таски на GitHub, write-up'ы с TryHackMe, самостоятельно развёрнутый ELK-стек. Стажировка по кибербезопасности — не лотерея. И рынок в России заметно вырос: если три года назад выбирали между двумя-тремя компаниями, то сейчас только на одном агрегаторе — больше десяти активных программ. Positive Technologies, ГК Солар, ВТБ, Angara Security, UserGate, Альфа-Банк — все набирают стажёров. 🔎Что реально спрашивают на отборе? Забудьте про сертификаты и красный диплом. Ни одна из крупных программ не требует CompTIA Security+ или минимальный GPA. Вот что действительно важно: • Базовые сети и Linux. TCP/IP, DNS, HTTP, разница между TCP и UDP — спрашивают на каждом техническом скрининге. Не уровень CCNA, но уверенные основы. • Мотивация через действия. Не фраза «хочу развиваться в ИБ», а ответ на вопрос «Какой CTF-таск последний решали?». Три write-up'а на GitHub весят больше любого сопроводительного письма. • Python + Bash. Для российских стажировок этой связки хватает на 90% задач. 🎇Отдельно про портфолио. Тут важно определиться с треком. Хотите в SOC / Blue Team — собирайте write-up'ы с CyberDefenders, пишите собственные Sigma- и YARA-правила, документируйте домашний стенд. Тянет в пентест / Red Team — прокачивайтесь на HackTheBox, публикуйте разборы retired-машин, автоматизируйте сканирование. Порог входа разный: в Blue Team больше программ и мягче конкуренция. В пентест — жёстче, но и программы вроде Summ3r of Hack от Positive Technologies дают уникальный offensive-опыт. 💵Про деньги: вилка для стажёра по ИБ в Москве — от 25 000 до 60 000 руб./мес. до вычета налогов. Для сравнения, в США средняя ставка — около $48/час. Цифры несопоставимы, но главная ценность стажировки — не сумма на карте, а строчка в резюме и навыки, которые открывают дверь к полноценному офферу. Всё это реально закрыть за 3–6 месяцев целенаправленной подготовки. Главное — не ждать идеального момента, а начать собирать портфолио прямо сейчас. Полный разбор программ, требований и пошаговый план подготовки — в статье на форуме. https://codeby.net/threads/kak-popast-na-stazhirovku-po-kiberbezopasnosti-v-2026-godu-razbor-programm-trebovaniya-i-sovety.93705/

AiSOC — AI-платформа для автоматизации SOC и threat hunting

AiSOC — open-source инструмент, который использует LLM для помощи аналитикам SOC, threat hunters и incident responders.Позволяет анализировать логи, события безопасности, IOC, правила детекта и ускорять расследование инцидентов с помощью AI.

Основные возможности 📉 AI-анализ security событий и логов 📉 Поиск IOC, TTP и аномалий 📉 Генерация гипотез для threat hunting 📉 Анализ SIEM алертов и telemetry 📉 Генерация Sigma/YARA detection rules 📉 Помощь при incident response 🖱 Интеграция с SOC workflow 🛡 Примеры использования One-click установка

# Linux + macOS (one-liner):
curl -fsSL https://raw.githubusercontent.com/beenuar/AiSOC/main/install.sh | bash

# Windows (PowerShell as Administrator):
iwr -useb https://raw.githubusercontent.com/beenuar/AiSOC/main/install.ps1 | iex

Локальный demo запуск (Docker):

git clone https://github.com/beenuar/AiSOC.git && cd AiSOC && pnpm aisoc:demo

Типичные сценарии ▶️ Анализ подозрительных логов ▶️ Разбор SIEM алертов ▶️ Threat hunting с помощью AI ▶️ Генерация detection rules ▶️ Анализ IOC и TTP 👉 Deploy на Fly io

git clone https://github.com/beenuar/AiSOC.git && cd AiSOC
./infra/fly/fly-demo-deploy.sh --provision

#soc #threathunting #incidentresponse #ai #llm #siem #blueteam #dfir #cybersecurity #opensource 🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером

Одна команда dig — и вся инфраструктура как на ладони Представьте: вы на внутреннем пентесте банка. Запускаете dig axfr на вторичный NS — и получаете 340+ DNS-записей за четыре минуты. Имена хостов вроде dc01-prod, jenkins-build, vault-backup — готовая карта инфраструктуры. От этого дампа до domain admin — три дня. Реальный кейс, реальная пропорция. DNS — протокол, который все считают скучным. А он работает поверх UDP без шифрования и без аутентификации ответов. Из этого растут почти все атаки. 🔎Пассивная разведка — начинай с неё, чтобы не светиться в логах цели. Certificate Transparency Logs через crt.sh отдают субдомены, для которых выпускались SSL-сертификаты. Passive DNS базы вроде SecurityTrails хранят историю резолвов — субдомен, который больше не резолвится, но когда-то указывал на IP, может стать вектором subdomain takeover. subfinder от ProjectDiscovery автоматизирует сбор из десятков источников одной командой. 🎇Zone transfer — первое, что проверяется на engagement. Важный нюанс: проверяй каждый NS отдельно. Первичный может быть закрыт, а вторичный — legacy-BIND с дефолтной конфигурацией, где AXFR разрешён для любого IP. На практике именно вторичные NS чаще оказываются misconfigured — их просто забывают. ➡️Когда zone transfer закрыт, переходи к словарному перебору субдоменов. dnsenum и dnsrecon комбинируют попытку AXFR с брутфорсом по словарю и reverse lookup. Для bug bounty с широким скоупом лучше связка amass + subfinder + dnsx с дедупликацией. ➡️Отдельная история — внутренний пентест и Active Directory. SRV-записи для Kerberos и LDAP выдают контроллеры домена напрямую: dig -t SRV _ldap._tcp.dc._msdcs.domain.com. Эти записи нужны самому AD для работы — удалить их нельзя. По сути, DNS в AD — встроенный инструмент разведки для атакующего. Но разведка — только начало. Cache poisoning строится на том, что Transaction ID в DNS — всего 16 бит. Угадай его и отправь поддельный ответ быстрее настоящего сервера — резолвер примет фальшивые данные. DNS rebinding позволяет обходить same-origin policy браузера, а DNS туннелирование — выносить данные из сетей, где заблокировано всё, кроме DNS. В полной статье — разбор каждой техники с командами, ограничениями, привязкой к MITRE ATT&CK и decision tree по выбору инструментов. Читай на форуме Codeby ⬇️ https://codeby.net/threads/dns-pentest-ot-razvedki-i-zone-transfer-do-cache-poisoning-rebinding-i-tunnelirovaniya.93673/