Знаю что поздно, но не мог не поделиться.

Публикую без уведомлений, надеюсь никто не проснется

Читаем 👉 https://telegra.ph/Povyshenie-privelegij-cherez-komprometaciyu-podpisi-12-17

Чатгпт по подписке:

Свежее исследование за 2025 год звучит как приговор: ваши любимые ИИ-шки выбросили в атмосферу 80 млн тонн CO2.

Чтобы охлаждать свои кипящие серваки, дата-центры высосали 760 млрд литров воды. Пока мир стоит на пороге засухи, бигтехи просто сливают реки в систему охлаждения и ситуация только набирает обороты.

При этом корпорации в наглую шифруются. Реальные цифры могут быть намного хуже...

Мы убиваем экосистему и ускоряем глобальное потепление стахановскими темпами. Зато теперь можно сгенерировать видос с нейро-котятами и бабульками...

Я тут провожу инвентаризацию проектов, и многое хочу поотключать.

Этого бота могу продать вместе с юзернеймом и полной передачей прав за символическую сумму.

Если кто заинтересован, го в лс @everbots

Продано

Тут мини-ctf от журнала xakep, каждый день присылают новую таску в бота @HLxXakepBot

За каждое успешное решение дают ключик, говорят потом эти ключики можно будет обменять на подарки, пока не знаю какие.

К сегодняшней таске дам мини-хинт: нужно сбрутить secret-key для токена, чтобы подменить роль на admin, в админке лежит флаг.

Если нужен детальный разбор или инструкция - только скажите)

Хочу поделиться мощным бесплатным курсом по веб-безопасности.

Курсы такого объема и качества стоят от 100к рублей и выше (я сам чуть не купил аналог на кодебай)

Все разделено на 17 разделов, в каждом есть практическая часть с лабораторками, где вы учитесь выявлять и эксплуатировать уязвимости.

Единственный минус - курс на английском, но я в браузере жму правой кнопкой мыши - "перевести на русский". Смело заявляю, что встроенного перевода более чем достаточно.

Сохраняем:
https://portswigger.net/web-security/learning-paths

Давно хотел познакомиться с опенсорс проектом n8n, и тут как раз подвернулся хороший повод.

Для тех, кто не в курсе: n8n - это оркестратор бэкенда с крутым визуалом. Его можно в пару кликов поднять локально и собирать пайплайны из разных операций без написания кода.

За вечер собрал несколько воркфлоу вообще без единой строки кода, самый первый из них выглядел так:

1. вытащить user_id из базы данных
2. проверить, подписаны ли они на мой тг-канал
3. тем, кто не подписан, отправить сообщение с приглашением.

Сами задачи не суперсложные, но с учётом отладки и тестов на том же Python я бы однозначно потратил больше времени.

При этом, если нужна кастомная логика - ее всегда можно вынести в отдельный сервис или API и просто дергать его из воркфлоу.

В общем, первое касание с n8n считаю положительным.

P.S. если хотите попробовать, но не знаете с чего начать, чатгпт дает просто идеальные инструкции.

Кто-то решил сыграть грязную игру и накрутить мне ботов с утра пораньше.

Без понятия кому я насолил, хорошо что они чистятся нажатием одной кнопки

Проводили экспресс-аудит одного мини-аппа, нашли критические провалы в безопасности:

1. Смогли выполнять действия в боте от лица других пользователей (в том числе от лица админа)

2. Получили доступ к некоторым админским функциям, включая доступ к тестовым окружениям, что кратно увеличивает поверхность атаки

3. Обнаружилась лазейка для выгрузки карточек любого клиента (UUID не спас)

4. AI-промпт бота оказался доступным для перезаписи, что позволило бы злоумышленнику в пару кликов нарушить работу бота

P.S. Большинство проблем уже исправлено, но детали приходится блюрить, чтобы не раскрыть заказчика.