Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
Codeby
Відкрити в Telegram
Блог сообщества Кодебай Чат: @codeby_one Форум: codeby.net Обучение: codeby.academy CTF: hackerlab.pro VK: vk.com/codeby YT: clck.ru/XG99c Сотрудничество: @KinWiz Реклама: @Savchenkova_Valentina
Показати більше📈 Аналітичний огляд Telegram-каналу Codeby
Канал Codeby (@codeby_sec) у мовному сегменті Російська є активним учасником. На даний момент спільнота об'єднує 36 610 підписників, посідаючи 3 722 місце в категорії Технології та додатки та 17 685 місце у регіоні Росія.
📊 Показники аудиторії та динаміка
З моменту свого створення невідомо, проект продемонстрував стрімке зростання, зібравши аудиторію у 36 610 підписників.
За останніми даними від 23 червня, 2026, канал демонструє стабільну активність. Хоча за останні 30 днів спостерігається зміна кількості учасників на 152, а за останні 24 години на -4, загальне охоплення залишається високим.
- Статус верифікації: Не верифікований
- Рівень залученості (ER): Середній показник залученості аудиторії становить 7.26%. Протягом перших 24 годин після публікації контент зазвичай збирає 4.31% реакцій від загальної кількості підписників.
- Охоплення публікацій: В середньому кожен допис отримує 2 658 переглядів. Протягом першої доби публікація в середньому набирає 1 578 переглядів.
- Реакції та взаємодія: Аудиторія активно підтримує контент: середня кількість реакцій на один пост – 19.
- Тематичні інтереси: Контент зосереджений навколо ключових тем, таких як edr, api, вектор, mitre, att&ck.
📝 Опис та контентна політика
Автор описує ресурс як майданчик для висловлення суб'єктивної думки:
“Блог сообщества Кодебай
Чат: @codeby_one
Форум: codeby.net
Обучение: codeby.academy
CTF: hackerlab.pro
VK: vk.com/codeby
YT: clck.ru/XG99c
Сотрудничество: @KinWiz
Реклама: @Savchenkova_Valentina”
Завдяки високій частоті оновлень (останні дані отримано 24 червня, 2026), канал підтримує актуальність та високий рівень охоплення публікацій. Аналітика показує, що аудиторія активно взаємодіє з контентом, що робить його важливою точкою впливу в категорії Технології та додатки.
36 610
Підписники
-424 години
-17 днів
+15230 день
Триває завантаження даних...
Схожі канали
Хмара тегів
Вхідні та вихідні згадування
---
---
---
---
---
---
Залучення підписників
червень '26
червень '26
+309
в 0 каналах
травень '26
+453
в 6 каналах
Get PRO
квітень '26
+372
в 3 каналах
Get PRO
березень '26
+372
в 6 каналах
Get PRO
лютий '26
+326
в 3 каналах
Get PRO
січень '26
+4 488
в 6 каналах
Get PRO
грудень '25
+302
в 5 каналах
Get PRO
листопад '25
+311
в 5 каналах
Get PRO
жовтень '25
+384
в 1 каналах
Get PRO
вересень '25
+344
в 5 каналах
Get PRO
серпень '25
+695
в 4 каналах
Get PRO
липень '25
+306
в 5 каналах
Get PRO
червень '25
+527
в 10 каналах
Get PRO
травень '25
+472
в 20 каналах
Get PRO
квітень '25
+458
в 17 каналах
Get PRO
березень '25
+532
в 23 каналах
Get PRO
лютий '25
+505
в 17 каналах
Get PRO
січень '25
+192
в 12 каналах
Get PRO
грудень '24
+2 308
в 13 каналах
Get PRO
листопад '24
+532
в 5 каналах
Get PRO
жовтень '24
+562
в 6 каналах
Get PRO
вересень '24
+797
в 14 каналах
Get PRO
серпень '24
+918
в 3 каналах
Get PRO
липень '24
+213
в 9 каналах
Get PRO
червень '24
+240
в 11 каналах
Get PRO
травень '24
+232
в 2 каналах
Get PRO
квітень '24
+297
в 4 каналах
Get PRO
березень '24
+421
в 4 каналах
Get PRO
лютий '24
+324
в 3 каналах
Get PRO
січень '24
+321
в 3 каналах
Get PRO
грудень '23
+823
в 12 каналах
Get PRO
листопад '23
+214
в 8 каналах
Get PRO
жовтень '23
+216
в 4 каналах
Get PRO
вересень '23
+301
в 0 каналах
Get PRO
серпень '23
+386
в 0 каналах
Get PRO
липень '23
+398
в 0 каналах
Get PRO
червень '23
+256
в 0 каналах
Get PRO
травень '23
+681
в 0 каналах
Get PRO
квітень '23
+299
в 0 каналах
Get PRO
березень '23
+614
в 0 каналах
Get PRO
лютий '23
+383
в 0 каналах
Get PRO
січень '23
+206
в 0 каналах
Get PRO
грудень '22
+528
в 0 каналах
Get PRO
листопад '22
+795
в 0 каналах
Get PRO
жовтень '22
+629
в 0 каналах
Get PRO
вересень '22
+229
в 0 каналах
Get PRO
серпень '22
+702
в 0 каналах
Get PRO
липень '22
+1 290
в 0 каналах
Get PRO
червень '22
+400
в 0 каналах
Get PRO
травень '22
+1 389
в 0 каналах
Get PRO
квітень '22
+447
в 0 каналах
Get PRO
березень '22
+1 859
в 0 каналах
Get PRO
лютий '22
+167
в 0 каналах
Get PRO
січень '22
+366
в 0 каналах
Get PRO
грудень '21
+624
в 0 каналах
Get PRO
листопад '21
+454
в 0 каналах
Get PRO
жовтень '21
+381
в 0 каналах
Get PRO
вересень '21
+147
в 0 каналах
Get PRO
серпень '21
+569
в 0 каналах
Get PRO
липень '21
+1 287
в 0 каналах
Get PRO
червень '21
+291
в 0 каналах
Get PRO
травень '21
+572
в 0 каналах
Get PRO
квітень '21
+423
в 0 каналах
Get PRO
березень '21
+771
в 0 каналах
Get PRO
лютий '21
+169
в 0 каналах
Get PRO
січень '21
+123
в 0 каналах
Get PRO
грудень '20
+26 165
в 0 каналах
| Дата | Залучення підписників | Згадування | Канали | |
| 24 червня | +3 | |||
| 23 червня | +9 | |||
| 22 червня | +5 | |||
| 21 червня | +7 | |||
| 20 червня | +10 | |||
| 19 червня | +8 | |||
| 18 червня | +13 | |||
| 17 червня | +16 | |||
| 16 червня | +65 | |||
| 15 червня | +6 | |||
| 14 червня | +4 | |||
| 13 червня | +5 | |||
| 12 червня | +9 | |||
| 11 червня | +12 | |||
| 10 червня | +19 | |||
| 09 червня | +11 | |||
| 08 червня | +13 | |||
| 07 червня | +12 | |||
| 06 червня | +3 | |||
| 05 червня | +14 | |||
| 04 червня | +21 | |||
| 03 червня | +8 | |||
| 02 червня | +18 | |||
| 01 червня | +18 |
Дописи каналу
4 компании, 4 аудита — и в каждой активные учётки уволенных с доступом к production
Рекорд из моей практики: сотрудник ушёл 11 месяцев назад, а его аккаунт всё ещё читал финансовые отчёты через SharePoint и держал действующий VPN-сертификат. HR закрыл заявку в тот же день, IT получил тикет через неделю, а до IAM-команды информация не дошла вообще.
И это не исключение — это норма.
❗️Проблема инсайдерских угроз не в мотивации человека, а в доступе, который у него остался. Внешнему атакующему нужен initial access — инсайдеру нет. У него уже есть badge, VPN и знание, где лежит ценное. Антивирус и EDR тут бессильны: человек работает штатными инструментами под легитимной учёткой.
Если наложить действия инсайдера на MITRE ATT&CK, цепочка выглядит так:
•
T1078 Valid Accounts — credentials уже есть
• T1213 — сбор данных из SharePoint, Confluence (сотрудник знает структуру наизусть)
• T1567.002 — выгрузка через Google Drive или Яндекс.Диск
• T1531 — саботаж: удаление данных, блокировка коллег
Эту цепочку ломают три вещи.
🔔Первая — принцип минимальных привилегий как процесс, а не декларация. Не «доступ к CRM», а «read-only к объектам Contact в Salesforce, region = RU». На внутренних пентестах расхождение между ролевой моделью и реальными правами в AD — критическое в 9 из 10 случаев. BloodHound находит такие дыры за первый час.
🔔Вторая — access review по расписанию. Раз в квартал для обычных пользователей, раз в месяц для привилегированных. Privilege creep — реальная боль: сотрудник за три года переходов между отделами накапливает права пяти ролей и никто этого не замечает. Менеджеры ненавидят эту процедуру, но без неё вы слепы.
🔔Третья — offboarding с SLA в один час. Не в один день, не «когда IT доберётся». Единая система тикетов, автоматическая цепочка: HR фиксирует увольнение → IAM блокирует учётку → VPN-сертификат отзывается → физический пропуск деактивируется. Без ручных передач между отделами в Telegram.
Классический антипаттерн — политика, написанная идеально, но в Okta живёт группа all-employees-full-access, а в AD — вложенные группы от пяти реорганизаций. Документ для аудитора ≠ безопасность.
В полной статье — конкретные запросы для SIEM, скрипты для обнаружения orphan-аккаунтов и пошаговый offboarding-чеклист.
https://codeby.net/threads/zashchita-ot-insaiderskikh-ugroz-access-review-offboarding-i-politiki-ib-na-praktike.94273/| 2 | Один номер телефона → 14 аккаунтов, два email и след в трёх утечках. Без единого нелегального запроса
Телефонный номер — один из самых недооценённых идентификаторов в OSINT. Мы привыкли думать о нём как о средстве связи, но в реальности это ключ к мессенджерам, двухфакторной авторизации, доскам объявлений, корпоративным каталогам и даже WHOIS-записям доменов. Вопрос только в методологии.
🔔Шаг 1 — валидация. Прежде чем копать дальше, убедись, что номер вообще активен. HLR-запрос через smsc.ru/testhlr/ или smspilot.ru/test.php покажет статус регистрации в сети, текущего оператора и флаг переноса номера. Важный нюанс: HLR показывает состояние SIM-карты, а не человека. Номер может быть активен, но лежать в ящике стола. Или принадлежать новому владельцу после перевыпуска.
Для российских номеров обязательно проверяй переносимость через реестр ЦНИИС — абонент мог сменить оператора, и префикс больше не соответствует реальности.
🔔Шаг 2 — мессенджеры. Это главный источник после валидации. WhatsApp, Telegram, Viber, Signal — добавление номера в контакты покажет, зарегистрирован ли аккаунт. В WhatsApp можно получить фото профиля, статус и раздел «О себе» (если настройки приватности позволяют). Фото — зацепка для обратного поиска по изображению.
Но учитывай OPSEC: такие проверки — это активная разведка. Ты генерируешь API-запросы к серверам платформ. Используй отдельный «исследовательский» номер и аккаунт — никогда свои основные.
🔔Шаг 3 — краудсорсинговые сервисы. GetContact, Sync.me, NumBuster агрегируют данные из контактных книг миллионов пользователей. Если кто-то записал номер как «Петров Олег логист», сервис это покажет. Но есть ловушка: при установке приложения твоя собственная контактная книга улетает на серверы сервиса. Деанонимизация исследователя в чистом виде.
➡️Где всё это в контексте ATT&CK? Телефонный OSINT — это тактика Reconnaissance: техники T1589 (сбор персональных данных), T1593 (поиск по открытым ресурсам) и T1596 (запросы к техническим базам). Результаты — не финальная точка, а входные данные для следующего этапа. В пентесте собранные идентификаторы идут в social engineering. В защите — каждый публичный корпоративный номер становится потенциальной точкой footprinting.
Полная методология — от первого HLR-запроса до построения графа связей с конкретными командами, инструментами и правовыми рамками — разобрана в статье на форуме.
https://codeby.net/threads/osint-po-nomeru-telefona-ot-tsifr-k-polnomu-tsifrovomu-profilyu-instrumenty-i-metodologiya.94242/ | 1 612 |
| 3 | Blue и Red Team сверяют компасы 🧭
К2 Кибербезопасность объединит команды на офлайн-митапе для тех, кто хочет выйти за рамки привычных задач и взглянуть на защиту с противоположной стороны.
Обменяемся опытом в кругу своих, обсудим факапы и разберем:
✅ Как подготовиться к инциденту так, чтобы во время атаки не пришлось действовать вслепую
✅ Что на самом деле происходит «в полях» пентеста: где ожидания расходятся с реальностью, почему это не «скрытный обход SOC» и к чему приводит внедрение ИИ
Кому будет интересно?
SOC-специалистам, пентестерам и ИБ-практикам
🗓 25 июня, 19:00
📍 Москва, офлайн
Участие бесплатное. Количество мест ограничено.
Зарегистрироваться | 1 730 |
| 4 |  🔍 Неделя 4 — Финал: Секретный кабинет
Последняя неделя серии «Сетевая разведка за 30 дней» — и сразу 500 очков.
Маршрут к цели известен. Нужен пароль. Всё, что изучали три недели — сейчас в одной цепочке:
nmap → gobuster → Burp Repeater → hydra
Разведка, directory enumeration, разбор auth-формы, брутфорс. Именно так выглядит реальный engagement.
⏱️ Старт: 23 июня, 10:00 МСК
🏁 Дедлайн: 28 июня, 23:59 МСК
Флаги до старта — в конкурсе не учитываются. До дедлайна обсуждаем подходы, не конкретные пути.
После 29 июня — финальный wrap-up серии, лучшие writeup'ы и что будет дальше.
👉 Неделя 4 — Финал: Секретный кабинет | 1 839 |
| 5 |  Учётка бухгалтера в 2:47 ночи на контроллере домена — и SOC почти проспал
Представьте: DLP молчит, SIEM выдаёт один алерт на аномальное время логина, а в это время атакующий через угнанную учётку четыре дня собирает финансовую отчётность и сливает её на Dropbox. Формально пользователь работает с файлами, доступными по роли. Итог — 40 человеко-часов на реагирование и полный пересмотр модели привилегированного доступа.
Это классический пример скомпрометированного инсайдера — одного из трёх типов внутренних угроз, которые стоит различать, если вы хотите их реально детектировать.
🔎По данным Ponemon Institute, 83% организаций зафиксировали хотя бы один инсайдерский инцидент, а средний годовой ущерб — $16,2 млн. При этом только 44% компаний используют UEBA — основной инструмент для обнаружения таких угроз. Разрыв между масштабом проблемы и зрелостью детекции — колоссальный.
Привычное деление на «умышленных» и «случайных» инсайдеров не работает. Методология CERT и отчёты Proofpoint выделяют три категории, и у каждой — свой kill chain и свои индикаторы:
❗️Malicious — злонамеренный инсайдер. Сознательно крадёт данные, саботирует системы, сливает информацию конкурентам. Мотивы — деньги, месть, идеология. Свежий кейс: в марте 2025 компания Deel внедрила сотрудника в штат Rippling под видом менеджера по комплаенсу. Четыре месяца он тихо выкачивал ценовые стратегии и клиентские списки через Slack и Salesforce — и ничего не сработало. DLP видит массовую выгрузку, но слеп к порционному сливу по 300 МБ за две недели.
• Negligent — небрежный инсайдер. Без злого умысла: клик по фишингу, файл не тому адресату, пароль Password123. Отдельная боль — GenAI. 76% организаций зафиксировали, как сотрудники копируют конфиденциальные данные в ChatGPT «для быстрого анализа». Классический DLP этот канал не покрывает, а он сейчас растёт быстрее всех остальных.
• Compromised — скомпрометированный инсайдер. Легитимный пользователь, чьи credentials угнал внешний атакующий. Для SIEM и DLP активность выглядит как обычная работа сотрудника. Kill chain неотличим от APT, и именно этот тип сложнее всего обнаружить.
Ключевой вывод: один detection-rule на все три типа — это путь к пропущенным инцидентам. Каждой категории нужна своя модель риска, свои триггеры и свой набор индикаторов.
В полной статье — MITRE ATT&CK маппинг для каждого типа, конкретные индикаторы и практические модели риска.
https://codeby.net/threads/tipy-insaiderskikh-ugroz-malicious-negligent-i-compromised-indikatory-kill-chain-i-modeli-riska.94167/ | 2 041 |
| 6 | ИБ без фильтров – онлайн-конференция про реальные боли ИБ-специалистов
Мероприятие, где говорим о реальных проблемах и ищем практические решения. Честный диалог, нестандартные кейсы и полезный опыт — все без фильтров.
В этот раз ключевыми темами мероприятия будут:
✅ Утечки: где один инцидент ломает бизнес-процессы.
✅ 117-й приказ ФСТЭК: как не утонуть в требованиях.
✅ РКН уже рядом: готовы ли вы к цифровым проверкам.
✅ Как уязвимости, подрядчики и ДЗО становятся входом в инцидент.
На конференции выступят эксперты по информационной безопасности – они разберут каждую из тем на реальных кейсах, ответят на острые вопросы и поделятся рабочими практическими инструментами.
🤝 Зарегистрироваться
Ждем вас на самый честный диалог по теме ИБ. | 2 096 |
| 7 |  Три APK без иконок: как выглядит слежка на Android изнутри
На форензике телефона жертвы домашнего насилия нашлись три приложения, которых не было видно в меню. Два маскировались под системные сервисы, третье — под провайдер телефонии. Все три — stalkerware, установленные с разницей в несколько месяцев. Ни одного эксплойта ядра, никакой изощрённой маскировки — просто sideload через физический доступ к разблокированному телефону.
И вот что важно: stalkerware и государственный spyware типа Pegasus — это два принципиально разных класса угроз, хотя оба шпионят. Путать их — значит ошибиться в модели угроз и потерять время на неправильных методах обнаружения.
➡️Немного цифр. По данным Kaspersky за 2023 год, 31 031 пользователь стал жертвой stalkerware. Россия лидирует — почти 10 тысяч случаев. Подписка на такое ПО стоит $10–70 в месяц. Pegasus — от сотен тысяч долларов за одну цель. Разница в цене отражает разницу в технологиях.
🔎 Как stalkerware держится на устройстве? Две основные точки закрепления:
• DeviceAdminReceiver — приложение получает права администратора, и пользователь не может его удалить, пока не отзовёт эти права. Проверяется командой adb shell dumpsys device_policy. Любой пакет в списке admin, кроме Google Find My Device или корпоративного MDM — красный флаг.
• Accessibility Services — через этот API stalkerware перехватывает переписки, снимает скриншоты, читает всё на экране. Проверка: adb shell settings get secure enabled_accessibility_services. У обычного пользователя тут один-два легитимных сервиса (TalkBack, Select to Speak). Неизвестное имя пакета — повод копать глубже.
🎇Быстрый чеклист для проверки Android-устройства:
1. adb shell pm list packages -3 — список сторонних пакетов. Ищите имена вроде «System Update Service», «Battery Optimizer», «Wi-Fi Manager» — классика маскировки.
2. Проверьте статус Google Play Protect. Stalkerware-вендоры в инструкциях прямо требуют его отключить.
3. Загляните в adb logcat — аномальные wake lock'и каждые 15 минут, обращения к RECORD_AUDIO, HTTP-запросы к дешёвым shared-хостингам.
А вот с Pegasus так не получится. Он не оставляет отдельного пакета в системе, инжектируется в легитимные процессы, зачищает следы. В logcat — тишина. Для его обнаружения нужен MVT и анализ бэкапов — совсем другой уровень инструментария.
Главный вывод: stalkerware примитивен технически, но именно поэтому его реально обнаружить базовыми средствами. Не нужен дорогой форензик-лаб — достаточно adb, внимательности и знания, куда смотреть.
В полной статье — детальный разбор kill chain обоих классов, таблица сравнения по MITRE ATT&CK и конкретные индикаторы компрометации.
https://codeby.net/threads/stalkerware-obnaruzheniye-na-android-tekhnicheskiye-otlichiya-ot-kommercheskogo-spyware-i-indikatory-komprometatsii.94162/ | 2 037 |
| 8 |  40 минут на ручной перебор паролей — или 3 минуты на скрипт?
На одном онлайн-CTF участник вбивал пароли в форму вручную. 200 попыток, 40 минут, ноль результата. Его тиммейт написал 10 строк на Python с requests, натравил на словарь — и забрал флаг за три минуты. Разница не в глубине знаний языка, а в конкретных приёмах: отправить POST, вытащить токен из HTML, прогнать перебор в цикле.
🔧 Четыре библиотеки закрывают около 90% задач автоматизации в CTF:
• requests — HTTP-запросы, брутфорс форм, работа с куками через сессии
• BeautifulSoup4 — парсинг HTML, извлечение токенов, флагов, скрытых полей
• pwntools — бинарная эксплуатация, TCP-сервисы, упаковка адресов
• hashlib — встроен в Python, хеширование для крипто-задач
Вся установка — одна команда после создания виртуального окружения: pip install requests beautifulsoup4 pwntools.
⚡ Самый частый сценарий — брутфорс формы логина. Логика элементарна: загрузить словарь, для каждого пароля отправить POST, проверить ответ, остановиться при успехе. Но есть три нюанса, без которых ничего не заработает:
1. Сессия через requests.Session() — без неё сервер воспринимает каждый запрос как нового пользователя, и куки теряются.
2. Имена полей формы — не угадывайте, а откройте F12 в браузере и скопируйте точные значения атрибутов name из тегов <input>. Бывает username, бывает login или user — одна буква сломает весь скрипт.
3. Условие успеха — в CTF работает проверка от обратного. Если в ответе нет слова «Invalid» или «Wrong» — скорее всего, вы внутри. Альтернатива: ловить код 302 (редирект после POST).
Словарь на 10 000 строк прогоняется за 10–30 секунд в зависимости от задержки сервера.
🛑 Когда скрипт сломается? Если сервер режет по rate limit — добавьте time.sleep(0.3) между запросами. Если форма требует CSRF-токен — сначала GET-запросом забираете страницу, парсите скрытое поле через BeautifulSoup, подставляете в POST. Без этого шага цепочка брутфорса развалится.
И тут начинается самое интересное: большинство web-задач CTF — это не один запрос, а цепочка. GET → парсинг → POST → проверка. Три метода BeautifulSoup покрывают 95% случаев: find() для конкретного элемента, find_all() для списка и get() для атрибутов тега.
📖 В полной статье — готовые скрипты с разбором каждой строки, работа с pwntools для бинарных задач и примеры парсинга CSRF-токенов. Забирайте в закладки.
https://hackerlab.pro/blog/python-dlya-ctf-avtomatiziruem-rutinu-ot-brutforsa-do-parsinga-otvetov | 2 165 |
| 9 |  🚩 Новые задания на платформе HackerLab!
⚙️ Категория Реверс-инжиниринг — Dart'с
Приятного хакинга! | 2 191 |
| 10 |  ❓Пятничный опрос
REALITY стал одним из самых популярных решений в экосистеме Xray благодаря своему нестандартному подходу к установке защищенных соединений. Эта технология часто обсуждается в контексте современных методов фильтрации трафика.
А насколько хорошо вы разбираетесь в том, как работает REALITY? Проверим 👉 | 2 595 |
| 11 | REALITY — механизм маскировки в Xray, делающий VPN-трафик практически неотличимым от Что увидит система DPI при анализе корректно настроенного соединения VLESS + REALITY? | 2 452 |
| 12 | 💵Сколько зарабатывает пентестер веб-приложений?
Веб-приложения остаются самой частой точкой входа в инфраструктуру, а специалистов, которые умеют находить и эксплуатировать уязвимости, по-прежнему не хватает.
Цифры по рынку:
▶️Junior ~ 60 000 ₽
▶️Middle ~ 350 000 ₽
▶️Senior — до 600 000 ₽
▶️Bug Bounty — отдельный доход за найденные баги, без потолка
Наш курс WAPT выводит как раз на уровень Middle — и не на теории, а в большой лаборатории из 66 заданий разной сложности.
Чему учим на курсе:
⏺️находить уязвимости из OWASP Top-10 и понимать, как они устроены
⏺️анализировать веб-приложения и эксплуатировать найденное
⏺️свободно работать с nmap, wfuzz, ffuf, Burp Suite, WPScan, nikto, nuclei, sqlmap
⏺️применять методологии анализа защищённости
⏺️автоматизировать рутину
Навыки одинаково работают и в коммерческом пентесте, и в Bug Bounty.
Формат:
▶️4 месяца •144 ак. часа
▶️16 недель: 11 — программа + 5 — подготовка и сдача экзамена
▶️лаборатория на 66 заданий
Кураторы и авторы курса:
Александр Медведев — 10+ лет в ИБ, OSCP / PNPT / CEH / CWAPT / SQLIM, 3-кратный победитель Standoff в составе Codeby
Руслан Русланов — десятки проектов по пентесту крупных компаний и банков
Старт ближайшего потока — 16 июля. При оплате курса сразу, дарим скидку 30%
➡️Записаться
Бесплатная консультация — @CodebyAcademyBot | 2 536 |
| 13 |  Почему инциденты обходятся так дорого — и при чём тут оргструктура
Средняя стоимость утечки данных в 2023 году — $4.45 млн. Цифра из отчёта IBM, которую любят цитировать все подряд. Но вот что интересно: когда разбираешь post-mortem конкретных инцидентов, дорогими их делает не уязвимость и не отсутствие EDR. Их делает организационный хаос.
❓Кто принимает решение об изоляции скомпрометированного сегмента? Кто уведомляет регулятора в срок? На ком ответственность за финансовые последствия? В компаниях без формализованного governance ответ на каждый из этих вопросов — тишина и импровизация под давлением.
Governance ИБ — это не про комплаенс и не про закупку средств защиты. Это стратегический уровень: кто принимает решения о допустимом уровне риска, что входит в scope ИБ-программы, зачем организация инвестирует в конкретные контроли. Не случайно NIST CSF 2.0 ввёл функцию GOVERN как фундаментальную — в предыдущей версии фреймворка её просто не существовало.
➡️Три модели оргструктуры ИБ, которые встречаются на практике:
• Централизованная — всё под единым CISO. Единые стандарты, понятная ответственность. Минус: bottleneck при масштабировании, особенно если бизнес распределён географически.
• Распределённая — ответственности делегированы подразделениям или регионам. Быстрая реакция на локальные угрозы, но три подразделения с тремя разными подходами к классификации инцидентов делают агрегированный reporting невозможным.
• Гибридная — центральный CISO задаёт стратегию и политики, а в подразделениях работают security-координаторы, адаптирующие требования к локальному контексту. Доминирует в компаниях от 500+ человек.
Выбор зависит не от размера штата, а от трёх факторов: уровень регуляторного давления, географическая распределённость и зрелость ИТ-процессов.
❗️Отдельная боль — подчинение CISO. Самая распространённая схема в российских компаниях — CISO под CIO. И самая проблемная. Структурный конфликт интересов: CIO отвечает за uptime и скорость, CISO — за безопасность. Когда нужно остановить деплой из-за уязвимости, CIO и CISO оказываются по разные стороны. А итоговое решение принимает тот, кому CISO подчиняется, — то есть CIO. Угадайте, в чью пользу.
Ещё один инструмент, без которого governance разваливается — матрица RACI. Она фиксирует для каждого процесса, кто Responsible, кто Accountable, кого Consulted, кого Informed. Без неё в момент инцидента начинается перекидывание ответственности, а время утекает.
👉В полной версии статьи — разбор всех трёх моделей, конкретные примеры RACI-матриц, шаблоны reporting и привязка к техникам MITRE ATT&CK. Полезно и CISO, и тем, кто строит ИБ-функцию с нуля.
https://codeby.net/threads/governance-informatsionnoi-bezopasnosti-orgstruktura-roli-raci-i-reporting-dlya-zreloi-ib-programmy.94136/ | 2 188 |
| 14 | CISA предупреждает об активно эксплуатируемой уязвимости в расширении JCE для Joomla, позволяющей выполнять PHP-код.
06.16.26 Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость критического уровня опасности, затрагивающую расширение Widget Factory Joomla Content Editor (JCE), в свой каталог известных эксплуатируемых уязвимостей (KEV), сославшись на свидетельства ее активной эксплуатации.
Данная уязвимость, зарегистрированная под идентификатором CVE-2026-48907, связана с некорректным контролем доступа, что может привести к выполнению произвольного кода.
В расширении Widget Factory Joomla Content Editor обнаружена уязвимость, связанная с ненадлежащим контролем доступа; она позволяет неавторизованным пользователям загружать и выполнять PHP-код путем создания новых профилей редактора
На данный момент нет информации о том, как именно эта уязвимость эксплуатируется в реальных условиях. Федеральным гражданским ведомствам исполнительной власти (FCEB) предписано установить исправление до 19 июня 2026 года.
#news #Joomla #PHP #CVE #vuln
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 717 |
| 15 | 🎓 Бесплатный практический курс на реальном стенде «От логов до инцидентов: UserGate SIEM за 1 день»
Когда ИТ-инфраструктура растет, стандартных журналов становится недостаточно. Для контроля событий безопасности, выявления угроз и выполнения требований регуляторов всё чаще используются SIEM-системы.
Приглашаем на бесплатный практический курс по UserGate SIEM, где вы сможете не просто познакомиться с платформой, а самостоятельно поработать с ней на реальном стенде.
За один день вы:
✅ подключите источники событий и настроите обработку логов;
✅ разберётесь в работе аналитики и механизмах выявления угроз;
✅ познакомитесь с процессом обработки инцидентов на практике;
✅ изучите возможности UserGate SIEM и принципы работы с событиями безопасности.
📅 15 июля, 11:00 (МСК)
💻 Онлайн
Зарегистрируйтесь сейчас и пройдите путь от настройки сбора логов до выявления инцидентов в UserGate SIEM всего за один день.
Реклама. ООО "ИНФРАТЕХ". ИНН 5024197250. | 1 995 |
| 16 |  🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят
OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего.
Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту.
Это и есть граница между «отчётом сканера» и «результатом пентеста».
⚙️ На практике пентест веб-приложений делится на три подхода:
• Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен.
• Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный.
• White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени.
Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги.
📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах:
1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь.
2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира.
3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту.
Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации.
🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки.
В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby.
https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/ | 2 341 |
| 17 | 🔍 94% веб-приложений проваливают контроль доступа — но сканеры этого не видят
OWASP опубликовал показательную цифру: 94% протестированных веб-приложений содержат нарушения контроля доступа. Казалось бы, запускай DAST-сканер и собирай урожай. Но вот парадокс — именно этот класс уязвимостей автоматика пропускает чаще всего.
Почему? Потому что сканер не понимает бизнес-логику. Он не знает, что order_id=1235 — это чужой заказ, а не ваш. Он не умеет отличить легитимный ответ от утечки данных через IDOR. Nuclei прогонит тысячи шаблонов, ZAP отработает чеклист, а потом пентестер откроет Burp Suite Repeater, поменяет один параметр — и получит доступ к чужому аккаунту.
Это и есть граница между «отчётом сканера» и «результатом пентеста».
⚙️ На практике пентест веб-приложений делится на три подхода:
• Black box — ноль информации, имитация внешнего атакующего. Хорош для проверки периметра, но часто поверхностен.
• Grey box — тестовые учётки и частичная документация API. Самый популярный сценарий в реальных проектах и, честно говоря, самый результативный.
• White box — полный доступ к исходникам. Максимальное покрытие, но и максимальные затраты времени.
Почему grey box побеждает? Ты уже внутри приложения и можешь целенаправленно ковырять авторизацию, эскалацию привилегий, горизонтальное перемещение между аккаунтами. Именно здесь живут самые критичные баги.
📋 Отдельный вопрос — методология. Три стандарта, которые реально используют на проектах:
1. OWASP WSTG — исчерпывающий чеклист технических проверок. Каждый тест-кейс имеет идентификатор вроде WSTG-INFO-02. Открываешь нужную секцию, последовательно выполняешь проверки — ничего не пропустишь.
2. PTES — покрывает весь жизненный цикл проекта от переговоров до отчёта. Семь фаз, написанных пентестерами для пентестеров. Без бюрократического жира.
3. NIST SP 800-115 — когда заказчику нужна формальная привязка к государственному стандарту.
Опытные команды комбинируют подходы: PTES как каркас проекта, WSTG как технический справочник на этапе эксплуатации.
🎯 Главный вывод прост: автоматизация экономит время на рутине, но критические уязвимости бизнес-логики находит только человек. Сканер — ваш помощник, а не замена. Если вы полагаетесь только на DAST, вы буквально не видите большую часть поверхности атаки.
В полной версии руководства — разбор каждой фазы пентеста, decision tree для выбора вектора атаки и конкретные техники по OWASP Top 10. Читайте на форуме Codeby.
https://codeby.net/threads/pentest-veb-prilozhenii-v-2025-godu-polnoye-rukovodstvo-po-metodologii-instrumentam-i-owasp-top-10.94118/ | 1 |
| 18 |  Английские власти хотят больше детской безопасности 🇬🇧
⏺️Кир Стармер намерен запретить доступ к крупным социальным сетям - таким как TikTok, Instagram и X - для лиц моложе 16 лет - сообщает газета The Guardian.
В рамках радикального изменения политики, которое оказалось гораздо более жестким, чем предполагалось ранее, премьер-министр объявит о запрете для подростков на использование всех основных социальных платформ. На онлайн-сервисы, не подпадающие под полный запрет (например, игровые приложения), будут наложены иные ограничения - в частности, в них будет отключена функция общения с незнакомцами.
Также будут введены ограничения для подростков старшего возраста (до 18 лет), призванные предотвратить "бесконечный скроллинг" ленты в ночное время.
⏺️Источники в правительстве сообщили, что ключевыми причинами принятия столь строгих мер стало стремление защитить подростков от вредного контента, вызывающего зависимость (например, функции "бесконечной прокрутки"), а также от контактов с незнакомцами.
⏺️Кроме того, лицам моложе 18 лет будет запрещен доступ к чат-ботам с искусственным интеллектом, имитирующим романтическое или сексуальное общение. "Здесь не может быть полумер", — отметил один из собеседников.
Источник: https://www.theguardian.com/uk-news/2026/jun/14/starmer-to-announce-australia-plus-ban-on-social-media-for-under-16s
#news #socialnetworks #uk #law #internet
🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером | 2 626 |
| 19 |  🔄 Глобальное обновление на HackerLab!
Мы перебрали платформу почти целиком — от внешнего вида до новых механик. Главное:
Новый облик
Платформа получила цельный тёмный дизайн. Чище, контрастнее, приятнее для долгих сессий.
Уровни и XP
Теперь у вас есть уровень. Баллы за решённые задания — это и есть ваш XP: они повышают уровень и поднимают вас в рейтинге одновременно.
Серия (Streak)
Решайте хотя бы одно задание в неделю — и держите серию. Если неделя выпала, раз в месяц вас прикроет страховка. Новая неделя считается с выходом заданий в субботу (12:00 по МСК).
Рейтинг стал нагляднее
Появилась вкладка «Рядом со мной» — видно соседей по месту, а не только топ. Переключайтесь между сезонным и глобальным зачётом и следите за движением своей позиции.
Живая главная
Новая Live-лента показывает first blood и решения в реальном времени. Рядом — актуальные события, свежие задания и ваша активность.
Профиль
Переработан под новую систему: прогресс по категориям, достижения с понятной следующей целью и радар ваших компетенций.
Удобнее искать задания
В категориях заработали поиск, фильтры и сортировка, переключение вида (сетка / список), а на карточках — бейджи СЕЗОН и АРХИВ.
Стало быстрее
Оптимизировали загрузку — платформа и страницы открываются заметно шустрее.
💚 Залетай и смотри, что нового → hackerlab.pro | 2 212 |
| 20 |  75% вторжений начинаются без единого эксплойта — просто с логина и пароля
Представьте: атакующий не ищет уязвимости, не пишет shellcode, не обходит EDR. Он просто логинится. Через парадный вход, с настоящими учётными данными. Его сессия неотличима от легитимной. И по свежим отчётам, именно так начинаются три из четырёх реальных взломов.
🔑 Вот что говорят цифры за 2024–2025:
• CrowdStrike: 75% вторжений используют действительные учётные данные — техника T1078 Valid Accounts
• IBM X-Force: рост identity-атак на 71% год к году, инфостилеры с долей 32% стали самым распространённым типом malware, обогнав ransomware
• Verizon DBIR: 38% утечек напрямую связаны с кражей credentials
Почему так? Чистая экономика. Zero-day в enterprise-продукте стоит десятки и сотни тысяч долларов. Свежий доступ к корпоративному VPN на маркетплейсе — от $10 до $2 700. Разница в три-четыре порядка. При этом credential-based вход не оставляет артефактов: нет аномалий в трафике, нет сигнатур в EDR, нет shellcode в памяти.
⚙️ Откуда берутся эти credentials? Инфостилеры — малварь, заточенная на автоматический сбор всего ценного с заражённой машины. Работают по модели Malware-as-a-Service: подписка на Lumma или StealC стоит $150–250 в месяц и включает билдер, панель управления и техподдержку. Барьер входа — околонулевой.
Что крадут? Сохранённые пароли из браузеров (прямой доступ к Login Data через DPAPI), session cookies для обхода MFA, нажатия клавиш, скриншоты и полный fingerprint системы. На выходе — аккуратная директория с файлами по папкам: /Browsers/, /Cookies/, /System/. Готовый набор для атаки, собранный за секунды.
📊 Масштаб впечатляет: по агрегированным оценкам, за первую половину 2025 года стилерами похищено порядка 1.8 миллиарда credentials с 5.8 миллионов устройств. Более 17 миллиардов browser cookies украдено только за 2024-й — включая authentication-токены, которые превращают MFA в декорацию.
Доставка тоже эволюционирует. Кроме классического фишинга (рост на 84% YoY по IBM) набирают обороты ClickFix-кампании: поддельные системные уведомления в браузере, которые просят пользователя самостоятельно выполнить PowerShell-команду для «исправления ошибки». Пользователь сам копирует и вставляет вредоносный код. Элегантно и страшно одновременно.
🎯 Главный вывод для защитников: модель «детектируем эксплойт на периметре» не закрывает 75% реальных вторжений. Если вы не мониторите утечки credentials, не отслеживаете аномалии аутентификации и полагаетесь только на TOTP-based MFA — вы уязвимы.
Полный разбор экосистемы — от инфостилеров до Initial Access Brokers и nation-state операций — читайте в статье на форуме.
https://codeby.net/threads/ukradennyye-uchetnyye-dannyye-kak-tochka-vkhoda-ot-infostilerov-do-atak-urovnya-nation-state.94098/ | 2 356 |
