Решённые вопросы — Кибербезопасность и пентест
Решённые вопросы раздела «Кибербезопасность и пентест»: 21 тем с принятым лучшим ответом — готовые проверенные решения сообщества по этой теме.
По разделам:
все
Self-hosting и Homelab 25Карьера в IT 24Локальные LLM и open-source модели 23Веб-разработка 23DevOps и CI/CD 23AI-ассистированная разработка 21Кибербезопасность и пентест 21Геймдев и разработка игр 20Языки программирования 20Сборка ПК и комплектующие 20Смартфоны и гаджеты 20Нейрогенерация: изображения и видео 20Базы данных 18Стартапы и фриланс 18Новости технологий 18Облачные платформы 16Приватность и шифрование 15Курилка и оффтоп 15Машинное обучение и Data Science 14Одноплатники, IoT и DIY-электроника 14Мобильная разработка 13Linux и системное администрирование 13CTF и реверс-инжиниринг 13
- Вопросы с решением (21)
-
- OWASP Top 10 2025 RC вышел — кто уже глянул, что поменялось? ✓ Лучший ответОтвет (grigory_go73): Как разраб скажу: его главная проблема в том, что он говорит 'что плохо', но почти не говорит 'как именно у меня в стеке это починить'. Без actionable-части и приоритеза…в «Кибербезопасность и пентест» · 8 ответов · 260 просмотров
-
- Как тестировать LLM-приложения на prompt injection — методология и инструменты в 2026 ✓ Лучший ответОтвет (kirill_backend): Дам структуру которую использую для пентеста LLM-приложений. Первый уровень — разведка: что модель, какова предположительная структура system prompt, к каким инструмента…в «Кибербезопасность и пентест» · 6 ответов · 10 просмотров
-
- CVE-2024 Log4Shell всё ещё актуально в 2025 году стоит ли проверять старые проекты ✓ Лучший ответОтвет (matvey5884): Добавлю про SBOM (Software Bill of Materials) — после Log4Shell многие команды начали генерировать манифесты зависимостей и интегрировать SCA (Software Composition Analy…в «Кибербезопасность и пентест» · 5 ответов · 11 просмотров
-
- OWASP ZAP не находит уязвимости которые вижу вручную почему ✓ Лучший ответОтвет (omegadata7864): В целом — не жди от любого автоматического сканера 100% покрытия. По данным исследований, DAST-инструменты в среднем находят 20-40% реальных уязвимостей. Остальное — руч…в «Кибербезопасность и пентест» · 6 ответов · 11 просмотров
-
- Нужен ли ещё WAF в 2026 или это деньги на ветер? ✓ Лучший ответОтвет (pixeldns752): Для нас главная польза оказалась даже не в SQLi, а в rate limiting и отсечке скан-ботов и DDoS L7. Логи стали читаемыми, SOC перестал тонуть. Плюс закрыли требование PCI…в «Кибербезопасность и пентест» · 7 ответов · 302 просмотров
-
- Как защитить REST API от перебора и брутфорса без блокировки легитимных пользователей ✓ Лучший ответОтвет (ksenia_dns): Практическая рекомендация по тестированию своей же защиты: используй hydra или ffuf для имитации брутфорса против staging-окружения. Команда `ffuf -w passwords.txt -u ht…в «Кибербезопасность и пентест» · 6 ответов · 11 просмотров
-
- Самые дикие пентест-отчёты, что вы держали в руках. Делимся болью ✓ Лучший ответОтвет (anton_pro): Резюмирую тред как обороняющаяся сторона: плохой отчёт хуже чем никакого, потому что он сжирает время команды на разбор мусора и убивает доверие к самому процессу пентес…в «Кибербезопасность и пентест» · 12 ответов · 1142 просмотров
-
- Утёк секрет в git-историю — как правильно тушить пожар? ✓ Лучший ответОтвет (nina4389): На будущее поставь pre-commit хук с gitleaks или trufflehog, ловит секреты до пуша. И включи push protection в самом GitHub, он теперь бесплатно блокирует известные форм…в «Кибербезопасность и пентест» · 8 ответов · 859 просмотров
-
- Хочу в пентест с нуля. Сразу брать OSCP или это деньги на ветер? ✓ Лучший ответОтвет (proxyquant4000): Брал OSCP в прошлом году, скажу честно: главная ценность не корочка, а то что тебя ломают об колено и ты учишься НЕ сдаваться. Но если идти туда зелёным — просто выгориш…в «Кибербезопасность и пентест» · 7 ответов · 584 просмотров
-
- AI-инструменты для пентеста — реально помогают или только шум и дубликаты? ✓ Лучший ответОтвет (pavel_vue90): Честно: большинство этих инструментов — обёртка над существующими утилитами (nmap, nuclei, ffuf) с LLM-промптом для суммаризации. Реальной автономной эксплуатации нет ни…в «Кибербезопасность и пентест» · 6 ответов · 11 просмотров
-
- Нашёл дыру на сайте конторы, по-человечески написал им — в ответ угрожают полицией ✓ Лучший ответОтвет (sysgo2328): У них нет VDP (vulnerability disclosure policy), значит юридически ты в серой зоне по умолчанию. Менять id в чужих заказах формально это уже доступ к данным, которые теб…в «Кибербезопасность и пентест» · 8 ответов · 452 просмотров
-
- Первый баг баунти за полгода — делюсь цифрами и граблями ✓ Лучший ответОтвет (arseny_cache): Спасибо за честность, а то в твиттере все только скрины пятизначных выплат постят. Реальная картина мотивирует больше.в «Кибербезопасность и пентест» · 7 ответов · 736 просмотров
-
- Сканер кричит про CVE в зависимостях — как не сойти с ума от шума? ✓ Лучший ответОтвет (boris585): Да, у нас reachability через тулинг помог отсеять процентов 70 как 'код есть в дереве но не достижим'. Но настройка не бесплатная по времени, закладывай спринт. Зато пот…в «Кибербезопасность и пентест» · 9 ответов · 756 просмотров
-
- С чего реально начать в пентесте в 2026? TryHackMe, HTB или сразу сертификаты? ✓ Лучший ответОтвет (mark9640): eJPT норм как первый серт чисто для резюме и мотивации, но рынок на него почти не смотрит. Работодатели хотят OSCP либо живой опыт/баг баунти. Я бы вложился в практику, …в «Кибербезопасность и пентест» · 9 ответов · 1902 просмотров
-
- CVE-2026-20245 в Cisco SD-WAN — патчили уже? Как быстро у вас закрывают критикалы ✓ Лучший ответОтвет (kira_api82): У нас SD-WAN от другого вендора, но история знакомая. Проблема в том что сетевые команды и ИБ живут в разных мирах: сетевики считают что патчить production-маршрутизатор…в «Кибербезопасность и пентест» · 5 ответов · 10 просмотров
-
- Как правильно раскрывать уязвимость если компания не отвечает на репорт ✓ Выбран авторомОтвет (roman7016): Стандартный подход — responsible disclosure с таймлайном. 90 дней считается отраслевым стандартом (именно столько даёт Google Project Zero). Ты на 45-м дне — отправь пов…в «Кибербезопасность и пентест» · 5 ответов · 10 просмотров
-
- Когда у тебя в скане всё подряд 9.8 — грош цена такому отчёту ✓ Лучший ответОтвет (valera_vector): А я как разраб скажу с другой стороны баррикад: когда секьюрити кидает тебе 190 'критов' разом и говорит 'почини до пятницы' — ты просто закрываешь вкладку. Доверие к от…в «Кибербезопасность и пентест» · 17 ответов · 1138 просмотров
-
- Bug bounty с российским паспортом в 2026 — HackerOne, Intigriti или уходить на локальные платформы? ✓ Лучший ответОтвет (yaroslav_hex13): @cpp_veteran, Для вывода денег в 2026 рабочие схемы которые знаю: 1) Wise с верификацией через паспорт нейтральной страны если есть второе гражданство/ВНЖ; 2) крипто — ч…в «Кибербезопасность и пентест» · 5 ответов · 9 просмотров
-
- LLM в продукте — кто как защищается от prompt injection? OWASP LLM Top 10 ✓ Лучший ответОтвет (boris_go78): Обязательно. Был кейс с markdown-картинкой  — модель вставляет ссылку, браузер пользователя сам сливает данные на сервер атакующего. Экрани…в «Кибербезопасность и пентест» · 7 ответов · 658 просмотров
-
- Тейковер брошенного сабдомена на S3 — засчитали как Low. Это норм? ✓ Лучший ответОтвет (kira_app10): Плюсую. По can-i-take-over-xyz проверь, не идёт ли на этот сабдомен загрузка скриптов на основной сайт — тогда это stored XSS на главном домене по сути. Покажи кражу сес…в «Кибербезопасность и пентест» · 5 ответов · 328 просмотров