Оставлю тут т.к сам не раз еще попробую вспомнить как это делать. Возможно список дополню.
Как быстро грепнуть папку с тысячами файлов на предмет наличия в них http/https строчек:
Как быстро грепнуть папку с тысячами файлов на предмет наличия в них http/https строчек:
rg -o "https*://[\w./\?=-]+" --no-line-number |rg -v "developer.mozilla.org" |sort |uniq |less >> output.txt
rg -o "https*://[\w./\?=-]+" --no-filename --no-line-number |rg -v "developer.mozilla.org" |sort |uniq |less >> output.txt
Центр Берлина. 💁🏻♂️ А многие удивлялись снятым колесам с мерса, который попал в объектив пол года назад
Лучшая коллаборация Youtube - Инженер Марк Робер и разоблачитель скамеров Джим Брауни https://youtu.be/VrKW58MS12g
YouTube
Glitterbomb Trap Catches Phone Scammer (who gets arrested)
I glitterbombed my way up the scammer chain of command. Come join me in my Creative Engineering class!! https://Monthly.com/MarkRober
If you suspect that you or a loved one has been the victim of fraud, you can call or visit the National Elder Fraud hotline…
If you suspect that you or a loved one has been the victim of fraud, you can call or visit the National Elder Fraud hotline…
Мне тут вчера подсказали что я вывалился в Hackerone Leaderboards за 90 дней. Ну что тут скажешь. Ничего удивительного. Ведь в немеции ничего не работает. Сходить некуда. Погода до сегодняшнего дня была просто 💩. В комьютерные игры я не играю. Приставки у меня нет 💁♂️ И все свободное внерабочее время я уделял семье и похекам. В данной ситуации это самое положительное что может быть в принятых ограничительных мерах Covid-19. PS: При этом в немеции я лишь на 6 месте. Видимо все остальные немецкие хацкеры более сосредоточены и меньше спят.
Forwarded from Android Guards
Записали подкаст с Сергеем Тошиным. По его словам, а также по версии Google Play Security Rewards — Сергей является хакером #1 😎. В выпуске обсуждаем путь на вершины bug bounty, часто встречающиеся баги и авторский проект для поиска таких багов — Oversecured сканер.
Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/wvSnM8YFcVM
🎙 Google Podcasts: http://bit.ly/2PVXGh5
🍏 Apple Podcasts: http://apple.co/3eDKkAB
Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/wvSnM8YFcVM
🎙 Google Podcasts: http://bit.ly/2PVXGh5
🍏 Apple Podcasts: http://apple.co/3eDKkAB
YouTube
🎙 Community Podcast #2: Сергей Тошин | Bug Bounty, Oversecured и жопочасы
В этом выпуске общаемся с Сергеем Тошиным — главным русским хакером по версии Google Play Security Rewards Program. Сергей рассказывает о своем опыте участия в bug bountry программах на HackerOne, работе в Positive Technologies и создании собственного стартапа…
Тут Нафи недавно чирканул что он делает когда встречает директорию admin.
https://twitter.com/nnwakelam/status/1374652548817195015?s=20
И это весьма интересно. Но что более интересно - в коменты пришел чел и подкинул ссылку на годный репозиторий.
https://github.com/ayoubfathi/leaky-paths
Возможно стоить грепнуть на "уникальное" и добавить в fuzz.txt. Что думаешь @i_bo0om ? 🙂
https://twitter.com/nnwakelam/status/1374652548817195015?s=20
И это весьма интересно. Но что более интересно - в коменты пришел чел и подкинул ссылку на годный репозиторий.
https://github.com/ayoubfathi/leaky-paths
Возможно стоить грепнуть на "уникальное" и добавить в fuzz.txt. Что думаешь @i_bo0om ? 🙂
Twitter
Хавиж Наффи 🥕
If you run a bruteforce and notice weird behaviours - like "/admin/" redirecting to / always investigate these. /admin/ /admin/../admin //admin/ /Admin/ /admin;/ /Admin;/ /index.php/admin/ /admin/js/*.js /admin/*brute*.ext /admin../admin //anything/admin/
Чудеса в решете.
Запнулся об серьезную багу у Hulu. Это вроде как Netflix только от компании Disney. Багбаунти нет (либо я не знаю). Формы responsible disclosure тоже нет. Обреченно написал на security@hulu.com , а оно мне в ответ вернуло - ящик господина Тони переполнен. Ну а в действительности сам Тони уже как пару месяцев в hulu не работает. И смешно и грустно 🤦♂️
Запнулся об серьезную багу у Hulu. Это вроде как Netflix только от компании Disney. Багбаунти нет (либо я не знаю). Формы responsible disclosure тоже нет. Обреченно написал на security@hulu.com , а оно мне в ответ вернуло - ящик господина Тони переполнен. Ну а в действительности сам Тони уже как пару месяцев в hulu не работает. И смешно и грустно 🤦♂️
Задумал тут собрать докладик, но что-то годные идеи не рожаются. Боянить не хочется. А почти все истории с какервана - приватные. И че делать - вообще фиг знает. Т.к вы тут подписаны все не просто так - может подкинете идей что бы хотели послушать? 🙂
PS: "Как переехать в Германию" в качестве темы доклада не предлагать 😄
PS: "Как переехать в Германию" в качестве темы доклада не предлагать 😄
В немеции отмечали пасху и у меня случились затяжные выходные. Вся страна отдыхала с пятницы по понедельник включительно. При этом с учетом всяких локдаунов ощущение что это был отдых от отдыха. Ну я тоже искренне пытался отдыхать. И в один из дней мы даже взяли тачку в аренду. Машина без крыши - это кайф. После этого меня опять зацепила тема с машиной и я полез смотреть объявления. Но нашел я не машину, а critical security issue. У сервиса оказалась багбаунти программа на zerocopter. И это оказывается такое дно. Отчет нельзя отправить если: у тебя слишком много информации (превышение лимита символов); если у тебя attachments свыше 10мб; если у тебя спецсимволы по типу ń,ö... Кому вообще в голову пришло городить такие ограничения в месте, где наоборот ожидается как можно больше информации для повторения обнаруженной проблемы.
Для тех кто так и не купил подписку на твиче(например я) - можно уже не покупать 😁
NahamCon2021 выложили на ютубчик.
Ну и самое интересное как мне кажется - это докладик Hacking IIS.
Погнали нажимать колокольчик и палец вверх 😉
https://www.youtube.com/playlist?list=PLKAaMVNxvLmDlzMK3NK0HoI7A3C8WtYNQ
NahamCon2021 выложили на ютубчик.
Ну и самое интересное как мне кажется - это докладик Hacking IIS.
Погнали нажимать колокольчик и палец вверх 😉
https://www.youtube.com/playlist?list=PLKAaMVNxvLmDlzMK3NK0HoI7A3C8WtYNQ
Между делом у меня закрыли какие-то старые репорты и случилась магия цифр. Жмите палец вверх и колокольчик, если найдете конечно 😁
https://twitter.com/Krevetk0Valeriy/status/1380152941433253903?s=20
https://twitter.com/Krevetk0Valeriy/status/1380152941433253903?s=20
Twitter
Valeriy
I am happy to be a valuable member of the Hackerone community. Celebrating my 3k reputation score today 💥#togetherwehitharder #hackerone
Воспользуюсь так сказать своей медийностью. И буду всем признателен за лайки и ретвиты:) Этой индустрии нужен профсоюз и перемены в правилах игры.
https://twitter.com/Krevetk0Valeriy/status/1385128838066278402?s=20
https://twitter.com/Krevetk0Valeriy/status/1385128838066278402?s=20
Twitter
Valeriy
Program employees did some mistakes in evaluating my critical reports.When I asked through the email that I took in the program policy to reopen the old report because it wasn't fixed and reproduced again - I was kicked out of the program. I was in the top…