Форум информационной безопасности - yg140.servegame.com
Writeup Web | Тетрис | HackerLab (WriteUp)
Flask-приложение с формой восстановления пароля и генератором токенов из трёх символов (b, c, d) длиной 6 знаков — всего 729 комбинаций. Токен удаляется сразу после первого обращения к /reset/<uuid>, что превращает брутфорс в гонку за сессионной cookie.Анализ исходников раскрыл архитектуру: страницы /reset_password и /reset/<uuid>, SQLite с таблицей users, функция _generate_token() с жёстко заданным алфавитом. Стандартный перебор с проверкой 200 не работает — редирект происходит раньше. Решение: allow_redirects=False и перехват 302-ответа с последующим извлечением session cookie через x.cookies.get_dict().
Python-скрипт на itertools.product генерирует все 729 вариантов, последовательно проверяет /reset/<token>, при коде 302 сохраняет cookie и прерывает цикл. Cookie вставляются в браузер, переход на /admin — флаг получен.
Honeypot в виде рабочего тетриса унёс 30 минут. Исходники раскрыли всё за 5.Статья Защита корпоративных учётных данных: infostealer-кампании, MFA-харденинг и PAM на практике
Три из четырёх вторжений в 2024 году начались с обычного логина — не с zero-day. CrowdStrike фиксирует 75% intrusions через Valid Accounts (T1078), IBM X-Force — рост infostealers на 71%: Redline, Raccoon, Lumma забирают cookies и NTLM-хеши за 3–5 минут.Kill chain выглядит так: фишинг в 9:15 — stealerдампит LSASS (T1003.001) и браузеры (T1555.003) — в 10:00 атакующий в VPN и почте — в 11:20 SOC подтверждает инцидент, но злоумышленник уже domain admin. Два часа от письма до AD.
Detection строится на Sysmon Event ID 10 с фильтром TargetImage: lsass.exe и Sigma-правиле по GrantedAccess 0x1010/0x1410.
EDR молчит на валидный RDP-логин. SOC получает алерт через 47 минут — стилер ушёл за 10.Вакансия Senior Reverse engineer
Продуктовая IT-компания ищет Senior Reverse Engineer. Полностью удалённый формат, оформление по ТК РФ, вилка до 440 000 рублей на руки. Ориентация на результат — гибкое начало рабочего дня.Обязанности: анализ бинарного и исходного кода, поиск уязвимостей в устройствах и программных компонентах, снятие трафика приложений и воспроизведение протоколов, работа с эмуляторами и инструментами получения root-прав на мобильных устройствах.
Стек: IDA Pro, x64DBG, Ghidra, Wireshark/Burp Suite, Frida, Xposed, Magisk/LSPosed. Понимание SSL, MitM, SSL Pinning bypass. Языки: C/C++, C#, Python, Java, Lua, JavaScript — один или несколько. Опыт с игровыми движками (Unity, cocos2d) как плюс.
Компенсация профильного обучения, корпоративные библиотеки, внутренние митапы. Контакт: https://t.me/hortenzieСтатья Стеганография в вредоносном ПО: как APT-группировки прячут C2-каналы и пейлоады в изображениях
Загрузчик Zero.T скачивал три BMP-файла — корпоративный DPI пропустил их без единого алерта. Внутри: модули Enfal, упакованные в младшие биты пикселей. Восемь семейств малвари используют стеганографию как C2-транспорт, и ни один антивирус не сработал.LSB-стеганография в BMP/PNG — не экзотика, а рабочий инструмент APT. Загрузчик скачивает «картинку» по HTTP/HTTPS, DPI видит Content-Type: image/png и пропускает. Внутри — шелл-код или конфиг следующего C2-этапа. MITRE T1027.003 и T1001.002 в одном флаконе.
DPI проверяет заголовок файла — а пейлоад сидит в пикселях. 11 дней медианного присутствия APT именно здесь.Статья Сегментация и защита OT-сетей: Purdue Model, промышленная DMZ и Zero Trust для ICS
На аудите нефтехимического завода Modbus/TCP от Siemens S7-1200 жил в одном VLAN с корпоративным файловым сервером. От ноутбука подрядчика до записи в holding-регистры ПЛК — 47 минут, два дырявых ACE-правила и ноль алертов в SIEM.Purdue Model уровни 2 и 3 на реальных объектах сливаются в плоскую подсеть — historian рядом с HMI без файрвола, «временно» уже три года. VPN подрядчика приземляется прямо на Level 2, минуя DMZ: MITRE ATT&CK T1199 Trusted Relationship даёт прямой маршрут в OT. Modbus/TCP FC6/FC16 выполняет запись в регистры без аутентификации от любого IP.
EDR молчит — в OT нет эндпоинтов под агентом. Атака на ПЛК невидима для SIEM до физических последствий.Статья Зрелость процессов информационной безопасности vs бюджеты: как выстроить защиту без карго-культа
Финтех вложил 80 млн в SIEM, EDR и аутсорс-SOC — пентестер получил доменного админа за 4 часа. SIEM покрывал 40% инфраструктуры, ни одно правило корреляции не настроено под реальные TTPs, EDR отсутствовал на контроллерах домена.Mandiant M-Trends 2025: 57% компаний узнают об инциденте от внешних сторон. Медиана — 11 дней в сети до обнаружения. IBM X-Force: среднее время между публикацией CVE и патчем — 29 месяцев. CrowdStrike фиксирует: 75% вторжений в 2024-м через Valid Accounts (T1078) — дефолтный SIEM это не детектирует.
Разница между уровнями зрелости — не в бюджете.
SOC смотрит на алерты — APT работает через легитимный вход. Инструменты без процессов дороже, чем их отсутствие.Статья Технические меры защиты ПДн по ФСТЭК: что реально требуется и как реализовать
Аттестат ФСТЭК подписан, техпроект красивый — а папка с ПДн клиентов открыта с правами Everyone:Full Control. Межсетевой экран в permit any/any «временно». SIEM слеп четыре месяца. С оборотными штрафами цена такого разрыва — проценты от выручки.Приказ ФСТЭК №21 делит меры на 15 групп: ИАФ, УПД, РСБ, АВЗ, СОВ — каждая закрывает конкретные техники MITRE ATT&CK. УЗ-3 требует СЗИ не ниже 6 класса, УЗ-1 — не ниже 4-го. Завышение типа угроз «для перестраховки» поднимает УЗ и бюджет втрое — без реального снижения риска.
Статья разбирает маппинг мер на ATT&CK: ИАФ.4 блокирует T1110 Brute Force, СОВ — T1190 и T1071, РСБ — T1562.
Проверяющий открывает не документы — он смотрит права на папку с ПДн и журнал SIEM.Статья Пентест SCADA систем: от Modbus-разведки до контроля ПЛК в production-среде
Обычный SYN-скан без --max-rate положил Siemens S7-300 за 40 секунд — оператор нажал аварийную остановку, простой 22 минуты. Modbus TCP (порт 502) не имеет аутентификации: function code 0x06 исполняется без вопросов от любого узла в сети.В OT-среде kill chain идёт через Shodan (`port:502 product:Siemens`), Redpoint NSE и PLCScan для fingerprinting, затем — lateral movement через инженерную станцию с двумя интерфейсами в DMZ. Industroyer эксплуатировал легитимные IEC 60870-5-104 команды плюс CVE-2015-5374 против Siemens SIPROTEC.
Приоритет защиты в ICS — Safety → Availability → Integrity, а не CIA как в IT.
EDR в OT — редкость из-за real-time constraints. ПЛК зависает от 50 пакетов/сек, а патч ждут 29 месяцев.