pentest

Мы сейчас нырнем в такие дебри системной архитектуры, куда большинство «успешных DevOps-инженеров» с их готовыми шаблонами из корпоративных wiki, надерганными с первых страниц Google, даже заглянуть боятся. Их удел - это сияющие дашборды в Grafana, где всё зелёное, и настройка «звёздочек» в...

Зачем? Тот, кто читает эти строки, наверняка уже не раз слышал скрипт кидди, задорно кричащего: «У меня рут!». Он тыкает в терминал sudo su - и считает, что достиг просветления, что перед ним разверзлись небеса вычислительной вселенной и все архангелы-демоны отныне покорны его воле. Сию секунду...

Если ты сюда попал, ты уже находишься в одном из двух состояний. Состояние первое: Ты устал. Устал от бесконечного цикла «скачал PoC с GitHub, запустил, получил детект, пошёл искать следующий PoC». Устал от чувства, что ты работаешь со средствами, механизм которых понимаешь лишь на 10%, а...

Привет. Зацепило? Или хотел на другую статью? Может, в ленте мелькнула строчка про «DNS-туннелирование», а ты слышал звон, да не знал, где он. Может, ты уже в теме, но хочешь систематизировать обрывки знаний в единую, цельную картину. А возможно, ты просто устал от тонн полированного...

Ты, вероятно, как и я, устал от нарратива. От этой всеобщей эйфории, где каждый второй мануал начинается с docker run hello-world, а каждый первый архитектор рисует в креативе бесконечные облака с коробочками, соединенными стрелочками. Мир, где сложность спрятали за абстракциями, а безопасность...

Привет, сеть. Засядь поудобнее, отложи эту чашку холодного кофе и приготовься к долгому, подробному и честному разговору. Разговору о том, что на самом деле скрывается за громкими заголовками вроде «Кибертеррористы атаковали электростанцию» или «Хакеры парализовали работу завода». Попробуй...

Послушай. Ты слышишь этот тихий, почти неразличимый гул? Это фундамент. Это стук сердца интернета, каким мы его знаем. Это DNS. Domain Name System. Тот самый протокол, который превращает www.наш-любимый-кодбай.net в скучный набор цифр вроде 192.0.2.1. Все его любят. Все ему доверяют. Системные...

Ты снова здесь, в три часа ночи, когда пиксели экрана - единственный источник света, а тишину нарушает лишь едва слышный гул системы охлаждения. Ты пролистал ленту, проверил логи, увидел, как по интерфейсам течёт бесконечный, предсказуемый поток. HTTP-запросы, закутанные в TLS, как в целлофан...

Ты наверняка знаешь это чувство. Не то чтобы щемящее одиночество - скорее, лёгкая, знакомая горечь разочарования, смешанная с неуёмным любопытством. Сидишь, читаешь свежий дайджест уязвимостей или пролистываешь ленту. Очередная новость: «Компания-однодневка на AWS оставила открытый S3 с данными...

Эй. Да, тебе. Тот, кто зашёл сюда не по ссылке с очередного инфосек-паблика, а нашёл эту тему через глубинный поиск, через закладку в браузере, через шёпот в IRC. Тот, у кого от бесконечных статей «Top-5 SSTI Payloads для Django» уже сводит скулы. Приветствую. Вытащи из-под стола тот самый...

Давайте сразу расставим точки над i, вернее, над docker exec -it. Все информанты, что трубят о «новом уровне абстракции» и «цифровой трансформации», обычно забывают упомянуть одну простую вещь: любая абстракция - это не магический щит, а новый слой реальности. Со своими дырами, закоулками и, что...

Знакомо чувство, когда инструмент делает твою работу за тебя, но не так, как ты ожидал? Не как громоздкий робот, который ломится через все двери, а как тихий напарник, который просто открывает нужный замок и кивает тебе в сторону прохода. В мире поиска уязвимостей, особенно XSS, такое случается...

Ты сидишь там, в своей тайной вкладке, которую прячешь от коллег-джаваскриптеров, верно? Та вкладка, где у тебя открыт не какой-то уютный, прилизанный бложик про «10 лучших практик Vue», а что-то настоящее. Что-то, от чего слегка щемит в груди - смесь любопытства и предвкушения хака. Ты смотришь...

Что это такое? Pro-лаба — это сеть машин с уязвимостями. Задача — найти слабые места, разобраться, как всё устроено, использовать уязвимости и шаг за шагом углубляться в сеть, собирая флаги на каждом этапе. Чем отличается от обычных задач? Это не “одна машина — один флаг — конец”. Тут...

Представь себе типичную сцену. Красная команда, синяя команда. Атакующие строчат в терминале, как пулемётчики, запуская один скрипт за другим: Invoke-Mimikatz, SharpHound, SafetyKatz. Защитники в ответ натягивают струны правил в Sigma, охотятся за аномалиями, наращивают стены из угроз. Это война...

Ты зашел в этот тихий, пыльный уголок сети не просто так. Не за постами о «революции digital transformation» и не за очередным туториалом, как за пять минут поднять «Hello World» на Lambda. Ты пришел сюда, потому что давно чувствуешь под лощеной обложкой литературы по облакам зияющую, холодную...

Всем привет! Мы делаем образовательный курс по пентесту мобильных приложений и ищем человека, который готов собрать курс: от базы до продвинутых техник, с живыми кейсами, нормальными лабами и объяснением почему здесь так, а не иначе. Что предстоит делать: Продумать структуру курса по...

Мы залезем в такие дебри AWS, куда большинство «архитекторов» в своих накрахмаленных рубашках даже носом не суётся. Они там сверху строят свои «микросервисы» и «бессерверные пайплайны», даже не подозревая, какой фундамент из карт у них под ногами. А фундамент этот - AWS Organizations. Это...

Забудь всё, что тебе рассказывали о безопасности VLAN на курсах. Мы говорим об атаке Double Tagging (VLAN Hopping) - не как об уязвимости из прошлого, а как о живом, работающем методе нарушения L2-сегментации в 20-х годах. Мы не будем цитировать стандарты IEEE. Вместо этого мы соберём полигон...

Привет, Codeby. На этот материал у меня ушла не одна неделя... Было затронуто множество ранее неизвестных мне языков программирования и методик. Безумно рад поделиться с вами всем изученным и почитать ваше мнение в комментариях! Сегодня разговор пойдёт не о очередном «малваре-невидимке» с...