Сообщение не поддерживается Вашей версией Telegram. Пожалуйста, обновите приложение, чтобы его увидеть: https://telegram.org/update
Заметил одну интересную особенность - в устаревших версиях телеграма на месте неподдерживаемого контента отображается указанный выше текст.
На вид - обычный пост, опубликованный от имени канала. Какая-либо плашка, информирующая о том, что это системное сообщение, попросту отсутствует.
Выходит, что владелец любого канала может опубликовать такой же пост, но уже со ссылкой, ведущей на фишинговый сайт. А доверчивый пользователь, поверив, что его версия клиента действительно устарела, скачает и запустит зараженный файл 🤦♂️
Скриншот сделан в Telegram клиенте версии 8.5.4.
@bug_bounty_notes
Заметил одну интересную особенность - в устаревших версиях телеграма на месте неподдерживаемого контента отображается указанный выше текст.
На вид - обычный пост, опубликованный от имени канала. Какая-либо плашка, информирующая о том, что это системное сообщение, попросту отсутствует.
Выходит, что владелец любого канала может опубликовать такой же пост, но уже со ссылкой, ведущей на фишинговый сайт. А доверчивый пользователь, поверив, что его версия клиента действительно устарела, скачает и запустит зараженный файл 🤦♂️
Скриншот сделан в Telegram клиенте версии 8.5.4.
@bug_bounty_notes
🔥9👍4❤1
Server Misconfiguration иногда приводит к печальным последствиям, как и произошло в описанном мною случае
Telegraph
Server Misconfiguration + DocuWiki
Эта история о том, как неправильная конфигурация сервера привела к раскрытию конфиденциальной информации, предназначенной для внутреннего пользования сотрудниками компании. Скриншоты, продемонстрированные в статье, взяты из моего отчета.
❤2👍2🔥1
Сделал небольшую шпаргалку по операторам поиска в поисковой системе Яндекс. Сохраняем и пользуемся ;)
Telegraph
Продвинутый поиск Яндекс. Часть 1
Поисковая система Яндекс, также как и Google, обладает продвинутыми операторами поиска, которые позволяют максимально точно указать условия поискового запроса
❤5👍3🔥1
1 августа оправил информацию о найденной уязвимости в Яндекс, но никакой обратной связи до сих пор не получил 🤷♂️
Хотя по правилам: "7.4. Организатор уведомляет Участника о результатах оценки Уязвимости и о принятом Комиссией решении не позднее 30 (тридцати) дней с даты получения Организатором сообщения от Участника об обнаруженной Уязвимости."
Хотя по правилам: "7.4. Организатор уведомляет Участника о результатах оценки Уязвимости и о принятом Комиссией решении не позднее 30 (тридцати) дней с даты получения Организатором сообщения от Участника об обнаруженной Уязвимости."
👍10
Яндекс предоставил обратную связь на мой предыдущий пост
Говорят, мол, бага сложная, а следовательно, требуется больше времени для решения вопроса
Говорят, мол, бага сложная, а следовательно, требуется больше времени для решения вопроса
🔥9❤4👍1
Небольшая история о том, как делать не надо
Telegraph
Yii2 GridView HTMLi
Хочу поделиться с вами историей о том, как небольшая ошибка разработчика привела к HTMLi, а также рассказать о том, как возникла эта уязвимость, и как её можно было избежать. Все скриншоты в статье – лишь имитация реального сайта, на котором была обнаружена…
❤3
user.vmoptions
105 B
Каждый раз, устанавливая Burp Suite в систему, сталкиваюсь с проблемой
отображения текста. А именно - по умолчанию шрифт в программе
сглаживается несколько некорректно
Устал каждый раз гуглить
решение этой проблемы, поэтому к этому сообщению прикрепляю файл
настроек, который необходимо закинуть в папку Burp'a, рядом с файлом
Для Windows путь:
Для Linux:
Название файла обязательно должно быть
Новые настройки сглаживания автоматически подхватятся после перезапуска Burp Suite
Надеюсь, кому нибудь пригодится
отображения текста. А именно - по умолчанию шрифт в программе
сглаживается несколько некорректно
Устал каждый раз гуглить
решение этой проблемы, поэтому к этому сообщению прикрепляю файл
настроек, который необходимо закинуть в папку Burp'a, рядом с файлом
BurpSuiteCommunity.vmoptions
Для Windows путь:
C:\Program Files\BurpSuiteCommunity\Для Linux:
/usr/local/BurpSuiteCommunity/Название файла обязательно должно быть
user.vmoptionsНовые настройки сглаживания автоматически подхватятся после перезапуска Burp Suite
Надеюсь, кому нибудь пригодится
👍5
Ищете больше RU Bug Bounty программ?
Вбиваем в гугл запрос:
И из поисковой выдачи получаем список сайтов, у которых есть Bug Bounty:
https://www.jivo.ru/bugbounty/
https://www.cloud4y.ru/cloud-services/bugbounty/
https://bugbounty.webinar.ru/
https://kontur.ru/bugbounty
https://ru.liveagent.com/programma-bag-baunti/
https://corp.mamba.ru/ru/developer/security
https://love.ru/bugbounty/
Из всех вышеперечисленных ресурсов я принимал участие только в ББ от Контура. Выплачивают исправно 👍
Остальные программы из списка не проверял
Вбиваем в гугл запрос:
"Bug Bounty" site:ru И из поисковой выдачи получаем список сайтов, у которых есть Bug Bounty:
https://www.jivo.ru/bugbounty/
https://www.cloud4y.ru/cloud-services/bugbounty/
https://bugbounty.webinar.ru/
https://kontur.ru/bugbounty
https://ru.liveagent.com/programma-bag-baunti/
https://corp.mamba.ru/ru/developer/security
https://love.ru/bugbounty/
Из всех вышеперечисленных ресурсов я принимал участие только в ББ от Контура. Выплачивают исправно 👍
Остальные программы из списка не проверял
🔥3👍2❤1
Уважаемые подписчики!
Вот и подошёл к концу 2022 год. Хочу выразить огромную благодарность за тот вклад, который каждый из вас внёс в развитие канала
В Новом году хочу пожелать крепкого здоровья, необычных уязвимостей, а также крупных выплат. Пусть все ваши мечты сбудутся, а неудачи обойдут стороной
🎄С новым, 2023 годом!
Вот и подошёл к концу 2022 год. Хочу выразить огромную благодарность за тот вклад, который каждый из вас внёс в развитие канала
В Новом году хочу пожелать крепкого здоровья, необычных уязвимостей, а также крупных выплат. Пусть все ваши мечты сбудутся, а неудачи обойдут стороной
🎄С новым, 2023 годом!
❤7
This media is not supported in your browser
VIEW IN TELEGRAM
У атакуемого сайта есть бот, который позволяет войти в аккаунт, поделившись своим номером телефона?
Если эта функция реализована через request_contact, который автоматически отправляет ваш номер в виде контакта, можно попробовать отправить чужой контакт, тем самым войдя под аккаунтом другого пользователя. Демонстрация этой уязвимости на примере реального бота - на видео
Если эта функция реализована через request_contact, который автоматически отправляет ваш номер в виде контакта, можно попробовать отправить чужой контакт, тем самым войдя под аккаунтом другого пользователя. Демонстрация этой уязвимости на примере реального бота - на видео
👍8❤3🔥1