Уже доступно! Исследование Telegram 2025 — ключевые инсайты года 
Codeby
Открыть в Telegram
Блог сообщества Кодебай Чат: @codeby_one Форум: codeby.net Обучение: codeby.academy CTF: hackerlab.pro VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Реклама: @Savchenkova_Valentina
Больше📈 Аналитический обзор Telegram-канала Codeby
Канал Codeby (@codeby_sec) языкового сегмента Русский является активным участником. Сейчас сообщество объединяет 36 607 подписчиков, занимая 3 712 место в категории Технологии и приложения и 17 659 место в регионе Россия.
📊 Показатели аудитории и динамика
С момента создания невідомо проект демонстрирует стремительный рост, собрав аудиторию из 36 607 подписчиков.
Согласно последним данным от 23 июня, 2026, канал показывает стабильную активность. За последние 30 дней изменение числа участников составило 152, а за последние 24 часа — -4, при этом общий охват остаётся высоким.
- Статус верификации: Не верифицирован
- Уровень вовлечённости (ER): Средний показатель вовлечённости аудитории составляет 7.26%. В первые 24 часа после публикации контент обычно набирает 4.31% реакций от общего числа подписчиков.
- Охват публикаций: В среднем каждый пост получает 2 658 просмотров. В течение первых суток публикация набирает 1 578 просмотров.
- Реакции и взаимодействия: Аудитория активно поддерживает контент: среднее количество реакций на один пост — 19.
- Тематические интересы: Контент сосредоточен на ключевых темах, таких как edr, api, вектор, mitre, att&ck.
📝 Описание и контентная политика
Автор описывает ресурс как площадку для выражения субъективного мнения:
“Блог сообщества Кодебай
Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.academy
CTF: hackerlab.pro
VK: vk.com/codeby
YT: clck.ru/XG99c
Сотрудничество: @KinWiz
Реклама: @Savchenkova_Valentina”
Благодаря высокой частоте обновлений (последние данные получены 24 июня, 2026) канал поддерживает актуальность и высокий уровень охвата публикаций. Аналитика показывает, что аудитория активно взаимодействует с контентом, что делает его важной точкой влияния в категории Технологии и приложения.
36 607
Подписчики
-424 часа
-17 дней
+15230 день
Загрузка данных...
Похожие каналы
Облако тегов
Входящие и исходящие упоминания
---
---
---
---
---
---
Привлечение подписчиков
июнь '26
июнь '26
+309
в 0 каналах
май '26
+453
в 6 каналах
Get PRO
апрель '26
+372
в 3 каналах
Get PRO
март '26
+372
в 6 каналах
Get PRO
февраль '26
+326
в 3 каналах
Get PRO
январь '26
+4 488
в 6 каналах
Get PRO
декабрь '25
+302
в 5 каналах
Get PRO
ноябрь '25
+311
в 5 каналах
Get PRO
октябрь '25
+384
в 1 каналах
Get PRO
сентябрь '25
+344
в 5 каналах
Get PRO
август '25
+695
в 4 каналах
Get PRO
июль '25
+306
в 5 каналах
Get PRO
июнь '25
+527
в 10 каналах
Get PRO
май '25
+472
в 20 каналах
Get PRO
апрель '25
+458
в 17 каналах
Get PRO
март '25
+532
в 23 каналах
Get PRO
февраль '25
+505
в 17 каналах
Get PRO
январь '25
+192
в 12 каналах
Get PRO
декабрь '24
+2 308
в 13 каналах
Get PRO
ноябрь '24
+532
в 5 каналах
Get PRO
октябрь '24
+562
в 6 каналах
Get PRO
сентябрь '24
+797
в 14 каналах
Get PRO
август '24
+918
в 3 каналах
Get PRO
июль '24
+213
в 9 каналах
Get PRO
июнь '24
+240
в 11 каналах
Get PRO
май '24
+232
в 2 каналах
Get PRO
апрель '24
+297
в 4 каналах
Get PRO
март '24
+421
в 4 каналах
Get PRO
февраль '24
+324
в 3 каналах
Get PRO
январь '24
+321
в 3 каналах
Get PRO
декабрь '23
+823
в 12 каналах
Get PRO
ноябрь '23
+214
в 8 каналах
Get PRO
октябрь '23
+216
в 4 каналах
Get PRO
сентябрь '23
+301
в 0 каналах
Get PRO
август '23
+386
в 0 каналах
Get PRO
июль '23
+398
в 0 каналах
Get PRO
июнь '23
+256
в 0 каналах
Get PRO
май '23
+681
в 0 каналах
Get PRO
апрель '23
+299
в 0 каналах
Get PRO
март '23
+614
в 0 каналах
Get PRO
февраль '23
+383
в 0 каналах
Get PRO
январь '23
+206
в 0 каналах
Get PRO
декабрь '22
+528
в 0 каналах
Get PRO
ноябрь '22
+795
в 0 каналах
Get PRO
октябрь '22
+629
в 0 каналах
Get PRO
сентябрь '22
+229
в 0 каналах
Get PRO
август '22
+702
в 0 каналах
Get PRO
июль '22
+1 290
в 0 каналах
Get PRO
июнь '22
+400
в 0 каналах
Get PRO
май '22
+1 389
в 0 каналах
Get PRO
апрель '22
+447
в 0 каналах
Get PRO
март '22
+1 859
в 0 каналах
Get PRO
февраль '22
+167
в 0 каналах
Get PRO
январь '22
+366
в 0 каналах
Get PRO
декабрь '21
+624
в 0 каналах
Get PRO
ноябрь '21
+454
в 0 каналах
Get PRO
октябрь '21
+381
в 0 каналах
Get PRO
сентябрь '21
+147
в 0 каналах
Get PRO
август '21
+569
в 0 каналах
Get PRO
июль '21
+1 287
в 0 каналах
Get PRO
июнь '21
+291
в 0 каналах
Get PRO
май '21
+572
в 0 каналах
Get PRO
апрель '21
+423
в 0 каналах
Get PRO
март '21
+771
в 0 каналах
Get PRO
февраль '21
+169
в 0 каналах
Get PRO
январь '21
+123
в 0 каналах
Get PRO
декабрь '20
+26 165
в 0 каналах
| Дата | Привлечение подписчиков | Упоминания | Каналы | |
| 24 июня | +3 | |||
| 23 июня | +9 | |||
| 22 июня | +5 | |||
| 21 июня | +7 | |||
| 20 июня | +10 | |||
| 19 июня | +8 | |||
| 18 июня | +13 | |||
| 17 июня | +16 | |||
| 16 июня | +65 | |||
| 15 июня | +6 | |||
| 14 июня | +4 | |||
| 13 июня | +5 | |||
| 12 июня | +9 | |||
| 11 июня | +12 | |||
| 10 июня | +19 | |||
| 09 июня | +11 | |||
| 08 июня | +13 | |||
| 07 июня | +12 | |||
| 06 июня | +3 | |||
| 05 июня | +14 | |||
| 04 июня | +21 | |||
| 03 июня | +8 | |||
| 02 июня | +18 | |||
| 01 июня | +18 |
Посты канала
4 компании, 4 аудита — и в каждой активные учётки уволенных с доступом к production
Рекорд из моей практики: сотрудник ушёл 11 месяцев назад, а его аккаунт всё ещё читал финансовые отчёты через SharePoint и держал действующий VPN-сертификат. HR закрыл заявку в тот же день, IT получил тикет через неделю, а до IAM-команды информация не дошла вообще.
И это не исключение — это норма.
❗️Проблема инсайдерских угроз не в мотивации человека, а в доступе, который у него остался. Внешнему атакующему нужен initial access — инсайдеру нет. У него уже есть badge, VPN и знание, где лежит ценное. Антивирус и EDR тут бессильны: человек работает штатными инструментами под легитимной учёткой.
Если наложить действия инсайдера на MITRE ATT&CK, цепочка выглядит так:
•
T1078 Valid Accounts — credentials уже есть
• T1213 — сбор данных из SharePoint, Confluence (сотрудник знает структуру наизусть)
• T1567.002 — выгрузка через Google Drive или Яндекс.Диск
• T1531 — саботаж: удаление данных, блокировка коллег
Эту цепочку ломают три вещи.
🔔Первая — принцип минимальных привилегий как процесс, а не декларация. Не «доступ к CRM», а «read-only к объектам Contact в Salesforce, region = RU». На внутренних пентестах расхождение между ролевой моделью и реальными правами в AD — критическое в 9 из 10 случаев. BloodHound находит такие дыры за первый час.
🔔Вторая — access review по расписанию. Раз в квартал для обычных пользователей, раз в месяц для привилегированных. Privilege creep — реальная боль: сотрудник за три года переходов между отделами накапливает права пяти ролей и никто этого не замечает. Менеджеры ненавидят эту процедуру, но без неё вы слепы.
🔔Третья — offboarding с SLA в один час. Не в один день, не «когда IT доберётся». Единая система тикетов, автоматическая цепочка: HR фиксирует увольнение → IAM блокирует учётку → VPN-сертификат отзывается → физический пропуск деактивируется. Без ручных передач между отделами в Telegram.
Классический антипаттерн — политика, написанная идеально, но в Okta живёт группа all-employees-full-access, а в AD — вложенные группы от пяти реорганизаций. Документ для аудитора ≠ безопасность.
В полной статье — конкретные запросы для SIEM, скрипты для обнаружения orphan-аккаунтов и пошаговый offboarding-чеклист.
https://codeby.net/threads/zashchita-ot-insaiderskikh-ugroz-access-review-offboarding-i-politiki-ib-na-praktike.94273/| 2 | Один номер телефона → 14 аккаунтов, два email и след в трёх утечках. Без единого нелегального запроса
Телефонный номер — один из самых недооценённых идентификаторов в OSINT. Мы привыкли думать о нём как о средстве связи, но в реальности это ключ к мессенджерам, двухфакторной авторизации, доскам объявлений, корпоративным каталогам и даже WHOIS-записям доменов. Вопрос только в методологии.
🔔Шаг 1 — валидация. Прежде чем копать дальше, убедись, что номер вообще активен. HLR-запрос через smsc.ru/testhlr/ или smspilot.ru/test.php покажет статус регистрации в сети, текущего оператора и флаг переноса номера. Важный нюанс: HLR показывает состояние SIM-карты, а не человека. Номер может быть активен, но лежать в ящике стола. Или принадлежать новому владельцу после перевыпуска.
Для российских номеров обязательно проверяй переносимость через реестр ЦНИИС — абонент мог сменить оператора, и префикс больше не соответствует реальности.
🔔Шаг 2 — мессенджеры. Это главный источник после валидации. WhatsApp, Telegram, Viber, Signal — добавление номера в контакты покажет, зарегистрирован ли аккаунт. В WhatsApp можно получить фото профиля, статус и раздел «О себе» (если настройки приватности позволяют). Фото — зацепка для обратного поиска по изображению.
Но учитывай OPSEC: такие проверки — это активная разведка. Ты генерируешь API-запросы к серверам платформ. Используй отдельный «исследовательский» номер и аккаунт — никогда свои основные.
🔔Шаг 3 — краудсорсинговые сервисы. GetContact, Sync.me, NumBuster агрегируют данные из контактных книг миллионов пользователей. Если кто-то записал номер как «Петров Олег логист», сервис это покажет. Но есть ловушка: при установке приложения твоя собственная контактная книга улетает на серверы сервиса. Деанонимизация исследователя в чистом виде.
➡️Где всё это в контексте ATT&CK? Телефонный OSINT — это тактика Reconnaissance: техники T1589 (сбор персональных данных), T1593 (поиск по открытым ресурсам) и T1596 (запросы к техническим базам). Результаты — не финальная точка, а входные данные для следующего этапа. В пентесте собранные идентификаторы идут в social engineering. В защите — каждый публичный корпоративный номер становится потенциальной точкой footprinting.
Полная методология — от первого HLR-запроса до построения графа связей с конкретными командами, инструментами и правовыми рамками — разобрана в статье на форуме.
https://codeby.net/threads/osint-po-nomeru-telefona-ot-tsifr-k-polnomu-tsifrovomu-profilyu-instrumenty-i-metodologiya.94242/ | 1 612 |
| 3 | Blue и Red Team сверяют компасы 🧭
К2 Кибербезопасность объединит команды на офлайн-митапе для тех, кто хочет выйти за рамки привычных задач и взглянуть на защиту с противоположной стороны.
Обменяемся опытом в кругу своих, обсудим факапы и разберем:
✅ Как подготовиться к инциденту так, чтобы во время атаки не пришлось действовать вслепую
✅ Что на самом деле происходит «в полях» пентеста: где ожидания расходятся с реальностью, почему это не «скрытный обход SOC» и к чему приводит внедрение ИИ
Кому будет интересно?
SOC-специалистам, пентестерам и ИБ-практикам
🗓 25 июня, 19:00
📍 Москва, офлайн
Участие бесплатное. Количество мест ограничено.
Зарегистрироваться | 1 730 |
| 4 |  🔍 Неделя 4 — Финал: Секретный кабинет
Последняя неделя серии «Сетевая разведка за 30 дней» — и сразу 500 очков.
Маршрут к цели известен. Нужен пароль. Всё, что изучали три недели — сейчас в одной цепочке:
nmap → gobuster → Burp Repeater → hydra
Разведка, directory enumeration, разбор auth-формы, брутфорс. Именно так выглядит реальный engagement.
⏱️ Старт: 23 июня, 10:00 МСК
🏁 Дедлайн: 28 июня, 23:59 МСК
Флаги до старта — в конкурсе не учитываются. До дедлайна обсуждаем подходы, не конкретные пути.
После 29 июня — финальный wrap-up серии, лучшие writeup'ы и что будет дальше.
👉 Неделя 4 — Финал: Секретный кабинет | 1 839 |
| 5 |  Учётка бухгалтера в 2:47 ночи на контроллере домена — и SOC почти проспал
Представьте: DLP молчит, SIEM выдаёт один алерт на аномальное время логина, а в это время атакующий через угнанную учётку четыре дня собирает финансовую отчётность и сливает её на Dropbox. Формально пользователь работает с файлами, доступными по роли. Итог — 40 человеко-часов на реагирование и полный пересмотр модели привилегированного доступа.
Это классический пример скомпрометированного инсайдера — одного из трёх типов внутренних угроз, которые стоит различать, если вы хотите их реально детектировать.
🔎По данным Ponemon Institute, 83% организаций зафиксировали хотя бы один инсайдерский инцидент, а средний годовой ущерб — $16,2 млн. При этом только 44% компаний используют UEBA — основной инструмент для обнаружения таких угроз. Разрыв между масштабом проблемы и зрелостью детекции — колоссальный.
Привычное деление на «умышленных» и «случайных» инсайдеров не работает. Методология CERT и отчёты Proofpoint выделяют три категории, и у каждой — свой kill chain и свои индикаторы:
❗️Malicious — злонамеренный инсайдер. Сознательно крадёт данные, саботирует системы, сливает информацию конкурентам. Мотивы — деньги, месть, идеология. Свежий кейс: в марте 2025 компания Deel внедрила сотрудника в штат Rippling под видом менеджера по комплаенсу. Четыре месяца он тихо выкачивал ценовые стратегии и клиентские списки через Slack и Salesforce — и ничего не сработало. DLP видит массовую выгрузку, но слеп к порционному сливу по 300 МБ за две недели.
• Negligent — небрежный инсайдер. Без злого умысла: клик по фишингу, файл не тому адресату, пароль Password123. Отдельная боль — GenAI. 76% организаций зафиксировали, как сотрудники копируют конфиденциальные данные в ChatGPT «для быстрого анализа». Классический DLP этот канал не покрывает, а он сейчас растёт быстрее всех остальных.
• Compromised — скомпрометированный инсайдер. Легитимный пользователь, чьи credentials угнал внешний атакующий. Для SIEM и DLP активность выглядит как обычная работа сотрудника. Kill chain неотличим от APT, и именно этот тип сложнее всего обнаружить.
Ключевой вывод: один detection-rule на все три типа — это путь к пропущенным инцидентам. Каждой категории нужна своя модель риска, свои триггеры и свой набор индикаторов.
В полной статье — MITRE ATT&CK маппинг для каждого типа, конкретные индикаторы и практические модели риска.
https://codeby.net/threads/tipy-insaiderskikh-ugroz-malicious-negligent-i-compromised-indikatory-kill-chain-i-modeli-riska.94167/ | 2 041 |
| 6 | ИБ без фильтров – онлайн-конференция про реальные боли ИБ-специалистов
Мероприятие, где говорим о реальных проблемах и ищем практические решения. Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров.
В этот раз ключевыми темами мероприятия будут:
✅ Утечки: где один инцидент ломает бизнес-процессы.
✅ 117-й приказ ФСТЭК: как не утонуть в требованиях.
✅ РКН уже рядом: готовы ли вы к цифровым проверкам.
✅ Как уязвимости, подрядчики и ДЗО становятся входом в инцидент.
На конференции выступят эксперты по информационной безопасности – они разберут каждую из тем на реальных кейсах, ответят на острые вопросы и поделятся рабочими практическими инструментами.
🤝 Зарегистрироваться
Ждем вас на самый честный диалог по теме ИБ. | 2 096 |
| 7 |  Три APK без иконок: как выглядит слежка на Android изнутри
На форензике телефона жертвы домашнего насилия нашлись три приложения, которых не было видно в меню. Два маскировались под системные сервисы, третье — под провайдер телефонии. Все три — stalkerware, установленные с разницей в несколько месяцев. Ни одного эксплойта ядра, никакой изощрённой маскировки — просто sideload через физический доступ к разблокированному телефону.
И вот что важно: stalkerware и государственный spyware типа Pegasus — это два принципиально разных класса угроз, хотя оба шпионят. Путать их — значит ошибиться в модели угроз и потерять время на неправильных методах обнаружения.
➡️Немного цифр. По данным Kaspersky за 2023 год, 31 031 пользователь стал жертвой stalkerware. Россия лидирует — почти 10 тысяч случаев. Подписка на такое ПО стоит $10–70 в месяц. Pegasus — от сотен тысяч долларов за одну цель. Разница в цене отражает разницу в технологиях.
🔎 Как stalkerware держится на устройстве? Две основные точки закрепления:
• DeviceAdminReceiver — приложение получает права администратора, и пользователь не может его удалить, пока не отзовёт эти права. Проверяется командой adb shell dumpsys device_policy. Любой пакет в списке admin, кроме Google Find My Device или корпоративного MDM — красный флаг.
• Accessibility Services — через этот API stalkerware перехватывает переписки, снимает скриншоты, читает всё на экране. Проверка: adb shell settings get secure enabled_accessibility_services. У обычного пользователя тут один-два легитимных сервиса (TalkBack, Select to Speak). Неизвестное имя пакета — повод копать глубже.
🎇Быстрый чеклист для проверки Android-устройства:
1. adb shell pm list packages -3 — список сторонних пакетов. Ищите имена вроде «System Update Service», «Battery Optimizer», «Wi-Fi Manager» — классика маскировки.
2. Проверьте статус Google Play Protect. Stalkerware-вендоры в инструкциях прямо требуют его отключить.
3. Загляните в adb logcat — аномальные wake lock'и каждые 15 минут, обращения к RECORD_AUDIO, HTTP-запросы к дешёвым shared-хостингам.
А вот с Pegasus так не получится. Он не оставляет отдельного пакета в системе, инжектируется в легитимные процессы, зачищает следы. В logcat — тишина. Для его обнаружения нужен MVT и анализ бэкапов — совсем другой уровень инструментария.
Главный вывод: stalkerware примитивен технически, но именно поэтому его реально обнаружить базовыми средствами. Не нужен дорогой форензик-лаб — достаточно adb, внимательности и знания, куда смотреть.
В полной статье — детальный разбор kill chain обоих классов, таблица сравнения по MITRE ATT&CK и конкретные индикаторы компрометации.
https://codeby.net/threads/stalkerware-obnaruzheniye-na-android-tekhnicheskiye-otlichiya-ot-kommercheskogo-spyware-i-indikatory-komprometatsii.94162/ | 2 037 |
| 8 |  40 минут на ручной перебор паролей — или 3 минуты на скрипт?
На одном онлайн-CTF участник вбивал пароли в форму вручную. 200 попыток, 40 минут, ноль результата. Его тиммейт написал 10 строк на Python с requests, натравил на словарь — и забрал флаг за три минуты. Разница не в глубине знаний языка, а в конкретных приёмах: отправить POST, вытащить токен из HTML, прогнать перебор в цикле.
🔧 Четыре библиотеки закрывают около 90% задач автоматизации в CTF:
• requests — HTTP-запросы, брутфорс форм, работа с куками через сессии
• BeautifulSoup4 — парсинг HTML, извлечение токенов, флагов, скрытых полей
• pwntools — бинарная эксплуатация, TCP-сервисы, упаковка адресов
• hashlib — встроен в Python, хеширование для крипто-задач
Вся установка — одна команда после создания виртуального окружения: pip install requests beautifulsoup4 pwntools.
⚡ Самый частый сценарий — брутфорс формы логина. Логика элементарна: загрузить словарь, для каждого пароля отправить POST, проверить ответ, остановиться при успехе. Но есть три нюанса, без которых ничего не заработает:
1. Сессия через requests.Session() — без неё сервер воспринимает каждый запрос как нового пользователя, и куки теряются.
2. Имена полей формы — не угадывайте, а откройте F12 в браузере и скопируйте точные значения атрибутов name из тегов <input>. Бывает username, бывает login или user — одна буква сломает весь скрипт.
3. Условие успеха — в CTF работает проверка от обратного. Если в ответе нет слова «Invalid» или «Wrong» — скорее всего, вы внутри. Альтернатива: ловить код 302 (редирект после POST).
Словарь на 10 000 строк прогоняется за 10–30 секунд в зависимости от задержки сервера.
🛑 Когда скрипт сломается? Если сервер режет по rate limit — добавьте time.sleep(0.3) между запросами. Если форма требует CSRF-токен — сначала GET-запросом забираете страницу, парсите скрытое поле через BeautifulSoup, подставляете в POST. Без этого шага цепочка брутфорса развалится.
И тут начинается самое интересное: большинство web-задач CTF — это не один запрос, а цепочка. GET → парсинг → POST → проверка. Три метода BeautifulSoup покрывают 95% случаев: find() для конкретного элемента, find_all() для списка и get() для атрибутов тега.
📖 В полной статье — готовые скрипты с разбором каждой строки, работа с pwntools для бинарных задач и примеры парсинга CSRF-токенов. Забирайте в закладки.
https://hackerlab.pro/blog/python-dlya-ctf-avtomatiziruem-rutinu-ot-brutforsa-do-parsinga-otvetov | 2 165 |
| 9 |  🚩 Новые задания на платформе HackerLab!
⚙️ Категория Реверс-инжиниринг — Dart'с
Приятного хакинга! | 2 191 |
| 10 |  ❓Пятничный опрос
REALITY стал одним из самых популярных решений в экосистеме Xray благодаря своему нестандартному подходу к установке защищенных соединений. Эта технология часто обсуждается в контексте современных методов фильтрации трафика.
А насколько хорошо вы разбираетесь в том, как работает REALITY? Проверим 👉 | 2 595 |
| 11 | REALITY — механизм маскировки в Xray, делающий VPN-трафик практически неотличимым от Что увидит система DPI при анализе корректно настроенного соединения VLESS + REALITY? | 2 452 |
| 12 | 💵Сколько зарабатывает пентестер веб-приложений?
Веб-приложения остаются самой частой точкой входа в инфраструктуру, а специалистов, которые умеют находить и эксплуатировать уязвимости, по-прежнему не хватает.
Цифры по рынку:
▶️Junior ~ 60 000 ₽
▶️Middle ~ 350 000 ₽
▶️Senior — до 600 000 ₽
▶️Bug Bounty — отдельный доход за найденные баги, без потолка
Наш курс WAPT выводит как раз на уровень Middle — и не на теории, а в большой лаборатории из 66 заданий разной сложности.
Чему учим на курсе:
⏺️находить уязвимости из OWASP Top-10 и понимать, как они устроены
⏺️анализировать веб-приложения и эксплуатировать найденное
⏺️свободно работать с nmap, wfuzz, ffuf, Burp Suite, WPScan, nikto, nuclei, sqlmap
⏺️применять методологии анализа защищённости
⏺️автоматизировать рутину
Навыки одинаково работают и в коммерческом пентесте, и в Bug Bounty.
Формат:
▶️4 месяца •144 ак. часа
▶️16 недель: 11 — программа + 5 — подготовка и сдача экзамена
▶️лаборатория на 66 заданий
Кураторы и авторы курса:
Александр Медведев — 10+ лет в ИБ, OSCP / PNPT / CEH / CWAPT / SQLIM, 3-кратный победитель Standoff в составе Codeby
Руслан Русланов — десятки проектов по пентесту крупных компаний и банков
Старт ближайшего потока — 16 июля. При оплате курса сразу, дарим скидку 30%
➡️Записаться
Бесплатная консультация — @CodebyAcademyBot | 2 536 |
| 13 |  Почему инциденты обходятся так дорого — и при чём тут оргструктура
Средняя стоимость утечки данных в 2023 году — $4.45 млн. Цифра из отчёта IBM, которую любят цитировать все подряд. Но вот что интересно: когда разбираешь post-mortem конкретных инцидентов, дорогими их делает не уязвимость и не отсутствие EDR. Их делает организационный хаос.
❓Кто принимает решение об изоляции скомпрометированного сегмента? Кто уведомляет регулятора в срок? На ком ответственность за финансовые последствия? В компаниях без формализованного governance ответ на каждый из этих вопросов — тишина и импровизация под давлением.
Governance ИБ — это не про комплаенс и не про закупку средств защиты. Это стратегический уровень: кто принимает решения о допустимом уровне риска, что входит в scope ИБ-программы, зачем организация инвестирует в конкретные контроли. Не случайно NIST CSF 2.0 ввёл функцию GOVERN как фундаментальную — в предыдущей версии фреймворка её просто не существовало.
➡️Три модели оргструктуры ИБ, которые встречаются на практике:
• Централизованная — всё под единым CISO. Единые стандарты, понятная ответственность. Минус: bottleneck при масштабировании, особенно если бизнес распределён географически.
• Распределённая — ответственности делегированы подразделениям или регионам. Быстрая реакция на локальные угрозы, но три подразделения с тремя разными подходами к классификации инцидентов делают агрегированный reporting невозможным.
• Гибридная — центральный CISO задаёт стратегию и политики, а в подразделениях работают security-координаторы, адаптирующие требования к локальному контексту. Доминирует в компаниях от 500+ человек.
Выбор зависит не от размера штата, а от трёх факторов: уровень регуляторного давления, географическая распределённость и зрелость ИТ-процессов.
❗️Отдельная боль — подчинение CISO. Самая распространённая схема в российских компаниях — CISO под CIO. И самая проблемная. Структурный конфликт интересов: CIO отвечает за uptime и скорость, CISO — за безопасность. Когда нужно остановить деплой из-за уязвимости, CIO и CISO оказываются по разные стороны. А итоговое решение принимает тот, кому CISO подчиняется, — то есть CIO. Угадайте, в чью пользу.
Ещё один инструмент, без которого governance разваливается — матрица RACI. Она фиксирует для каждого процесса, кто Responsible, кто Accountable, кого Consulted, кого Informed. Без неё в момент инцидента начинается перекидывание ответственности, а время утекает.
👉В полной версии статьи — разбор всех трёх моделей, конкретные примеры RACI-матриц, шаблоны reporting и привязка к техникам MITRE ATT&CK. Полезно и CISO, и тем, кто строит ИБ-функцию с нуля.
https://codeby.net/threads/governance-informatsionnoi-bezopasnosti-orgstruktura-roli-raci-i-reporting-dlya-zreloi-ib-programmy.94136/ | 2 188 |
| 14 | CISA предупреждает об активно эксплуатируемой уязвимости в расширении JCE для Joomla, позволяющей выполнять PHP-код.
06.16.26 Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость критического уровня опасности, затрагивающую расширение Widget Factory Joomla Content Editor (JCE), в свой каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства ее активной эксплуатации.
Данная уязвимость, зарегистрированная под идентификатором CVE-2026-48907, связана с некорректным контролем доступа, что может привести к выполнению произвольного кода.
В расширении Widget Factory Joomla Content Editor обнаружена уязвимость, связанная с ненадлежащим контролем доступа; она позволяет неавторизованным пользователям загружать и выполнять PHP-код путем создания новых профилей редактора
На данный момент нет информации о том, как именно эта уязвимость эксплуатируется в реальных условиях. Федеральным гражданским ведомствам исполнительной власти (FCEB) предписано установить исправление до 19 июня 2026 года.
#news #Joomla #PHP #CVE #vuln
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 717 |
| 15 | 🎓 Бесплатный практический курс на реальном стенде «От логов до инцидентов: UserGate SIEM за 1 день»
Когда ИТ-инфраструктура растет, стандартных журналов становится недостаточно. Для контроля событий безопасности, выявления угроз и выполнения требований регуляторов всё чаще используются SIEM-системы.
Приглашаем на бесплатный практический курс по UserGate SIEM, где вы сможете не просто познакомиться с платформой, а самостоятельно поработать с ней на реальном стенде.
За один день вы:
✅ подключите источники событий и настроите обработку логов;
✅ разберётесь в работе аналитики и механизмах выявления угроз;
✅ познакомитесь с процессом обработки инцидентов на практике;
✅ изучите возможности UserGate SIEM и принципы работы с событиями безопасности.
📅 15 июля, 11:00 (МСК)
💻 Онлайн
Зарегистрируйтесь сейчас и пройдите путь от настройки сбора логов до выявления инцидентов в UserGate SIEM всего за один день.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250. | 1 995 |
| 16 |  🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят
OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего.
Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту.
Это и есть граница между «отчётом сканера» и «результатом пентеста».
⚙️ На практике пентест веб-приложений делится на три подхода:
• Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен.
• Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный.
• White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени.
Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги.
📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах:
1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь.
2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира.
3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту.
Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации.
🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки.
В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby.
https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/ | 2 341 |
| 17 | 🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят
OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего.
Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту.
Это и есть граница между «отчётом сканера» и «результатом пентеста».
⚙️ На практике пентест веб-приложений делится на три подхода:
• Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен.
• Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный.
• White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени.
Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги.
📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах:
1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь.
2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира.
3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту.
Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации.
🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки.
В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby.
https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/ | 1 |
| 18 |  Английские власти хотят больше детской безопасности 🇬🇧
⏺️Кир Стармер намерен запретить доступ к крупным социальным сетям - таким как TikTok, Instagram и X - для лиц моложе 16 лет - сообщает газета The Guardian.
В рамках радикального изменения политики, которое оказалось гораздо более жестким, чем предполагалось ранее, премьер-министр объявит о запрете для подростков на использование всех основных социальных платформ. На онлайн-сервисы, не подпадающие под полный запрет (например, игровые приложения), будут наложены иные ограничения - в частности, в них будет отключена функция общения с незнакомцами.
Также будут введены ограничения для подростков старшего возраста (до 18 лет), призванные предотвратить "бесконечный скроллинг" ленты в ночное время.
⏺️Источники в правительстве сообщили, что ключевыми причинами принятия столь строгих мер стало стремление защитить подростков от вредного контента, вызывающего зависимость (например, функции "бесконечной прокрутки"), а также от контактов с незнакомцами.
⏺️Кроме того, лицам моложе 18 лет будет запрещен доступ к чат-ботам с искусственным интеллектом, имитирующим романтическое или сексуальное общение. "Здесь не может быть полумер", — отметил один из собеседников.
Источник: https://www.theguardian.com/uk-news/2026/jun/14/starmer-to-announce-australia-plus-ban-on-social-media-for-under-16s
#news #socialnetworks #uk #law #internet
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 626 |
| 19 |  🔄 Глобальное обновление на HackerLab!
Мы перебрали платформу почти целиком — от внешнего вида до новых механик. Главное:
Новый облик
Платформа получила цельный тёмный дизайн. Чище, контрастнее, приятнее для долгих сессий.
Уровни и XP
Теперь у вас есть уровень. Баллы за решённые задания — это и есть ваш XP: они повышают уровень и поднимают вас в рейтинге одновременно.
Серия (Streak)
Решайте хотя бы одно задание в неделю — и держите серию. Если неделя выпала, раз в месяц вас прикроет страховка. Новая неделя считается с выходом заданий в субботу (12:00 по МСК).
Рейтинг стал нагляднее
Появилась вкладка «Рядом со мной» — видно соседей по месту, а не только топ. Переключайтесь между сезонным и глобальным зачётом и следите за движением своей позиции.
Живая главная
Новая Live-лента показывает first blood и решения в реальном времени. Рядом — актуальные события, свежие задания и ваша активность.
Профиль
Переработан под новую систему: прогресс по категориям, достижения с понятной следующей целью и радар ваших компетенций.
Удобнее искать задания
В категориях заработали поиск, фильтры и сортировка, переключение вида (сетка / список), а на карточках — бейджи СЕЗОН и АРХИВ.
Стало быстрее
Оптимизировали загрузку — платформа и страницы открываются заметно шустрее.
💚 Залетай и смотри, что нового → hackerlab.pro | 2 212 |
| 20 |  75% вторжений начинаются без единого эксплойта — просто с логина и пароля
Представьте: атакующий не ищет уязвимости, не пишет shellcode, не обходит EDR. Он просто логинится. Через парадный вход, с настоящими учётными данными. Его сессия неотличима от легитимной. И по свежим отчётам, именно так начинаются три из четырёх реальных взломов.
🔑 Вот что говорят цифры за 2024–2025:
• CrowdStrike: 75% вторжений используют действительные учётные данные — техника T1078 Valid Accounts
• IBM X-Force: рост identity-атак на 71% год к году, инфостилеры с долей 32% стали самым распространённым типом malware, обогнав ransomware
• Verizon DBIR: 38% утечек напрямую связаны с кражей credentials
Почему так? Чистая экономика. Zero-day в enterprise-продукте стоит десятки и сотни тысяч долларов. Свежий доступ к корпоративному VPN на маркетплейсе — от $10 до $2 700. Разница в три-четыре порядка. При этом credential-based вход не оставляет артефактов: нет аномалий в трафике, нет сигнатур в EDR, нет shellcode в памяти.
⚙️ Откуда берутся эти credentials? Инфостилеры — малварь, заточенная на автоматический сбор всего ценного с заражённой машины. Работают по модели Malware-as-a-Service: подписка на Lumma или StealC стоит $150–250 в месяц и включает билдер, панель управления и техподдержку. Барьер входа — околонулевой.
Что крадут? Сохранённые пароли из браузеров (прямой доступ к Login Data через DPAPI), session cookies для обхода MFA, нажатия клавиш, скриншоты и полный fingerprint системы. На выходе — аккуратная директория с файлами по папкам: /Browsers/, /Cookies/, /System/. Готовый набор для атаки, собранный за секунды.
📊 Масштаб впечатляет: по агрегированным оценкам, за первую половину 2025 года стилерами похищено порядка 1.8 миллиарда credentials с 5.8 миллионов устройств. Более 17 миллиардов browser cookies украдено только за 2024-й — включая authentication-токены, которые превращают MFA в декорацию.
Доставка тоже эволюционирует. Кроме классического фишинга (рост на 84% YoY по IBM) набирают обороты ClickFix-кампании: поддельные системные уведомления в браузере, которые просят пользователя самостоятельно выполнить PowerShell-команду для «исправления ошибки». Пользователь сам копирует и вставляет вредоносный код. Элегантно и страшно одновременно.
🎯 Главный вывод для защитников: модель «детектируем эксплойт на периметре» не закрывает 75% реальных вторжений. Если вы не мониторите утечки credentials, не отслеживаете аномалии аутентификации и полагаетесь только на TOTP-based MFA — вы уязвимы.
Полный разбор экосистемы — от инфостилеров до Initial Access Brokers и nation-state операций — читайте в статье на форуме.
https://codeby.net/threads/ukradennyye-uchetnyye-dannyye-kak-tochka-vkhoda-ot-infostilerov-do-atak-urovnya-nation-state.94098/ | 2 356 |
