This media is not supported in your browser
VIEW IN TELEGRAM
Чет хрюкнул с новостей про Пашу Дурова.
Бедняга уверовал в европку, швабодку, демократию и святого западного барена.
Что думают по этому поводу уважаемые либерахи? Произошла чудовищная ошибка? Это другое?
Будет ли применен метод терморектального криптоанализа для закрытых ключей от телеги? Или он пополнит собой какой-нибудь обменный фонд?
Столько вопросов и так мало ответов, хех.
Ждём надпись маркером на ФАБ-3000 с УМПК "ЗА ДУРОВА!"
#lol
Бедняга уверовал в европку, швабодку, демократию и святого западного барена.
Что думают по этому поводу уважаемые либерахи? Произошла чудовищная ошибка? Это другое?
Будет ли применен метод терморектального криптоанализа для закрытых ключей от телеги? Или он пополнит собой какой-нибудь обменный фонд?
Столько вопросов и так мало ответов, хех.
Ждём надпись маркером на ФАБ-3000 с УМПК "ЗА ДУРОВА!"
#lol
Палю годноту :3
На случай важных переговоров в интернетах.
https://disk.yandex.ru/d/MbD4ug_MD_iL5g
https://disk.yandex.ru/d/UZaP0htNy-tKLQ
Два отборнейших свинопака, созданных заботливыми руками анончиков из /wm
Из побочек - можно начать говорить и понимать на хохлятском, лоооол.
#lol
На случай важных переговоров в интернетах.
https://disk.yandex.ru/d/MbD4ug_MD_iL5g
https://disk.yandex.ru/d/UZaP0htNy-tKLQ
Два отборнейших свинопака, созданных заботливыми руками анончиков из /wm
Из побочек - можно начать говорить и понимать на хохлятском, лоооол.
#lol
Не то, что я ожидал, если честно, но с другой стороны сначала вообще закрыли как "Это не бага! Гоните его, насмехайтесь над ним!"
Зато сумма топовая, я такую еще от Яндекса не получал. У кого-то есть такое округление? А, а? :3
Данный репорт заставил меня вернуться к мысли о том, как же все-таки по разному компании воспринимают ту или иную багу и соответствующий доказанный импакт. Возьмем очевидный IDOR.
Кто-то считает непредсказуемые uid мерой защиты, посылают, и потом тихонько фиксят(как же без этого). Кто-то платит по фулпрайсу, кто-то снижает выплату в связи с трудной эксплуатацией. И так бывает по всем багам по классификациям OWASP.
Развивая мысль, можно прийти к выводу что и cvss score это полнейшая хуета. Все равно, заплатить тебе или нет, решает команда аналитиков/конкретный человек, исходя из каких-то своих установленных, внутренних систем оценки ущерба.
Но в любом случае, баг есть баг, и задача как багхантера заключается в том, чтобы продать его, приводя доводы в вежливой манере. Я выцарапал свои кровные 13,337 рублей, а там хоть трава не расти.
Алсо, скажи вслух "Cпасибо, Василий Кузнецов!" и ты получишь +10 инты и +10 удачи багхантера до конца недели.
https://yandex.ru/bugbounty/index
#bb
Зато сумма топовая, я такую еще от Яндекса не получал. У кого-то есть такое округление? А, а? :3
Данный репорт заставил меня вернуться к мысли о том, как же все-таки по разному компании воспринимают ту или иную багу и соответствующий доказанный импакт. Возьмем очевидный IDOR.
Кто-то считает непредсказуемые uid мерой защиты, посылают, и потом тихонько фиксят(как же без этого). Кто-то платит по фулпрайсу, кто-то снижает выплату в связи с трудной эксплуатацией. И так бывает по всем багам по классификациям OWASP.
Развивая мысль, можно прийти к выводу что и cvss score это полнейшая хуета. Все равно, заплатить тебе или нет, решает команда аналитиков/конкретный человек, исходя из каких-то своих установленных, внутренних систем оценки ущерба.
Но в любом случае, баг есть баг, и задача как багхантера заключается в том, чтобы продать его, приводя доводы в вежливой манере. Я выцарапал свои кровные 13,337 рублей, а там хоть трава не расти.
Алсо, скажи вслух "Cпасибо, Василий Кузнецов!" и ты получишь +10 инты и +10 удачи багхантера до конца недели.
https://yandex.ru/bugbounty/index
#bb
Media is too big
VIEW IN TELEGRAM
Эй, дорогуши, чего вы ждете, завтрак в постель?
Каждый день в багбаунти все равно что день в раю! Каждая приватка - парад! Каждое баунти - состояние!
#bb
Каждый день в багбаунти все равно что день в раю! Каждая приватка - парад! Каждое баунти - состояние!
#bb
Чет подотстал от актуальных новостей по СВО.
Че там, хохлы, норм вас ебут или слабовато?
Данные в ТЦК обновили?
Скоро москалей переможете?
#кжхдпп
Че там, хохлы, норм вас ебут или слабовато?
Данные в ТЦК обновили?
Скоро москалей переможете?
#кжхдпп
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Опубликовали видеоролик о том, как прошла ежегодная независимая премия Pentest award 2024!
Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.
Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.
До встречи в 2025 году 👋
Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.
📺 Полное видео
🔗 Pentest award (архив)
❤ @justsecurity
Радостные лица, толпа заряженных специалистов, и, конечно, счастливые победители с наградами в руках — настоящий праздник этичного хакинга.
Здорово было встретится в офлайне со старыми друзьями и коллегами, познакомиться с новыми людьми, обменяться знаниями и идеями, поговорить о важном, профессиональном, наболевшем.
До встречи в 2025 году 👋
Отдельная благодарность партнерам проекта: BI.ZONE Bug Bounty, VK Bug Bounty, OFFZONE и CyberED.
Please open Telegram to view this post
VIEW IN TELEGRAM
Иногда читаешь какеров - они на перебой кричат: "Ололо есть захват контроллера домена!" "Десериализация! RCE!"
"Мы оказались за периметром!"
Лучше бы в женщине оказались :3
Ну, тем временем я расширил свою коллекцию трофеев.
Бизонов только нет.
Последняя футболка и в принципе жизнь прожита не зря.
#bb
"Мы оказались за периметром!"
Лучше бы в женщине оказались :3
Ну, тем временем я расширил свою коллекцию трофеев.
Бизонов только нет.
Последняя футболка и в принципе жизнь прожита не зря.
#bb
Поступил такой вот вопрос.
Я в последнее время набегаю только накорованы ру программы.
Если перед вами стоит вопрос выбора банка для входящих swift платежей, то мой последний совет про Райффазен не актуален в связи с конской комиссией, что они ввели. 50%. Получаете 10k, отдаете 5k. Звучит как неплохой бизнес-план.
Мне тоже иногда хочется тоже похантить по забугорным программам, чтобы без проблем с оплатой и всем таким. На данном этапе выбор невелик.
Могу посоветовать immunefi.com
Это площадка агрегатор для web3, но и чистый вебчик тоже есть. Поиск -> Фильтр -> Веб
https://immunefi.com/bug-bounty/?filter=programType%3DWebsites%2Band%2BApplications
Сам я не хантил там, но если у кого-то есть опыт, было бы здорово его почитать.
Ну и из плюсов, не во всех программах есть требование KYC(know your customer).
То есть в теории от вас ничего не требуется, только репорт и адрес криптокошелька.
#bb
Я в последнее время набегаю только на
Если перед вами стоит вопрос выбора банка для входящих swift платежей, то мой последний совет про Райффазен не актуален в связи с конской комиссией, что они ввели. 50%. Получаете 10k, отдаете 5k. Звучит как неплохой бизнес-план.
Мне тоже иногда хочется тоже похантить по забугорным программам, чтобы без проблем с оплатой и всем таким. На данном этапе выбор невелик.
Могу посоветовать immunefi.com
Это площадка агрегатор для web3, но и чистый вебчик тоже есть. Поиск -> Фильтр -> Веб
https://immunefi.com/bug-bounty/?filter=programType%3DWebsites%2Band%2BApplications
Сам я не хантил там, но если у кого-то есть опыт, было бы здорово его почитать.
Ну и из плюсов, не во всех программах есть требование KYC(know your customer).
То есть в теории от вас ничего не требуется, только репорт и адрес криптокошелька.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Кажется, я влюбился!
Тут какой-то залетный задал вопрос https://www.tgoop.com/ScriptKiddieNotesChat/3460
Вообще, вопрос интересный. И я начал вспоминать, что же я знаю про "secondary context path traversal".
Как я всегда это понимал - это когда ты не напрямую проводишь атаку типа path traversal на веб-приложение, а когда при этом имеет место быть прокладка в виде прокси/шлюза. И чтобы визуально добиться и достать результат надо попотеть, ибо не так просто подобрать правильный path routing.
Натыкался на нечто подобное, когда в качестве прокси выступал nginx. Но чет не осилил.
Тема не то, чтобы новая, но вполне имеет место быть. Просто автоматикой не детектится, лол)
Материалы по теме:
https://github.com/GrrrDog/weird_proxies
https://speakerdeck.com/greendog/reverse-proxies-and-inconsistency
https://docs.google.com/presentation/d/1N9Ygrpg0Z-1GFDhLMiG3jJV6B_yGqBk8tuRWO1ZicV8
#bb
Вообще, вопрос интересный. И я начал вспоминать, что же я знаю про "secondary context path traversal".
Как я всегда это понимал - это когда ты не напрямую проводишь атаку типа path traversal на веб-приложение, а когда при этом имеет место быть прокладка в виде прокси/шлюза. И чтобы визуально добиться и достать результат надо попотеть, ибо не так просто подобрать правильный path routing.
Натыкался на нечто подобное, когда в качестве прокси выступал nginx. Но чет не осилил.
Тема не то, чтобы новая, но вполне имеет место быть. Просто автоматикой не детектится, лол)
Материалы по теме:
https://github.com/GrrrDog/weird_proxies
https://speakerdeck.com/greendog/reverse-proxies-and-inconsistency
https://docs.google.com/presentation/d/1N9Ygrpg0Z-1GFDhLMiG3jJV6B_yGqBk8tuRWO1ZicV8
#bb
Мне сегодня 40 лет.
Дружаня из Москвы приехал. С которым мы в одной казарме спали)
Вспоминаем теплые ламповые времена.
Разбираем диски c Windows XP. И Кевина Митника, лол)
Ух, нажрусь) А там хоть трава не расти)
Добра :3
#bb
Дружаня из Москвы приехал. С которым мы в одной казарме спали)
Вспоминаем теплые ламповые времена.
Разбираем диски c Windows XP. И Кевина Митника, лол)
Ух, нажрусь) А там хоть трава не расти)
Добра :3
#bb