Лучшая коллаборация Youtube - Инженер Марк Робер и разоблачитель скамеров Джим Брауни https://youtu.be/VrKW58MS12g
YouTube
Glitterbomb Trap Catches Phone Scammer (who gets arrested)
I glitterbombed my way up the scammer chain of command. Come join me in my Creative Engineering class!! https://Monthly.com/MarkRober
If you suspect that you or a loved one has been the victim of fraud, you can call or visit the National Elder Fraud hotline…
If you suspect that you or a loved one has been the victim of fraud, you can call or visit the National Elder Fraud hotline…
Мне тут вчера подсказали что я вывалился в Hackerone Leaderboards за 90 дней. Ну что тут скажешь. Ничего удивительного. Ведь в немеции ничего не работает. Сходить некуда. Погода до сегодняшнего дня была просто 💩. В комьютерные игры я не играю. Приставки у меня нет 💁♂️ И все свободное внерабочее время я уделял семье и похекам. В данной ситуации это самое положительное что может быть в принятых ограничительных мерах Covid-19. PS: При этом в немеции я лишь на 6 месте. Видимо все остальные немецкие хацкеры более сосредоточены и меньше спят.
Forwarded from Android Guards
Записали подкаст с Сергеем Тошиным. По его словам, а также по версии Google Play Security Rewards — Сергей является хакером #1 😎. В выпуске обсуждаем путь на вершины bug bounty, часто встречающиеся баги и авторский проект для поиска таких багов — Oversecured сканер.
Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/wvSnM8YFcVM
🎙 Google Podcasts: http://bit.ly/2PVXGh5
🍏 Apple Podcasts: http://apple.co/3eDKkAB
Послушать выпуск можно в Google/Apple подкастах и на Youtube:
🎥 YouTube: https://youtu.be/wvSnM8YFcVM
🎙 Google Podcasts: http://bit.ly/2PVXGh5
🍏 Apple Podcasts: http://apple.co/3eDKkAB
YouTube
🎙 Community Podcast #2: Сергей Тошин | Bug Bounty, Oversecured и жопочасы
В этом выпуске общаемся с Сергеем Тошиным — главным русским хакером по версии Google Play Security Rewards Program. Сергей рассказывает о своем опыте участия в bug bountry программах на HackerOne, работе в Positive Technologies и создании собственного стартапа…
Тут Нафи недавно чирканул что он делает когда встречает директорию admin.
https://twitter.com/nnwakelam/status/1374652548817195015?s=20
И это весьма интересно. Но что более интересно - в коменты пришел чел и подкинул ссылку на годный репозиторий.
https://github.com/ayoubfathi/leaky-paths
Возможно стоить грепнуть на "уникальное" и добавить в fuzz.txt. Что думаешь @i_bo0om ? 🙂
https://twitter.com/nnwakelam/status/1374652548817195015?s=20
И это весьма интересно. Но что более интересно - в коменты пришел чел и подкинул ссылку на годный репозиторий.
https://github.com/ayoubfathi/leaky-paths
Возможно стоить грепнуть на "уникальное" и добавить в fuzz.txt. Что думаешь @i_bo0om ? 🙂
Twitter
Хавиж Наффи 🥕
If you run a bruteforce and notice weird behaviours - like "/admin/" redirecting to / always investigate these. /admin/ /admin/../admin //admin/ /Admin/ /admin;/ /Admin;/ /index.php/admin/ /admin/js/*.js /admin/*brute*.ext /admin../admin //anything/admin/
Чудеса в решете.
Запнулся об серьезную багу у Hulu. Это вроде как Netflix только от компании Disney. Багбаунти нет (либо я не знаю). Формы responsible disclosure тоже нет. Обреченно написал на security@hulu.com , а оно мне в ответ вернуло - ящик господина Тони переполнен. Ну а в действительности сам Тони уже как пару месяцев в hulu не работает. И смешно и грустно 🤦♂️
Запнулся об серьезную багу у Hulu. Это вроде как Netflix только от компании Disney. Багбаунти нет (либо я не знаю). Формы responsible disclosure тоже нет. Обреченно написал на security@hulu.com , а оно мне в ответ вернуло - ящик господина Тони переполнен. Ну а в действительности сам Тони уже как пару месяцев в hulu не работает. И смешно и грустно 🤦♂️
Задумал тут собрать докладик, но что-то годные идеи не рожаются. Боянить не хочется. А почти все истории с какервана - приватные. И че делать - вообще фиг знает. Т.к вы тут подписаны все не просто так - может подкинете идей что бы хотели послушать? 🙂
PS: "Как переехать в Германию" в качестве темы доклада не предлагать 😄
PS: "Как переехать в Германию" в качестве темы доклада не предлагать 😄
В немеции отмечали пасху и у меня случились затяжные выходные. Вся страна отдыхала с пятницы по понедельник включительно. При этом с учетом всяких локдаунов ощущение что это был отдых от отдыха. Ну я тоже искренне пытался отдыхать. И в один из дней мы даже взяли тачку в аренду. Машина без крыши - это кайф. После этого меня опять зацепила тема с машиной и я полез смотреть объявления. Но нашел я не машину, а critical security issue. У сервиса оказалась багбаунти программа на zerocopter. И это оказывается такое дно. Отчет нельзя отправить если: у тебя слишком много информации (превышение лимита символов); если у тебя attachments свыше 10мб; если у тебя спецсимволы по типу ń,ö... Кому вообще в голову пришло городить такие ограничения в месте, где наоборот ожидается как можно больше информации для повторения обнаруженной проблемы.
Для тех кто так и не купил подписку на твиче(например я) - можно уже не покупать 😁
NahamCon2021 выложили на ютубчик.
Ну и самое интересное как мне кажется - это докладик Hacking IIS.
Погнали нажимать колокольчик и палец вверх 😉
https://www.youtube.com/playlist?list=PLKAaMVNxvLmDlzMK3NK0HoI7A3C8WtYNQ
NahamCon2021 выложили на ютубчик.
Ну и самое интересное как мне кажется - это докладик Hacking IIS.
Погнали нажимать колокольчик и палец вверх 😉
https://www.youtube.com/playlist?list=PLKAaMVNxvLmDlzMK3NK0HoI7A3C8WtYNQ
Между делом у меня закрыли какие-то старые репорты и случилась магия цифр. Жмите палец вверх и колокольчик, если найдете конечно 😁
https://twitter.com/Krevetk0Valeriy/status/1380152941433253903?s=20
https://twitter.com/Krevetk0Valeriy/status/1380152941433253903?s=20
Twitter
Valeriy
I am happy to be a valuable member of the Hackerone community. Celebrating my 3k reputation score today 💥#togetherwehitharder #hackerone
Воспользуюсь так сказать своей медийностью. И буду всем признателен за лайки и ретвиты:) Этой индустрии нужен профсоюз и перемены в правилах игры.
https://twitter.com/Krevetk0Valeriy/status/1385128838066278402?s=20
https://twitter.com/Krevetk0Valeriy/status/1385128838066278402?s=20
Twitter
Valeriy
Program employees did some mistakes in evaluating my critical reports.When I asked through the email that I took in the program policy to reopen the old report because it wasn't fixed and reproduced again - I was kicked out of the program. I was in the top…
Мне тут сын подпортил настроение пока я утром уборку делал. Взял аудиосказки на телефоне и ушел в комнату где нет шума. Плюс прихватил с собой маркер. Аудио-Сказки отключили мозги и он нафигарил маркером от души. Оттерлось почти все кроме чехла на кресло. Но вселенная его спасла 😂 Примерно в этот же момент мне накинули немного денег просто за правильные вопросы к сотрудникам компании за решеную проблему. И вот это я уже наблюдаю не первый раз и все больше понимаю что скилл переговоров может давать отличный результат. Так что совет тем кто "в активном поиске" - задавайте правильные вопросы, собирайте аргументы и приводите факты. 😉
Весьма годный доклад. Схороню тут.
https://www.youtube.com/watch?v=UwzB5a5GrZk&ab_channel=OmarBheda
https://www.youtube.com/watch?v=UwzB5a5GrZk&ab_channel=OmarBheda
YouTube
GitDorker - GitHub Recon Simplified for Bug Bounty, Red Teams, and Penetration Testers
https://github.com/obheda12/GitDorker
https://tinyurl.com/GitDorker
GitDorker is an easy to use tool written in Python that uses a compiled list of GitHub dorks from various sources across the Bug Bounty community to perform automated dorking on GitHub given…
https://tinyurl.com/GitDorker
GitDorker is an easy to use tool written in Python that uses a compiled list of GitHub dorks from various sources across the Bug Bounty community to perform automated dorking on GitHub given…
Выхватил выходной и наконец-то опробовал это чудо инженерной мысли. По итогу это такие эмоции которы вы никогда нигде не испытаете. В какой-то момент кажется что ты играешь в GTA и ввел код на умение летать. В буквальном смысле можно лететь над водой используя возможности подводного крыла. Сначала накрывают эмоции от того что можно ехать на этой штуковине по воде лежа на животе или сидя на коленях. Потом офигеваешь от того что можно ехать стоя как на скейтборде, только по воде. Ну и освоив уверенное управление - открываешь возможность полета над водой. И не спрашивайте сколько это стоит 🙈 Я не покупал если что ))
Отличнай доклад от @neexemil . Своим рисёрчем он заставил понервничать Джэймса Кеттла (батя рисерчей из portswigger). Просто потому что интрига рисёрчей Джэймса держится всегда до больших конференций. И это убивает двух зайцев - делает маркетинг для Portswigger и позволяет просканить интернет на новый вектор атаки. Но видимо теперь интриги у Джэймса не случится:) Спасибо Эмилю за крутой и качественный доклад! https://standoff365.com/phdays10/schedule/tech/http-request-smuggling-via-higher-http-versions/