А вот и спойлеры приехали на предстоящий доклад Джеймса. Кажется это будет ASCII CDN Smuggling. Вообще я видел уже этот пост о его репорте в Akamai, и догадывался о том что он снова в CDN что-то нашел. Но тут уже слишком жирный спойлер получился.

Полагаю если бы постэксплойтил уязвимость, то вознаграждение могло быть значительно больше чем 200k😁
Вот todayisnew, например, очень долго сидел на xss пойманной в akamai и качественно её монетизировал на bugbounty (пока её триажер не слил).

Но доклады Джеймса не про монетизацию, а про интересные и креативные подходы к разным проблемам. Так что ждем :)

В прошлом году сдавал eWPT и eWPTX. Вместе с доступом к экзаменам оплатил также доступ к платформе на год. Как оказалось, оплата была оформлена как подписка, что было ловко спрятано в оферте. В профиле это тоже было неочевидно, понять, что речь идёт о подписке, было довольно сложно. В итоге через год с удивлением обнаружил, что с меня снова списали деньги, которые я тратить не планировал.

Вендор отказался возвращать средства, ссылаясь на то, что “сам виноват”. Отличный клиентоориентированный подход! Хорошо, что у Revolut есть функция открытия споров с мерчантами в подобных случаях необоснованного обогащения. В результате я вернул свои законные 300 долларов.

Респект Revolut — хорошо, что он вообще есть 🫶

В интересное время живем. Войти-в-айти поменяло тренды.
Ребята из OpenAI показали Codex, который сделает как минимум работу джуна(а может и мидла).

A cloud-based software engineering agent that can work on many tasks in parallel, powered by codex-1. Available to ChatGPT Pro, Team and Enterprise users today, Plus soon.

Вчерашний вечер оказался настолько интересным, что хочется спойлернуть и поделиться с читателями.
В целях был один интересный сервис. И вот в процессе использования этого сервиса нашлись занимательные домены. Домены буквально не принадлежат компании, но в статике или в ссылках попадаются.

А я люблю погулять вне скоупа. Ну так аккуратно, чтоб посмотреть, что происходит и как вообще так получилось, что эти домены дружат.
Итог был невероятным. Сперва нашёлся debug.log, в котором можно было понять весь процесс взаимодействия сервисов. А на другом домене нашлась phpinfo, в которой завалялись креды к CMS на домене local.

В итоге с этим юзером возвращаюсь на основной домен и попадаю в админку по управлению сайтом и предложениями для пользователей. Буквально ночью можно было начать выпуск таких “клубных” карт. Но, думаю, в компании бы не оценили 💁‍♂️
До сих пор не могу поверить, как прогулка по паре совершенно левых доменов закончилась админом на главном сервисе. Респект моему бро за годные идеи 😉

Кажется мы будем все больше и больше видеть новостей про AI-Hacker-agent.

В этот раз команда из s1r1us, rootxharsh и zeyu презентовали свой HacktronAI.

Hacktron is an autonomous security researcher that lives in every part of the software development lifecycle. It finds, triages, and fixes vulnerabilities in codebases, at a fraction of the cost of a penetration test while delivering equivalent results.

Серьезные ребята совершенно точно будут делать серьезные результаты. Можно конечно спекулировать в комментах о том что они там "просто сидят и запускают nuclei". Но я сомневаюсь что ребята из projectdiscovery и cure53 будут заниматься подобной херней.

В 2019 году я познакомился с человеком, который занимался bug bounty играючи. Мне же в тот момент это казалось каким-то сложным процессом. Как можно найти что-то быстрее всех?!
В процессе общения, в июне 2019 года, мы затащили баг в PayPal на $12.600, и внезапно пришло понимание: кажется, я действительно что-то могу.

Почти 6 лет спустя я дотащил свой профиль до 12k Reputation — при этом полностью игнорируя майнинг репутации через бесплатные репорты. Мне всегда казалось это странным занятием.
Невероятно быстро пролетело время. Тогда мне казалось, что это почти невозможно досрелять столько репы, столько валидных репортов, быть замеченным в комьюнити. Надеюсь, впереди ещё много интересного 😉 Следующим рубежом будет Top100 Hackerone. 🤞

Всё так же интересно наблюдать, куда мы катимся с AI-революцией.
Вчерашняя презентация Google Veo 3 заставила задуматься многие продакшн-студии (пример одной из промт-работ)
Теперь не нужно покупать видео на стоках, арендовать студии, камеры ARRI или пилота с дроном DJI Inspire в 8K — всё это больше не требуется.
Однако для меня ценность кинематографа всегда заключалась в том, как это было снято и сколько работы потребовалось для финального результата.
Кажется, я тот человек, который ждёт BTS(Behind-the-scenes) сильнее, чем само кино.
Но останется ли работа над фильмом настолько ценной, чтобы сохранить все эти продакшн-студии?

Для многих компаний встал вопрос на тему - как правильно пользоваться AI продуктами для увеличения эффективности, но при этом не слить кучу конфиденциальной информации.

Вот в Google этим вопросом тоже задавались. И даже запретили внутри Google пользоваться AI продуктами для работы в некоторых проектах. Запрещен был даже собственный Gemini 🤣
Об этом смущенно рассказал сам Сергей Брин. Т.е по каким-то причинам у них было недоверие к собственному продукту пока Брин не узнал об этом, просто случайно обнаружив полиси на внутреннем портале 🙈 Полиси благополучно пофиксили (а человека который это сделал, вероятно уволили).
Продуктивность важнее всего для многих компаний. И запрещатели AI сервисов - это консерваторы и тормоза прогресса.

PS: Весь подкаст достаточно интересный т.к затрагивает многие темы. Даже темы о будущем детей и образовании. Но воспринимать мнения wealth-people на тему собственных детей за чистую монету опасно. Даже если их дети себя не найдут - "old money" их всегда прокормят 💁‍♂️

🎙 Гость этого выпуска — в прошлом fulltime багбаунти-хантер, а теперь — исследователь уязвимостей в Web3.

Прошлый опыт в Web2 был более чем успешным — об этом Антон подробно писал в своём блоге. Как ему удалось достичь таких результатов? Как получилось переключиться на Web3? И как он справился с заморозкой 50 000 $, не впав в депрессию?

Об этом и о многом другом мы поговорили с @skavans в этом выпуске. Спасибо за твой опыт и интересные истории!

📝 P.S. Нам очень важна ваша обратная связь!
Оставляйте комментарии и реакции под роликом — это помогает нам продолжать делать выпуски и звать ещё больше интересных гостей 🙌

Сказ о том как ChatGPT фотки/превьюхи других пользователей сливает 💁‍♂️
Причем сам это признает и даже не краснеет.
В этот раз выпал чей-то велосипед. Но не исключено что в следующий раз выпадут нюдсы 🤨

PS: ссылка на фото - подкаст с Антоном. Но у нас с Антоном точно нет такого велика.

Я тут устроил себе небольшой “отпуск” на несколько дней.
Ну знаете, когда у вас куча идей и планов, но вы всё время откладываете их на потом. А по ночам уже фигачить становится всё сложнее.

В итоге, всего за несколько дней с моим приятелем @andrey_ksnts нашли просто офигенные вещи. Одна из них — на скрине. Честно, почти не помню дисклоузов с подобными проблемами. И то, что мы раскопали — это просто ещё одно напоминание о том, насколько сложен и красив мир микросервисной архитектуры и проксирования запросов.
Не завидую ребятам которые получат этот отчет 🙈

Я тут решил дойти до 1M в ревардах.
Прошу не обращать внимание на валюту 😁
Как говорят - my life, my rules 😎

Тут один исследователь принес интересный баг в обходе скрина блокировки Pixel 9 на Andoid 15.
Чел просто упорно в заблокированном режиме абьюзил менюшку Mobile Gemini - "Спросить Gemini"
В результате некоторых манипуляций ему удалось на заблокированном телефоне установить приложение из стора. Ловкость рук, и никакого мошенства

Мне всегда казалось что это как-то странно пользоваться помощниками на телефоне. Теперь это стало еще и не безопасно 💁‍♂️

В этом году получился действительно интересный челлендж. Помимо цели накопить деньги на ремонт, появилось непреодолимое желание попасть в лидерборды одной из самых сложных программ. Там у ребят и Imperva и Akamai везде где только можно. Ну и просто чтобы вы понимали, кто участвует в этой программе — далеко не новички. Да и сама программа существует уже 7 лет на платформе, с совокупным объёмом выплат более 700к$.

В начале года я получил этот VIP инвайт, и с тех пор удалось войти в топ-10, обойдя довольно серьёзных рисёрчеров. Дальше — топ-5! 🦾
Надеюсь, менеджеры программы не возьмут тайм-аут из-за того, что к ним пришёл какой-то «новичок» и начал выгружать криты по выходным. Единственный минус — максимальный размер выплаты довольно средний. Но ничего, будем брать количеством.

Кажется тут один толковый человек гугл ломанул.
Да так ломанул, что даже заметил последующее событие по инициализации инцидента самим гуглом.
Пойду запасаться попкроном в ожидании посмотрема гугла. Кажется теперь шило в мешке будет сложно утоить из-за столь подробно описанной атаки.

PS: но есть шанс что этот толковый человек на самом деле создал образ что он что-то сломал. т.к пока многое из опубликованного можно классифицировать как made by OpenAI
UPD: произошла классическая история - "fake it till you make it".

Я таки нашел откуда автор предыдущего поста начал свой взлом Гугла.

Filmmaker Max Joseph выпустил интересную работу. С одной стороны кажется что это обычный музыкальный клип про жизнь, любовь и отношения. Однако самое важно в этой работе - последний кадр. И то что работа сделана с использованием VEO.
PS: Это красиво и ужасно одновременно. Ужасно потому что даже я уже с усилием отличу «пластиковую» картинку от настоящей.

От автора: выполнено на раннем доступе Google Veo2 и затрачено на обработку около 250 часов.