{"id":482093,"date":"2026-06-02T12:31:30","date_gmt":"2026-06-02T12:31:30","guid":{"rendered":"https:\/\/savepearlharbor.com\/?p=482093"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=482093","title":{"rendered":"Web-pentest skill \u0432 Hermes Agent: \u043a\u0430\u043a \u0430\u0433\u0435\u043d\u0442 \u043f\u0440\u043e\u0432\u043e\u0434\u0438\u0442 \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0439"},"content":{"rendered":"
\n

\u0420\u0430\u0437\u0431\u0438\u0440\u0430\u0435\u043c web-pentest skill \u0432 Hermes Agent \u2013 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 \u043d\u0430\u0432\u044b\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442 AI-\u0430\u0433\u0435\u043d\u0442\u0430 \u0432 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u0430 \u0441 \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0435\u0439 \u00abNo Exploit, No Report\u00bb. \u041f\u0440\u043e\u0448\u043b\u0438 \u0432\u0435\u0441\u044c kill chain \u043d\u0430 \u0442\u0440\u0451\u0445 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0445, \u043f\u043e\u0442\u0440\u0430\u0442\u0438\u043b\u0438 23,5 \u043c\u043b\u043d \u0442\u043e\u043a\u0435\u043d\u043e\u0432 \u0438 \u0441\u043e\u0431\u0440\u0430\u043b\u0438 \u0432\u044b\u0432\u043e\u0434\u044b \u043e \u0442\u043e\u043c, \u0433\u0434\u0435 \u0443 \u0442\u0430\u043a\u043e\u0433\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0430 \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c, \u0430 \u0433\u0434\u0435 \u2013 \u043f\u0440\u0435\u0434\u0435\u043b.<\/em><\/p>\n

\u041c\u044b \u0432 Ideco \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u043c\u0441\u044f \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e, \u0438 \u043d\u0430\u043c \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u043e, \u043a\u0430\u043a \u0430\u0433\u0435\u043d\u0442\u044b \u0430\u0442\u0430\u043a\u0443\u044e\u0442 \u0441\u0435\u0442\u0438, \u043d\u043e \u0438 \u0442\u043e, \u043a\u0430\u043a \u043e\u043d\u0438 \u043c\u0435\u043d\u044f\u044e\u0442 \u0441\u0430\u043c \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043c\u044b \u0432\u0437\u044f\u043b\u0438 open-source \u0430\u0433\u0435\u043d\u0442\u0430 Hermes Agent, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u043b\u0438 \u043a \u043d\u0435\u043c\u0443 web-pentest skill \u0438 \u043f\u0440\u043e\u0433\u043d\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0433\u043e \u0442\u0440\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u0412 \u0441\u0442\u0430\u0442\u044c\u0435 \u2013 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043d\u0430\u0432\u044b\u043a\u0430, \u0440\u0430\u0437\u0431\u043e\u0440 \u043f\u044f\u0442\u0438 \u0444\u0430\u0437, \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f (guardrails) \u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0430 \u043f\u043e\u043d\u044f\u0442\u044c \u0433\u0434\u0435 \u0443 \u0442\u0430\u043a\u043e\u0433\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0430 \u043f\u0440\u0435\u0434\u0435\u043b \u0438 \u043a\u0430\u043a\u0430\u044f \u0440\u0430\u0431\u043e\u0442\u0430 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u043b\u044e\u0434\u044f\u043c.<\/p>\n

AI-\u043f\u0435\u043d\u0442\u0435\u0441\u0442 2026: \u043e\u0442 \u043e\u0431\u0451\u0440\u0442\u043e\u043a \u043d\u0430\u0434 ChatGPT \u043a \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u043c \u0430\u0433\u0435\u043d\u0442\u0430\u043c<\/strong><\/p>\n

\u0417\u0430 \u043f\u043e\u043b\u0442\u043e\u0440\u0430 \u0433\u043e\u0434\u0430 \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u0445\u043e\u0434\u0430 GPT-4 \u0440\u044b\u043d\u043e\u043a offensive-\u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043d\u0430 \u0431\u0430\u0437\u0435 LLM \u0432\u044b\u0440\u043e\u0441 \u0441 \u0435\u0434\u0438\u043d\u0438\u0446 \u0434\u043e \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0434\u0435\u0441\u044f\u0442\u043a\u043e\u0432. \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 Hadrian \u043a \u043c\u0430\u0440\u0442\u0443 2026 \u043d\u0430\u0441\u0447\u0438\u0442\u0430\u043b\u0430 70 open-source \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 AI-\u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430<\/a>; \u0434\u043e \u0440\u0435\u043b\u0438\u0437\u0430 GPT-4 \u0432 \u0430\u043f\u0440\u0435\u043b\u0435 2023 \u0438\u0445 \u0431\u044b\u043b\u043e \u043c\u0435\u043d\u044c\u0448\u0435 \u043f\u044f\u0442\u0438. \u042d\u0442\u043e \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0435 end-to-end \u0430\u0433\u0435\u043d\u0442\u044b, \u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u0432, \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0438 \u0434\u043b\u044f LLM red-teaming \u0438 CTF-\u0430\u0433\u0435\u043d\u0442\u044b.<\/p>\n

\u041f\u043e\u0434\u0442\u044f\u043d\u0443\u043b\u0441\u044f \u0438 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0439 \u0441\u0435\u0433\u043c\u0435\u043d\u0442. xBow<\/a> \u043f\u0435\u0440\u0432\u044b\u043c \u0438\u0437 \u043c\u0430\u0448\u0438\u043d \u0432\u043e\u0437\u0433\u043b\u0430\u0432\u0438\u043b \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u044b\u0439 leaderboard HackerOne \u0438 \u0437\u0430\u043a\u0440\u044b\u043b \u0431\u043e\u043b\u044c\u0448\u0435 200 zero-day \u0431\u0435\u0437 \u043b\u043e\u0436\u043d\u044b\u0445 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0439; \u0432 \u043c\u0430\u0440\u0442\u0435 2026 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u043d\u044f\u043b\u0430 \u0440\u0430\u0443\u043d\u0434, \u043f\u0440\u0435\u0432\u044b\u0441\u0438\u0432\u0448\u0438\u0439 \u043e\u0446\u0435\u043d\u043a\u0443 \u0432 1 \u043c\u043b\u0440\u0434 \u0434\u043e\u043b\u043b\u0430\u0440\u043e\u0432. NodeZero \u043e\u0442 Horizon3.ai \u043f\u0435\u0440\u0432\u044b\u043c \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u0440\u043e\u0448\u0451\u043b \u0431\u0435\u043d\u0447\u043c\u0430\u0440\u043a Game of Active Directory \u0437\u0430 14 \u043c\u0438\u043d\u0443\u0442 \u2013 \u0437\u0430\u0434\u0430\u0447\u0443, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0441\u043f\u043e\u0442\u044b\u043a\u0430\u043b\u0438\u0441\u044c GPT-4o, Gemini 2.5 Pro \u0438 Claude Sonnet 3.7.<\/p>\n

\u0412\u0430\u0436\u043d\u044b\u0439 \u0441\u0434\u0432\u0438\u0433: \u044d\u0442\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u043b\u0438 \u0432\u044b\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0442\u0430\u0442\u0438\u0447\u043d\u044b\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b \u0441\u043a\u0430\u043d\u0435\u0440\u0430 \u0438 \u043d\u0430\u0447\u0430\u043b\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u0442\u0430\u043a, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0436\u0438\u0432\u043e\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440 \u2013 \u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u0443, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c \u0435\u0451 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u043c \u0438 \u043e\u0442\u0431\u0440\u0430\u0441\u044b\u0432\u0430\u0442\u044c \u043d\u0435\u0434\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0435. \u0418\u043c\u0435\u043d\u043d\u043e \u0432 \u044d\u0442\u043e\u043c \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0435\u043d Hermes Agent. \u042d\u0442\u043e \u043d\u0435 \u043e\u0447\u0435\u0440\u0435\u0434\u043d\u043e\u0439 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 security-\u0441\u043a\u0430\u043d\u0435\u0440. \u042d\u0442\u043e \u0430\u0433\u0435\u043d\u0442, \u0434\u043b\u044f \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u2013 \u043e\u0434\u043d\u0430 \u0438\u0437 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0430 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u0435\u0439, \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0432 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u043d\u0430\u0432\u044b\u043a.<\/p>\n

\u0427\u0435\u043c \u00abskill \u0432 general-purpose agent\u00bb \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 standalone-\u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430<\/strong><\/p>\n

\u0411\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0445 AI-\u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u043e\u0432 \u2013 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u044b: Shannon, PentestGPT, NodeZero, xBow. \u041e\u043d\u0438 \u0437\u0430\u0442\u043e\u0447\u0435\u043d\u044b \u043f\u043e\u0434 \u043e\u0434\u043d\u0443 \u0437\u0430\u0434\u0430\u0447\u0443 \u0438 \u043f\u043e\u0434 \u043d\u0435\u0451 \u0436\u0435 \u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u044b.<\/p>\n

Hermes Agent \u0443\u0441\u0442\u0440\u043e\u0435\u043d \u0438\u043d\u0430\u0447\u0435. \u042d\u0442\u043e self-hosted, model-agnostic \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442 \u043e\u0442 Nous Research<\/a> \u0441 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0435\u0439 MIT. \u0415\u0433\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u0430\u044f \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u2013 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 learning loop: \u0430\u0433\u0435\u043d\u0442 \u0441\u0430\u043c \u0441\u043e\u0437\u0434\u0430\u0451\u0442 \u043d\u0430\u0432\u044b\u043a\u0438 \u0438\u0437 \u043e\u043f\u044b\u0442\u0430, \u0434\u043e\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0438\u0445 \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0440\u0430\u0431\u043e\u0442\u044b, \u0438\u0449\u0435\u0442 \u043f\u043e \u0441\u0432\u043e\u0438\u043c \u043f\u0440\u043e\u0448\u043b\u044b\u043c \u0434\u0438\u0430\u043b\u043e\u0433\u0430\u043c \u0438 \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u0434\u043e\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442 \u043c\u043e\u0434\u0435\u043b\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u041d\u0430\u0432\u044b\u043a (skill) \u0437\u0434\u0435\u0441\u044c \u2013 \u044d\u0442\u043e markdown-\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0441 YAML frontmatter, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0438\u0439 runbook \u043f\u043e\u0434 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443.<\/p>\n

Web-pentest \u2013 \u043e\u0434\u0438\u043d \u0438\u0437 \u0442\u0430\u043a\u0438\u0445 \u043d\u0430\u0432\u044b\u043a\u043e\u0432. \u0418 \u044d\u0442\u043e \u043c\u0435\u043d\u044f\u0435\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0439 \u043f\u0430\u0442\u0442\u0435\u0440\u043d: \u0438\u0431-\u0437\u0430\u0434\u0430\u0447\u0443 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043d\u0435 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u041f\u041e, \u0430 \u0430\u0433\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0432\u0442\u0440\u0430 \u0442\u0435\u043c \u0436\u0435 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u043c \u0440\u0430\u0437\u0431\u0435\u0440\u0451\u0442 \u043b\u043e\u0433\u0438, \u043d\u0430\u043f\u0438\u0448\u0435\u0442 \u043f\u0438\u0441\u044c\u043c\u043e \u0438\u043b\u0438 \u043f\u043e\u0434\u043d\u0438\u043c\u0435\u0442 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440. \u0414\u043b\u044f \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438 \u044d\u0442\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u043f\u0440\u0435\u0446\u0435\u0434\u0435\u043d\u0442: \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432\u0430\u044f \u043a\u043e\u043d\u043a\u0443\u0440\u0435\u043d\u0446\u0438\u044f \u0443\u0441\u0438\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u043d\u0435 \u0438\u0431-\u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432, \u0447\u0435\u0433\u043e \u0440\u0430\u043d\u044c\u0448\u0435 \u043d\u0435 \u0431\u044b\u043b\u043e.<\/p>\n

\u0414\u043b\u044f \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430: Hermes Agent \u0432\u044b\u0448\u0435\u043b 25 \u0444\u0435\u0432\u0440\u0430\u043b\u044f 2026 \u0433\u043e\u0434\u0430 \u0432 \u0432\u0435\u0440\u0441\u0438\u0438 v0.1.0, \u0437\u0430 \u043f\u043e\u043b\u0442\u043e\u0440\u0430 \u043c\u0435\u0441\u044f\u0446\u0430 \u0434\u043e\u0448\u0451\u043b \u0434\u043e v0.8.0, \u0430 \u0432\u0435\u0440\u0441\u0438\u044f v0.5.0 \u0431\u044b\u043b\u0430 \u0446\u0435\u043b\u0438\u043a\u043e\u043c \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 security hardening \u2013 \u0431\u043e\u043b\u044c\u0448\u0435 200 PR<\/a>: command approval, sandboxing, \u0437\u0430\u0449\u0438\u0442\u0430 credentials, \u043f\u0430\u0442\u0447\u0438 SSRF \u0438 path traversal. \u041d\u0430 \u0438\u044e\u043d\u044c 2026 \u043f\u0440\u043e\u0435\u043a\u0442\u0443 \u043e\u043a\u043e\u043b\u043e \u0442\u0440\u0451\u0445 \u043c\u0435\u0441\u044f\u0446\u0435\u0432. \u041f\u0440\u0435\u0434\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c web-pentest skill \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u043e \u0432 GitHub issue #400 \u043e\u0442 3 \u043c\u0430\u0440\u0442\u0430 2026<\/a>.<\/p>\n

\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430: \u043c\u0435\u0436\u0434\u0443 \u0441\u043a\u0430\u043d\u0435\u0440\u043e\u043c \u0438 \u0430\u0441\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043e\u043c<\/strong><\/p>\n

\u0423 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430 \u0434\u0432\u0435 \u0431\u043e\u043b\u0435\u0432\u044b\u0435 \u0442\u043e\u0447\u043a\u0438, \u0438 AI \u043f\u043e\u043a\u0430 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0438\u0445 \u043f\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438.<\/p>\n

\u0421\u043a\u0430\u043d\u0435\u0440\u044b \u0434\u0430\u044e\u0442 \u0448\u0443\u043c.<\/strong> \u0410\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0441\u043a\u0430\u043d\u0435\u0440\u044b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0445\u043e\u0440\u043e\u0448\u043e \u043d\u0430\u0445\u043e\u0434\u044f\u0442 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u043e\u0432, \u043d\u043e \u043f\u043b\u043e\u0445\u043e \u043e\u0442\u043b\u0438\u0447\u0430\u044e\u0442 \u0440\u0435\u0430\u043b\u044c\u043d\u0443\u044e \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443 \u043e\u0442 \u0442\u0435\u043e\u0440\u0435\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439. \u041d\u0430 \u0432\u044b\u0445\u043e\u0434\u0435 \u2013 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u0437 \u0441\u043e\u0442\u0435\u043d \u00ab\u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0445\u00bb \u043d\u0430\u0445\u043e\u0434\u043e\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u043d\u0436\u0435\u043d\u0435\u0440 \u0432\u0440\u0443\u0447\u043d\u0443\u044e \u043f\u0435\u0440\u0435\u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442. \u0411\u043e\u043b\u044c\u0448\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043b\u043e\u0436\u043d\u044b\u043c\u0438 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f\u043c\u0438.<\/p>\n

\u0427\u0430\u0442-\u0430\u0441\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u044b \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u044e\u0442.<\/strong> ChatGPT, Claude \u0438 \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0435 \u0434\u0430\u044e\u0442 \u0433\u0440\u0430\u043c\u043e\u0442\u043d\u044b\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438: \u00ab\u043f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043d\u0430 SQLi\u00bb, \u00ab\u0434\u043e\u0431\u0430\u0432\u044c\u0442\u0435 CSP\u00bb. \u041d\u043e \u043e\u043d\u0438 \u043d\u0435 \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0435 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0434\u044f\u0442 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u043c\u043e\u0441\u0442\u044c. \u041c\u0435\u0436\u0434\u0443 \u0441\u043e\u0432\u0435\u0442\u043e\u043c \u0438 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e\u043c \u2013 \u0440\u0443\u0447\u043d\u0430\u044f \u0440\u0430\u0431\u043e\u0442\u0430. \u0421 \u043d\u0438\u043c\u0438 \u0434\u0430\u0436\u0435 \u0431\u043e\u043b\u0435\u0435 \u0440\u0443\u0442\u0438\u043d\u043d\u0430\u044f, \u0447\u0435\u043c \u0440\u0430\u043d\u044c\u0448\u0435.<\/p>\n

\u0420\u0430\u0437\u0440\u044b\u0432 \u043e\u0447\u0435\u0432\u0438\u0434\u0435\u043d: \u043d\u0443\u0436\u0435\u043d \u0430\u0433\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u0430\u043c \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 \u0432\u0435\u0441\u044c kill chain \u2013 \u043e\u0442 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438 \u0434\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0451\u043d\u043d\u043e\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u2013 \u0438 \u0440\u0435\u043f\u043e\u0440\u0442\u0438\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u043e, \u0447\u0442\u043e \u0434\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435\u043c \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u0418\u043c\u0435\u043d\u043d\u043e \u044d\u0442\u0443 \u0437\u0430\u0434\u0430\u0447\u0443 \u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u0432\u044f\u0437\u043a\u0430 Hermes Agent + web-pentest skill, \u043e\u043f\u0438\u0440\u0430\u044f\u0441\u044c \u043d\u0430 \u0444\u0438\u043b\u043e\u0441\u043e\u0444\u0438\u044e Shannon.<\/p>\n

\u0427\u0442\u043e \u0442\u0430\u043a\u043e\u0435 Shannon \u0438 \u043f\u0440\u0438\u0447\u0451\u043c \u0442\u0443\u0442 \u00abNo Exploit, No Report\u00bb<\/strong><\/p>\n

Shannon<\/a> \u2013 \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0439 white-box \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440 \u043e\u0442 KeygraphHQ, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 TypeScript \u043f\u043e\u0432\u0435\u0440\u0445 Claude Agent SDK. \u041e\u043d \u043d\u0430\u0431\u0440\u0430\u043b 96,15% \u043d\u0430 \u0431\u0435\u043d\u0447\u043c\u0430\u0440\u043a\u0435 XBOW \u2013 100 \u0438\u0437 104 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u0432<\/a> \u0432 hint-free \u0440\u0435\u0436\u0438\u043c\u0435. \u0415\u0433\u043e \u0444\u0438\u043b\u043e\u0441\u043e\u0444\u0438\u044f \u2013 \u00abNo Exploit, No Report\u00bb<\/a>: \u0435\u0441\u043b\u0438 \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u0443 \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u0440\u0435\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0432 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0439 PoC, \u043d\u0430\u0445\u043e\u0434\u043a\u0430 \u043e\u0442\u0431\u0440\u0430\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043a\u0430\u043a \u043b\u043e\u0436\u043d\u043e\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f. \u0412 \u043e\u0442\u0447\u0451\u0442 \u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0435, \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u043c\u044b\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438.<\/p>\n

Web-pentest skill \u0432 Hermes Agent \u0431\u0435\u0440\u0451\u0442 \u044d\u0442\u0443 \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u044e \u0438 \u0430\u0434\u0430\u043f\u0442\u0438\u0440\u0443\u0435\u0442 \u043f\u043e\u0434 OWASP Testing Guide. \u0414\u0430\u043b\u044c\u0448\u0435 \u2013 \u043a\u0430\u043a \u0438\u043c\u0435\u043d\u043d\u043e.<\/p>\n

\u0410\u043d\u0430\u0442\u043e\u043c\u0438\u044f web-pentest skill: \u043f\u044f\u0442\u044c \u0444\u0430\u0437<\/strong><\/p>\n

\u041d\u0430\u0432\u044b\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u043a\u0430\u043a \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u043d\u0432\u0435\u0439\u0435\u0440 \u0438\u0437 \u043f\u044f\u0442\u0438 \u0444\u0430\u0437 (\u043d\u0443\u043b\u0435\u0432\u0430\u044f \u2013 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f). \u041b\u043e\u0433\u0438\u043a\u0443 \u0443\u0434\u043e\u0431\u043d\u043e \u0434\u0435\u0440\u0436\u0430\u0442\u044c \u043f\u0435\u0440\u0435\u0434 \u0433\u043b\u0430\u0437\u0430\u043c\u0438:<\/p>\n

\"\u0421\u0445\u0435\u043c\u0430.<\/p>\n
\u0421\u0445\u0435\u043c\u0430. \u041f\u044f\u0442\u044c \u0444\u0430\u0437 web-pentest skill: \u043e\u0442 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0434\u043e \u043e\u0442\u0447\u0451\u0442\u0430 \u0441 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430\u043c\u0438<\/em><\/figcaption><\/div>\n<\/figure>\n

\u0420\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u043f\u043e \u043f\u043e\u0440\u044f\u0434\u043a\u0443.<\/p>\n

Phase 0. Engagement Setup \u2013 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0440\u0443\u0431\u0435\u0436<\/strong><\/p>\n

\u0421\u0430\u043c\u0430\u044f \u0432\u0430\u0436\u043d\u0430\u044f \u0444\u0430\u0437\u0430 \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u043b\u0435\u0433\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438. \u041f\u0435\u0440\u0435\u0434 \u043b\u044e\u0431\u044b\u043c \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435\u043c \u0430\u0433\u0435\u043d\u0442 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0432\u0435\u0440\u0431\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f scope \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0442\u0430\u043a\u043e\u0433\u043e \u0432\u0438\u0434\u0430: \u00abConfirm: (a) target URL is [X], (b) you own or have written authorization to test it\u00bb. \u041b\u044e\u0431\u043e\u0439 \u043e\u0442\u0432\u0435\u0442, \u043a\u0440\u043e\u043c\u0435 \u044f\u0432\u043d\u043e\u0433\u043e authorized, \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 STOP. \u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 \u0444\u0438\u043a\u0441\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b\u0435 engagement\/authorization.md<\/a>, scope \u2013 \u0432 scope.txt.<\/p>\n

\u0420\u0443\u0447\u043d\u043e\u0435 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u2013 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u044e\u0440\u0438\u0434\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0438 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0440\u0443\u0431\u0435\u0436: \u0430\u0433\u0435\u043d\u0442 \u0444\u0438\u0437\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435 \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442 \u043a \u0437\u0430\u0434\u0430\u0447\u0430\u043c \u0431\u0435\u0437 \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f. \u0412 \u043d\u0430\u0448\u0438\u0445 \u043f\u0440\u043e\u0433\u043e\u043d\u0430\u0445 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b\u043e \u0447\u0435\u0440\u0435\u0437 \u0447\u0430\u0442 (\u043e\u0442\u0432\u0435\u0442 \u00abauthorized\u00bb), \u0438 \u0444\u0430\u043a\u0442 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043b\u0441\u044f \u0432 \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u0430\u0445.<\/p>\n

Phase 1. Live Recon \u2013 \u0441\u0442\u0440\u043e\u0433\u043e read-only<\/strong><\/p>\n

\u0420\u0430\u0437\u0432\u0435\u0434\u043a\u0430 \u0431\u0435\u0437 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u044f \u0446\u0435\u043b\u0438. \u0417\u0434\u0435\u0441\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b:<\/p>\n

\u2022\u00a0 <\/strong>nmap \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 -T3 \u2013 \u0437\u0430\u043c\u0435\u0442\u0438\u043c, \u043d\u0435 -T4\/-T5: \u043d\u0430\u0432\u044b\u043a \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u0434\u0435\u0440\u0436\u0438\u0442 \u00ab\u0432\u0435\u0436\u043b\u0438\u0432\u044b\u0439\u00bb \u0442\u0435\u043c\u043f, \u0447\u0442\u043e\u0431\u044b \u043d\u0435 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438 \u043d\u0435 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u043a\u0430\u043a DoS (\u0430 \u0442\u0430\u043a\u0436\u0435 \u043d\u0435 \u043f\u043e\u043f\u0430\u0434\u0430\u0442\u044c \u0438\u0437-\u0437\u0430 \u044d\u0442\u043e\u0433\u043e \u043f\u043e\u0434 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0438);<\/p>\n

\u2022\u00a0 <\/strong>whatweb \u0438 \u0430\u043d\u0430\u043b\u0438\u0437 HTTP-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432 \u2013 \u0444\u0438\u043d\u0433\u0435\u0440\u043f\u0440\u0438\u043d\u0442\u0438\u043d\u0433 \u0441\u0442\u0435\u043a\u0430;<\/p>\n

\u2022\u00a0 <\/strong>\u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043d\u044b\u0439 \u043a\u0440\u0430\u0443\u043b\u0438\u043d\u0433, \u0440\u0430\u0437\u0431\u043e\u0440 robots.txt \u0438 sitemap.<\/p>\n

\u0412 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u043d\u0430\u0448\u0438\u0445 \u043a\u0435\u0439\u0441\u043e\u0432 \u0443\u0436\u0435 \u043d\u0430 \u044d\u0442\u043e\u0439 \u0444\u0430\u0437\u0435 \u0430\u0433\u0435\u043d\u0442 \u043f\u043e \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c \u0438 cookie \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b \u0432\u0435\u0441\u044c \u0441\u0442\u0435\u043a: nginx \u043a\u0430\u043a reverse proxy, React SPA \u043d\u0430 FastAPI-\u0431\u044d\u043a\u0435\u043d\u0434\u0435, \u0440\u0430\u0437\u0432\u0451\u0440\u043d\u0443\u0442\u044b\u0439 \u0432 \u043e\u0431\u043b\u0430\u043a\u0435 \u043d\u0430 Kubernetes \u0441 Ingress-NGINX \u2013 \u0438 \u0442\u0443\u0442 \u0436\u0435 \u043f\u043e robots.txt \u0438 DNS \u0432\u044b\u0442\u0430\u0449\u0438\u043b \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u043f\u043e\u0440\u0442\u0430\u043b \u043d\u0430 Bitrix CMS \u043f\u043e\u0434 Apache. \u0417\u0430 \u0442\u0430\u043a\u0443\u044e \u00ab\u043d\u0438\u0442\u043e\u0447\u043a\u0443\u00bb \u0447\u0430\u0441\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0442\u044f\u043d\u0443\u0442\u044c \u0445\u043e\u0440\u043e\u0448\u0438\u0439 \u00ab\u043a\u043b\u0443\u0431\u043e\u043a\u00bb \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 shadow-IT. \u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0432 \u044d\u043f\u043e\u0445\u0443 \u0432\u0430\u0439\u0431\u043a\u043e\u0434\u0438\u043d\u0433\u0430.<\/p>\n

Phase 2. Vulnerability Analysis \u2013 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u044b\u0435 sub-\u0430\u0433\u0435\u043d\u0442\u044b<\/strong><\/p>\n

\u0421\u0430\u043c\u0430\u044f \u043d\u0435\u0442\u0440\u0438\u0432\u0438\u0430\u043b\u044c\u043d\u0430\u044f \u0441 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043d\u043e\u0439 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0444\u0430\u0437\u0430. \u0412\u043c\u0435\u0441\u0442\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u0431\u043e\u0440\u0430 \u043d\u0430\u0432\u044b\u043a \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 delegate_task \u0438 \u0440\u0430\u0437\u0434\u0430\u0451\u0442 \u043a\u043b\u0430\u0441\u0441\u044b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u043c sub-\u0430\u0433\u0435\u043d\u0442\u0430\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e: \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442 \u043d\u0430 SQLi, \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u043d\u0430 XSS, \u043d\u0430 SSRF, \u043d\u0430 AuthZ, \u043d\u0430 IDOR. \u042d\u0442\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0441\u043e\u043a\u0440\u0430\u0449\u0430\u0435\u0442 \u0432\u0440\u0435\u043c\u044f \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430 (\u0432 \u0441\u0440\u0435\u0434\u043d\u0435\u043c \u0432 \u043d\u0430\u0448\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043e\u043d \u0438 \u0442\u0430\u043a \u0437\u0430\u043d\u044f\u043b 1,5 \u0447\u0430\u0441\u0430 \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441).<\/p>\n

\u042d\u0442\u043e \u0442\u0430 \u0436\u0435 \u0438\u0434\u0435\u044f, \u0447\u0442\u043e \u0438 \u0443 \u0442\u043e\u043f\u043e\u0432\u044b\u0445 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0445 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c. \u0423 xBow \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0430 \u043d\u0430 \u0442\u044b\u0441\u044f\u0447\u0430\u0445 \u043a\u043e\u0440\u043e\u0442\u043a\u043e\u0436\u0438\u0432\u0443\u0449\u0438\u0445 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u044b\u0445 \u0430\u0433\u0435\u043d\u0442\u043e\u0432, \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0440\u0435\u0448\u0430\u0435\u0442 \u0443\u0437\u043a\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0441\u043e \u0441\u0432\u0435\u0436\u0438\u043c \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u043e\u043c<\/a>, \u0430 \u043a\u043e\u043e\u0440\u0434\u0438\u043d\u0438\u0440\u0443\u0435\u0442 \u0438\u0445 \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u044b\u0439 \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u043f\u043e\u0432\u0435\u0440\u0445\u043d\u043e\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0438. Hermes \u0434\u0435\u043b\u0430\u0435\u0442 \u0442\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0435 \u0432 \u043c\u0438\u043d\u0438\u0430\u0442\u044e\u0440\u0435, \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0441\u0432\u043e\u0435\u0433\u043e \u0441\u043a\u0438\u043b\u043b\u0430. \u041f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u0438\u0437\u043c \u0437\u0434\u0435\u0441\u044c \u2013\u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0430\u0446\u0438\u044f \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0434\u0438 \u0441\u043a\u043e\u0440\u043e\u0441\u0442\u0438, \u0430 \u0441\u043f\u043e\u0441\u043e\u0431 \u0434\u0430\u0442\u044c \u043a\u0430\u0436\u0434\u043e\u043c\u0443 \u043a\u043b\u0430\u0441\u0441\u0443 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0447\u0438\u0441\u0442\u044b\u0439 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442 \u0438 \u043d\u0435 \u00ab\u0440\u0430\u0437\u043c\u0430\u0437\u044b\u0432\u0430\u0442\u044c\u00bb \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043c\u043e\u0434\u0435\u043b\u0438.<\/p>\n

Phase 3. Exploitation \u2013 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f<\/strong><\/p>\n

\u0417\u0434\u0435\u0441\u044c \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u00abNo Exploit, No Report\u00bb. \u0410\u0433\u0435\u043d\u0442 \u043d\u0435 \u0440\u0435\u043f\u043e\u0440\u0442\u0438\u0442 \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u0443 \u2013 \u043e\u043d \u0435\u0451 \u0434\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442. \u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043f\u0440\u0438\u0451\u043c\u044b:<\/p>\n

\u2022\u00a0 Witness payloads<\/strong> \u2013 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0435 \u043c\u0430\u0440\u043a\u0435\u0440\u044b \u0432\u043c\u0435\u0441\u0442\u043e \u0440\u0430\u0437\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445. \u0414\u043b\u044f XSS, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <svg\/onload=console.log(«HERMES-PENTEST-XSS»)> \u0432\u043c\u0435\u0441\u0442\u043e alert(1), \u0447\u0442\u043e\u0431\u044b \u043d\u0435 \u043c\u0435\u0448\u0430\u0442\u044c \u0434\u0440\u0443\u0433\u0438\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c \u0432 \u043e\u0431\u0449\u0438\u0445 \u0441\u0440\u0435\u0434\u0430\u0445;<\/p>\n

\u2022\u00a0 \u042d\u0441\u043a\u0430\u043b\u0430\u0446\u0438\u044f L1\u2192L4<\/strong> \u2013 \u043e\u0442 \u00ab\u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430\u00bb (L1) \u043a \u00ab\u0447\u0430\u0441\u0442\u0438\u0447\u043d\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u043e\u00bb (L2), \u00ab\u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u043e\u00bb (L3) \u0438 \u00ab\u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u00bb (L4). \u0412 \u043e\u0442\u0447\u0451\u0442 \u0438\u0434\u0443\u0442 \u0442\u043e\u043b\u044c\u043a\u043e L3 \u0438 L4;<\/p>\n

\u2022\u00a0 Sleep probe \u0438 callback host<\/strong> \u2013 \u0434\u043b\u044f \u0441\u043b\u0435\u043f\u044b\u0445 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0432\u0440\u043e\u0434\u0435 time-based SQLi \u0438 SSRF;<\/p>\n

\u2022\u00a0 \u041e\u0446\u0435\u043d\u043a\u0430 \u043f\u043e CVSS 3.1<\/strong> \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0451\u043d\u043d\u043e\u0439 \u043d\u0430\u0445\u043e\u0434\u043a\u0438.<\/p>\n

\u041f\u0435\u0440\u0435\u0434 \u0442\u0435\u043c \u043a\u0430\u043a \u0437\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430 \u0432 false_positive, \u0430\u0433\u0435\u043d\u0442 \u043e\u0431\u044f\u0437\u0430\u043d \u043f\u0440\u043e\u0439\u0442\u0438 \u0432\u0441\u0435 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0438\u0437 references\/bypass-techniques.md<\/a> \u2013 \u0442\u0430\u043a \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u044b\u0439 bypass exhaustion. \u042d\u0442\u043e \u0437\u0430\u0449\u0438\u0442\u0430 \u043e\u0442 \u043b\u0435\u043d\u0438\u0432\u043e\u0433\u043e \u0432\u044b\u0432\u043e\u0434\u0430 \u00ab\u043d\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u043e\u00bb \u043f\u043e\u0441\u043b\u0435 \u043e\u0434\u043d\u043e\u0439 \u043f\u043e\u043f\u044b\u0442\u043a\u0438.<\/p>\n

\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0434\u0438\u0441\u0446\u0438\u043f\u043b\u0438\u043d\u0430 \u00ab\u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430\u00bb \u043f\u0440\u043e\u044f\u0432\u0438\u043b\u0430\u0441\u044c \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e. \u0412 \u043a\u0435\u0439\u0441\u0435 \u0441 \u043f\u043e\u0440\u0442\u0430\u043b\u043e\u043c \u043d\u0430 Bitrix \u0430\u0433\u0435\u043d\u0442 \u043d\u0430\u0448\u0451\u043b reflected-\u0432\u0445\u043e\u0434 \u0434\u043b\u044f XSS \u2013 \u043f\u043e\u0438\u0441\u043a \u043e\u0442\u0440\u0430\u0436\u0430\u043b \u0432\u0432\u043e\u0434, \u2013 \u043d\u043e \u0447\u0435\u0441\u0442\u043d\u043e \u043a\u043b\u0430\u0441\u0441\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043b \u0435\u0433\u043e \u043a\u0430\u043a L2 partial: HTML-\u0441\u0443\u0449\u043d\u043e\u0441\u0442\u0438 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043b\u0438\u0441\u044c, \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430 \u043d\u0435 \u043d\u0430\u0448\u043b\u043e\u0441\u044c. \u0412 \u043e\u0442\u0447\u0451\u0442 \u043e\u043d \u043d\u0435 \u043f\u043e\u043f\u0430\u043b. \u0417\u0430\u0442\u043e \u0442\u0443\u0434\u0430 \u043f\u043e\u043f\u0430\u043b\u0430 \u043d\u0430\u0445\u043e\u0434\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u0430\u0433\u0435\u043d\u0442 \u0434\u043e\u0432\u0451\u043b \u0434\u043e \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430: \u044d\u043d\u0434\u043f\u043e\u0438\u043d\u0442 \u0432\u0445\u043e\u0434\u0430 \u0432 \u0430\u0434\u043c\u0438\u043d-\u043f\u0430\u043d\u0435\u043b\u044c \u043f\u0440\u0438 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u043e\u0442\u0434\u0430\u0432\u0430\u043b \u043f\u043e\u043b\u043d\u044b\u0439 PHP stack trace \u0441 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c\u0438 \u043f\u0443\u0442\u044f\u043c\u0438, \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0435\u0439 \u0411\u0414 \u0438 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439 namespace \u2013 \u044d\u0442\u043e \u0443\u0436\u0435 \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c\u044b\u0439 \u0444\u0430\u043a\u0442, \u0430 \u043d\u0435 \u0434\u043e\u0433\u0430\u0434\u043a\u0430.<\/p>\n

Phase 4. Reporting \u2013 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043e\u0442\u0447\u0451\u0442<\/strong><\/p>\n

\u0424\u0438\u043d\u0430\u043b \u2013 \u043e\u0442\u0447\u0451\u0442 \u043f\u043e \u0448\u0430\u0431\u043b\u043e\u043d\u0443 templates\/pentest-report.md<\/a>: Executive Summary, scope, \u043f\u0435\u0440\u0435\u0447\u0435\u043d\u044c \u043d\u0430\u0445\u043e\u0434\u043e\u043a \u0441 severity \u0438 CVSS, \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 (request\/response, \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d\u0438\u044f), \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438 \u0438 \u0448\u0430\u0433\u0438 \u0432\u0435\u0440\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043f\u043e\u0441\u043b\u0435 \u0444\u0438\u043a\u0441\u0430. \u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0435\u0442 \u0441 \u0442\u0435\u043c, \u0447\u0442\u043e \u0432\u044b\u0434\u0430\u044e\u0442 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0438 \u0441\u0440\u0430\u0437\u0443 \u043b\u043e\u0436\u0438\u0442\u0441\u044f \u0432 \u0440\u0430\u0431\u043e\u0447\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0437\u0430\u0449\u0438\u0442\u044b (\u0438 \u0435\u0435 AI-\u0430\u0433\u0435\u043d\u0442\u043e\u0432).<\/p>\n

\u041f\u0440\u0430\u043a\u0442\u0438\u043a\u0430: \u0442\u0440\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, 23,5 \u043c\u043b\u043d \u0442\u043e\u043a\u0435\u043d\u043e\u0432<\/strong><\/p>\n

\u0427\u0442\u043e\u0431\u044b \u043f\u043e\u043d\u044f\u0442\u044c \u043d\u0430\u0432\u044b\u043a \u043d\u0435 \u043f\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438, \u0430 \u043f\u043e \u0434\u0435\u043b\u0443, \u043c\u044b \u043f\u0440\u043e\u0433\u043d\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0433\u043e \u0442\u0440\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0440\u0430\u0437\u043d\u043e\u0439 \u043f\u0440\u0438\u0440\u043e\u0434\u044b:<\/p>\n

1. React SPA \u043d\u0430 FastAPI<\/strong> \u0432 \u043e\u0431\u043b\u0430\u043a\u0435 \u043d\u0430 Kubernetes \u2013 \u0441 \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043f\u043e\u0440\u0442\u0430\u043b \u043d\u0430 Bitrix CMS \u0438 \u0441\u0430\u0439\u0442 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438;<\/p>\n

2. Webmail-\u0441\u0435\u0440\u0432\u0438\u0441 \u043d\u0430 Roundcube<\/strong> (PHP 8.4) \u0437\u0430 nginx, \u0441 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u043c \u0441\u0442\u0435\u043a\u043e\u043c Postfix\/Dovecot;<\/p>\n

3. \u041f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 DNS-\u0441\u0435\u0440\u0432\u0438\u0441<\/strong> \u2013 \u0441\u0432\u044f\u0437\u043a\u0430 Next.js-\u0441\u0430\u0439\u0442\u0430 \u0438 \u043b\u0438\u0447\u043d\u043e\u0433\u043e \u043a\u0430\u0431\u0438\u043d\u0435\u0442\u0430 \u043d\u0430 Django REST + jQuery.<\/p>\n

\u0412\u0441\u0435 \u0442\u0440\u0438 \u0442\u0435\u0441\u0442\u0430 \u0441\u0443\u043c\u043c\u0430\u0440\u043d\u043e \u043e\u0431\u043e\u0448\u043b\u0438\u0441\u044c \u0432 23,5 \u043c\u043b\u043d \u0442\u043e\u043a\u0435\u043d\u043e\u0432 (\u0438 347 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432)<\/strong> \u0447\u0435\u0440\u0435\u0437 \u043c\u043e\u0434\u0435\u043b\u044c Owl Alpha \u043d\u0430 OpenRouter (\u0432 \u043d\u0430\u0441\u0442\u043e\u044f\u0449\u0435\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u043e). \u0426\u0438\u0444\u0440\u0430 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u0430: \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u043d\u0430 \u0430\u0433\u0435\u043d\u0442\u0435 \u2013 \u044d\u0442\u043e \u043d\u0435 \u00ab\u043e\u0434\u0438\u043d \u0437\u0430\u043f\u0440\u043e\u0441 \u043a LLM\u00bb, \u0430 \u0434\u043b\u0438\u043d\u043d\u0430\u044f \u0446\u0435\u043f\u043e\u0447\u043a\u0430 recon \u2192 \u0430\u043d\u0430\u043b\u0438\u0437 \u2192 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f \u2192 \u043e\u0442\u0447\u0451\u0442 \u0441 \u0434\u0435\u0441\u044f\u0442\u043a\u0430\u043c\u0438 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u044b\u0437\u043e\u0432\u043e\u0432 \u0438 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u044b\u043c\u0438 sub-\u0430\u0433\u0435\u043d\u0442\u0430\u043c\u0438.<\/p>\n

\n
\n\n\n\n
\n

DISCLAIMER<\/strong><\/p>\n

\u0412\u0441\u0435 \u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u044b \u043d\u0430 \u0440\u0435\u0441\u0443\u0440\u0441\u0430\u0445, \u0434\u043b\u044f \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0431\u044b\u043b\u043e \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043e \u0438 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043e \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u0435 \u0432\u043b\u0430\u0434\u0435\u043b\u044c\u0446\u0430, \u0441 \u0441\u043e\u0431\u043b\u044e\u0434\u0435\u043d\u0438\u0435\u043c \u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043d\u0438\u0439 \u043e\u0431 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u043e\u043c \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u0435 web-pentest skill \u043f\u0440\u043e\u0442\u0438\u0432 \u0441\u0438\u0441\u0442\u0435\u043c \u0431\u0435\u0437 \u044f\u0432\u043d\u043e\u0433\u043e \u043f\u0438\u0441\u044c\u043c\u0435\u043d\u043d\u043e\u0433\u043e \u0440\u0430\u0437\u0440\u0435\u0448\u0435\u043d\u0438\u044f \u0432\u043b\u0430\u0434\u0435\u043b\u044c\u0446\u0430 \u043d\u0435\u0437\u0430\u043a\u043e\u043d\u043d\u043e. \u041d\u0435\u0441\u0430\u043d\u043a\u0446\u0438\u043e\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435, \u043f\u043e\u0438\u0441\u043a \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0430 \u043f\u0440\u043e\u043d\u0438\u043a\u043d\u043e\u0432\u0435\u043d\u0438\u0435 \u0432 \u0420\u0424 \u0432\u043b\u0435\u043a\u0443\u0442 \u0443\u0433\u043e\u043b\u043e\u0432\u043d\u0443\u044e \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u043f\u043e \u0441\u0442. 272 (\u043d\u0435\u043f\u0440\u0430\u0432\u043e\u043c\u0435\u0440\u043d\u044b\u0439 \u0434\u043e\u0441\u0442\u0443\u043f), 273 (\u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0435 \u041f\u041e) \u0438 274\/274.1 \u0423\u041a \u0420\u0424 (\u043d\u0430\u0440\u0443\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0430\u0432\u0438\u043b \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438, \u0432 \u0442.\u0447. \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432 \u041a\u0418\u0418), \u0430 \u0442\u0430\u043a\u0436\u0435 \u043f\u043e \u0441\u0442. 272.1 \u0423\u041a \u0420\u0424 \u043f\u0440\u0438 \u0440\u0430\u0431\u043e\u0442\u0435 \u0441 \u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u2014 \u0432\u043f\u043b\u043e\u0442\u044c \u0434\u043e \u043b\u0438\u0448\u0435\u043d\u0438\u044f \u0441\u0432\u043e\u0431\u043e\u0434\u044b \u0441\u0440\u043e\u043a\u043e\u043c \u0434\u043e 10 \u043b\u0435\u0442. \u0410\u0432\u0442\u043e\u0440\u044b \u043d\u0435 \u043d\u0435\u0441\u0443\u0442 \u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e\u0441\u0442\u0438 \u0437\u0430 \u043d\u0435\u043f\u0440\u0430\u0432\u043e\u043c\u0435\u0440\u043d\u043e\u0435 \u043f\u0440\u0438\u043c\u0435\u043d\u0435\u043d\u0438\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0445 \u0442\u0435\u0445\u043d\u0438\u043a.<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n

\u00a0<\/p>\n

\u041a\u0430\u043a \u044d\u0442\u043e \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0432 \u0440\u0430\u0431\u043e\u0442\u0435<\/strong><\/p>\n

\u0421\u0446\u0435\u043d\u0430\u0440\u0438\u0439 \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043f\u0440\u043e\u0433\u043e\u043d\u0430 \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u043b \u043f\u044f\u0442\u044c \u0444\u0430\u0437. \u041f\u043e\u043a\u0430\u0436\u0435\u043c \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u043d\u044b\u0435 \u043c\u043e\u043c\u0435\u043d\u0442\u044b.<\/p>\n

Authorization gate.<\/strong> \u0414\u043e \u043b\u044e\u0431\u044b\u0445 \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u2013 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 scope \u0438 \u0444\u0438\u043a\u0441\u0430\u0446\u0438\u044f \u0432 authorization.md<\/a>. \u0411\u0435\u0437 authorized \u0430\u0433\u0435\u043d\u0442 \u043d\u0435 \u0434\u0432\u0438\u0433\u0430\u043b\u0441\u044f \u0434\u0430\u043b\u044c\u0448\u0435.<\/p>\n

Recon.<\/strong> \u0410\u0433\u0435\u043d\u0442 \u0441\u0430\u043c \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u043b \u043a\u0430\u0440\u0442\u0443 \u0446\u0435\u043b\u0438. \u041d\u0430 webmail-\u0441\u0435\u0440\u0432\u0438\u0441\u0435 \u043e\u043d \u043f\u043e nmap \u0438 \u0431\u0430\u043d\u043d\u0435\u0440\u0430\u043c \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b \u0432\u0441\u044e \u0441\u0445\u0435\u043c\u0443: nginx \u043a\u0430\u043a reverse proxy, \u0437\u0430 \u043d\u0438\u043c Roundcube 1.6.12 \u043d\u0430 PHP 8.4.17 (FPM), \u0432\u043d\u0435\u0448\u043d\u0438\u0435 IMAP\/SMTP, \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u043f\u043e\u0440\u0442 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u0438\u0432\u043d\u043e\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u0430. \u041d\u0430 DNS-\u0441\u0435\u0440\u0432\u0438\u0441\u0435 \u2013 \u0440\u0430\u0437\u0434\u0435\u043b\u0435\u043d\u0438\u0435 \u043d\u0430 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 Next.js-\u0441\u0430\u0439\u0442 \u0438 \u043a\u0430\u0431\u0438\u043d\u0435\u0442 \u043d\u0430 Django, \u0441 \u043f\u043e\u043b\u043d\u043e\u0439 \u043a\u0430\u0440\u0442\u043e\u0439 API-\u044d\u043d\u0434\u043f\u043e\u0438\u043d\u0442\u043e\u0432 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438.<\/p>\n

\u0410\u043d\u0430\u043b\u0438\u0437 \u0438 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u044f.<\/strong> \u0414\u0430\u043b\u044c\u0448\u0435 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u044b\u0435 sub-\u0430\u0433\u0435\u043d\u0442\u044b \u043e\u0442\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043b\u0438 \u043a\u043b\u0430\u0441\u0441\u044b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439. \u0418 \u0432\u043e\u0442 \u0447\u0442\u043e \u0432\u0430\u0436\u043d\u043e: \u043d\u0430 \u0432\u0441\u0435\u0445 \u0442\u0440\u0451\u0445 \u0446\u0435\u043b\u044f\u0445 \u044f\u0434\u0440\u043e \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0430\u0442\u0430\u043a \u043d\u0435 \u043f\u0440\u043e\u0448\u043b\u043e. SQL-\u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 \u0443\u043f\u0438\u0440\u0430\u043b\u0438\u0441\u044c \u0432 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u0432\u044b\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0438 ORM, XSS \u2013 \u0432 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u0435 \u044d\u043a\u0440\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435, SSRF \u2013 \u0432 \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044e. \u0410\u0433\u0435\u043d\u0442 \u044d\u0442\u043e \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043b \u0447\u0435\u0442\u043a\u043e, \u0431\u0435\u0437 \u043b\u043e\u0436\u043d\u044b\u0445 \u0430\u043b\u0435\u0440\u0442\u043e\u0432.<\/p>\n

\u0420\u0435\u0430\u043b\u044c\u043d\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0451\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u043e\u043a\u0430\u0437\u0430\u043b\u0438\u0441\u044c \u0432 \u0434\u0440\u0443\u0433\u043e\u0439 \u043f\u043b\u043e\u0441\u043a\u043e\u0441\u0442\u0438 \u2013 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0438 \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438:<\/p>\n

\n
\n\n\n\n\n\n\n
\n

\u0426\u0435\u043b\u044c<\/strong><\/p>\n<\/td>\n

\n

\u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0451\u043d\u043d\u044b\u0435 \u043d\u0430\u0445\u043e\u0434\u043a\u0438 (L3\/L4)<\/strong><\/p>\n<\/td>\n

\n

Severity<\/strong><\/p>\n<\/td>\n<\/tr>\n

\n

React SPA \/ \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u044b<\/p>\n<\/td>\n

\n

\u041e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 CSP, X-Content-Type-Options, X-Frame-Options; \u0430\u0434\u043c\u0438\u043d-\u043f\u0430\u043d\u0435\u043b\u044c Bitrix \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430 \u0438\u0437 \u0438\u043d\u0442\u0435\u0440\u043d\u0435\u0442\u0430; \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u0435 stack trace<\/p>\n<\/td>\n

\n

High \/ Medium<\/p>\n<\/td>\n<\/tr>\n

\n

Webmail (Roundcube)<\/p>\n<\/td>\n

\n

HSTS \u0444\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043e\u0442\u043a\u043b\u044e\u0447\u0451\u043d (max-age=0); \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 CSP; session fixation; \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u0435 \u0432\u0435\u0440\u0441\u0438\u0439 \u041f\u041e<\/p>\n<\/td>\n

\n

Medium \/ Low<\/p>\n<\/td>\n<\/tr>\n

\n

DNS-\u0441\u0435\u0440\u0432\u0438\u0441<\/p>\n<\/td>\n

\n

\u041d\u0435\u0442 HTTP\u2192HTTPS \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442\u0430; \u043d\u0435\u0442 rate limiting \u043d\u0430 API \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438; \u043e\u0442\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u0435 security-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432; \u043d\u0435\u0442 \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u0438 Referer \u0434\u043b\u044f CSRF<\/p>\n<\/td>\n

\n

Medium \/ Low<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n

\u00a0<\/p>\n

\u041e\u0442\u0447\u0451\u0442.<\/strong> \u041d\u0430 \u043a\u0430\u0436\u0434\u0443\u044e \u0446\u0435\u043b\u044c \u2013 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0441 Executive Summary, \u0442\u0430\u0431\u043b\u0438\u0446\u0435\u0439 \u043d\u0430\u0445\u043e\u0434\u043e\u043a, CVSS-\u0432\u0435\u043a\u0442\u043e\u0440\u0430\u043c\u0438, \u043a\u043e\u043c\u0430\u043d\u0434\u0430\u043c\u0438 \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u0438 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u044f\u043c\u0438. \u041d\u0438\u0436\u0435 \u2013 \u0444\u0440\u0430\u0433\u043c\u0435\u043d\u0442 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0447\u0430\u0441\u0442\u0438 \u0438\u0437 \u0440\u0435\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043e\u0442\u0447\u0451\u0442\u0430 (\u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u0435 stack trace):<\/p>\n

\n
\n\n\n\n
\n

$ curl -sk -X POST «https:\/\/[target]\/bitrix\/admin\/index.php?login=yes» \\<\/p>\n

\u00a0\u00a0\u00a0 -d «AUTH_FORM=Y&TYPE=AUTH&USER_LOGIN=admin&USER_PASSWORD=wrong»<\/p>\n

HTTP\/1.1 500 Internal Server Error<\/p>\n

\u00a0<\/p>\n

# \u0422\u0435\u043b\u043e \u043e\u0442\u0432\u0435\u0442\u0430:<\/p>\n

Fatal error: Uncaught Bitrix\\Main\\DB\\SqlQueryException: Mysql query error:<\/p>\n

(1290) The MySQL server is running with the —read-only option …<\/p>\n

in \/var\/www\/html\/bitrix\/modules\/main\/lib\/db\/mysqliconnection.php:146<\/p>\n

Stack trace:<\/p>\n

#0 \/var\/www\/html\/bitrix\/modules\/main\/lib\/db\/connection.php(327): …<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n

\u00a0<\/p>\n

\u042d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c \u00abNo Exploit, No Report\u00bb \u043d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435: \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c\u044b\u0439 \u0437\u0430\u043f\u0440\u043e\u0441 \u0441 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u043c \u043e\u0442\u0432\u0435\u0442\u043e\u043c, \u0430 \u043d\u0435 \u0441\u0442\u0440\u043e\u0447\u043a\u0430 \u00ab\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u0435 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438\u00bb.<\/p>\n

\u0413\u043b\u0430\u0432\u043d\u044b\u0439 \u0432\u044b\u0432\u043e\u0434 \u043f\u043e \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430\u043c<\/strong><\/p>\n

\u0410\u0433\u0435\u043d\u0442 \u043d\u0435 \u043d\u0430\u0448\u0451\u043b \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 RCE \u0438\u043b\u0438 \u043f\u043e\u043b\u043d\u043e\u0433\u043e \u043e\u0431\u0445\u043e\u0434\u0430 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u2013 \u0438 \u044d\u0442\u043e \u0447\u0435\u0441\u0442\u043d\u044b\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u043d\u0430 \u0445\u043e\u0440\u043e\u0448\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0445. \u0417\u0430\u0442\u043e \u043e\u043d \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e \u0432\u044b\u0447\u0438\u0441\u0442\u0438\u043b \u0442\u043e, \u0447\u0442\u043e \u043e\u0431\u044b\u0447\u043d\u043e \u0442\u0435\u0440\u044f\u0435\u0442\u0441\u044f: \u0434\u0435\u0441\u044f\u0442\u043a\u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0445 \u043f\u0440\u043e\u0431\u043b\u0435\u043c, \u043a\u0430\u0436\u0434\u0430\u044f \u0441 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e\u043c \u0438 \u0433\u043e\u0442\u043e\u0432\u043e\u0439 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0435\u0439. \u0414\u043b\u044f \u0440\u0435\u0433\u0443\u043b\u044f\u0440\u043d\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u0433\u0438\u0433\u0438\u0435\u043d\u044b \u2013 \u044d\u0442\u043e \u0440\u0430\u0431\u043e\u0447\u0438\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442.<\/p>\n

Guardrails \u0438 \u044d\u0442\u0438\u043a\u0430: \u0433\u0434\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u044f\u0442 \u0433\u0440\u0430\u043d\u0438\u0446\u044b<\/strong><\/p>\n

Offensive-\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0432 \u0440\u0443\u043a\u0430\u0445 \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u043e\u0433\u043e \u0430\u0433\u0435\u043d\u0442\u0430 \u2013 \u044d\u0442\u043e \u0440\u0438\u0441\u043a, \u0438 \u043d\u0430\u0432\u044b\u043a \u044d\u0442\u043e \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442. \u041d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0438\u0442\u0435\u043b\u0435\u0439.<\/p>\n

\u2022\u00a0 \u0417\u0430\u043f\u0440\u0435\u0442 cloud metadata.<\/strong> \u0416\u0451\u0441\u0442\u043a\u0438\u0439 \u0431\u043b\u043e\u043a \u043e\u0431\u0440\u0430\u0449\u0435\u043d\u0438\u0439 \u043a 169.254.169.254 \u0438 \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u043c endpoint’\u0430\u043c \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0445 \u043e\u0431\u043b\u0430\u043a\u0430 \u2013 \u0447\u0442\u043e\u0431\u044b \u0430\u0433\u0435\u043d\u0442 \u043d\u0435 \u0443\u0442\u044f\u043d\u0443\u043b IAM-\u0442\u043e\u043a\u0435\u043d\u044b \u043f\u0440\u0438 \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 SSRF.<\/p>\n

\u2022\u00a0 Rate limit.<\/strong> \u0422\u0435\u043c\u043f \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0441\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442\u0441\u044f (\u043f\u043e\u0440\u044f\u0434\u043a\u0430 200 \u043c\u0441 \u043c\u0435\u0436\u0434\u0443 \u043d\u0438\u043c\u0438), nmap \u0438\u0434\u0451\u0442 \u043d\u0430 -T3. \u0422\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u043e \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0442\u044c\u0441\u044f \u0432 \u0441\u0442\u0440\u0435\u0441\u0441-\u0442\u0435\u0441\u0442.<\/p>\n

\u2022\u00a0 \u0420\u0435\u0434\u0430\u043a\u0446\u0438\u044f credentials.<\/strong> \u041b\u044e\u0431\u044b\u0435 \u0441\u0435\u043a\u0440\u0435\u0442\u044b \u0432 \u0432\u044b\u0432\u043e\u0434\u0435 \u0443\u0441\u0435\u043a\u0430\u044e\u0442\u0441\u044f \u0434\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0438\u0445 \u0441\u0438\u043c\u0432\u043e\u043b\u043e\u0432 \u2013 \u0447\u0442\u043e\u0431\u044b \u043e\u0442\u0447\u0451\u0442 \u0438 \u043b\u043e\u0433\u0438 \u043d\u0435 \u0441\u0442\u0430\u043b\u0438 \u0443\u0442\u0435\u0447\u043a\u043e\u0439.<\/p>\n

\u2022\u00a0 Bypass exhaustion.<\/strong> \u041f\u0440\u0435\u0436\u0434\u0435 \u0447\u0435\u043c \u0437\u0430\u043a\u0440\u044b\u0442\u044c \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430 \u043a\u0430\u043a false-positive, \u0430\u0433\u0435\u043d\u0442 \u043e\u0431\u044f\u0437\u0430\u043d \u043f\u0435\u0440\u0435\u0431\u0440\u0430\u0442\u044c \u0432\u0441\u0435 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u043e\u0431\u0445\u043e\u0434\u0430.<\/p>\n

\u041e\u0442\u0434\u0435\u043b\u044c\u043d\u043e \u0441\u0442\u043e\u0438\u0442 \u043f\u0440\u043e\u0433\u043e\u0432\u043e\u0440\u0438\u0442\u044c \u0434\u0432\u0430 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0440\u0438\u0441\u043a\u0430.<\/p>\n

Aux-client leakage.<\/strong> \u0423\u043d\u0438\u043a\u0430\u043b\u044c\u043d\u044b\u0439 \u0434\u043b\u044f \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u044b Hermes \u043c\u043e\u043c\u0435\u043d\u0442: \u0434\u0430\u043d\u043d\u044b\u0435 engagement \u043c\u043e\u0433\u0443\u0442 \u0443\u0442\u0435\u0447\u044c \u0447\u0435\u0440\u0435\u0437 \u043f\u0443\u0442\u044c \u043a\u043e\u043c\u043f\u0440\u0435\u0441\u0441\u0438\u0438 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430 \u0432 auxiliary client. \u041d\u0430\u0432\u044b\u043a \u043f\u0440\u044f\u043c\u043e \u043f\u0440\u0435\u0434\u0443\u043f\u0440\u0435\u0436\u0434\u0430\u0435\u0442 \u043e\u0431 \u044d\u0442\u043e\u043c. \u0414\u043b\u044f security-sensitive \u0442\u0435\u0441\u0442\u043e\u0432 \u044d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442: \u0432\u043d\u0438\u043c\u0430\u0442\u0435\u043b\u044c\u043d\u043e \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0435\u0441\u044c \u043a \u0442\u043e\u043c\u0443, \u043a\u0430\u043a\u0438\u0435 \u0432\u0441\u043f\u043e\u043c\u043e\u0433\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u043c\u043e\u0434\u0435\u043b\u0438 \u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u044b \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u044b \u043a \u0430\u0433\u0435\u043d\u0442\u0443.<\/p>\n

\u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u0441\u0430\u043c\u043e\u0433\u043e \u0430\u0433\u0435\u043d\u0442\u0430.<\/strong> \u0422\u0443\u0442 \u0441\u0442\u043e\u0438\u0442 \u0432\u0441\u043f\u043e\u043c\u043d\u0438\u0442\u044c \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442: v0.5.0 Hermes Agent \u0431\u044b\u043b \u0432\u044b\u043f\u0443\u0449\u0435\u043d \u043a\u0430\u043a security-hardening \u0440\u0435\u043b\u0438\u0437 \u0441 command approval, sandboxing \u0438 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 credentials<\/a>. \u041d\u0443\u0436\u043d\u043e \u043f\u043e\u043d\u0438\u043c\u0430\u0442\u044c, \u0447\u0442\u043e \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442 \u0441 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c \u043a offensive-\u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u043c \u0441\u0430\u043c \u043f\u043e \u0441\u0435\u0431\u0435 \u2013 \u0447\u0430\u0441\u0442\u044c \u043f\u043e\u0432\u0435\u0440\u0445\u043d\u043e\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0438. \u0417\u0430\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u0442\u0430\u043a\u043e\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0441\u0442\u043e\u0438\u0442 \u0432 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u0435, \u0441 \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0438\u0437\u043e\u043b\u044f\u0446\u0438\u0435\u0439 \u0438 \u043c\u0438\u043d\u0438\u043c\u0430\u043b\u044c\u043d\u044b\u043c\u0438 \u043f\u0440\u0430\u0432\u0430\u043c\u0438. \u0418 \u0442\u043e\u0447\u043d\u043e \u043d\u0435 \u043d\u0430 \u0440\u0430\u0431\u043e\u0447\u0435\u043c \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0435 \u0441 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u0438 \u043b\u0438\u0447\u043d\u044b\u043c\u0438 \u0430\u043a\u043a\u0430\u0443\u043d\u0442\u0430\u043c\u0438.<\/p>\n

\u041c\u044b \u0432 Ideco \u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043d\u0430 \u044d\u0442\u043e \u043a\u0430\u043a \u043d\u0430 \u043f\u0440\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0435 \u0431\u043e\u043b\u0435\u0435 \u043e\u0431\u0449\u0435\u0433\u043e \u0442\u0440\u0435\u043d\u0434\u0430: \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u044e\u0442 \u0431\u044b\u0442\u044c \u0441\u0442\u0430\u0442\u0438\u0447\u043d\u044b\u043c\u0438 \u0438 \u0434\u0435\u0442\u0435\u0440\u043c\u0435\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c\u0438, \u0430 \u0442\u0440\u0430\u0444\u0438\u043a \u0432\u0441\u0451 \u0447\u0430\u0449\u0435 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u043d\u0435 \u043b\u044e\u0434\u0438, \u0430 \u0430\u0433\u0435\u043d\u0442\u044b \u2013 \u0438 \u0441\u0432\u043e\u0438, \u0438 \u0447\u0443\u0436\u0438\u0435. \u0411\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0440\u0430\u0441\u0441\u0447\u0438\u0442\u0430\u043d\u0430 \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u00ab\u0432\u0447\u0435\u0440\u0430\u0448\u043d\u0438\u0435\u00bb \u043f\u0430\u0442\u0442\u0435\u0440\u043d\u044b, \u0442\u0430\u043a\u043e\u0439 \u0442\u0440\u0430\u0444\u0438\u043a \u043d\u0435 \u0443\u0432\u0438\u0434\u0438\u0442.<\/p>\n

\u041e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f \u043d\u0430\u0432\u044b\u043a\u0430: \u0447\u0435\u0441\u0442\u043d\u043e \u043e \u043f\u0440\u0435\u0434\u0435\u043b\u0430\u0445<\/strong><\/p>\n

Agent Web-pentest skill \u2013 \u043d\u0435 \u0441\u0435\u0440\u0435\u0431\u0440\u044f\u043d\u0430\u044f \u043f\u0443\u043b\u044f. \u0413\u0434\u0435 \u043e\u043d \u0437\u0430\u043a\u0430\u043d\u0447\u0438\u0432\u0430\u0435\u0442\u0441\u044f:<\/p>\n

\u2022\u00a0 \u0422\u043e\u043b\u044c\u043a\u043e \u0432\u0435\u0431.<\/strong> \u041d\u0430\u0432\u044b\u043a \u043f\u0440\u043e \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438 API. \u041d\u0438\u043a\u0430\u043a\u043e\u0433\u043e (\u043f\u043e\u043a\u0430!) Metasploit, Active Directory, lateral movement \u0438\u043b\u0438 binary reverse engineering. \u0414\u043b\u044f \u0441\u0440\u0430\u0432\u043d\u0435\u043d\u0438\u044f: \u0442\u043e\u0442 \u0436\u0435 NodeZero \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u043d\u0430 \u0441\u0435\u0442\u044f\u0445 \u0438 AD, \u0430 Excalibur \u043d\u0430 \u0431\u0430\u0437\u0435 PentestGPT \u043a\u043e\u043c\u043f\u0440\u043e\u043c\u0435\u0442\u0438\u0440\u043e\u0432\u0430\u043b 4 \u0438\u0437 5 \u0445\u043e\u0441\u0442\u043e\u0432 \u0432 AD-\u043e\u043a\u0440\u0443\u0436\u0435\u043d\u0438\u0438<\/a> \u2013 \u044d\u0442\u043e \u0434\u0440\u0443\u0433\u0430\u044f \u043b\u0438\u0433\u0430 \u0437\u0430\u0434\u0430\u0447, \u043a\u043e\u0442\u043e\u0440\u0443\u044e web-pentest skill \u043d\u0435 \u043f\u043e\u043a\u0440\u044b\u0432\u0430\u0435\u0442.<\/p>\n

\u2022\u00a0 \u041a\u0430\u0447\u0435\u0441\u0442\u0432\u043e \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u043c\u043e\u0434\u0435\u043b\u0438.<\/strong> \u041d\u0430\u0432\u044b\u043a model-agnostic, \u043d\u043e \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0441\u0438\u043b\u044c\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u043c\u043e\u0434\u0435\u043b\u044c\u044e \u043f\u043e\u0434 \u043a\u0430\u043f\u043e\u0442\u043e\u043c. \u0421\u043b\u0430\u0431\u0430\u044f \u043c\u043e\u0434\u0435\u043b\u044c \u0431\u0443\u0434\u0435\u0442 \u0445\u0443\u0436\u0435 \u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u044b \u0438 \u0447\u0430\u0449\u0435 \u0441\u0434\u0430\u0432\u0430\u0442\u044c\u0441\u044f \u043d\u0430 bypass. \u041c\u044b \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u043b\u0438 \u0442\u0435\u0441\u0442 \u043d\u0435 \u043d\u0430 \u0444\u0440\u043e\u043d\u0442\u0438\u0440-\u043c\u043e\u0434\u0435\u043b\u044f\u0445, \u0430 \u043d\u0430 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u043e\u0439 Owl Alpha \u2013 \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043e\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c \u0432\u0435\u0441\u044c\u043c\u0430 \u0433\u043e\u0434\u043d\u043e\u0439 \u0434\u043b\u044f \u044d\u0442\u043e\u0439 \u0437\u0430\u0434\u0430\u0447\u0438.<\/p>\n

\u2022\u00a0 \u041d\u0435\u0442 \u043f\u0440\u043e\u043c\u044b\u0448\u043b\u0435\u043d\u043d\u043e\u0439 \u0438\u043d\u0442\u0435\u0433\u0440\u0430\u0446\u0438\u0438.<\/strong> \u041d\u0438 Burp Suite, \u043d\u0438 \u0441\u0432\u044f\u0437\u043a\u0438 \u0441 SIEM, \u043d\u0438 \u0442\u0438\u043a\u0435\u0442-\u0442\u0440\u0435\u043a\u0438\u043d\u0433\u0430 \u0438\u0437 \u043a\u043e\u0440\u043e\u0431\u043a\u0438. \u042d\u0442\u043e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044f, \u0430 \u043d\u0435 \u0433\u043e\u0442\u043e\u0432\u044b\u0439 enterprise-pipeline. \u0412\u043f\u0440\u043e\u0447\u0435\u043c, \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u0447\u0442\u043e \u0435\u0433\u043e \u043d\u0435 \u0441\u043b\u043e\u0436\u043d\u043e \u0437\u0430\u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u043e\u0432\u0430\u0442\u044c.<\/p>\n

\u2022\u00a0 \u041e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0435 \u043f\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u0438 \u0438 \u0434\u043e\u0441\u0442\u0443\u043f\u0443.<\/strong> \u0412 \u043d\u0430\u0448\u0438\u0445 \u043f\u0440\u043e\u0433\u043e\u043d\u0430\u0445 \u0447\u0430\u0441\u0442\u044c \u043f\u043e\u0432\u0435\u0440\u0445\u043d\u043e\u0441\u0442\u0438 \u043e\u0441\u0442\u0430\u043b\u0430\u0441\u044c \u043d\u0435\u043f\u0440\u043e\u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0439 \u0431\u0435\u0437 \u0432\u0430\u043b\u0438\u0434\u043d\u044b\u0445 \u0443\u0447\u0451\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 webmail \u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0435 API). \u0410\u0433\u0435\u043d\u0442 \u044d\u0442\u043e \u044f\u0432\u043d\u043e \u043e\u0442\u043c\u0435\u0442\u0438\u043b \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u0439 \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043e\u0442\u0447\u0451\u0442\u0430.<\/p>\n

\u0412\u044b\u0432\u043e\u0434<\/strong><\/p>\n

Web-pentest skill \u0432 Hermes Agent \u2013 \u043f\u043e\u043a\u0430 \u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u0430 \u0436\u0438\u0432\u043e\u043c\u0443 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u0443. \u0415\u0433\u043e \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u0432 \u0434\u0432\u0443\u0445 \u0432\u0435\u0449\u0430\u0445: \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u0430\u044f pre-engagement-\u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0430 \u0438 \u043e\u0442\u0447\u0451\u0442\u043d\u043e\u0441\u0442\u044c \u0441 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430\u043c\u0438 \u0432\u043c\u0435\u0441\u0442\u043e \u0448\u0443\u043c\u0430 \u043b\u043e\u0436\u043d\u044b\u0445 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0439. \u041d\u0430 \u0445\u043e\u0440\u043e\u0448\u043e \u043d\u0430\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0445 \u043e\u043d \u043d\u0435 \u0432\u0441\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u00ab\u0432\u0441\u0451 \u043f\u043e\u0434\u0440\u044f\u0434\u00bb, \u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u043e \u0432\u044b\u0447\u0438\u0449\u0430\u0435\u0442 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u0438 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u2013 \u0438 \u0434\u0435\u043b\u0430\u0435\u0442 \u044d\u0442\u043e \u0441 \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c\u044b\u043c\u0438 PoC.<\/p>\n

\u0418\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u0435\u0435 \u0441\u0430\u043c \u043f\u0440\u0435\u0446\u0435\u0434\u0435\u043d\u0442. Offensive-\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u043f\u0435\u0440\u0435\u0435\u0437\u0436\u0430\u044e\u0442 \u0438\u0437 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0445 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0432 general-purpose \u0430\u0433\u0435\u043d\u0442\u043e\u0432 \u043a\u0430\u043a \u0435\u0449\u0451 \u043e\u0434\u0438\u043d \u043d\u0430\u0432\u044b\u043a. \u042d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u0447\u0438\u0441\u043b\u043e \u0430\u043a\u0442\u043e\u0440\u043e\u0432, \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u044b\u0445 \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442, \u0431\u0443\u0434\u0435\u0442 \u0440\u0430\u0441\u0442\u0438 \u2013 \u0438 \u0434\u0430\u043b\u0435\u043a\u043e \u043d\u0435 \u0432\u0441\u0435 \u0438\u0437 \u043d\u0438\u0445 \u0434\u0440\u0443\u0436\u0435\u043b\u044e\u0431\u043d\u044b.<\/p>\n

\u0414\u043b\u044f \u043d\u0430\u0441, \u043a\u0430\u043a \u0434\u043b\u044f \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u0447\u0438\u043a\u0430 NGFW, \u0432\u044b\u0432\u043e\u0434 \u043f\u0440\u044f\u043c\u043e\u0439. \u041a\u043e\u0433\u0434\u0430 \u0447\u0430\u0441\u0442\u044c \u0442\u0440\u0430\u0444\u0438\u043a\u0430 \u2013 \u0438 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e, \u0438 \u0437\u0430\u0449\u0438\u0449\u0430\u044e\u0449\u0435\u0433\u043e \u2013 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u044e\u0442 \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0435 \u0430\u0433\u0435\u043d\u0442\u044b, \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430 \u0437\u0430\u0449\u0438\u0442\u044b \u043f\u0435\u0440\u0438\u043c\u0435\u0442\u0440\u0430 \u043e\u0431\u044f\u0437\u0430\u043d\u044b \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u0442\u044c agentic-\u0442\u0440\u0430\u0444\u0438\u043a: \u0435\u0433\u043e \u0442\u0435\u043c\u043f, \u043f\u0430\u0442\u0442\u0435\u0440\u043d\u044b \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u044b\u0445 sub-\u0430\u0433\u0435\u043d\u0442\u043e\u0432, \u0445\u0430\u0440\u0430\u043a\u0442\u0435\u0440\u043d\u044b\u0435 witness-payloads. \u042d\u0442\u043e \u0438 \u0435\u0441\u0442\u044c \u0442\u0430 \u0443\u0433\u0440\u043e\u0437\u0430 \u0437\u0430\u0432\u0442\u0440\u0430\u0448\u043d\u0435\u0433\u043e \u0434\u043d\u044f, \u043a \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0437\u0430\u0449\u0438\u0442\u0430 \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u0433\u043e\u0442\u043e\u0432\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f. \u041c\u044b \u0432 Ideco \u0438\u0441\u0445\u043e\u0434\u0438\u043c \u0438\u0437 \u0442\u043e\u0433\u043e, \u0447\u0442\u043e \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c \u043d\u0435 \u0434\u043e\u043b\u0436\u043d\u0430 \u0443\u0441\u043f\u0435\u0432\u0430\u0442\u044c \u0443\u0441\u0442\u0430\u0440\u0435\u0432\u0430\u0442\u044c<\/a> \u2013 \u0438 \u0430\u0433\u0435\u043d\u0442\u043d\u044b\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u0440\u043e\u0432\u043d\u043e \u043f\u0440\u043e \u044d\u0442\u043e.<\/p>\n<\/div>\n

\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 https:\/\/habr.com\/ru\/articles\/1042696\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

\u0420\u0430\u0437\u0431\u0438\u0440\u0430\u0435\u043c web-pentest skill \u0432 Hermes Agent \u2013 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 \u043d\u0430\u0432\u044b\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442 AI-\u0430\u0433\u0435\u043d\u0442\u0430 \u0432 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u0430 \u0441 \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u0435\u0439 \u00abNo Exploit, No Report\u00bb. \u041f\u0440\u043e\u0448\u043b\u0438 \u0432\u0435\u0441\u044c kill chain \u043d\u0430 \u0442\u0440\u0451\u0445 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0445, \u043f\u043e\u0442\u0440\u0430\u0442\u0438\u043b\u0438 23,5 \u043c\u043b\u043d \u0442\u043e\u043a\u0435\u043d\u043e\u0432 \u0438 \u0441\u043e\u0431\u0440\u0430\u043b\u0438 \u0432\u044b\u0432\u043e\u0434\u044b \u043e \u0442\u043e\u043c, \u0433\u0434\u0435 \u0443 \u0442\u0430\u043a\u043e\u0433\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0430 \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u0446\u0435\u043d\u043d\u043e\u0441\u0442\u044c, \u0430 \u0433\u0434\u0435 \u2013 \u043f\u0440\u0435\u0434\u0435\u043b.\u041c\u044b \u0432 Ideco \u0437\u0430\u043d\u0438\u043c\u0430\u0435\u043c\u0441\u044f \u0441\u0435\u0442\u0435\u0432\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c\u044e, \u0438 \u043d\u0430\u043c \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u043e, \u043a\u0430\u043a \u0430\u0433\u0435\u043d\u0442\u044b \u0430\u0442\u0430\u043a\u0443\u044e\u0442 \u0441\u0435\u0442\u0438, \u043d\u043e \u0438 \u0442\u043e, \u043a\u0430\u043a \u043e\u043d\u0438 \u043c\u0435\u043d\u044f\u044e\u0442 \u0441\u0430\u043c \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430. \u041f\u043e\u044d\u0442\u043e\u043c\u0443 \u043c\u044b \u0432\u0437\u044f\u043b\u0438 open-source \u0430\u0433\u0435\u043d\u0442\u0430 Hermes Agent, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0438\u043b\u0438 \u043a \u043d\u0435\u043c\u0443 web-pentest skill \u0438 \u043f\u0440\u043e\u0433\u043d\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0433\u043e \u0442\u0440\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u0412 \u0441\u0442\u0430\u0442\u044c\u0435 \u2013 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043d\u0430\u0432\u044b\u043a\u0430, \u0440\u0430\u0437\u0431\u043e\u0440 \u043f\u044f\u0442\u0438 \u0444\u0430\u0437, \u0437\u0430\u0449\u0438\u0442\u043d\u044b\u0435 \u043e\u0433\u0440\u0430\u043d\u0438\u0447\u0435\u043d\u0438\u044f (guardrails) \u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0430 \u043f\u043e\u043d\u044f\u0442\u044c \u0433\u0434\u0435 \u0443 \u0442\u0430\u043a\u043e\u0433\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0430 \u043f\u0440\u0435\u0434\u0435\u043b \u0438 \u043a\u0430\u043a\u0430\u044f \u0440\u0430\u0431\u043e\u0442\u0430 \u043e\u0441\u0442\u0430\u0435\u0442\u0441\u044f \u043b\u044e\u0434\u044f\u043c.AI-\u043f\u0435\u043d\u0442\u0435\u0441\u0442 2026: \u043e\u0442 \u043e\u0431\u0451\u0440\u0442\u043e\u043a \u043d\u0430\u0434 ChatGPT \u043a \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u043c \u0430\u0433\u0435\u043d\u0442\u0430\u043c\u0417\u0430 \u043f\u043e\u043b\u0442\u043e\u0440\u0430 \u0433\u043e\u0434\u0430 \u043f\u043e\u0441\u043b\u0435 \u0432\u044b\u0445\u043e\u0434\u0430 GPT-4 \u0440\u044b\u043d\u043e\u043a offensive-\u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u043d\u0430 \u0431\u0430\u0437\u0435 LLM \u0432\u044b\u0440\u043e\u0441 \u0441 \u0435\u0434\u0438\u043d\u0438\u0446 \u0434\u043e \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u0438\u0445 \u0434\u0435\u0441\u044f\u0442\u043a\u043e\u0432. \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0430\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u0430 Hadrian \u043a \u043c\u0430\u0440\u0442\u0443 2026 \u043d\u0430\u0441\u0447\u0438\u0442\u0430\u043b\u0430 70 open-source \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 AI-\u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430; \u0434\u043e \u0440\u0435\u043b\u0438\u0437\u0430 GPT-4 \u0432 \u0430\u043f\u0440\u0435\u043b\u0435 2023 \u0438\u0445 \u0431\u044b\u043b\u043e \u043c\u0435\u043d\u044c\u0448\u0435 \u043f\u044f\u0442\u0438. \u042d\u0442\u043e \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0435 end-to-end \u0430\u0433\u0435\u043d\u0442\u044b, \u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u0432, \u0444\u0440\u0435\u0439\u043c\u0432\u043e\u0440\u043a\u0438 \u0434\u043b\u044f LLM red-teaming \u0438 CTF-\u0430\u0433\u0435\u043d\u0442\u044b.\u041f\u043e\u0434\u0442\u044f\u043d\u0443\u043b\u0441\u044f \u0438 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0439 \u0441\u0435\u0433\u043c\u0435\u043d\u0442. xBow \u043f\u0435\u0440\u0432\u044b\u043c \u0438\u0437 \u043c\u0430\u0448\u0438\u043d \u0432\u043e\u0437\u0433\u043b\u0430\u0432\u0438\u043b \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u044b\u0439 leaderboard HackerOne \u0438 \u0437\u0430\u043a\u0440\u044b\u043b \u0431\u043e\u043b\u044c\u0448\u0435 200 zero-day \u0431\u0435\u0437 \u043b\u043e\u0436\u043d\u044b\u0445 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u0439; \u0432 \u043c\u0430\u0440\u0442\u0435 2026 \u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u043f\u043e\u0434\u043d\u044f\u043b\u0430 \u0440\u0430\u0443\u043d\u0434, \u043f\u0440\u0435\u0432\u044b\u0441\u0438\u0432\u0448\u0438\u0439 \u043e\u0446\u0435\u043d\u043a\u0443 \u0432 1 \u043c\u043b\u0440\u0434 \u0434\u043e\u043b\u043b\u0430\u0440\u043e\u0432. NodeZero \u043e\u0442 Horizon3.ai \u043f\u0435\u0440\u0432\u044b\u043c \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u0440\u043e\u0448\u0451\u043b \u0431\u0435\u043d\u0447\u043c\u0430\u0440\u043a Game of Active Directory \u0437\u0430 14 \u043c\u0438\u043d\u0443\u0442 \u2013 \u0437\u0430\u0434\u0430\u0447\u0443, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0441\u043f\u043e\u0442\u044b\u043a\u0430\u043b\u0438\u0441\u044c GPT-4o, Gemini 2.5 Pro \u0438 Claude Sonnet 3.7.\u0412\u0430\u0436\u043d\u044b\u0439 \u0441\u0434\u0432\u0438\u0433: \u044d\u0442\u0438 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u043b\u0438 \u0432\u044b\u0434\u0430\u0432\u0430\u0442\u044c \u0441\u0442\u0430\u0442\u0438\u0447\u043d\u044b\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b \u0441\u043a\u0430\u043d\u0435\u0440\u0430 \u0438 \u043d\u0430\u0447\u0430\u043b\u0438 \u0434\u0435\u0439\u0441\u0442\u0432\u043e\u0432\u0430\u0442\u044c \u0442\u0430\u043a, \u043a\u0430\u043a \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0436\u0438\u0432\u043e\u0439 \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440 \u2013 \u0441\u0442\u0440\u043e\u0438\u0442\u044c \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u0443, \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0442\u044c \u0435\u0451 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u043c \u0438 \u043e\u0442\u0431\u0440\u0430\u0441\u044b\u0432\u0430\u0442\u044c \u043d\u0435\u0434\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0435. \u0418\u043c\u0435\u043d\u043d\u043e \u0432 \u044d\u0442\u043e\u043c \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u0435\u043d Hermes Agent. \u042d\u0442\u043e \u043d\u0435 \u043e\u0447\u0435\u0440\u0435\u0434\u043d\u043e\u0439 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 security-\u0441\u043a\u0430\u043d\u0435\u0440. \u042d\u0442\u043e \u0430\u0433\u0435\u043d\u0442, \u0434\u043b\u044f \u043a\u043e\u0442\u043e\u0440\u043e\u0433\u043e \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u2013 \u043e\u0434\u043d\u0430 \u0438\u0437 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0430 \u0441\u043f\u043e\u0441\u043e\u0431\u043d\u043e\u0441\u0442\u0435\u0439, \u0443\u043f\u0430\u043a\u043e\u0432\u0430\u043d\u043d\u0430\u044f \u0432 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u043d\u0430\u0432\u044b\u043a.\u0427\u0435\u043c \u00abskill \u0432 general-purpose agent\u00bb \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 standalone-\u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430\u0411\u043e\u043b\u044c\u0448\u0438\u043d\u0441\u0442\u0432\u043e \u0438\u0437\u0432\u0435\u0441\u0442\u043d\u044b\u0445 AI-\u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440\u043e\u0432 \u2013 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u044b: Shannon, PentestGPT, NodeZero, xBow. \u041e\u043d\u0438 \u0437\u0430\u0442\u043e\u0447\u0435\u043d\u044b \u043f\u043e\u0434 \u043e\u0434\u043d\u0443 \u0437\u0430\u0434\u0430\u0447\u0443 \u0438 \u043f\u043e\u0434 \u043d\u0435\u0451 \u0436\u0435 \u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u044b.Hermes Agent \u0443\u0441\u0442\u0440\u043e\u0435\u043d \u0438\u043d\u0430\u0447\u0435. \u042d\u0442\u043e self-hosted, model-agnostic \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442 \u043e\u0442 Nous Research \u0441 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0435\u0439 MIT. \u0415\u0433\u043e \u043a\u043b\u044e\u0447\u0435\u0432\u0430\u044f \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u044c \u2013 \u0432\u0441\u0442\u0440\u043e\u0435\u043d\u043d\u044b\u0439 learning loop: \u0430\u0433\u0435\u043d\u0442 \u0441\u0430\u043c \u0441\u043e\u0437\u0434\u0430\u0451\u0442 \u043d\u0430\u0432\u044b\u043a\u0438 \u0438\u0437 \u043e\u043f\u044b\u0442\u0430, \u0434\u043e\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0438\u0445 \u0432 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0435 \u0440\u0430\u0431\u043e\u0442\u044b, \u0438\u0449\u0435\u0442 \u043f\u043e \u0441\u0432\u043e\u0438\u043c \u043f\u0440\u043e\u0448\u043b\u044b\u043c \u0434\u0438\u0430\u043b\u043e\u0433\u0430\u043c \u0438 \u043f\u043e\u0441\u0442\u0435\u043f\u0435\u043d\u043d\u043e \u0434\u043e\u0441\u0442\u0440\u0430\u0438\u0432\u0430\u0435\u0442 \u043c\u043e\u0434\u0435\u043b\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f. \u041d\u0430\u0432\u044b\u043a (skill) \u0437\u0434\u0435\u0441\u044c \u2013 \u044d\u0442\u043e markdown-\u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442 \u0441 YAML frontmatter, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0438\u0439 runbook \u043f\u043e\u0434 \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443.Web-pentest \u2013 \u043e\u0434\u0438\u043d \u0438\u0437 \u0442\u0430\u043a\u0438\u0445 \u043d\u0430\u0432\u044b\u043a\u043e\u0432. \u0418 \u044d\u0442\u043e \u043c\u0435\u043d\u044f\u0435\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0439 \u043f\u0430\u0442\u0442\u0435\u0440\u043d: \u0438\u0431-\u0437\u0430\u0434\u0430\u0447\u0443 \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0435\u0442 \u043d\u0435 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u041f\u041e, \u0430 \u0430\u0433\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0432\u0442\u0440\u0430 \u0442\u0435\u043c \u0436\u0435 \u0438\u043d\u0442\u0435\u0440\u0444\u0435\u0439\u0441\u043e\u043c \u0440\u0430\u0437\u0431\u0435\u0440\u0451\u0442 \u043b\u043e\u0433\u0438, \u043d\u0430\u043f\u0438\u0448\u0435\u0442 \u043f\u0438\u0441\u044c\u043c\u043e \u0438\u043b\u0438 \u043f\u043e\u0434\u043d\u0438\u043c\u0435\u0442 \u0432\u0435\u0431-\u0441\u0435\u0440\u0432\u0435\u0440. \u0414\u043b\u044f \u0438\u043d\u0434\u0443\u0441\u0442\u0440\u0438\u0438 \u044d\u0442\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0439 \u043f\u0440\u0435\u0446\u0435\u0434\u0435\u043d\u0442: \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432\u0430\u044f \u043a\u043e\u043d\u043a\u0443\u0440\u0435\u043d\u0446\u0438\u044f \u0443\u0441\u0438\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u0441\u043e \u0441\u0442\u043e\u0440\u043e\u043d\u044b \u043d\u0435 \u0438\u0431-\u0432\u0435\u043d\u0434\u043e\u0440\u043e\u0432, \u0447\u0435\u0433\u043e \u0440\u0430\u043d\u044c\u0448\u0435 \u043d\u0435 \u0431\u044b\u043b\u043e.\u0414\u043b\u044f \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430: Hermes Agent \u0432\u044b\u0448\u0435\u043b 25 \u0444\u0435\u0432\u0440\u0430\u043b\u044f 2026 \u0433\u043e\u0434\u0430 \u0432 \u0432\u0435\u0440\u0441\u0438\u0438 v0.1.0, \u0437\u0430 \u043f\u043e\u043b\u0442\u043e\u0440\u0430 \u043c\u0435\u0441\u044f\u0446\u0430 \u0434\u043e\u0448\u0451\u043b \u0434\u043e v0.8.0, \u0430 \u0432\u0435\u0440\u0441\u0438\u044f v0.5.0 \u0431\u044b\u043b\u0430 \u0446\u0435\u043b\u0438\u043a\u043e\u043c \u043f\u043e\u0441\u0432\u044f\u0449\u0435\u043d\u0430 security hardening \u2013 \u0431\u043e\u043b\u044c\u0448\u0435 200 PR: command approval, sandboxing, \u0437\u0430\u0449\u0438\u0442\u0430 credentials, \u043f\u0430\u0442\u0447\u0438 SSRF \u0438 path traversal. \u041d\u0430 \u0438\u044e\u043d\u044c 2026 \u043f\u0440\u043e\u0435\u043a\u0442\u0443 \u043e\u043a\u043e\u043b\u043e \u0442\u0440\u0451\u0445 \u043c\u0435\u0441\u044f\u0446\u0435\u0432. \u041f\u0440\u0435\u0434\u043b\u043e\u0436\u0435\u043d\u0438\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c web-pentest skill \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u043e \u0432 GitHub issue #400 \u043e\u0442 3 \u043c\u0430\u0440\u0442\u0430 2026.\u041f\u0440\u043e\u0431\u043b\u0435\u043c\u0430: \u043c\u0435\u0436\u0434\u0443 \u0441\u043a\u0430\u043d\u0435\u0440\u043e\u043c \u0438 \u0430\u0441\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u043e\u043c\u0423 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u043e\u0433\u043e \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430 \u0434\u0432\u0435 \u0431\u043e\u043b\u0435\u0432\u044b\u0435 \u0442\u043e\u0447\u043a\u0438, \u0438 AI \u043f\u043e\u043a\u0430 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0438\u0445 \u043f\u043e \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u043e\u0441\u0442\u0438.\u0421\u043a\u0430\u043d\u0435\u0440\u044b \u0434\u0430\u044e\u0442 \u0448\u0443\u043c. \u0410\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 \u0441\u043a\u0430\u043d\u0435\u0440\u044b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0445\u043e\u0440\u043e\u0448\u043e \u043d\u0430\u0445\u043e\u0434\u044f\u0442 \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u043e\u0432, \u043d\u043e \u043f\u043b\u043e\u0445\u043e \u043e\u0442\u043b\u0438\u0447\u0430\u044e\u0442 \u0440\u0435\u0430\u043b\u044c\u043d\u0443\u044e \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0443 \u043e\u0442 \u0442\u0435\u043e\u0440\u0435\u0442\u0438\u0447\u0435\u0441\u043a\u043e\u0439. \u041d\u0430 \u0432\u044b\u0445\u043e\u0434\u0435 \u2013 \u0441\u043f\u0438\u0441\u043e\u043a \u0438\u0437 \u0441\u043e\u0442\u0435\u043d \u00ab\u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0445\u00bb \u043d\u0430\u0445\u043e\u0434\u043e\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0438\u043d\u0436\u0435\u043d\u0435\u0440 \u0432\u0440\u0443\u0447\u043d\u0443\u044e \u043f\u0435\u0440\u0435\u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442. \u0411\u043e\u043b\u044c\u0448\u0430\u044f \u0447\u0430\u0441\u0442\u044c \u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043b\u043e\u0436\u043d\u044b\u043c\u0438 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f\u043c\u0438.\u0427\u0430\u0442-\u0430\u0441\u0441\u0438\u0441\u0442\u0435\u043d\u0442\u044b \u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u044e\u0442. ChatGPT, Claude \u0438 \u043f\u043e\u0434\u043e\u0431\u043d\u044b\u0435 \u0434\u0430\u044e\u0442 \u0433\u0440\u0430\u043c\u043e\u0442\u043d\u044b\u0435 \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438: \u00ab\u043f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043d\u0430 SQLi\u00bb, \u00ab\u0434\u043e\u0431\u0430\u0432\u044c\u0442\u0435 CSP\u00bb. \u041d\u043e \u043e\u043d\u0438 \u043d\u0435 \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u043d\u0435 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0434\u044f\u0442 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u043c\u043e\u0441\u0442\u044c. \u041c\u0435\u0436\u0434\u0443 \u0441\u043e\u0432\u0435\u0442\u043e\u043c \u0438 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e\u043c \u2013 \u0440\u0443\u0447\u043d\u0430\u044f \u0440\u0430\u0431\u043e\u0442\u0430. \u0421 \u043d\u0438\u043c\u0438 \u0434\u0430\u0436\u0435 \u0431\u043e\u043b\u0435\u0435 \u0440\u0443\u0442\u0438\u043d\u043d\u0430\u044f, \u0447\u0435\u043c \u0440\u0430\u043d\u044c\u0448\u0435.\u0420\u0430\u0437\u0440\u044b\u0432 \u043e\u0447\u0435\u0432\u0438\u0434\u0435\u043d: \u043d\u0443\u0436\u0435\u043d \u0430\u0433\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u0430\u043c \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u0442 \u0432\u0435\u0441\u044c kill chain \u2013 \u043e\u0442 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438 \u0434\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0451\u043d\u043d\u043e\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u2013 \u0438 \u0440\u0435\u043f\u043e\u0440\u0442\u0438\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0442\u043e, \u0447\u0442\u043e \u0434\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0435\u043c \u043f\u043e\u0432\u0435\u0434\u0435\u043d\u0438\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f. \u0418\u043c\u0435\u043d\u043d\u043e \u044d\u0442\u0443 \u0437\u0430\u0434\u0430\u0447\u0443 \u0440\u0435\u0448\u0430\u0435\u0442 \u0441\u0432\u044f\u0437\u043a\u0430 Hermes Agent + web-pentest skill, \u043e\u043f\u0438\u0440\u0430\u044f\u0441\u044c \u043d\u0430 \u0444\u0438\u043b\u043e\u0441\u043e\u0444\u0438\u044e Shannon.\u0427\u0442\u043e \u0442\u0430\u043a\u043e\u0435 Shannon \u0438 \u043f\u0440\u0438\u0447\u0451\u043c \u0442\u0443\u0442 \u00abNo Exploit, No Report\u00bbShannon \u2013 \u0430\u0432\u0442\u043e\u043d\u043e\u043c\u043d\u044b\u0439 white-box \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0435\u0440 \u043e\u0442 KeygraphHQ, \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 TypeScript \u043f\u043e\u0432\u0435\u0440\u0445 Claude Agent SDK. \u041e\u043d \u043d\u0430\u0431\u0440\u0430\u043b 96,15% \u043d\u0430 \u0431\u0435\u043d\u0447\u043c\u0430\u0440\u043a\u0435 XBOW \u2013 100 \u0438\u0437 104 \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u043e\u0432 \u0432 hint-free \u0440\u0435\u0436\u0438\u043c\u0435. \u0415\u0433\u043e \u0444\u0438\u043b\u043e\u0441\u043e\u0444\u0438\u044f \u2013 \u00abNo Exploit, No Report\u00bb: \u0435\u0441\u043b\u0438 \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u0443 \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u043f\u0440\u0435\u0432\u0440\u0430\u0442\u0438\u0442\u044c \u0432 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0439 PoC, \u043d\u0430\u0445\u043e\u0434\u043a\u0430 \u043e\u0442\u0431\u0440\u0430\u0441\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043a\u0430\u043a \u043b\u043e\u0436\u043d\u043e\u043f\u043e\u043b\u043e\u0436\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f. \u0412 \u043e\u0442\u0447\u0451\u0442 \u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043e\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0435, \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u0443\u0435\u043c\u044b\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438.Web-pentest skill \u0432 Hermes Agent \u0431\u0435\u0440\u0451\u0442 \u044d\u0442\u0443 \u043c\u0435\u0442\u043e\u0434\u043e\u043b\u043e\u0433\u0438\u044e \u0438 \u0430\u0434\u0430\u043f\u0442\u0438\u0440\u0443\u0435\u0442 \u043f\u043e\u0434 OWASP Testing Guide. \u0414\u0430\u043b\u044c\u0448\u0435 \u2013 \u043a\u0430\u043a \u0438\u043c\u0435\u043d\u043d\u043e.\u0410\u043d\u0430\u0442\u043e\u043c\u0438\u044f web-pentest skill: \u043f\u044f\u0442\u044c \u0444\u0430\u0437\u041d\u0430\u0432\u044b\u043a \u0440\u0435\u0430\u043b\u0438\u0437\u0443\u0435\u0442 \u043f\u0435\u043d\u0442\u0435\u0441\u0442 \u043a\u0430\u043a \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u043d\u0432\u0435\u0439\u0435\u0440 \u0438\u0437 \u043f\u044f\u0442\u0438 \u0444\u0430\u0437 (\u043d\u0443\u043b\u0435\u0432\u0430\u044f \u2013 \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f). \u041b\u043e\u0433\u0438\u043a\u0443 \u0443\u0434\u043e\u0431\u043d\u043e \u0434\u0435\u0440\u0436\u0430\u0442\u044c \u043f\u0435\u0440\u0435\u0434 \u0433\u043b\u0430\u0437\u0430\u043c\u0438:\u0421\u0445\u0435\u043c\u0430. \u041f\u044f\u0442\u044c \u0444\u0430\u0437 web-pentest skill: \u043e\u0442 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0434\u043e \u043e\u0442\u0447\u0451\u0442\u0430 \u0441 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430\u043c\u0438\u0420\u0430\u0437\u0431\u0435\u0440\u0451\u043c \u043f\u043e \u043f\u043e\u0440\u044f\u0434\u043a\u0443.Phase 0. Engagement Setup \u2013 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0439 \u0440\u0443\u0431\u0435\u0436\u0421\u0430\u043c\u0430\u044f \u0432\u0430\u0436\u043d\u0430\u044f \u0444\u0430\u0437\u0430 \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u043b\u0435\u0433\u0430\u043b\u044c\u043d\u043e\u0441\u0442\u0438. \u041f\u0435\u0440\u0435\u0434 \u043b\u044e\u0431\u044b\u043c \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435\u043c \u0430\u0433\u0435\u043d\u0442 \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0432\u0435\u0440\u0431\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f scope \u043f\u0440\u0438\u043c\u0435\u0440\u043d\u043e \u0442\u0430\u043a\u043e\u0433\u043e \u0432\u0438\u0434\u0430: \u00abConfirm: (a) target URL is [X], (b) you own or have written authorization to test it\u00bb. \u041b\u044e\u0431\u043e\u0439 \u043e\u0442\u0432\u0435\u0442, \u043a\u0440\u043e\u043c\u0435 \u044f\u0432\u043d\u043e\u0433\u043e authorized, \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 STOP. \u041f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 \u0444\u0438\u043a\u0441\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0432 \u0444\u0430\u0439\u043b\u0435 engagement\/authorization.md, scope \u2013 \u0432 scope.txt.\u0420\u0443\u0447\u043d\u043e\u0435 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u2013 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u044e\u0440\u0438\u0434\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0438 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0439 \u0440\u0443\u0431\u0435\u0436: \u0430\u0433\u0435\u043d\u0442 \u0444\u0438\u0437\u0438\u0447\u0435\u0441\u043a\u0438 \u043d\u0435 \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0438\u0442 \u043a \u0437\u0430\u0434\u0430\u0447\u0430\u043c \u0431\u0435\u0437 \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u044f. \u0412 \u043d\u0430\u0448\u0438\u0445 \u043f\u0440\u043e\u0433\u043e\u043d\u0430\u0445 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0445\u043e\u0434\u0438\u043b\u043e \u0447\u0435\u0440\u0435\u0437 \u0447\u0430\u0442 (\u043e\u0442\u0432\u0435\u0442 \u00abauthorized\u00bb), \u0438 \u0444\u0430\u043a\u0442 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043b\u0441\u044f \u0432 \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b\u0430\u0445.Phase 1. Live Recon \u2013 \u0441\u0442\u0440\u043e\u0433\u043e read-only\u0420\u0430\u0437\u0432\u0435\u0434\u043a\u0430 \u0431\u0435\u0437 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u044f \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u044f \u0446\u0435\u043b\u0438. \u0417\u0434\u0435\u0441\u044c \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u043f\u0440\u0438\u0432\u044b\u0447\u043d\u044b\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b:\u2022\u00a0 nmap \u0432 \u0440\u0435\u0436\u0438\u043c\u0435 -T3 \u2013 \u0437\u0430\u043c\u0435\u0442\u0438\u043c, \u043d\u0435 -T4\/-T5: \u043d\u0430\u0432\u044b\u043a \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u0434\u0435\u0440\u0436\u0438\u0442 \u00ab\u0432\u0435\u0436\u043b\u0438\u0432\u044b\u0439\u00bb \u0442\u0435\u043c\u043f, \u0447\u0442\u043e\u0431\u044b \u043d\u0435 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443 \u0438 \u043d\u0435 \u0432\u044b\u0433\u043b\u044f\u0434\u0435\u0442\u044c \u043a\u0430\u043a DoS (\u0430 \u0442\u0430\u043a\u0436\u0435 \u043d\u0435 \u043f\u043e\u043f\u0430\u0434\u0430\u0442\u044c \u0438\u0437-\u0437\u0430 \u044d\u0442\u043e\u0433\u043e \u043f\u043e\u0434 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u0431\u043b\u043e\u043a\u0438\u0440\u043e\u0432\u043a\u0438);\u2022\u00a0 whatweb \u0438 \u0430\u043d\u0430\u043b\u0438\u0437 HTTP-\u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432 \u2013 \u0444\u0438\u043d\u0433\u0435\u0440\u043f\u0440\u0438\u043d\u0442\u0438\u043d\u0433 \u0441\u0442\u0435\u043a\u0430;\u2022\u00a0 \u0431\u0440\u0430\u0443\u0437\u0435\u0440\u043d\u044b\u0439 \u043a\u0440\u0430\u0443\u043b\u0438\u043d\u0433, \u0440\u0430\u0437\u0431\u043e\u0440 robots.txt \u0438 sitemap.\u0412 \u043e\u0434\u043d\u043e\u043c \u0438\u0437 \u043d\u0430\u0448\u0438\u0445 \u043a\u0435\u0439\u0441\u043e\u0432 \u0443\u0436\u0435 \u043d\u0430 \u044d\u0442\u043e\u0439 \u0444\u0430\u0437\u0435 \u0430\u0433\u0435\u043d\u0442 \u043f\u043e \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c \u0438 cookie \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043b \u0432\u0435\u0441\u044c \u0441\u0442\u0435\u043a: nginx \u043a\u0430\u043a reverse proxy, React SPA \u043d\u0430 FastAPI-\u0431\u044d\u043a\u0435\u043d\u0434\u0435, \u0440\u0430\u0437\u0432\u0451\u0440\u043d\u0443\u0442\u044b\u0439 \u0432 \u043e\u0431\u043b\u0430\u043a\u0435 \u043d\u0430 Kubernetes \u0441 Ingress-NGINX \u2013 \u0438 \u0442\u0443\u0442 \u0436\u0435 \u043f\u043e robots.txt \u0438 DNS \u0432\u044b\u0442\u0430\u0449\u0438\u043b \u0441\u043f\u0438\u0441\u043e\u043a \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u043f\u043e\u0440\u0442\u0430\u043b \u043d\u0430 Bitrix CMS \u043f\u043e\u0434 Apache. \u0417\u0430 \u0442\u0430\u043a\u0443\u044e \u00ab\u043d\u0438\u0442\u043e\u0447\u043a\u0443\u00bb \u0447\u0430\u0441\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0432\u044b\u0442\u044f\u043d\u0443\u0442\u044c \u0445\u043e\u0440\u043e\u0448\u0438\u0439 \u00ab\u043a\u043b\u0443\u0431\u043e\u043a\u00bb \u0443\u044f\u0437\u0432\u0438\u043c\u044b\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432 \u0438 shadow-IT. \u041e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0432 \u044d\u043f\u043e\u0445\u0443 \u0432\u0430\u0439\u0431\u043a\u043e\u0434\u0438\u043d\u0433\u0430.Phase 2. Vulnerability Analysis \u2013 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u044b\u0435 sub-\u0430\u0433\u0435\u043d\u0442\u044b\u0421\u0430\u043c\u0430\u044f \u043d\u0435\u0442\u0440\u0438\u0432\u0438\u0430\u043b\u044c\u043d\u0430\u044f \u0441 \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u043d\u043e\u0439 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0444\u0430\u0437\u0430. \u0412\u043c\u0435\u0441\u0442\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u0435\u0440\u0435\u0431\u043e\u0440\u0430 \u043d\u0430\u0432\u044b\u043a \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 delegate_task \u0438 \u0440\u0430\u0437\u0434\u0430\u0451\u0442 \u043a\u043b\u0430\u0441\u0441\u044b \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u043c sub-\u0430\u0433\u0435\u043d\u0442\u0430\u043c, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0442 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e: \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u0430\u0433\u0435\u043d\u0442 \u043d\u0430 SQLi, \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0439 \u043d\u0430 XSS, \u043d\u0430 SSRF, \u043d\u0430 AuthZ, \u043d\u0430 IDOR. \u042d\u0442\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0441\u043e\u043a\u0440\u0430\u0449\u0430\u0435\u0442 \u0432\u0440\u0435\u043c\u044f \u043f\u0435\u043d\u0442\u0435\u0441\u0442\u0430 (\u0432 \u0441\u0440\u0435\u0434\u043d\u0435\u043c \u0432 \u043d\u0430\u0448\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u043e\u043d \u0438 \u0442\u0430\u043a \u0437\u0430\u043d\u044f\u043b 1,5 \u0447\u0430\u0441\u0430 \u043d\u0430 \u043a\u0430\u0436\u0434\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441).\u042d\u0442\u043e \u0442\u0430 \u0436\u0435 \u0438\u0434\u0435\u044f, \u0447\u0442\u043e \u0438 \u0443 \u0442\u043e\u043f\u043e\u0432\u044b\u0445 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0445 \u043f\u043b\u0430\u0442\u0444\u043e\u0440\u043c. \u0423 xBow \u0430\u0440\u0445\u0438\u0442\u0435\u043a\u0442\u0443\u0440\u0430 \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d\u0430 \u043d\u0430 \u0442\u044b\u0441\u044f\u0447\u0430\u0445 \u043a\u043e\u0440\u043e\u0442\u043a\u043e\u0436\u0438\u0432\u0443\u0449\u0438\u0445 \u043f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u044c\u043d\u044b\u0445 \u0430\u0433\u0435\u043d\u0442\u043e\u0432, \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0440\u0435\u0448\u0430\u0435\u0442 \u0443\u0437\u043a\u0443\u044e \u0437\u0430\u0434\u0430\u0447\u0443 \u0441\u043e \u0441\u0432\u0435\u0436\u0438\u043c \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u043e\u043c, \u0430 \u043a\u043e\u043e\u0440\u0434\u0438\u043d\u0438\u0440\u0443\u0435\u0442 \u0438\u0445 \u0433\u043b\u043e\u0431\u0430\u043b\u044c\u043d\u044b\u0439 \u043c\u0435\u043d\u0435\u0434\u0436\u0435\u0440 \u043f\u043e\u0432\u0435\u0440\u0445\u043d\u043e\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0438. Hermes \u0434\u0435\u043b\u0430\u0435\u0442 \u0442\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0435 \u0432 \u043c\u0438\u043d\u0438\u0430\u0442\u044e\u0440\u0435, \u0441\u0440\u0435\u0434\u0441\u0442\u0432\u0430\u043c\u0438 \u0441\u0432\u043e\u0435\u0433\u043e \u0441\u043a\u0438\u043b\u043b\u0430. \u041f\u0430\u0440\u0430\u043b\u043b\u0435\u043b\u0438\u0437\u043c \u0437\u0434\u0435\u0441\u044c \u2013\u043e\u043f\u0442\u0438\u043c\u0438\u0437\u0430\u0446\u0438\u044f \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0434\u0438 \u0441\u043a\u043e\u0440\u043e\u0441\u0442\u0438, \u0430 \u0441\u043f\u043e\u0441\u043e\u0431 \u0434\u0430\u0442\u044c \u043a\u0430\u0436\u0434\u043e\u043c\u0443 \u043a\u043b\u0430\u0441\u0441\u0443 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0447\u0438\u0441\u0442\u044b\u0439 \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442 \u0438 \u043d\u0435 \u00ab\u0440\u0430\u0437\u043c\u0430\u0437\u044b\u0432\u0430\u0442\u044c\u00bb \u0432\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043c\u043e\u0434\u0435\u043b\u0438.Phase 3. Exploitation \u2013 \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e \u0432\u043c\u0435\u0441\u0442\u043e \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f\u0417\u0434\u0435\u0441\u044c \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u00abNo Exploit, No Report\u00bb. \u0410\u0433\u0435\u043d\u0442 \u043d\u0435 \u0440\u0435\u043f\u043e\u0440\u0442\u0438\u0442 \u0433\u0438\u043f\u043e\u0442\u0435\u0437\u0443 \u2013 \u043e\u043d \u0435\u0451 \u0434\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442. \u041a\u043b\u044e\u0447\u0435\u0432\u044b\u0435 \u043f\u0440\u0438\u0451\u043c\u044b:\u2022\u00a0 Witness payloads \u2013 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u044b\u0435 \u043c\u0430\u0440\u043a\u0435\u0440\u044b \u0432\u043c\u0435\u0441\u0442\u043e \u0440\u0430\u0437\u0440\u0443\u0448\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445. \u0414\u043b\u044f XSS, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, <svg\/onload=console.log(«HERMES-PENTEST-XSS»)> \u0432\u043c\u0435\u0441\u0442\u043e alert(1), \u0447\u0442\u043e\u0431\u044b \u043d\u0435 \u043c\u0435\u0448\u0430\u0442\u044c \u0434\u0440\u0443\u0433\u0438\u043c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f\u043c \u0432 \u043e\u0431\u0449\u0438\u0445 \u0441\u0440\u0435\u0434\u0430\u0445;\u2022\u00a0 \u042d\u0441\u043a\u0430\u043b\u0430\u0446\u0438\u044f L1\u2192L4 \u2013 \u043e\u0442 \u00ab\u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430\u00bb (L1) \u043a \u00ab\u0447\u0430\u0441\u0442\u0438\u0447\u043d\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u043e\u00bb (L2), \u00ab\u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0435\u043d\u043e\u00bb (L3) \u0438 \u00ab\u043a\u0440\u0438\u0442\u0438\u0447\u043d\u043e\u00bb (L4). \u0412 \u043e\u0442\u0447\u0451\u0442 \u0438\u0434\u0443\u0442 \u0442\u043e\u043b\u044c\u043a\u043e L3 \u0438 L4;\u2022\u00a0 Sleep probe \u0438 callback host \u2013 \u0434\u043b\u044f \u0441\u043b\u0435\u043f\u044b\u0445 \u043a\u043b\u0430\u0441\u0441\u043e\u0432 \u0432\u0440\u043e\u0434\u0435 time-based SQLi \u0438 SSRF;\u2022\u00a0 \u041e\u0446\u0435\u043d\u043a\u0430 \u043f\u043e CVSS 3.1 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0439 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0451\u043d\u043d\u043e\u0439 \u043d\u0430\u0445\u043e\u0434\u043a\u0438.\u041f\u0435\u0440\u0435\u0434 \u0442\u0435\u043c \u043a\u0430\u043a \u0437\u0430\u043f\u0438\u0441\u0430\u0442\u044c \u043a\u0430\u043d\u0434\u0438\u0434\u0430\u0442\u0430 \u0432 false_positive, \u0430\u0433\u0435\u043d\u0442 \u043e\u0431\u044f\u0437\u0430\u043d \u043f\u0440\u043e\u0439\u0442\u0438 \u0432\u0441\u0435 \u0442\u0435\u0445\u043d\u0438\u043a\u0438 \u0438\u0437 references\/bypass-techniques.md \u2013 \u0442\u0430\u043a \u043d\u0430\u0437\u044b\u0432\u0430\u0435\u043c\u044b\u0439 bypass exhaustion. \u042d\u0442\u043e \u0437\u0430\u0449\u0438\u0442\u0430 \u043e\u0442 \u043b\u0435\u043d\u0438\u0432\u043e\u0433\u043e \u0432\u044b\u0432\u043e\u0434\u0430 \u00ab\u043d\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u043e\u00bb \u043f\u043e\u0441\u043b\u0435 \u043e\u0434\u043d\u043e\u0439 \u043f\u043e\u043f\u044b\u0442\u043a\u0438.\u041d\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0435 \u0434\u0438\u0441\u0446\u0438\u043f\u043b\u0438\u043d\u0430 \u00ab\u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430\u00bb \u043f\u0440\u043e\u044f\u0432\u0438\u043b\u0430\u0441\u044c \u043d\u0430\u0433\u043b\u044f\u0434\u043d\u043e. \u0412 \u043a\u0435\u0439\u0441\u0435 \u0441 \u043f\u043e\u0440\u0442\u0430\u043b\u043e\u043c \u043d\u0430 Bitrix \u0430\u0433\u0435\u043d\u0442 \u043d\u0430\u0448\u0451\u043b reflected-\u0432\u0445\u043e\u0434 \u0434\u043b\u044f XSS \u2013 \u043f\u043e\u0438\u0441\u043a \u043e\u0442\u0440\u0430\u0436\u0430\u043b \u0432\u0432\u043e\u0434, \u2013 \u043d\u043e \u0447\u0435\u0441\u0442\u043d\u043e \u043a\u043b\u0430\u0441\u0441\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043b \u0435\u0433\u043e \u043a\u0430\u043a L2 partial: HTML-\u0441\u0443\u0449\u043d\u043e\u0441\u0442\u0438 \u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043b\u0438\u0441\u044c, \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0435\u043c\u043e\u0433\u043e \u043a\u043e\u043d\u0442\u0435\u043a\u0441\u0442\u0430 \u043d\u0435 \u043d\u0430\u0448\u043b\u043e\u0441\u044c. \u0412 \u043e\u0442\u0447\u0451\u0442 \u043e\u043d \u043d\u0435 \u043f\u043e\u043f\u0430\u043b. \u0417\u0430\u0442\u043e \u0442\u0443\u0434\u0430 \u043f\u043e\u043f\u0430\u043b\u0430 \u043d\u0430\u0445\u043e\u0434\u043a\u0430, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u0430\u0433\u0435\u043d\u0442 \u0434\u043e\u0432\u0451\u043b \u0434\u043e \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430: \u044d\u043d\u0434\u043f\u043e\u0438\u043d\u0442 \u0432\u0445\u043e\u0434\u0430 \u0432 \u0430\u0434\u043c\u0438\u043d-\u043f\u0430\u043d\u0435\u043b\u044c \u043f\u0440\u0438 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u0435 \u043e\u0442\u0434\u0430\u0432\u0430\u043b \u043f\u043e\u043b\u043d\u044b\u0439 PHP stack trace \u0441 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u043c\u0438 \u043f\u0443\u0442\u044f\u043c\u0438, \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0435\u0439 \u0411\u0414 \u0438 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u043e\u0439 namespace \u2013 \u044d\u0442\u043e \u0443\u0436\u0435 \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u043e\u0434\u0438\u043c\u044b\u0439 \u0444\u0430\u043a\u0442, \u0430 \u043d\u0435 \u0434\u043e\u0433\u0430\u0434\u043a\u0430.Phase 4. Reporting \u2013 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043e\u0442\u0447\u0451\u0442\u0424\u0438\u043d\u0430\u043b \u2013 \u043e\u0442\u0447\u0451\u0442 \u043f\u043e \u0448\u0430\u0431\u043b\u043e\u043d\u0443 templates\/pentest-report.md: Executive Summary, scope, \u043f\u0435\u0440\u0435\u0447\u0435\u043d\u044c \u043d\u0430\u0445\u043e\u0434\u043e\u043a \u0441 severity \u0438 CVSS, \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u0430 (request\/response, \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0432\u043e\u0441\u043f\u0440\u043e\u0438\u0437\u0432\u0435\u0434\u0435\u043d\u0438\u044f), \u0440\u0435\u043a\u043e\u043c\u0435\u043d\u0434\u0430\u0446\u0438\u0438 \u0438 \u0448\u0430\u0433\u0438 \u0432\u0435\u0440\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043f\u043e\u0441\u043b\u0435 \u0444\u0438\u043a\u0441\u0430. \u0421\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430 \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0435\u0442 \u0441 \u0442\u0435\u043c, \u0447\u0442\u043e \u0432\u044b\u0434\u0430\u044e\u0442 \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0435 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b, \u0438 \u0441\u0440\u0430\u0437\u0443 \u043b\u043e\u0436\u0438\u0442\u0441\u044f \u0432 \u0440\u0430\u0431\u043e\u0447\u0438\u0439 \u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u0437\u0430\u0449\u0438\u0442\u044b (\u0438 \u0435\u0435 AI-\u0430\u0433\u0435\u043d\u0442\u043e\u0432).\u041f\u0440\u0430\u043a\u0442\u0438\u043a\u0430: \u0442\u0440\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f, 23,5 \u043c\u043b\u043d \u0442\u043e\u043a\u0435\u043d\u043e\u0432\u0427\u0442\u043e\u0431\u044b \u043f\u043e\u043d\u044f\u0442\u044c \u043d\u0430\u0432\u044b\u043a \u043d\u0435 \u043f\u043e \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438, \u0430 \u043f\u043e \u0434\u0435\u043b\u0443, \u043c\u044b \u043f\u0440\u043e\u0433\u043d\u0430\u043b\u0438 \u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0433\u043e \u0442\u0440\u0438 \u0440\u0435\u0430\u043b\u044c\u043d\u044b\u0445 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0440\u0430\u0437\u043d\u043e\u0439 \u043f\u0440\u0438\u0440\u043e\u0434\u044b:1. React SPA \u043d\u0430 FastAPI \u0432 \u043e\u0431\u043b\u0430\u043a\u0435 \u043d\u0430 Kubernetes \u2013 \u0441 \u043d\u0430\u0431\u043e\u0440\u043e\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043f\u043e\u0440\u0442\u0430\u043b \u043d\u0430 Bitrix CMS \u0438 \u0441\u0430\u0439\u0442 \u0434\u043e\u043a\u0443\u043c\u0435\u043d\u0442\u0430\u0446\u0438\u0438;2. Webmail-\u0441\u0435\u0440\u0432\u0438\u0441 \u043d\u0430 Roundcube (PHP 8.4) \u0437\u0430 nginx, \u0441 \u043f\u043e\u0447\u0442\u043e\u0432\u044b\u043c \u0441\u0442\u0435\u043a\u043e\u043c Postfix\/Dovecot;3. \u041f\u0443\u0431\u043b\u0438\u0447\u043d\u044b\u0439 DNS-\u0441\u0435\u0440\u0432\u0438\u0441 \u2013 \u0441\u0432\u044f\u0437\u043a\u0430 Next.js-\u0441\u0430\u0439\u0442\u0430 \u0438 \u043b\u0438\u0447\u043d\u043e\u0433\u043e \u043a\u0430\u0431\u0438\u043d\u0435\u0442\u0430 \u043d\u0430 Django REST + jQuery.\u0412\u0441\u0435 \u0442\u0440\u0438 \u0442\u0435\u0441\u0442\u0430 \u0441\u0443\u043c\u043c\u0430\u0440\u043d\u043e \u043e\u0431\u043e\u0448\u043b\u0438\u0441\u044c \u0432 23,5 \u043c\u043b\u043d \u0442\u043e\u043a\u0435\u043d\u043e\u0432 (\u0438 347 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432) \u0447\u0435\u0440\u0435\u0437 \u043c\u043e\u0434\u0435\u043b\u044c Owl Alpha \u043d\u0430 OpenRouter (\u0432 \u043d\u0430\u0441\u0442\u043e\u044f\u0449\u0435\u0435 \u0432\u0440\u0435\u043c\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u0430 \u0431\u0435\u0441\u043f\u043b\u0430\u0442\u043d\u043e). \u0426\u0438\u0444\u0440\u0430 \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u0430:…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-482093","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/482093","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=482093"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/482093\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=482093"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=482093"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=482093"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}