Шпили посмотрел.
Часы подвёл.
Подписчиков проверил. Сказали что многие из вас молодцы. Думайте теперь сами кто и в чём 😏
Что еще можно поделать? 🤔
Часы подвёл.
Подписчиков проверил. Сказали что многие из вас молодцы. Думайте теперь сами кто и в чём 😏
Что еще можно поделать? 🤔
❤13😁8🔥2👌1
Ну что ребят.
Кто на курсы сантехников идет? 🤔
https://x.com/claudeai/status/2024907535145468326?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw
Кто на курсы сантехников идет? 🤔
https://x.com/claudeai/status/2024907535145468326?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw
X (formerly Twitter)
Claude (@claudeai) on X
Introducing Claude Code Security, now in limited research preview.
It scans codebases for vulnerabilities and suggests targeted software patches for human review, allowing teams to find and fix issues that traditional tools often miss.
Learn more: http…
It scans codebases for vulnerabilities and suggests targeted software patches for human review, allowing teams to find and fix issues that traditional tools often miss.
Learn more: http…
😁14🤔4😢4❤3👍1🔥1🥰1
Великолепная история как OpenClaw взбунтовался и начал удалять email пользователя. Остановить получилось только убив сам процесс на машине.
И вроде обычная история как очередной трендовый AI тул нах*евертил, и потом сказал "Ой, ты прав".
Однако человек у которого это произошло - Director, Superintelligence alignment and safety research at Meta’s new lab. 🤦♂️
И смешно и грустно.
И вроде обычная история как очередной трендовый AI тул нах*евертил, и потом сказал "Ой, ты прав".
Однако человек у которого это произошло - Director, Superintelligence alignment and safety research at Meta’s new lab. 🤦♂️
И смешно и грустно.
😁32
В продолжении постов о полезностях из мира bug bounty.
В личку мне прилетел следующий вопрос:
И вот тут будет большое откровение.
4) Многие компании сами не знают что защищают. А поработав долгие годы в консалтинге и корпорате, я это понял еще лучше.
В одном из чатов даже пробегала такая история "...работали в говно облаке, оплаченном с карточки одного из ИТ лидов".
Одна из причин такого поведения — бюрократия в компании. Прикиньте, вам надо показывать результаты, доставлять фичи, а вам в корпорате нужно кучу ревью пройти перед релизом. А подать вовремя свой запрос на ревью вы не успели. Как итог — появление Shadow IT. Ведь в ней всё быстрее и проще.
Ещё одной из причин такого хаоса являются новые сотрудники. Ну вот пришёл умелый, смышлёный человек. А ему говорят: вот это используй, сюда ходи, вот так делай. А ему это непривычно. И привычки с возрастом сложно менять. Как итог — приложения и сервисы оказываются там, где их не ждали. Или появляются инструменты, о которых никто ранее не слышал.
И вот теперь представим команду Security, которая управляет bug bounty. Могут ли они знать обо всех системах и иметь полный инвентарь? — 100% не могут.
Могут ли исследователи найти что-то вне скоупа, что будет бить с ноги в in-scope? — 100% могут. Вопрос только в адекватности команды и в том, как команда оценит такие находки.
Именно по этой причине лучше делать пристрелочные репорты. Так вы сможете понять команду, понять её интересы и процессы исправления. И если они грамотные ребята и не забывают о бизнес-рисках, ради которых их наняли, — тогда Critical issues могут даже оценить и оплатить 😉
PS: В целом это очень серая зона. Иногда риски сильно выше самого реварда и нужно пять раз подумать и понять где это делать.
В личку мне прилетел следующий вопрос:
Часто ли в целом реконят все ресурсы организации и могут ли программы указывать что то типо 'Все что нам пренадлежит - скоуп'?
И вот тут будет большое откровение.
4) Многие компании сами не знают что защищают. А поработав долгие годы в консалтинге и корпорате, я это понял еще лучше.
В одном из чатов даже пробегала такая история "...работали в говно облаке, оплаченном с карточки одного из ИТ лидов".
Одна из причин такого поведения — бюрократия в компании. Прикиньте, вам надо показывать результаты, доставлять фичи, а вам в корпорате нужно кучу ревью пройти перед релизом. А подать вовремя свой запрос на ревью вы не успели. Как итог — появление Shadow IT. Ведь в ней всё быстрее и проще.
Ещё одной из причин такого хаоса являются новые сотрудники. Ну вот пришёл умелый, смышлёный человек. А ему говорят: вот это используй, сюда ходи, вот так делай. А ему это непривычно. И привычки с возрастом сложно менять. Как итог — приложения и сервисы оказываются там, где их не ждали. Или появляются инструменты, о которых никто ранее не слышал.
И вот теперь представим команду Security, которая управляет bug bounty. Могут ли они знать обо всех системах и иметь полный инвентарь? — 100% не могут.
Могут ли исследователи найти что-то вне скоупа, что будет бить с ноги в in-scope? — 100% могут. Вопрос только в адекватности команды и в том, как команда оценит такие находки.
Именно по этой причине лучше делать пристрелочные репорты. Так вы сможете понять команду, понять её интересы и процессы исправления. И если они грамотные ребята и не забывают о бизнес-рисках, ради которых их наняли, — тогда Critical issues могут даже оценить и оплатить 😉
PS: В целом это очень серая зона. Иногда риски сильно выше самого реварда и нужно пять раз подумать и понять где это делать.
👍22❤7🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
Догадайтесь, какая страна победит в восстании AI машин из-за бюрократии? 😏
Тот момент, когда недостаток становится неоспоримым преимуществом.
Reference: ссылка на проект Ouroboros.
Тот момент, когда недостаток становится неоспоримым преимуществом.
Reference: ссылка на проект Ouroboros.
😁18❤4🕊2
И вот вроде простенькая скуля была. Даже раскрутилась и работала.
И благодаря ей в приложении убиралось условие фильтрации, и возвращались данные.
Но на фронт возвращалось не всё, а только первые 100 строк. А если хочешь больше — жми кнопку Download.
Ну я и нажал, блин 🫠
Кажется, функция выгрузки не была рассчитана на «депортацию» всех данных из базы в файл. В итоге сервак сдох и возвращал 502. Я, конечно же, сразу репорт отправил, извинился за демонстрацию availability, но после репорта программа моментально встала на паузу.
И я теперь максимально растерян. То ли пи3#юлей хотят дать, то ли отблагодарят, разобравшись в ситуации спокойно с программой на паузе. 🙈
И благодаря ей в приложении убиралось условие фильтрации, и возвращались данные.
Но на фронт возвращалось не всё, а только первые 100 строк. А если хочешь больше — жми кнопку Download.
Ну я и нажал, блин 🫠
Кажется, функция выгрузки не была рассчитана на «депортацию» всех данных из базы в файл. В итоге сервак сдох и возвращал 502. Я, конечно же, сразу репорт отправил, извинился за демонстрацию availability, но после репорта программа моментально встала на паузу.
И я теперь максимально растерян. То ли пи3#юлей хотят дать, то ли отблагодарят, разобравшись в ситуации спокойно с программой на паузе. 🙈
😁58❤3
Некоторые читатели удивлялись тому, что за prompt injection могут платить.
Вот вам очередной пример, как за такое могут заплатить аж 15k$.
https://x.com/Behi_Sec/status/2029219439028171210
В целом такой тип хакинга выглядит как попытка найти узкие места в комплексном решении с множеством интеграций. Всё так же близко к web, где на комбинации комплексных идей остаются дырки в системах.
Но мне после прочтения этой истории всё так же непонятно, почему оно может стоить так много. И где кроме Google могут столько заплатить? Ведь в данной ситуации подразумевается, что хакер уже сидит внутри и у него есть доступ к Jira (модель внутреннего атакующего) 🤔
Вот вам очередной пример, как за такое могут заплатить аж 15k$.
https://x.com/Behi_Sec/status/2029219439028171210
В целом такой тип хакинга выглядит как попытка найти узкие места в комплексном решении с множеством интеграций. Всё так же близко к web, где на комбинации комплексных идей остаются дырки в системах.
Но мне после прочтения этой истории всё так же непонятно, почему оно может стоить так много. И где кроме Google могут столько заплатить? Ведь в данной ситуации подразумевается, что хакер уже сидит внутри и у него есть доступ к Jira (модель внутреннего атакующего) 🤔
X (formerly Twitter)
Behi (@Behi_Sec) on X
Hacking Gemini Enterprise for a $15,000 bounty
👏5❤4🤯1
Уходит эпоха багхантинга. И самое время запомнить текущий лидерборд выдающихся рисёрчеров. Потому что дальше будет гонка капиталов за токены и умения вложить свои идеи в руки Claude, OpenAI, Gemini и т.д.
Те, кто скажут, что «да ваш AI умеет только в вайтбокс», сильно ошибаются. К сожалению, некоторые модели уже без проблем могут и в black box. Причем речь не про XBOW. Приятно понимать, что я застал то классное время, где ценился скилл и умение мыслить нестандартно. Где Life Hacking Event был реальным местом проявления талантов и терпения, а не запуска моделек. Теперь скилл всё больше будет заменяться AI, но креатив какое-то время всё равно продолжит кормить. Кто-то даже написал, что bug bounty будет на 50% AI и на 50% креативности. И с этим сложно не согласится.
Можно считать, что это простой этап трансформации, как когда-то это проходило в период бума сканеров Nuclei, Acunetix, Nessus и т.д. Но текущая трансформация куда сильнее, чем кажется.
Те, кто скажут, что «да ваш AI умеет только в вайтбокс», сильно ошибаются. К сожалению, некоторые модели уже без проблем могут и в black box. Причем речь не про XBOW. Приятно понимать, что я застал то классное время, где ценился скилл и умение мыслить нестандартно. Где Life Hacking Event был реальным местом проявления талантов и терпения, а не запуска моделек. Теперь скилл всё больше будет заменяться AI, но креатив какое-то время всё равно продолжит кормить. Кто-то даже написал, что bug bounty будет на 50% AI и на 50% креативности. И с этим сложно не согласится.
Можно считать, что это простой этап трансформации, как когда-то это проходило в период бума сканеров Nuclei, Acunetix, Nessus и т.д. Но текущая трансформация куда сильнее, чем кажется.
😢33
В выходные дождался, когда все уйдут спать, и засел над генерацией лидов. Это такой способ помочь самому себе в будущем найти какие-то стоящие уязвимости. Это не классический перебор поддоменов. Во многом это выглядит как поток фантазии и ссылок в формате: «посмотреть потом», «проверить ххххх» и так далее. Причем иногда я к таким заметкам возвращаюсь спустя пол года 🙈
В этот раз я решил поизучать проиндексированные документы и документации. Причём чем старше год документа, тем интереснее он был для меня. В итоге остановиться не удалось. Но удалось проломить одну системку на которую была отсылка в документации. Найти энумерэйтом доменов/поддоменов невозможно. Как итог — из неё просто как из фонтана льются уязвимости. Но самое великолепное, что отправить репорт я не могу, т.к. программа встала на паузу. И чем дольше я буду изучать системку, тем больше проблем в ней найду 😏
Когда паузу снимут — чувствую, команду ждёт неприятный сюрприз и новая «пауза».
В этот раз я решил поизучать проиндексированные документы и документации. Причём чем старше год документа, тем интереснее он был для меня. В итоге остановиться не удалось. Но удалось проломить одну системку на которую была отсылка в документации. Найти энумерэйтом доменов/поддоменов невозможно. Как итог — из неё просто как из фонтана льются уязвимости. Но самое великолепное, что отправить репорт я не могу, т.к. программа встала на паузу. И чем дольше я буду изучать системку, тем больше проблем в ней найду 😏
Когда паузу снимут — чувствую, команду ждёт неприятный сюрприз и новая «пауза».
❤16😁13👏3
С месяц назад накатал тут пост, как у ребяток протекли все данные.
И это был худший опыт bug bounty за последнее время.
Фикс был в течение суток. При этом в репорте переспросили, удалил ли я все факты и данные этой истории. Ведь они буквально были важные и конфиденциальные.
А дальше случилась магия. "Мы считаем, что это High".
Я их приободрил фактами про данные, простоту эксплуатации, минимум с полсотни технических возможностей, из-за которых они могут считать, что это уже сейчас databreach, а не vulnerability репорт. Ну и полиси HackerOne гласит что это Critical.
Аргументы перевернуть не удалось, и пришлось поставить Critical.
Но при этом багу вынесли в Tier 3, где 1500 — максимальная выплата. И даже тут заплатили не по таблице 🤦♂️
Мне лично пофиг, сколько выплата. Главное, чтобы она была честно оценена и в рамках правил. А тут с первых дней какие-то приколы и увиливания от критичности были.
Хочется засунуть им ревард обратно и пожелать найти остатки незарепорченных уязвимостей самостоятельно 💁♂️
И это был худший опыт bug bounty за последнее время.
Фикс был в течение суток. При этом в репорте переспросили, удалил ли я все факты и данные этой истории. Ведь они буквально были важные и конфиденциальные.
А дальше случилась магия. "Мы считаем, что это High".
Я их приободрил фактами про данные, простоту эксплуатации, минимум с полсотни технических возможностей, из-за которых они могут считать, что это уже сейчас databreach, а не vulnerability репорт. Ну и полиси HackerOne гласит что это Critical.
Аргументы перевернуть не удалось, и пришлось поставить Critical.
Но при этом багу вынесли в Tier 3, где 1500 — максимальная выплата. И даже тут заплатили не по таблице 🤦♂️
Мне лично пофиг, сколько выплата. Главное, чтобы она была честно оценена и в рамках правил. А тут с первых дней какие-то приколы и увиливания от критичности были.
Хочется засунуть им ревард обратно и пожелать найти остатки незарепорченных уязвимостей самостоятельно 💁♂️
💔21😱9❤3🤯2