Неплохие результаты для одного вечера: один принятый critical и ещё три — в отложке (draft). Ведь все мы знаем, как неприятно видеть дубли там, где их быть не должно. Теперь буду играть через отложенные репорты.
Ипотека — это невероятный двигатель «прогресса». А когда их несколько — это уже целый реактивный двигатель 😂
Ипотека — это невероятный двигатель «прогресса». А когда их несколько — это уже целый реактивный двигатель 😂
🔥42😁11❤5
Наконец-то нашли время и силы чтоб записать новый выпуск. Очередной крутой специалист. И что самое забавное, заинтересовался багхантингом во времена, когда QIWI ставила терминалы на конференциях для промоушена их программы на HackerOne. Успел вынести с багхантинга чуть больше 0.5M$ (в основном client side issues)
Есть предположения кто это? 😏
Есть предположения кто это? 😏
🔥18🥰1
Неудобненько вышло.
Тут пишут что "форк Signal", которую для политиков США делала конторка telemessage.com - внезапно оказалась просто дырой с hardcoded secrets ( “The source code contains hardcoded credentials and other vulnerabilities.” )
Хотя сам telemessage говорит на своем сайте, что у них "Secure Mobile Messaging for Business" ☝️
Теперь я бы поспорил на сколько там secure. Ссылка на рисёрч тут
Не исключено конечно, что ломанули просто another legal entity 😂
PS: Исходник с андроид версии с сайта убрали, хотя ios еще лежит. Но форкнутое нутро уже унесли в публичный гитхаб. На сколько я понял, полный форк помогла сделать бережно оставленная в андроиде ".git". Может кому-то интересно потыкать в поисках гостайны, и информации о том "откуда готовилось нападение".
Тут пишут что "форк Signal", которую для политиков США делала конторка telemessage.com - внезапно оказалась просто дырой с hardcoded secrets ( “The source code contains hardcoded credentials and other vulnerabilities.” )
Хотя сам telemessage говорит на своем сайте, что у них "Secure Mobile Messaging for Business" ☝️
Теперь я бы поспорил на сколько там secure. Ссылка на рисёрч тут
Не исключено конечно, что ломанули просто another legal entity 😂
PS: Исходник с андроид версии с сайта убрали, хотя ios еще лежит. Но форкнутое нутро уже унесли в публичный гитхаб. На сколько я понял, полный форк помогла сделать бережно оставленная в андроиде ".git". Может кому-то интересно потыкать в поисках гостайны, и информации о том "откуда готовилось нападение".
micahflee
Here's the source code for the unofficial Signal app used by Trump officials
💡Update May 4, 2025: I have published quite the follow-up story, if I may say so myself: The Signal Clone the Trump Admin Uses Was Hacked
Update May 6, 2025: I've written a new detailed analysis. The findings are based on the TM SGNL source code and are…
Update May 6, 2025: I've written a new detailed analysis. The findings are based on the TM SGNL source code and are…
😁18👻6😱3🕊1
Тут Шведский элитный хакер Mathias Karlsson(avlidienbrunn) релизнул полезную тулу по тестированию работы систем с архивами.
Archive Alchemist is a tool for creating specially crafted archives to test extraction vulnerabilities.
https://github.com/avlidienbrunn/archivealchemist
Подтвержденный факт, что тулой пользуется Frans Rosén. И очевидно что делали они это активно на сервисах Amazon.
А если эта парочка использует — значит, и нам пора 😉
Archive Alchemist is a tool for creating specially crafted archives to test extraction vulnerabilities.
https://github.com/avlidienbrunn/archivealchemist
Подтвержденный факт, что тулой пользуется Frans Rosén. И очевидно что делали они это активно на сервисах Amazon.
А если эта парочка использует — значит, и нам пора 😉
GitHub
GitHub - avlidienbrunn/archivealchemist: Archive Alchemist is a tool for creating specially crafted archives to test extraction…
Archive Alchemist is a tool for creating specially crafted archives to test extraction vulnerabilities. - avlidienbrunn/archivealchemist
🔥9🤔9
Внимательные читатели вспомнят что ребята из XBOW запустили AI-агента, который умеет собирать баги из приватных и публичных программ на HackerOne. Практически буквально сделали кнопку "Бабло". Которая при этом работает.
На текущий момент их Xbow AI-hacker дострелял до первого места в US Leaderboard в Q2 2025. И теперь уже это выглядит весьма "стремно". Наталкивает на мысли о том что AI уже лучше обычного хакера. Ведь ему как минимум спать не надо. Я конечно так тоже могу, но мне нужен redbull 😁
Но если посмотреть на статистику внимательно, то выходит что основная поляна уязвимостей этого ai-агента - XSS уязвимости. Данный вектор как правило подвластен автоматическим детектам, ну и суммы выплат по XSS как правило средненькие.
Так что расслабляемся, выдыхаем и продолжаем искать серверсайд в пятницу вечером 😉
На текущий момент их Xbow AI-hacker дострелял до первого места в US Leaderboard в Q2 2025. И теперь уже это выглядит весьма "стремно". Наталкивает на мысли о том что AI уже лучше обычного хакера. Ведь ему как минимум спать не надо. Я конечно так тоже могу, но мне нужен redbull 😁
Но если посмотреть на статистику внимательно, то выходит что основная поляна уязвимостей этого ai-агента - XSS уязвимости. Данный вектор как правило подвластен автоматическим детектам, ну и суммы выплат по XSS как правило средненькие.
Так что расслабляемся, выдыхаем и продолжаем искать серверсайд в пятницу вечером 😉
HackerOne
HackerOne profile - xbow
https://www.xbow.com - https://www.xbow.com
❤15😱5👍4😁2🤯2
Дядя Джеймс опять за старое взялся. На этот раз он нашел очередной способ провернуть Desync атаку. Ждем доклад на BlackHat этим летом.
Вероятнее всего ревард с рисёрча в 200к он собрал с крипто-компаний.
В его профиле х1 не заметны крупные фирмы, с которых можно сгрести столько денег.
PS: как-то я устал от "однообразия" его рисёрчей. Удивляет как он в этом интерес сохраняет. Спору нет что его идеи крутые и показывают импакт. Но в твиттере очень точно подметили - "Я начинал учиться в старшей школе, когда вы впервые рассказали об атаках рассинхронизации http. Сейчас я первокурсник в колледже." 💁♂️
Вероятнее всего ревард с рисёрча в 200к он собрал с крипто-компаний.
В его профиле х1 не заметны крупные фирмы, с которых можно сгрести столько денег.
PS: как-то я устал от "однообразия" его рисёрчей. Удивляет как он в этом интерес сохраняет. Спору нет что его идеи крутые и показывают импакт. Но в твиттере очень точно подметили - "Я начинал учиться в старшей школе, когда вы впервые рассказали об атаках рассинхронизации http. Сейчас я первокурсник в колледже." 💁♂️
👍16
А вот и спойлеры приехали на предстоящий доклад Джеймса. Кажется это будет ASCII CDN Smuggling. Вообще я видел уже этот пост о его репорте в Akamai, и догадывался о том что он снова в CDN что-то нашел. Но тут уже слишком жирный спойлер получился.
Полагаю если бы постэксплойтил уязвимость, то вознаграждение могло быть значительно больше чем 200k😁
Вот todayisnew, например, очень долго сидел на xss пойманной в akamai и качественно её монетизировал на bugbounty (пока её триажер не слил).
Но доклады Джеймса не про монетизацию, а про интересные и креативные подходы к разным проблемам. Так что ждем :)
Полагаю если бы постэксплойтил уязвимость, то вознаграждение могло быть значительно больше чем 200k😁
Вот todayisnew, например, очень долго сидел на xss пойманной в akamai и качественно её монетизировал на bugbounty (пока её триажер не слил).
Но доклады Джеймса не про монетизацию, а про интересные и креативные подходы к разным проблемам. Так что ждем :)
❤11
В прошлом году сдавал eWPT и eWPTX. Вместе с доступом к экзаменам оплатил также доступ к платформе на год. Как оказалось, оплата была оформлена как подписка, что было ловко спрятано в оферте. В профиле это тоже было неочевидно, понять, что речь идёт о подписке, было довольно сложно. В итоге через год с удивлением обнаружил, что с меня снова списали деньги, которые я тратить не планировал.
Вендор отказался возвращать средства, ссылаясь на то, что “сам виноват”. Отличный клиентоориентированный подход! Хорошо, что у Revolut есть функция открытия споров с мерчантами в подобных случаях необоснованного обогащения. В результате я вернул свои законные 300 долларов.
Респект Revolut — хорошо, что он вообще есть 🫶
Вендор отказался возвращать средства, ссылаясь на то, что “сам виноват”. Отличный клиентоориентированный подход! Хорошо, что у Revolut есть функция открытия споров с мерчантами в подобных случаях необоснованного обогащения. В результате я вернул свои законные 300 долларов.
Респект Revolut — хорошо, что он вообще есть 🫶
🔥57👍9❤2
В интересное время живем. Войти-в-айти поменяло тренды.
Ребята из OpenAI показали Codex, который сделает как минимум работу джуна(а может и мидла).
Ребята из OpenAI показали Codex, который сделает как минимум работу джуна(а может и мидла).
A cloud-based software engineering agent that can work on many tasks in parallel, powered by codex-1. Available to ChatGPT Pro, Team and Enterprise users today, Plus soon.
😁15
Кажется я рассказывал тут как мой скилл в Linkedin в виде blind xss срабатывал в разных местах и системах.
Пришла эпоха prompt injection в Linkedin Bio 😁.
Уже работает! 🤣
На фото реальная история как HR вернул содержимое etc/passwd, IP и ~/.ssh
PS: Теперь точно без работы не останемся 😁
Пришла эпоха prompt injection в Linkedin Bio 😁.
Уже работает! 🤣
На фото реальная история как HR вернул содержимое etc/passwd, IP и ~/.ssh
PS: Теперь точно без работы не останемся 😁
😁72🔥32🤯5👍2
Вчерашний вечер оказался настолько интересным, что хочется спойлернуть и поделиться с читателями.
В целях был один интересный сервис. И вот в процессе использования этого сервиса нашлись занимательные домены. Домены буквально не принадлежат компании, но в статике или в ссылках попадаются.
А я люблю погулять вне скоупа. Ну так аккуратно, чтоб посмотреть, что происходит и как вообще так получилось, что эти домены дружат.
Итог был невероятным. Сперва нашёлся debug.log, в котором можно было понять весь процесс взаимодействия сервисов. А на другом домене нашлась phpinfo, в которой завалялись креды к CMS на домене local.
В итоге с этим юзером возвращаюсь на основной домен и попадаю в админку по управлению сайтом и предложениями для пользователей. Буквально ночью можно было начать выпуск таких “клубных” карт. Но, думаю, в компании бы не оценили 💁♂️
До сих пор не могу поверить, как прогулка по паре совершенно левых доменов закончилась админом на главном сервисе. Респект моему бро за годные идеи 😉
В целях был один интересный сервис. И вот в процессе использования этого сервиса нашлись занимательные домены. Домены буквально не принадлежат компании, но в статике или в ссылках попадаются.
А я люблю погулять вне скоупа. Ну так аккуратно, чтоб посмотреть, что происходит и как вообще так получилось, что эти домены дружат.
Итог был невероятным. Сперва нашёлся debug.log, в котором можно было понять весь процесс взаимодействия сервисов. А на другом домене нашлась phpinfo, в которой завалялись креды к CMS на домене local.
В итоге с этим юзером возвращаюсь на основной домен и попадаю в админку по управлению сайтом и предложениями для пользователей. Буквально ночью можно было начать выпуск таких “клубных” карт. Но, думаю, в компании бы не оценили 💁♂️
До сих пор не могу поверить, как прогулка по паре совершенно левых доменов закончилась админом на главном сервисе. Респект моему бро за годные идеи 😉
🔥55👍11❤2🕊2👏1💔1
Кажется мы будем все больше и больше видеть новостей про AI-Hacker-agent.
В этот раз команда из s1r1us, rootxharsh и zeyu презентовали свой HacktronAI.
Серьезные ребята совершенно точно будут делать серьезные результаты. Можно конечно спекулировать в комментах о том что они там "просто сидят и запускают nuclei". Но я сомневаюсь что ребята из projectdiscovery и cure53 будут заниматься подобной херней.
В этот раз команда из s1r1us, rootxharsh и zeyu презентовали свой HacktronAI.
Hacktron is an autonomous security researcher that lives in every part of the software development lifecycle. It finds, triages, and fixes vulnerabilities in codebases, at a fraction of the cost of a penetration test while delivering equivalent results.
Серьезные ребята совершенно точно будут делать серьезные результаты. Можно конечно спекулировать в комментах о том что они там "просто сидят и запускают nuclei". Но я сомневаюсь что ребята из projectdiscovery и cure53 будут заниматься подобной херней.
В 2019 году я познакомился с человеком, который занимался bug bounty играючи. Мне же в тот момент это казалось каким-то сложным процессом. Как можно найти что-то быстрее всех?!
В процессе общения, в июне 2019 года, мы затащили баг в PayPal на $12.600, и внезапно пришло понимание: кажется, я действительно что-то могу.
Почти 6 лет спустя я дотащил свой профиль до 12k Reputation — при этом полностью игнорируя майнинг репутации через бесплатные репорты. Мне всегда казалось это странным занятием.
Невероятно быстро пролетело время. Тогда мне казалось, что это почти невозможно досрелять столько репы, столько валидных репортов, быть замеченным в комьюнити. Надеюсь, впереди ещё много интересного 😉 Следующим рубежом будет Top100 Hackerone. 🤞
В процессе общения, в июне 2019 года, мы затащили баг в PayPal на $12.600, и внезапно пришло понимание: кажется, я действительно что-то могу.
Почти 6 лет спустя я дотащил свой профиль до 12k Reputation — при этом полностью игнорируя майнинг репутации через бесплатные репорты. Мне всегда казалось это странным занятием.
Невероятно быстро пролетело время. Тогда мне казалось, что это почти невозможно досрелять столько репы, столько валидных репортов, быть замеченным в комьюнити. Надеюсь, впереди ещё много интересного 😉 Следующим рубежом будет Top100 Hackerone. 🤞
4❤54👍30🔥23👏5👻2
Всё так же интересно наблюдать, куда мы катимся с AI-революцией.
Вчерашняя презентация Google Veo 3 заставила задуматься многие продакшн-студии (пример одной из промт-работ)
Теперь не нужно покупать видео на стоках, арендовать студии, камеры ARRI или пилота с дроном DJI Inspire в 8K — всё это больше не требуется.
Однако для меня ценность кинематографа всегда заключалась в том, как это было снято и сколько работы потребовалось для финального результата.
Кажется, я тот человек, который ждёт BTS(Behind-the-scenes) сильнее, чем само кино.
Но останется ли работа над фильмом настолько ценной, чтобы сохранить все эти продакшн-студии?
Вчерашняя презентация Google Veo 3 заставила задуматься многие продакшн-студии (пример одной из промт-работ)
Теперь не нужно покупать видео на стоках, арендовать студии, камеры ARRI или пилота с дроном DJI Inspire в 8K — всё это больше не требуется.
Однако для меня ценность кинематографа всегда заключалась в том, как это было снято и сколько работы потребовалось для финального результата.
Кажется, я тот человек, который ждёт BTS(Behind-the-scenes) сильнее, чем само кино.
Но останется ли работа над фильмом настолько ценной, чтобы сохранить все эти продакшн-студии?
X (formerly Twitter)
Ben Kusin (@bkvenn) on X
AI video just made a huge leap with Google Veo 3. Creatives are going to have a field day.
We’ve jumped from Commodore 64 to the first PC on the timeline.
We’ve jumped from Commodore 64 to the first PC on the timeline.
👍10
Для многих компаний встал вопрос на тему - как правильно пользоваться AI продуктами для увеличения эффективности, но при этом не слить кучу конфиденциальной информации.
Вот в Google этим вопросом тоже задавались. И даже запретили внутри Google пользоваться AI продуктами для работы в некоторых проектах. Запрещен был даже собственный Gemini 🤣
Об этом смущенно рассказал сам Сергей Брин. Т.е по каким-то причинам у них было недоверие к собственному продукту пока Брин не узнал об этом, просто случайно обнаружив полиси на внутреннем портале 🙈 Полиси благополучно пофиксили (а человека который это сделал, вероятно уволили).
Продуктивность важнее всего для многих компаний. И запрещатели AI сервисов - это консерваторы и тормоза прогресса.
PS: Весь подкаст достаточно интересный т.к затрагивает многие темы. Даже темы о будущем детей и образовании. Но воспринимать мнения wealth-people на тему собственных детей за чистую монету опасно. Даже если их дети себя не найдут - "old money" их всегда прокормят 💁♂️
Вот в Google этим вопросом тоже задавались. И даже запретили внутри Google пользоваться AI продуктами для работы в некоторых проектах. Запрещен был даже собственный Gemini 🤣
Об этом смущенно рассказал сам Сергей Брин. Т.е по каким-то причинам у них было недоверие к собственному продукту пока Брин не узнал об этом, просто случайно обнаружив полиси на внутреннем портале 🙈 Полиси благополучно пофиксили (а человека который это сделал, вероятно уволили).
Продуктивность важнее всего для многих компаний. И запрещатели AI сервисов - это консерваторы и тормоза прогресса.
PS: Весь подкаст достаточно интересный т.к затрагивает многие темы. Даже темы о будущем детей и образовании. Но воспринимать мнения wealth-people на тему собственных детей за чистую монету опасно. Даже если их дети себя не найдут - "old money" их всегда прокормят 💁♂️
😁7👍1😱1
🎙 Гость этого выпуска — в прошлом fulltime багбаунти-хантер, а теперь — исследователь уязвимостей в Web3.
Прошлый опыт в Web2 был более чем успешным — об этом Антон подробно писал в своём блоге. Как ему удалось достичь таких результатов? Как получилось переключиться на Web3? И как он справился с заморозкой 50 000 $, не впав в депрессию?
Об этом и о многом другом мы поговорили с @skavans в этом выпуске. Спасибо за твой опыт и интересные истории!
📝 P.S. Нам очень важна ваша обратная связь!
Оставляйте комментарии и реакции под роликом — это помогает нам продолжать делать выпуски и звать ещё больше интересных гостей 🙌
Прошлый опыт в Web2 был более чем успешным — об этом Антон подробно писал в своём блоге. Как ему удалось достичь таких результатов? Как получилось переключиться на Web3? И как он справился с заморозкой 50 000 $, не впав в депрессию?
Об этом и о многом другом мы поговорили с @skavans в этом выпуске. Спасибо за твой опыт и интересные истории!
📝 P.S. Нам очень важна ваша обратная связь!
Оставляйте комментарии и реакции под роликом — это помогает нам продолжать делать выпуски и звать ещё больше интересных гостей 🙌
YouTube
Антон (skavans) Субботин - из Web2 в Web3, 500.000$ на bug bounty, санкции и жизнь после них.
Антон (skavans) Субботин — автор блога https://news.1rj.ru/str/BugBountyPLZ и один из успешных исследователей СНГ, сумевший заработать более 500 000 $ на платформе HackerOne. Из-за санкций в отношении исследователей из санкционных регионов Антон был вынужден сменить…
🔥34👍16❤7
Я тут устроил себе небольшой “отпуск” на несколько дней.
Ну знаете, когда у вас куча идей и планов, но вы всё время откладываете их на потом. А по ночам уже фигачить становится всё сложнее.
В итоге, всего за несколько дней с моим приятелем @andrey_ksnts нашли просто офигенные вещи. Одна из них — на скрине. Честно, почти не помню дисклоузов с подобными проблемами. И то, что мы раскопали — это просто ещё одно напоминание о том, насколько сложен и красив мир микросервисной архитектуры и проксирования запросов.
Не завидую ребятам которые получат этот отчет 🙈
Ну знаете, когда у вас куча идей и планов, но вы всё время откладываете их на потом. А по ночам уже фигачить становится всё сложнее.
В итоге, всего за несколько дней с моим приятелем @andrey_ksnts нашли просто офигенные вещи. Одна из них — на скрине. Честно, почти не помню дисклоузов с подобными проблемами. И то, что мы раскопали — это просто ещё одно напоминание о том, насколько сложен и красив мир микросервисной архитектуры и проксирования запросов.
Не завидую ребятам которые получат этот отчет 🙈
4🔥27😁8❤5👍3👏2