Если ты подключен к SSH и хочешь скрыть, что делалось на машине, полезно после всех действий выполнить
Это убет собственный процесс, а последние команды в .bash_history не запишутся.
Или можно ввести
kill -9 $$Это убет собственный процесс, а последние команды в .bash_history не запишутся.
Или можно ввести
unset HISTFILE (с пробелом в начале), чтобы не писать в историю вовсе.❤🔥1
Кстати, ночью стартует HackQuest!
http://www.phdays.ru/press/news/46226/
Будет много веба, задача - найти уязвимость, успешно ее проэксплуатировать и достать некий секрет (он же флаг).
Даже если не собираешься что-то выигрывать, можешь попробовать найти уязимости на одном из сайтов, задания будут как легкие, так и хардкорные.
Когда стартанём, еще разок напомню ;)
http://www.phdays.ru/press/news/46226/
Будет много веба, задача - найти уязвимость, успешно ее проэксплуатировать и достать некий секрет (он же флаг).
Даже если не собираешься что-то выигрывать, можешь попробовать найти уязимости на одном из сайтов, задания будут как легкие, так и хардкорные.
Когда стартанём, еще разок напомню ;)
❤🔥1
Итак, стартует HackQuest
telegram.me/wlrm_phd_hq_bot
А вот и ссылка на участие :)
Да-да, прямо в telegram!
Удачи!
telegram.me/wlrm_phd_hq_bot
А вот и ссылка на участие :)
Да-да, прямо в telegram!
Удачи!
Telegram
PHDays VI. HackQuest bot
You can contact @WLRM_PHD_HQ_bot right away.
❤🔥1
Поздравляем победителей HackQuest'а!
1. 11000 firsov
2. 8300 cdump
3. 8300 DarkCaT
4. 8300 rrockru
5. 7000 invent
6. 7000 MERRON
7. 6200 FessDom
8. 5900 AV1ct0r
9. 5500 kreon
10. 5300 yngwie007
❤🔥1
Трансляция 12 встречи #DC7499 доступна по ссылке https://youtu.be/F5p_NW5q48M
Программа докладов http://defcon.su/12/
Программа докладов http://defcon.su/12/
❤🔥1
Недавно наткнулся на расширение файла php7.
http://lab.onsec.ru/2016/04/new-php-extensions-should-be-hardcoded.html
http://lab.onsec.ru/2016/04/new-php-extensions-should-be-hardcoded.html
❤🔥1
Атакуя с помощью XSS, можно динамически подменить текущий url страницы в пределах одного сайта.
Делается это так:
Очень эффективно отобразить фейковое окно аутентификации (мол, сессия твоя истекла) и подменить url. Запоминалки паролей заполнят нужные поля, да и рядовой юзер (даже продвинутый) поведётся на фейк внутри лигитимного сайта. Я бы повёлся. И ты.
Так убиваются два зайца (царствие им небесное) - не требуется воровать cookie, так как они в большинстве случаев уже с флагом HttpOnly и атакующий получает пароли plaintext'ом!
Делается это так:
window.history.replaceState(null, '', 'https://site.com/login');Очень эффективно отобразить фейковое окно аутентификации (мол, сессия твоя истекла) и подменить url. Запоминалки паролей заполнят нужные поля, да и рядовой юзер (даже продвинутый) поведётся на фейк внутри лигитимного сайта. Я бы повёлся. И ты.
Так убиваются два зайца (царствие им небесное) - не требуется воровать cookie, так как они в большинстве случаев уже с флагом HttpOnly и атакующий получает пароли plaintext'ом!
1
Forwarded from Hacker News
У порносайта Pornhub появилась программа вознаграждений за уязвимости!
https://goo.gl/YzYBM2
https://goo.gl/YzYBM2
HackerOne
Pornhub - Bug Bounty Program | HackerOne
The Pornhub Bug Bounty Program enlists the help of the hacker community at HackerOne to make Pornhub more secure. HackerOne is the #1 hacker-powered security platform, helping organizations find and fix critical vulnerabilities before they can be criminally…
Уязвимость в Linkedin. Этичный хакер или злоумышленник?
https://bo0om.ru/linkedins-million-dollar-bug
https://bo0om.ru/linkedins-million-dollar-bug
❤🔥1
Кавычка
Массовый взлом telegram на PHDays https://bo0om.ru/telegram-love-phdays
Получил выплату от telegram за найденные уязвимости (хоть они и были некритичные). Приятно.
❤🔥1
SOP bypass под Firefox. Та самая штука, которая позволяет злоумышленнику, например, похищать информацию с других вкладок браузера. Или выполнять действия от имени пользователя.
http://blog.bentkowski.info/2016/07/firefox-same-origin-policy-bypass-cve.html
http://blog.bentkowski.info/2016/07/firefox-same-origin-policy-bypass-cve.html
❤🔥1
Forwarded from Hacker News
Как поступить с найденной уязвимостью и что делать если нет Bug Bounty программы?
http://goo.gl/fFN7SI
http://goo.gl/fFN7SI
Хабр
Как поступить с найденной уязвимостью и что делать если нет Bug Bounty программы?
Если у вас есть информация об уязвимости и вы думаете сколько благодарности за нее вы сможете получить, то ни в коем случае не берите пример со случаев с такими...
Hacker News
Как поступить с найденной уязвимостью и что делать если нет Bug Bounty программы? http://goo.gl/fFN7SI
Бомбит от этих псевдогероев. Алчные шлюхи, которые позорят имя хакера, "продавая" свои уязвимости шантажируя компании, прикрываясь глупыми аргументами:
- за любую работу нужно платить
Нет. Если тебя не просили ломать сайт, какого хера ты требуешь деньги за найденные уязвимости. Одна компания проводит конкурс на взлом сейфа. А другая, допустим, ателье, просто пользуется сейфом, хранит там документацию. Вместо того, чтобы законно исследовать как работают сейфы и помочь первой компании, да ещё и за вознаграждение - ты идёшь ломать ателье. Через отверстие в стене достаешь документы о покупателях и требуешь деньги. Ну не мудак ли?
- ну это же компания, у них есть деньги
Не привыкай считать чужие деньги. И деньги эти не у разработчиков. Они получают свою зарплату и не могут позволить раздавать деньги из своего кошелька. Если нет бюджета - с этим ничего не поделаешь. Представь, ты приходишь домой, а у тебя открыта дверь. Сидит бомж, и говорит - плати. Ты богат, я нашёл уязвимость в твоей двери. Будешь платить?)
Пугает то, что общественность поддакивает таким выродкам.
Простите
- за любую работу нужно платить
Нет. Если тебя не просили ломать сайт, какого хера ты требуешь деньги за найденные уязвимости. Одна компания проводит конкурс на взлом сейфа. А другая, допустим, ателье, просто пользуется сейфом, хранит там документацию. Вместо того, чтобы законно исследовать как работают сейфы и помочь первой компании, да ещё и за вознаграждение - ты идёшь ломать ателье. Через отверстие в стене достаешь документы о покупателях и требуешь деньги. Ну не мудак ли?
- ну это же компания, у них есть деньги
Не привыкай считать чужие деньги. И деньги эти не у разработчиков. Они получают свою зарплату и не могут позволить раздавать деньги из своего кошелька. Если нет бюджета - с этим ничего не поделаешь. Представь, ты приходишь домой, а у тебя открыта дверь. Сидит бомж, и говорит - плати. Ты богат, я нашёл уязвимость в твоей двери. Будешь платить?)
Пугает то, что общественность поддакивает таким выродкам.
Простите
1🔥3
Agava - забавный хостинг. Сломали мне блог, но в замен дали доступ на 400+ других сайтов :D
https://bo0om.ru/shared-hosting
https://bo0om.ru/shared-hosting
❤🔥1
Ребята из Vulners выпустили агентный opensource сканер безопасности для Redhat и Debian семейств линуксов.
Он не делает магии, не делает пентеста, а просто смотрит установленные пакеты и говорит какие из них уязвимы.
И в отличии от того же Nessus не тратит на это два часа - проверка занимает буквально миллисекунды!
Красная таблетка: https://vulners.com/#audit
Синяя таблетка: https://github.com/videns/vulners-scanner
Он не делает магии, не делает пентеста, а просто смотрит установленные пакеты и говорит какие из них уязвимы.
И в отличии от того же Nessus не тратит на это два часа - проверка занимает буквально миллисекунды!
Красная таблетка: https://vulners.com/#audit
Синяя таблетка: https://github.com/videns/vulners-scanner
GitHub
GitHub - videns/vulners-scanner: Vulnerability scanner based on vulners.com audit API
Vulnerability scanner based on vulners.com audit API - videns/vulners-scanner
❤🔥1