Задумал тут собрать докладик, но что-то годные идеи не рожаются. Боянить не хочется. А почти все истории с какервана - приватные. И че делать - вообще фиг знает. Т.к вы тут подписаны все не просто так - может подкинете идей что бы хотели послушать? 🙂
PS: "Как переехать в Германию" в качестве темы доклада не предлагать 😄
PS: "Как переехать в Германию" в качестве темы доклада не предлагать 😄
В немеции отмечали пасху и у меня случились затяжные выходные. Вся страна отдыхала с пятницы по понедельник включительно. При этом с учетом всяких локдаунов ощущение что это был отдых от отдыха. Ну я тоже искренне пытался отдыхать. И в один из дней мы даже взяли тачку в аренду. Машина без крыши - это кайф. После этого меня опять зацепила тема с машиной и я полез смотреть объявления. Но нашел я не машину, а critical security issue. У сервиса оказалась багбаунти программа на zerocopter. И это оказывается такое дно. Отчет нельзя отправить если: у тебя слишком много информации (превышение лимита символов); если у тебя attachments свыше 10мб; если у тебя спецсимволы по типу ń,ö... Кому вообще в голову пришло городить такие ограничения в месте, где наоборот ожидается как можно больше информации для повторения обнаруженной проблемы.
Для тех кто так и не купил подписку на твиче(например я) - можно уже не покупать 😁
NahamCon2021 выложили на ютубчик.
Ну и самое интересное как мне кажется - это докладик Hacking IIS.
Погнали нажимать колокольчик и палец вверх 😉
https://www.youtube.com/playlist?list=PLKAaMVNxvLmDlzMK3NK0HoI7A3C8WtYNQ
NahamCon2021 выложили на ютубчик.
Ну и самое интересное как мне кажется - это докладик Hacking IIS.
Погнали нажимать колокольчик и палец вверх 😉
https://www.youtube.com/playlist?list=PLKAaMVNxvLmDlzMK3NK0HoI7A3C8WtYNQ
Между делом у меня закрыли какие-то старые репорты и случилась магия цифр. Жмите палец вверх и колокольчик, если найдете конечно 😁
https://twitter.com/Krevetk0Valeriy/status/1380152941433253903?s=20
https://twitter.com/Krevetk0Valeriy/status/1380152941433253903?s=20
Twitter
Valeriy
I am happy to be a valuable member of the Hackerone community. Celebrating my 3k reputation score today 💥#togetherwehitharder #hackerone
Воспользуюсь так сказать своей медийностью. И буду всем признателен за лайки и ретвиты:) Этой индустрии нужен профсоюз и перемены в правилах игры.
https://twitter.com/Krevetk0Valeriy/status/1385128838066278402?s=20
https://twitter.com/Krevetk0Valeriy/status/1385128838066278402?s=20
Twitter
Valeriy
Program employees did some mistakes in evaluating my critical reports.When I asked through the email that I took in the program policy to reopen the old report because it wasn't fixed and reproduced again - I was kicked out of the program. I was in the top…
Мне тут сын подпортил настроение пока я утром уборку делал. Взял аудиосказки на телефоне и ушел в комнату где нет шума. Плюс прихватил с собой маркер. Аудио-Сказки отключили мозги и он нафигарил маркером от души. Оттерлось почти все кроме чехла на кресло. Но вселенная его спасла 😂 Примерно в этот же момент мне накинули немного денег просто за правильные вопросы к сотрудникам компании за решеную проблему. И вот это я уже наблюдаю не первый раз и все больше понимаю что скилл переговоров может давать отличный результат. Так что совет тем кто "в активном поиске" - задавайте правильные вопросы, собирайте аргументы и приводите факты. 😉
Весьма годный доклад. Схороню тут.
https://www.youtube.com/watch?v=UwzB5a5GrZk&ab_channel=OmarBheda
https://www.youtube.com/watch?v=UwzB5a5GrZk&ab_channel=OmarBheda
YouTube
GitDorker - GitHub Recon Simplified for Bug Bounty, Red Teams, and Penetration Testers
https://github.com/obheda12/GitDorker
https://tinyurl.com/GitDorker
GitDorker is an easy to use tool written in Python that uses a compiled list of GitHub dorks from various sources across the Bug Bounty community to perform automated dorking on GitHub given…
https://tinyurl.com/GitDorker
GitDorker is an easy to use tool written in Python that uses a compiled list of GitHub dorks from various sources across the Bug Bounty community to perform automated dorking on GitHub given…
Выхватил выходной и наконец-то опробовал это чудо инженерной мысли. По итогу это такие эмоции которы вы никогда нигде не испытаете. В какой-то момент кажется что ты играешь в GTA и ввел код на умение летать. В буквальном смысле можно лететь над водой используя возможности подводного крыла. Сначала накрывают эмоции от того что можно ехать на этой штуковине по воде лежа на животе или сидя на коленях. Потом офигеваешь от того что можно ехать стоя как на скейтборде, только по воде. Ну и освоив уверенное управление - открываешь возможность полета над водой. И не спрашивайте сколько это стоит 🙈 Я не покупал если что ))
Отличнай доклад от @neexemil . Своим рисёрчем он заставил понервничать Джэймса Кеттла (батя рисерчей из portswigger). Просто потому что интрига рисёрчей Джэймса держится всегда до больших конференций. И это убивает двух зайцев - делает маркетинг для Portswigger и позволяет просканить интернет на новый вектор атаки. Но видимо теперь интриги у Джэймса не случится:) Спасибо Эмилю за крутой и качественный доклад! https://standoff365.com/phdays10/schedule/tech/http-request-smuggling-via-higher-http-versions/
Видать я слоупок. Но ранее не натыкался на этот удобный тул для валидации s3, sftp, ldap. Оставлю тут.
https://github.com/mickael-kerjean/filestash
https://github.com/mickael-kerjean/filestash
GitHub
GitHub - mickael-kerjean/filestash: :file_folder: What Dropbox should have been if it was based on SFTP, S3, FTP, WebDAV, Git,…
:file_folder: What Dropbox should have been if it was based on SFTP, S3, FTP, WebDAV, Git, and more - mickael-kerjean/filestash
Такой ад читать подобное.
https://www.bellingcat.com/news/2021/05/28/us-soldiers-expose-nuclear-weapons-secrets-via-flashcard-apps/
https://www.bellingcat.com/news/2021/05/28/us-soldiers-expose-nuclear-weapons-secrets-via-flashcard-apps/
bellingcat
US Soldiers Expose Nuclear Weapons Secrets Via Flashcard Apps - bellingcat
Online study aids used by US soldiers contained detailed information about base security and the location of nuclear devices in Europe.
Я прям уверен что тут собрались не самые глупые люди. Но даже самый умный человек этого канала будет в замешательстве от данного ролика 🤪
https://youtu.be/jyQwgBAaBag
https://youtu.be/jyQwgBAaBag
YouTube
Risking My Life To Settle A Physics Debate
Even some physics professors say this craft breaks the laws of physics. This video is sponsored by Kiwico, For 50% off your first month of any subnoscription crate from KiwiCo (available in 40 countries!) head to https://www.kiwico.com/Veritasium50
▀▀▀…
▀▀▀…
В конце мая 2019 я запостил на хабре статейку с результатами одного проекта. В статейке я намеренно оставил свой blind xss payload. И стал ждать, а где же еще он потом сможет выстрелить. Удивлению небыло предела. В панель xss hunter полетели скрины всяких админок сервисов с весьма противоречивой тематикой(пробив, наркотики и.т.д.). Все без разбора пошли копипастить javanoscript и пихать куда не лень. Была даже очень забавная история, когда Фуад(он же "хозяин") начал пихать мой вектор в какую-то форму логина(реализовав self xss) тем самым слив мне свой чистый айпишник. А потом начал писать мне в телегу с вопросами за xss и как из нее вебшел можно сделать. Сегодня список великолепия пополнил очередной "воин" интернета, зачем-то запихав вектор на сайтике чистящих средств "Абсолют". 🤦♂️