Forwarded from Ильдар пишет (Ildar Kh.)
По счастливому стечению обстоятельств замкнули (если не будет изменений) призовой топ-5 ивента. Хотелось бы отметить, что соперники попались гораздо опытнее (с больших стендоффов)
Но все равно /battle/23 вышел лучше, чем /battle/25. Спасибо командам и организаторам
GG
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Forwarded from НеЛукацкий 21+
Media is too big
VIEW IN TELEGRAM
Гойда!!!!
Юные этичные хакеры запустили свой CTF и назвали его «Гойда CTF». Охлобыстин уже выразил почтение.
«Я чрезвычайно польщен, что вы назвали свой конкурс Гойда CTF».
Юные этичные хакеры запустили свой CTF и назвали его «Гойда CTF». Охлобыстин уже выразил почтение.
«Я чрезвычайно польщен, что вы назвали свой конкурс Гойда CTF».
😁3
НеЛукацкий 21+
Гойда!!!! Юные этичные хакеры запустили свой CTF и назвали его «Гойда CTF». Охлобыстин уже выразил почтение. «Я чрезвычайно польщен, что вы назвали свой конкурс Гойда CTF».
Ждём всех на гойда CTF. От меня будут веб таски и возможно осинт
🔥8🥴1
Forwarded from Anatoly
Вас заразили вирусом информативов. Если не скинете это сообщение трем друзьям, информативы вас будут преследовать весь следующий год
🔥2🥰1
Наконец-то выложили записи докладов с UNDERCONF.
Можете послушать как админ активно задаёт вопросы на докладе про IOT😁
https://plvideo.ru/channel/PzGSX_aQlhCB
Можете послушать как админ активно задаёт вопросы на докладе про IOT
https://plvideo.ru/channel/PzGSX_aQlhCB
Please open Telegram to view this post
VIEW IN TELEGRAM
Если вы читаете каналы ИБ специалистов, то знаете что сейчас активно орудуют скамеры, создавая фейк аккаунты ребят из ИБ сообщества.
Админ канала не является супер популярной личностью, но тем не менее на всякий случай скажу: мой единственный ник в телеграме - @GorgonzolaCTF
С других аккаунтов я никогда не пишу, если кто-то представляется мной, то напишите/позвоните на основной аккаунт
Stay returned
Админ канала не является супер популярной личностью, но тем не менее на всякий случай скажу: мой единственный ник в телеграме - @GorgonzolaCTF
С других аккаунтов я никогда не пишу, если кто-то представляется мной, то напишите/позвоните на основной аккаунт
Stay returned
👍5
Forwarded from Ильдар пишет (Ildar Kh.)
Это один из тех постов, который может показаться рекламным, но на самом деле это моя душевная рекомендация
Есть у нас в РФ очень крутой специалист, директор департамента противодействия киберугрозам в Информзащите, крутой физушник и просто очень приятный молодой человек — и зовут его Егор Зайцев
Егор является одним из тех немногих, кто делится своей широчайшей экспертизой в множественных форматах. Помимо курсов он регулярно вкидывает в сообщество видосы, посты, пдфки, и прочее прочее прочее прочее.... бесплатно
Сейчас, насколько мне известно, он планирует и дальше развиваться в этом направлении. Сегодня создал неплохой такой категоризованный чатик, а дальше на донаты (!!! вход бесплатный !!!) хочет выпускать и видео контент
Если у вас есть возможность, поддержите его в этом начинании! А ребят, которые с медийки и читают мой канал (привет вам однако) прошу обратить внимание)
Есть у нас в РФ очень крутой специалист, директор департамента противодействия киберугрозам в Информзащите, крутой физушник и просто очень приятный молодой человек — и зовут его Егор Зайцев
Егор является одним из тех немногих, кто делится своей широчайшей экспертизой в множественных форматах. Помимо курсов он регулярно вкидывает в сообщество видосы, посты, пдфки, и прочее прочее прочее прочее.... бесплатно
Сейчас, насколько мне известно, он планирует и дальше развиваться в этом направлении. Сегодня создал неплохой такой категоризованный чатик, а дальше на донаты (!!! вход бесплатный !!!) хочет выпускать и видео контент
Если у вас есть возможность, поддержите его в этом начинании! А ребят, которые с медийки и читают мой канал (привет вам однако) прошу обратить внимание)
Telegram
PRO:PENTEST CLUB
Egor Zaytsev invites you to join this group on Telegram.
👍3👎1🖕1
Forwarded from Информационная безопасность - Первенство
Наши соревнования подошли к концу!
Благодарим вас всех за участие
Официальный пост с результатами увидит свет немного позднее, ну а пока...
Чат соревнований открыт для обсуждения заданий, можете оставить фидбек о прошедших соревнований и покидаться друг в друга мемами
Предварительно:
🥇 Братья африки
🥈 Иксэлэс тим
🥉 Улица 1905
Спасибо, что были с нами в эти 24 часа
Please open Telegram to view this post
VIEW IN TELEGRAM
Интересный факт:
Зная номер телефона человека, можно найти информацию о модели его устройства.
1. Заходим на vk.com
2. Вводим номер телефона в поле входа
3. Выбираем способ верификации через push-уведомление
4. Profit!
Странно, что вк не скрыли данные об этом первично паролем
Товарищи которых я заспамил уведомлениями, извините. Всё ради комьюнити ¯\_(ツ)_/¯
Зная номер телефона человека, можно найти информацию о модели его устройства.
1. Заходим на vk.com
2. Вводим номер телефона в поле входа
3. Выбираем способ верификации через push-уведомление
4. Profit!
Странно, что вк не скрыли данные об этом первично паролем
🙏9🔥2
С новым годом, друзья!
Пусть в вашей жизни будет больше сданных отчётов и флагов, меньше печали и больше дисклозов!
Пусть в вашей жизни будет больше сданных отчётов и флагов, меньше печали и больше дисклозов!
🎉14❤1🔥1🖕1
Данные о ваших перемещениях, посещаемые сайты и метаданные ваших телефонных переговоров стоят... 3.5 рубля!
Интереснейший ресёрч на хабре от моего хорошего знакомого, в котором он осветил тему слива данных мобильными операторами по цене спичечного коробка
Читать
Интереснейший ресёрч на хабре от моего хорошего знакомого, в котором он осветил тему слива данных мобильными операторами по цене спичечного коробка
Читать
Очень прошу помочь с репостами, такой легальный пробив не должен существовать.
🔥9🖕1
Наткнулся на пост Жени о переиспользовании токенов и вспомнил интересный факт о jwt
Если в подписи jwt токена изменить последнюю букву на следующую в алфавите, то токен останется валидным.
Пример:
Мы сгенерировали токен
Изменили последнюю букву с "c" на "d":
Токен остался валидным, можно проверить на jwt.io или любом другом сервисе декодирования jwt токенов.
Связано это с особенностью кодировки base64. Протестировал в некоторых багбаунти программах и, используя его, смог получить импакт использования отозванных токенов в приложениях, добавляющих токены в блэклист.
К слову, на эту функцию был направлен один из моих тасков на Гойда CTF. Райтапы скоро будут, честно-честно)
Статья, из которой я узнал об уязвимости
Если в подписи jwt токена изменить последнюю букву на следующую в алфавите, то токен останется валидным.
Пример:
Мы сгенерировали токен
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Изменили последнюю букву с "c" на "d":
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5d
Токен остался валидным, можно проверить на jwt.io или любом другом сервисе декодирования jwt токенов.
Связано это с особенностью кодировки base64. Протестировал в некоторых багбаунти программах и, используя его, смог получить импакт использования отозванных токенов в приложениях, добавляющих токены в блэклист.
К слову, на эту функцию был направлен один из моих тасков на Гойда CTF. Райтапы скоро будут, честно-честно)
Статья, из которой я узнал об уязвимости
🔥13🐳3👍1🖕1
Банка пывна
Интересный факт: Зная номер телефона человека, можно найти информацию о модели его устройства. 1. Заходим на vk.com 2. Вводим номер телефона в поле входа 3. Выбираем способ верификации через push-уведомление 4. Profit! Странно, что вк не скрыли данные об…
Как подсказали ребята в чатике, в гугле есть такая же фишка.
Алгоритм всё тот же:
1. Вводим номер телефона
2. Начинаем восстанавливать пароль
3. Запрашиваем подтверждение по телефону
Политика компаний подразумевает, что данные о модели телефона не являются конфиденциальными, хотя по идее так можно спокойно собирать статистику, ну и банально это даёт поле для Osint расследований.
Ну и есть прикол, что у пользователей яблочной продукции зачастую в названии устройства стоит реальное имя.
Как по мне, немного странное решение, но не админу осуждать гугл ¯\_(ツ)_/¯
Алгоритм всё тот же:
1. Вводим номер телефона
2. Начинаем восстанавливать пароль
3. Запрашиваем подтверждение по телефону
Политика компаний подразумевает, что данные о модели телефона не являются конфиденциальными, хотя по идее так можно спокойно собирать статистику, ну и банально это даёт поле для Osint расследований.
Ну и есть прикол, что у пользователей яблочной продукции зачастую в названии устройства стоит реальное имя.
Как по мне, немного странное решение, но не админу осуждать гугл ¯\_(ツ)_/¯
🔥5🤝2🖕1
В последнее время очень часто приходят в голову идеи для новых интересных CTF тасок, которые хотелось бы реализовать. Но гойда CTF уже прошёл, а нового ждать долго, поэтому...
Если вдруг кто-то планирует организовать что-то хоть чуть-чуть масштабное, то я всегда готов помочь с тасками) Пишите в ЛС, обо всём договоримся🥰
Если вдруг кто-то планирует организовать что-то хоть чуть-чуть масштабное, то я всегда готов помочь с тасками) Пишите в ЛС, обо всём договоримся
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥2