This media is not supported in your browser
VIEW IN TELEGRAM
Вся жизнь вокруг - программный код
👍36❤31😍30🔥29🥰28👏28🎉24😁23🤯4🥴1
This media is not supported in your browser
VIEW IN TELEGRAM
Офигеть, Quake III Arena 🔥 , в которую я рубился в юности, теперь доступен просто из браузера (и бесплатно)
Можно играть как с ботами, так и полноценный мультиплеер.
Проверил сейчас как работает (видос в посте я заснял) - никаких косяков не нашел. Ну не чудо ли!
Сводить олдскулы здесь
➡️ https://dos.zone/ru/q3/
Можно играть как с ботами, так и полноценный мультиплеер.
Проверил сейчас как работает (видос в посте я заснял) - никаких косяков не нашел. Ну не чудо ли!
Сводить олдскулы здесь
Please open Telegram to view this post
VIEW IN TELEGRAM
👏36🔥32🎉32👍30😁30🥰27❤26😍22
This media is not supported in your browser
VIEW IN TELEGRAM
Оказывается, в маке есть встроенный датчик угла наклона экрана – чел нашел как с него читать данные и привязал к нему звук скрипа двери ¯\_(ツ)_/¯
👏38🥰32😁30😍28👍27🔥27🎉27❤26🤣3
Чел добавил в описание профиля на LinkedIn команду для ИИ: прислать ему рецепт пирога вместе с предложением о работе.
Что могло пойти не так? Все письма от работодателей оказались с рецептом пирога внутри.
То есть подбор сотрудников уже во многом доверяют нейросетям. А если учесть, что резюме сегодня почти все пишут через нейросети, выходит, что один ИИ зовёт на работу другой ИИ, а люди в этом всём нужны чисто для галочки.
Теория мёртвого интернета в действии
Что могло пойти не так? Все письма от работодателей оказались с рецептом пирога внутри.
То есть подбор сотрудников уже во многом доверяют нейросетям. А если учесть, что резюме сегодня почти все пишут через нейросети, выходит, что один ИИ зовёт на работу другой ИИ, а люди в этом всём нужны чисто для галочки.
Теория мёртвого интернета в действии
😁39👍26❤25😍24🥰23🎉22👏20🔥18💔1
This media is not supported in your browser
VIEW IN TELEGRAM
Ссылки стали синими просто потому, что этот цвет нравился их создателю
Об этом рассказал сам Марк Андриссен, главный разработчик первого популярного браузера NCSA Mosaic.
Он не проводил никаких исследований и тестов. Нужно было выбрать один из 256 доступных цветов. Синий понравился, остальные — нет.
И теперь весь мир живёт с этим выбором Марка.
Об этом рассказал сам Марк Андриссен, главный разработчик первого популярного браузера NCSA Mosaic.
Он не проводил никаких исследований и тестов. Нужно было выбрать один из 256 доступных цветов. Синий понравился, остальные — нет.
И теперь весь мир живёт с этим выбором Марка.
😁39❤29😍29👍24🔥23👏21🥰20🎉16
Недавно мой товарищ готовил запуск Telegram-игры, где можно было бы выиграть старсы (внутренняя валюта тг) и выводить их на реальный баланс.
Он попросил поковырять бота и сообщить, если замечу какие-то проблемы.
Удалось обнаружить проблему, позволившую читать .git-директорию. С помощью нее восстановил весь репозиторий, в том числе миграции базы данных, а вычитка кода дала понять, как выигрывать и сливать деньги создателя.
Товарищ этот проект свернул, так и не запустив, а я без новых исследований заскучал.
Легально искать дыры можно только с согласия владельца ресурса, и ждать, когда очередной кент будет готовить новый проект не хотелось.
Радости не было предела, когда я нашел площадки, где можно легально тренироваться и за каждый подтвержденный взлом зарабатывать баллы (самые крутые приглашаются на мероприятия по кибербезу, но думать об этом пока рано).
Появилось желание разбирать некоторые уязвимости и их эксплуатацию здесь. Делаем?
Он попросил поковырять бота и сообщить, если замечу какие-то проблемы.
Удалось обнаружить проблему, позволившую читать .git-директорию. С помощью нее восстановил весь репозиторий, в том числе миграции базы данных, а вычитка кода дала понять, как выигрывать и сливать деньги создателя.
Товарищ этот проект свернул, так и не запустив, а я без новых исследований заскучал.
Легально искать дыры можно только с согласия владельца ресурса, и ждать, когда очередной кент будет готовить новый проект не хотелось.
Радости не было предела, когда я нашел площадки, где можно легально тренироваться и за каждый подтвержденный взлом зарабатывать баллы (самые крутые приглашаются на мероприятия по кибербезу, но думать об этом пока рано).
Появилось желание разбирать некоторые уязвимости и их эксплуатацию здесь. Делаем?
👍20🔥3❤1
Есть такое направление - CTF (Capture The Flag), в переводе «захват флага».
Это игровой формат проверить свои навыки в информационной безопасности. Цель - не только найти и определить уязвимость, но и эксплуатировать ее, чтобы захватить флаг.
Сам флаг - секретная строка, у нее есть строгий формат, например FLAG{тут текст флага}. Формат флага определяет организатор игр.
Выглядит так: например дается сайт задания, ты там регаешься и находишь уязвимость, с помощью которой повышаешь свои привелегии до админа ресурса, и в конфигурациях видишь техническую учетку от базы данных. Подключаешься к ней и замечаешь таблицу s3cret, в которой одна строчка FLAG{y0u_d1d_1t}
Это и есть флаг, и ты выполнил задание.
В следующем посте расскажу про одну крутую CTF команду, которая развернула собственную тренировочную площадку. Все уязвимости на ней - реальные, и с некоторыми из них я сталкивался на реальных проектах.
Это игровой формат проверить свои навыки в информационной безопасности. Цель - не только найти и определить уязвимость, но и эксплуатировать ее, чтобы захватить флаг.
Сам флаг - секретная строка, у нее есть строгий формат, например FLAG{тут текст флага}. Формат флага определяет организатор игр.
Выглядит так: например дается сайт задания, ты там регаешься и находишь уязвимость, с помощью которой повышаешь свои привелегии до админа ресурса, и в конфигурациях видишь техническую учетку от базы данных. Подключаешься к ней и замечаешь таблицу s3cret, в которой одна строчка FLAG{y0u_d1d_1t}
Это и есть флаг, и ты выполнил задание.
В следующем посте расскажу про одну крутую CTF команду, которая развернула собственную тренировочную площадку. Все уязвимости на ней - реальные, и с некоторыми из них я сталкивался на реальных проектах.
🔥9❤3👍2
Легальный взлом, реальные уязвимости, применение эксплойтов - и все это абсолютно бесплатно в формате игры за набор очков и топ рейтинга.
Я не проходил никаких тематических курсов, но любопытство и некий опыт в разработке позволили решить 80% задач по вебу (upd: уже 100%). А кроме веба там еще куча разделов, я даже не знал что в кибербезе столько всего.
Платформу запустила питерская CTF-команда DUCKERZ, активные участники (и часто победители) соревнований по информационной безопасности. Для меня это хороший пример того, как игроки вносят вклад в развитие индустрии.
Ссылка на платформу - duckerz.ru, там же найдете их канал и чат.
Сохраняйте, а лучше регайтесь и попробуйте захватить свой первый флаг👾
Я не проходил никаких тематических курсов, но любопытство и некий опыт в разработке позволили решить 80% задач по вебу (upd: уже 100%). А кроме веба там еще куча разделов, я даже не знал что в кибербезе столько всего.
Платформу запустила питерская CTF-команда DUCKERZ, активные участники (и часто победители) соревнований по информационной безопасности. Для меня это хороший пример того, как игроки вносят вклад в развитие индустрии.
Ссылка на платформу - duckerz.ru, там же найдете их канал и чат.
Сохраняйте, а лучше регайтесь и попробуйте захватить свой первый флаг
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12❤5🥰5
Часто, после завершения соревнований по кибербезопасности, участники (и иногда организаторы) публикуют разборы задач.
Такие разборы называются райтапы (write-up), и вот почему они для нас полезны:
- с их помощью мы сможем понять, какие подходы и инструменты используются сейчас в информационной безопасности
- некоторые уязвимости и особенно их эксплуатация может быть настолько хитрой, что без примера их сложно обуздать
- такой обмен опытом развивает сферу безопасности: участники все опытнее и новые задачи вынуждены становиться качественнее
Кстати, участники CTF соревнований описывают райтапы еще и в качестве доказательства решения, потому что некоторые задания могут быть ну очень сложными, и их решаемость у других участников может вызывать вопросики.
На данный момент я решил 96% задач по вебу с duckerz и могу опубликовать разбор пары самых интересных на мой взгляд (не говоря их названия). Делаем?
Такие разборы называются райтапы (write-up), и вот почему они для нас полезны:
- с их помощью мы сможем понять, какие подходы и инструменты используются сейчас в информационной безопасности
- некоторые уязвимости и особенно их эксплуатация может быть настолько хитрой, что без примера их сложно обуздать
- такой обмен опытом развивает сферу безопасности: участники все опытнее и новые задачи вынуждены становиться качественнее
Кстати, участники CTF соревнований описывают райтапы еще и в качестве доказательства решения, потому что некоторые задания могут быть ну очень сложными, и их решаемость у других участников может вызывать вопросики.
На данный момент я решил 96% задач по вебу с duckerz и могу опубликовать разбор пары самых интересных на мой взгляд (не говоря их названия). Делаем?
1🔥14❤4👍4
Мой первый райтап на таску, где эксплуатируется сразу 2 дыры в безопасности 👇
https://telegra.ph/Pervyj-rajtap-Zahvat-akkaunta--sql-injection-11-23
https://telegra.ph/Pervyj-rajtap-Zahvat-akkaunta--sql-injection-11-23
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤1😁1
Впервые провел аудит безопасности на коммерческой основе.
Проект крупный: набор миниаппов в тг и сайт.
Что удалось сделать:
1. Повысить свои привелегии до администратора проекта
2. Захватить сессию суперпользователя и получить полный контроль над всеми дочерними миниаппами
3. Загрузить рабочий эксплоит на сервера заказчика
4. Найти способ быстро положить прод
В качестве пруфа отправил сообщение от лица их главного бота самому себе и наделал разных скринов с чувствительной информацией.
Очень доволен собой и проделанной работой. По согласованию с заказчиком, я смогу опубликовать обзор проделанных работ, после того как они все пофиксят.
Проект крупный: набор миниаппов в тг и сайт.
Что удалось сделать:
1. Повысить свои привелегии до администратора проекта
2. Захватить сессию суперпользователя и получить полный контроль над всеми дочерними миниаппами
3. Загрузить рабочий эксплоит на сервера заказчика
4. Найти способ быстро положить прод
В качестве пруфа отправил сообщение от лица их главного бота самому себе и наделал разных скринов с чувствительной информацией.
Очень доволен собой и проделанной работой. По согласованию с заказчиком, я смогу опубликовать обзор проделанных работ, после того как они все пофиксят.
10🔥12🕊2❤1
Ну какова красота, запилил вчера вечером свой первый отчет 👾
Пока все не пофиксят фулл скинуть не могу, но думаю после праздников смогу рассказать тут все в деталях
Пока все не пофиксят фулл скинуть не могу, но думаю после праздников смогу рассказать тут все в деталях
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8🙊2😐1🫡1