惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
博客园 - 三生石上(FineUI控件)
博客园 - 司徒正美
博客园_首页
J
Java Code Geeks
V2EX - 技术
V2EX - 技术
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
TaoSecurity Blog
TaoSecurity Blog
T
Troy Hunt's Blog
Forbes - Security
Forbes - Security
Schneier on Security
Schneier on Security
Hugging Face - Blog
Hugging Face - Blog
PCI Perspectives
PCI Perspectives
O
OpenAI News
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
Hacker News: Ask HN
Hacker News: Ask HN
Application and Cybersecurity Blog
Application and Cybersecurity Blog
H
Heimdal Security Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
博客园 - 聂微东
量子位
酷 壳 – CoolShell
酷 壳 – CoolShell
大猫的无限游戏
大猫的无限游戏
WordPress大学
WordPress大学
美团技术团队
V
V2EX
Cisco Talos Blog
Cisco Talos Blog
小众软件
小众软件
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
C
Cybersecurity and Infrastructure Security Agency CISA
有赞技术团队
有赞技术团队
腾讯CDC
Cloudbric
Cloudbric
Google DeepMind News
Google DeepMind News
博客园 - 【当耐特】
SecWiki News
SecWiki News
IT之家
IT之家
C
Cisco Blogs
雷峰网
雷峰网
aimingoo的专栏
aimingoo的专栏
B
Blog RSS Feed
S
Schneier on Security
Security Latest
Security Latest
Scott Helme
Scott Helme
H
Help Net Security
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
P
Palo Alto Networks Blog
L
LINUX DO - 热门话题
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Охота на эксплойты: зачем и как это делать специалистам по ИБ
SolarSecurity · 2026-06-25 · via Все публикации подряд на Хабре

Охота на эксплойты: зачем и как это делать специалистам по ИБ

8 мин

1

Для чего нам искать эксплойты? Это помогает защититься от потенциальных атак: чем раньше найдешь и разберёшься, как он работает, тем быстрее напишешь детектирующие логики на различные средства защиты информации, например: WAF, IDS. А они уже, в свою очередь, защитят компанию от возможных атак. Как говорится, предупреждён – значит, вооружён. Особенно важно отслеживать уязвимости в open-source-продуктах, используемых в инфраструктуре (таких в России сейчас много), так как их код является открытым для анализа и поиска уязвимостей, и множество энтузиастов практической безопасности ежедневно занимаются именно этим. В этой статье мы разберем, как и где искать эксплойты и какие подводные камни могут встретиться на этом пути. Если вы только начинаете карьеру специалиста по корпоративной защите, то статья будет полезной!

NIST

Первый источник, о котором, наверное, слышали все — это NIST (Национальный институт стандартов и технологий США). Он является отправной точкой поиска. Но что может дать NIST, кроме на первый взгляд непонятного технического описания уязвимости, маркера критичности, CWE, распределения вектора атаки и прочих метрик? Ответ: ссылки на источники. Особенно если уязвимость найдена в open-source-решении. Какие источники могут помочь? Конечно, лучшей практикой будет ознакомиться со всеми приложенными источниками, но пристальное внимание стоит уделить ссылкам на коммиты исправлений, GitHub-репозитории, и источникам, содержащим идентификатор GHSA (GitHub Security Advisory). Выглядит он так: GHSA-xxxx-xxxx-xxxx и помогает в случаях, когда PoC не имеет отдельного репозитория на GitHub, но может иметь ссылку с GHSA идентификатором с детальным описанием и доказательством уязвимости.

Небольшой пример:

CVE-2026-42048 Уязвимость в Langflow. NIST дает всего один источник с тем самым идентификатором GHSA.

Если перейти на источник, мы сразу получим готовую PoC-концепцию. Это готовое основание для создания детектирующей логики.

Исследователи и Telegram-каналы

Больших команд и частных исследователей безопасностей в мире ИБ немало, и они являются ценнейшими источниками данных об эксплойтах. Как только вы начнете заниматься поиском, вы очень скоро наткнетесь на подобные статьи и составите свой список избранных. Для примера рассмотрим статью об CVE-2026–41940 в cPanel от watchTowr Labs (центра экспертизы по наступательной безопасности).

В статье они детально описывают причины уязвимости с демонстрацией уязвимого кода, описывают логическую цепочку, в результате которой удалось выполнить RCE. Так же к публикации приложены HTTP запросы и ссылка на их PoC-эксплойт.

Другой пример – CVE-2026–41873 в Apache Pony Mail. Star labs сделали обзор с инструкцией для моделирования. Все это – готовая основа для детектов!

Следить за обновлениями статей от подобных авторов, также является полезной практикой. Впрочем, у подобных статей есть негативный для специалистов в области информационной безопасности эффект: если публикация набирает большой резонанс (например, если уязвимость обнаружена в популярном продукте), это приводит к появлению еще большего числа эксплойтов. Новые эксплойты зачастую представляют собой не просто proof-of-concept, а полноценные инструменты с функциональностью обхода СЗИ. То есть работы у “защитников” прибавляется.

Исследователи безопасности часто публикуют полезную информацию в своих собственных каналах в Telegram, а кроме того, существуют каналы-аккумуляторы полезной информации. У каждого “охотника” за уязвимостями список полезных каналов свой, и нарабатывается он со временем. Примеры довольно популярных каналов: Proxy bar и Freedom Fox.

GitHub

GitHub – наверное, самый обильный источник эксплойтов и PoC. Как искать на GitHub? Можно поступить несколькими методами:

  1. Поиск по конкретной CVE.

  2. Парсинг всего GitHub через API запросы c применением фильтров.

  3. Парсинг GIT на основании новых записей в NIST.

Если с поиском по конкретной CVE все понятно, (наткнулись на CVE, ввели эту CVE в поисковую строку GitHub, получили результат), то с другими методами немного сложнее. В ручном режиме собирать и обрабатывать информацию – довольно скучное занятие, особенно если за день было создано более десятка репозиториев, посвященных той или иной уязвимости. Усложняет этот процесс еще то, что на одну уязвимость может приходиться несколько репозиториев. Например, на CVE-2026–41940 на сегодняшний момент приходится более сорока (40!) репозиториев. Поэтому на помощь приходят языки программирования. Проще всего использовать Python в паре с библиотеку requests. В интернете достаточно много информации о том, как написать простой парсер. Но если структурно описывать, то шаблон такой:

  • импортируем библиотеку requests

  • -> задаем ей URL API конечной точки https://api.github.com/search/repositories

  • -> задаём нужные фильтры

  • -> отправляем запрос

  • -> обрабатываем ответ.

Но если самому писать и парсить лень, то можно воспользоваться мудростью “кто-то наверняка уже сделал это за меня.

Например, Sploitus или Exploit DB занимаются подобной агрегацией. У коллег из PT есть собственный инструмент с похожей функциональностью. Так же есть отдельные репозитории (пример) на самом GitHub . Другими словами, готовые инструменты есть, нужно лишь выбрать понравившийся, но лучше быть независимым и написать свое!

Google

Google-поиск или любая другая поисковая система, как бы банально это ни звучало, могут стать источником полезной информации о конкретных эксплойтах, Главное – заглядывать глубже первой страницы выдачи, где могут быть скрыты обзоры уязвимостей на иностранных ресурсах, например, – от азиатских исследователей. Поиск в Google можно прокачать, используя google dorks.

Google Dork — это специальный поисковый запрос, использующий расширенные операторы. Он позволяет находить скрытую, конфиденциальную или труднодоступную информацию.

Например так: "CVE-2026-45321" site:github.com что бы ваш запрос искался только на github.com, без лишнего шума.

“Экзотические” источники данных

Ценную информацию об эксплойтах можно найти и в совсем неочевидных источниках:

  • YouTube – там иногда попадают записи реальных демонстраций эксплуатаций уязвимостей, которые можно использовать для создания логик. Вот пример: CVE-2026-22812.

  • X – может стать хорошим триггером для проверки наличия эксплойтов. Например, если аккаунт Fofa в своем X, сообщает о большом количестве уязвимых хостов к какой-то CVE, то стоит проверить эту CVE на GitHub.

  • LinkedIn, Reddit — исследователи публикуют анонсы своих находок на самых разных площадках. Полезно мониторить хэштеги типа #CVE, #bugbounty, #exploit.

Подводные камни

При поиске эксплойтов в открытых источниках вы можете столкнуться с некоторыми преградами и неудобствами. Кратко опишем их ниже.

NIST

Из-за большой загруженности NIST, эксплойт на CVE может выйти раньше, чем появится запись в NIST. Это не редкость, особенно это касается различных XSS-уязвимостей или уязвимостей невысокого уровня критичности. У них даже появилось специальное предупреждение:

Пример:

Поэтому, если на NIST информации об уязвимости нет, это не значит, что уязвимости вообще нет. Стоит перепроверить в других источниках.

GitHub

У GitHub как источника информации об эксплойтах есть сразу несколько особенностей, которые стоит иметь ввиду при поиске. Например, не все эксплойты являются эксплойтами, которые можно использовать в создании защиты:

  1. Код в репозитории, в названии которого содержится номер уязвимости, может быть всего лишь сканером версий, который может применяться и атакующими и защищающимися. Суть в том, что полезной информации для создания детектирующей логики в таких репозиториях нет.

  2. Встречались случаи, когда PoC репозиторий маскировался под лабораторный стенд для проверки концепции и предоставлял .exe файл с инструкцией по запуску. И конечно же этот .exe файл был вирусом.

  3. Иногда код может всего лишь эмулировать уязвимость. Так было с React2shell: первые PoC репозитории представляли собой лабораторные стенды, в коде которых была внедрена exec () функция, выполняющая RCE. Реальный PoC с загрязнением прототипов вышел позже.

  4. Иногда код может не работать – по разным причинам, например, вы нашли репозиторий слишком рано, а исследователь все еще его разрабатывает.

  5. Существуют эксплойты которые действительно эксплуатируют уязвимость, но используют вас как бота. Вы запускаете эксплойт, например для сканирования своей инфраструктуры, а информация об этом со всеми деталями отправляется автору эксплойта, например, в Телеграм.

  6. Не все эксплойты являются конечным вариантом реализации инструмента, эксплуатирующего уязвимость.

    Проще объяснить на простом примере.

    Представим, что у нас есть конечная точка, которая принимает параметр file содержащим имя файла, сервер обрабатывает его и выполняет cat имя файла. Добавив ; мы можем выполнить дополнительный код. Классическая RCE, но мы же можем заменить ; на & или на | или на %00 и так же выполнить дополнительный код. Чаще всего PoC эксплойты представляют из себя минимальную рабочую версию необходимую для эксплуатации. Они могут не учитывать, например, возможность обфускации.

  7. Авторы эксплойтов могут ошибаться в названиях CVE. Путать последовательность цифр, вместо “–“ использовать 0, дописывать лишние 0 и так далее.

  8. Авторы эксплойтов могут создавать тестовые репозитории, например для тестирования какой-то концепции.

    Интересный пример из практики. Однажды мы обнаружили репозиторий, который имел название несуществующей CVE - CVE-2025-99999. Репозиторий представлял собой простой readme-файл, содержащий ссылку на внешний IP-адрес. Если перейти по ней, можно было увидеть простое сообщение: “я учусь программировать помоги мне с этим” и новая ссылка. Таких ссылок было несколько, с постепенно усложняющимися заданиями, конечным заданием была задача скопировать токен и передать его на внешний ресурс. Получилось ли реализовать атаку мы не знаем, но репозиторий сейчас удален. По нашему мнению, данный проект существовал для того, чтобы заставить ИИ-агента выполнить вредоносное действие (выполнить на сервере код, который передал бы токен), а репозиторий использовался в качестве платформы для этого.

  9. Не покупайте эксплойты. Часто встречаются репозитории ссылкой на покупку эксплойта. Обычно эти эксплойты направлены на максимально критичные CVE найденные у очень популярных вендоров, например Citrix, Fortinet, Azure, Oracle и т.д. Гарантии что вы купите рабочий эксплойт нет.

Полезные советы по поиску эксплойтов

За годы в threat-hunting мы выработали несколько лайфхаков, которые помогают нам искать информацию об уязвимостях, которую можно применить для защиты. Вот они:

  1. Моделируйте все, что можете моделировать. Если продукт open-source, то на странице проекта есть релизы, из которых можно взять docker-compose файл, который поможет протестировать эксплойт. Так же уязвимую версию можно “загуглить” или найти на том же GitHub, некоторые авторы PoC репозиториев прикладывают уже готовый docker-compose файл для тестирования.

    Обратите внимание что разработчики могут использовать docker-compose файл с установленным значением версией - latest. При развертывании такого файла установится последняя версия проекта.

  2. Анализ кода эксплойта: какой вектор эксплуатируется, какая полезная нагрузка передается, какие параметры используются и тд. Для Web в python-эксплойтах характерны библиотеки requests, asyncio, иногда sockets. Также встречались эксплойты? которые запускали curl-запрос через библиотеку sys. Через ctrl+F можно искать вхождения методов get, post и т.д. Все это помогает понять, какие HTTP-запросы формирует скрипт, какая у них последовательность и где именно передается нагрузка.

  3. Захват трафика реально помогает разобраться, как работает эксплойт, и написать детектитующую логику. Как это можно сделать:

    • Прописать в самом коде эксплойта proxy, например локальный proxy burp suite.

    • Удалить из кода лишние проверки, оставить часть, где отправляется запрос с эксплуатацией, в качестве сервера можно использовать nginx плюс tcpdump или wireshark для захвата трафика.

  4. Большинство AI сервисов, наподобие DeepSeek, ChatGPT, спокойно соберут вам HTTP-запрос из любого кода. Сложности могут возникнуть только если запрос большой и содержит много обфусцированной информации. Они также могут собирать и корректировать docker-файлы.

  5. Ведение таблицы с проанализированными PoС это поможет в дальнейшей аналитике и избавит от повторного просмотра репозиториев и сделает работу более структурированной.  

  6. Клонироуйте PoC/exploit репозиториев на CVE, которые вы откладываете в бэклог, потому что репозитории могут быть удалены.

Надеемся, наши советы помогут вам лучше искать эксплойты и быстрее писать качественные детектирующие правила! Удачной охоты!

Команда центра исследования киберугроз Solar 4RAYS

Еще больше полезных материалов по теме читайте в блоге Solar 4RAYS