AuthorizationNeon.pdf
2.6 MB
Всім привіт!
Сьогодні виступав перед QA юнітом українського офісу EPAM, розповідав пацанам і пацанессам про Broken Access Control. Приніс з собою презентацію (прикріплена ПДФ), і кустарну лабу
https://github.com/Morronel/broken_hospital_lab/tree/main
Серйозним чувакам буде нудно, але новачкам потикати стенд - саме те що треба. Більше п'яти вразливостей типу Broken Access Control, різні ракурси, IDOR, Account Takeover, etc.
Лаба опенсорсна. Заохочую поширювати і ділитись зі студентами. Питання можете тут в чаті задавати.
Думаю що будуть ще лаби. Колись може навіть нагребу достатньо на повноцінний курс)
Сьогодні виступав перед QA юнітом українського офісу EPAM, розповідав пацанам і пацанессам про Broken Access Control. Приніс з собою презентацію (прикріплена ПДФ), і кустарну лабу
https://github.com/Morronel/broken_hospital_lab/tree/main
Серйозним чувакам буде нудно, але новачкам потикати стенд - саме те що треба. Більше п'яти вразливостей типу Broken Access Control, різні ракурси, IDOR, Account Takeover, etc.
Лаба опенсорсна. Заохочую поширювати і ділитись зі студентами. Питання можете тут в чаті задавати.
Думаю що будуть ще лаби. Колись може навіть нагребу достатньо на повноцінний курс)
🔥39👍2
Forwarded from Junior дайджест dou.ua
Найближчі курси та стажування:
3 березня — Кіберакадемія CyberIN: безкоштовне навчання з кібербезпеки для студентів, Київ. Це безкоштовна комплексна програма, що допоможе прокачати свої навички та побудувати успішну кар'єру у сфері кіберзахисту:
👉 https://dou.ua/calendar/52568/?from=tg
3 березня — Кіберакадемія CyberIN: безкоштовне навчання з кібербезпеки для студентів, Київ. Це безкоштовна комплексна програма, що допоможе прокачати свої навички та побудувати успішну кар'єру у сфері кіберзахисту:
👉 https://dou.ua/calendar/52568/?from=tg
👍4🤔2👎1
Forwarded from DC8044 F33d
Все як казав пророк!
"І було сказано: прийде час, та прийде година, коли знайдеться Людина, і зломлять оселю її, яка є телефон її. І пройдуть вони крізь ворота двоєвої сторожі в аплікації, як вода пробивається крізь камінь. І відкриють скарбниці його, і візьмуть від банківських палестрин стільки боргів, скільки вина дають усі виноградники землі ханаанської. І буде те знаменням
темряви і пришестя зла, що ходить, як лев рикаючий, шукаючи, кого
пожерти."
Кор. 1:3
"І було сказано: прийде час, та прийде година, коли знайдеться Людина, і зломлять оселю її, яка є телефон її. І пройдуть вони крізь ворота двоєвої сторожі в аплікації, як вода пробивається крізь камінь. І відкриють скарбниці його, і візьмуть від банківських палестрин стільки боргів, скільки вина дають усі виноградники землі ханаанської. І буде те знаменням
темряви і пришестя зла, що ходить, як лев рикаючий, шукаючи, кого
пожерти."
Кор. 1:3
😱10🥴3
Forwarded from Нотатки Деапула (Yuriy Landovskyy)
Сьогодні на LinkedIn (джерело) було трохи шуму навколо того, що людину взламали через Дію і оформили кредити від її лиця кредити на 100к грн.
Я І не знав, що кредити можливо оформити через Дію. Тим не менш, джерело проблеми тут в OTP банку, де змогли скомпрометувати доступ.
Скоріше всього злили десь пароль і людина не мала 2-х факторної аутентифікації, що дозволило отримати доступ. Можливо, вона там і була, але через SMS/дзвінок, який можна перехватити.
З того, що я зрозумів, злочинець зробив наступне:
1. Знайшов старий номер людини (так, як це директор по опису в LinkedIn - це була явно цікава особа для них), який був прив'язаний до ОТП Банку
2. Отримав доступ до ОТП Банку через додаток.
3. Створив через додаток віртуальні картки.
4. Залогінився в Дію через аккаунт ОТП Банку.
5. Оформив кредити.
Чесно, я не знаю, як працює оформлення кредитів, але якщо людина вже мала доступ до рахунку через додаток, чи могла би вона вже тоді оформляти кредити без Дії?🤔 (якщо хтось знає - розкажіть)
Я І не знав, що кредити можливо оформити через Дію. Тим не менш, джерело проблеми тут в OTP банку, де змогли скомпрометувати доступ.
Скоріше всього злили десь пароль і людина не мала 2-х факторної аутентифікації, що дозволило отримати доступ. Можливо, вона там і була, але через SMS/дзвінок, який можна перехватити.
З того, що я зрозумів, злочинець зробив наступне:
1. Знайшов старий номер людини (так, як це директор по опису в LinkedIn - це була явно цікава особа для них), який був прив'язаний до ОТП Банку
2. Отримав доступ до ОТП Банку через додаток.
3. Створив через додаток віртуальні картки.
4. Залогінився в Дію через аккаунт ОТП Банку.
5. Оформив кредити.
Чесно, я не знаю, як працює оформлення кредитів, але якщо людина вже мала доступ до рахунку через додаток, чи могла би вона вже тоді оформляти кредити без Дії?🤔 (якщо хтось знає - розкажіть)
❤2😐1
Там тойво, Suno стало безкоштовне. Можна бігти і генерити треки на ваш смак
Хто не знає що це - це нейронка, яка генерить музичні треки з текстового опису. Можна робити справжні шедеври комерційної якості за своїм задумом, не вміючи зіграти жодної гами чи акорду.
Я вирішив попросити його написати мануал по встановленню WSL, вийшло хайпово як на мене
https://suno.com/song/d2eaf70d-f86b-4771-a83d-d88c4d7084a0
https://suno.com/
Якщо хочете більше кредитів для генерації, можете зареєструватись по моїй лінці)
https://suno.com/invite/@explosivewaltz4770
Хто не знає що це - це нейронка, яка генерить музичні треки з текстового опису. Можна робити справжні шедеври комерційної якості за своїм задумом, не вміючи зіграти жодної гами чи акорду.
Я вирішив попросити його написати мануал по встановленню WSL, вийшло хайпово як на мене
https://suno.com/song/d2eaf70d-f86b-4771-a83d-d88c4d7084a0
https://suno.com/
Якщо хочете більше кредитів для генерації, можете зареєструватись по моїй лінці)
https://suno.com/invite/@explosivewaltz4770
Suno
WSL короткий мануал
Listen and make your own on Suno.
🔥11❤3👍2🎃1
Forwarded from DC8044 F33d
Опубліковано офіційну заяву.
Стосовно загрозам іншим ресурсам - не дуже доречні висновки. Загрози є і вони критичні. Таке "заспокоєння" абсолютно зайве.
Стосовно загрозам іншим ресурсам - не дуже доречні висновки. Загрози є і вони критичні. Таке "заспокоєння" абсолютно зайве.
👍4😐1
Вільні сталкери, прийом!
Сьогодні пройшов цілий МІСЯЦЬ з моменту, як вийшов STALKER2. І до цієї круглої дати я встиг підготувати вам щось прикольне. Зацініть, Stalker-CTF :)
https://github.com/Morronel/stalker-lab/tree/main
Вам принесли таємничий планшет Моноліту, і тепер вам треба його "хакнути", дістати прапор, дізнатись хто за цим всім стоїть, і просто гарно провести час.
Складність - "сталкер", в сіньйора пентестера йде +- годинка щоб отримати фінальний прапор, не пітніючи.
Заохочую шерити лабу, ділитись зі студентами, друзями і знайомими.
Фокус завдань на вебі, хоча в кінці є не тільки він.
Проходьте і діліться враженнями. Якщо зайде - буде добавка)
Всім хорошої п'ятниці 🎮
Сьогодні пройшов цілий МІСЯЦЬ з моменту, як вийшов STALKER2. І до цієї круглої дати я встиг підготувати вам щось прикольне. Зацініть, Stalker-CTF :)
https://github.com/Morronel/stalker-lab/tree/main
Вам принесли таємничий планшет Моноліту, і тепер вам треба його "хакнути", дістати прапор, дізнатись хто за цим всім стоїть, і просто гарно провести час.
Складність - "сталкер", в сіньйора пентестера йде +- годинка щоб отримати фінальний прапор, не пітніючи.
Заохочую шерити лабу, ділитись зі студентами, друзями і знайомими.
Фокус завдань на вебі, хоча в кінці є не тільки він.
Проходьте і діліться враженнями. Якщо зайде - буде добавка)
Всім хорошої п'ятниці 🎮
❤39👏6👍4🔥2🤡1🤝1
Ну що, як вам сталкерський CTF? :)
Anonymous Poll
16%
Пройшов і кайфанув, круто!
2%
Пройшов і щось якось таке собі
8%
Пробував, не вийшло, та все одно сподобалось
2%
Пробував, не вийшло, і не сподобалось
48%
Ще тільки збираюсь спробувати
24%
Я пас
🔥1
Forwarded from DC8044 F33d
Це DC8044 і ми оголошуємо офіційний збір, останній у 2024 році.
Ми не часто зверталися за вашою допомогою, переважно закриваючи потреби наших бійців на фронті власними коштами. Сьогодні трохи інша ситуація. Ми розраховуємо зробити серйозну закупівлю дороговартісного обладнання та допомогти нашим підшефним підрозділам. Насамперед, мова про дрони. Ми вже маємо деяку суму, на яку можемо розраховувати, але все ж таки ми не впораємося без донату всього ком'юніті. Щоб реально добре допомогти нашим бійцям засобами, які безпосередньо дозволяють зберегти їхнє життя та бути ефективними на полі бою, потрібен кожен ваш донат. Ми назвали цю кампанію illusive raven. Наші примарні круки зроблять свою вагому справу.
Це – цільова допомога конкретним професійним підрозділам, які зможуть використати її на максимум можливостей. На кону - партія дорогого обладнання та життя наших амбасадорів. Ми можемо їм допомогти тим, чого вони потребують. Прямо зараз.
https://send.monobank.ua/jar/2EmsgehScY
BTC: bc1q0zshknlfs5ja24vrxthupy60razxzplnfq2la9
USDT (Tether): 0x148a994dC8ba9eec0aa08f16D580f84946d90334
Ми не часто зверталися за вашою допомогою, переважно закриваючи потреби наших бійців на фронті власними коштами. Сьогодні трохи інша ситуація. Ми розраховуємо зробити серйозну закупівлю дороговартісного обладнання та допомогти нашим підшефним підрозділам. Насамперед, мова про дрони. Ми вже маємо деяку суму, на яку можемо розраховувати, але все ж таки ми не впораємося без донату всього ком'юніті. Щоб реально добре допомогти нашим бійцям засобами, які безпосередньо дозволяють зберегти їхнє життя та бути ефективними на полі бою, потрібен кожен ваш донат. Ми назвали цю кампанію illusive raven. Наші примарні круки зроблять свою вагому справу.
Це – цільова допомога конкретним професійним підрозділам, які зможуть використати її на максимум можливостей. На кону - партія дорогого обладнання та життя наших амбасадорів. Ми можемо їм допомогти тим, чого вони потребують. Прямо зараз.
https://send.monobank.ua/jar/2EmsgehScY
BTC: bc1q0zshknlfs5ja24vrxthupy60razxzplnfq2la9
USDT (Tether): 0x148a994dC8ba9eec0aa08f16D580f84946d90334
❤5👍2
Forwarded from DC8044 F33d
Збір майже зупинився.
Його треба добити, вже зібрано більше половини необхідної суми і це дуже круто! Але кожен потрібен. Є донати по 20 та 25 тисяч, є й набагато скромніші, але кожен - важливий.
Згадайте, скільки гарних справ ми зробили. Скільки баз подарували в цьому році. Віддячте комуніті, бо це на спільну справу!
Його треба добити, вже зібрано більше половини необхідної суми і це дуже круто! Але кожен потрібен. Є донати по 20 та 25 тисяч, є й набагато скромніші, але кожен - важливий.
Згадайте, скільки гарних справ ми зробили. Скільки баз подарували в цьому році. Віддячте комуніті, бо це на спільну справу!
👍2❤1