Тут мини-ctf от журнала xakep, каждый день присылают новую таску в бота @HLxXakepBot
За каждое успешное решение дают ключик, говорят потом эти ключики можно будет обменять на подарки, пока не знаю какие.
К сегодняшней таске дам мини-хинт: нужно сбрутить secret-key для токена, чтобы подменить роль на admin, в админке лежит флаг.
Если нужен детальный разбор или инструкция - только скажите)
За каждое успешное решение дают ключик, говорят потом эти ключики можно будет обменять на подарки, пока не знаю какие.
К сегодняшней таске дам мини-хинт: нужно сбрутить secret-key для токена, чтобы подменить роль на admin, в админке лежит флаг.
Если нужен детальный разбор или инструкция - только скажите)
🔥5
Хочу поделиться мощным бесплатным курсом по веб-безопасности.
Курсы такого объема и качества стоят от 100к рублей и выше (я сам чуть не купил аналог на кодебай)
Все разделено на 17 разделов, в каждом есть практическая часть с лабораторками, где вы учитесь выявлять и эксплуатировать уязвимости.
Единственный минус - курс на английском, но я в браузере жму правой кнопкой мыши - "перевести на русский". Смело заявляю, что встроенного перевода более чем достаточно.
Сохраняем:
https://portswigger.net/web-security/learning-paths
Курсы такого объема и качества стоят от 100к рублей и выше (я сам чуть не купил аналог на кодебай)
Все разделено на 17 разделов, в каждом есть практическая часть с лабораторками, где вы учитесь выявлять и эксплуатировать уязвимости.
Единственный минус - курс на английском, но я в браузере жму правой кнопкой мыши - "перевести на русский". Смело заявляю, что встроенного перевода более чем достаточно.
Сохраняем:
https://portswigger.net/web-security/learning-paths
❤6🔥2
Подводить итоги года не буду, нужно резать салатики.
Пусть все плохое останется в 25м, а все хорошее нас ждет в 26м, с наступающим!❤️
Пусть все плохое останется в 25м, а все хорошее нас ждет в 26м, с наступающим!
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉12🥰6💯4❤1
This media is not supported in your browser
VIEW IN TELEGRAM
Давно хотел познакомиться с опенсорс проектом n8n, и тут как раз подвернулся хороший повод.
Для тех, кто не в курсе: n8n - это оркестратор бэкенда с крутым визуалом. Его можно в пару кликов поднять локально и собирать пайплайны из разных операций без написания кода.
За вечер собрал несколько воркфлоу вообще без единой строки кода, самый первый из них выглядел так:
1. вытащить user_id из базы данных
2. проверить, подписаны ли они на мой тг-канал
3. тем, кто не подписан, отправить сообщение с приглашением.
Сами задачи не суперсложные, но с учётом отладки и тестов на том же Python я бы однозначно потратил больше времени.
При этом, если нужна кастомная логика - ее всегда можно вынести в отдельный сервис или API и просто дергать его из воркфлоу.
В общем, первое касание с n8n считаю положительным.
P.S. если хотите попробовать, но не знаете с чего начать, чатгпт дает просто идеальные инструкции.
Для тех, кто не в курсе: n8n - это оркестратор бэкенда с крутым визуалом. Его можно в пару кликов поднять локально и собирать пайплайны из разных операций без написания кода.
За вечер собрал несколько воркфлоу вообще без единой строки кода, самый первый из них выглядел так:
1. вытащить user_id из базы данных
2. проверить, подписаны ли они на мой тг-канал
3. тем, кто не подписан, отправить сообщение с приглашением.
Сами задачи не суперсложные, но с учётом отладки и тестов на том же Python я бы однозначно потратил больше времени.
При этом, если нужна кастомная логика - ее всегда можно вынести в отдельный сервис или API и просто дергать его из воркфлоу.
В общем, первое касание с n8n считаю положительным.
🤔5🤨1🙊1
А еще купил крутой домен hackmyapp.ru, где коротко и наглядно показал, как проходит аудит и в каких форматах работаю (самое время заценить)
Если у вас есть сайт/тг миниапп/приложение, рано или поздно его попытаются взломать. Что будет, если контроль окажется в руках конкурентов?
Предлагаю найти уязвимости раньше них и закрыть дыры как можно скорее
Беру очень ограниченное количество проектов в работу, контакт для связи: @everbots
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7
Проводили экспресс-аудит одного мини-аппа, нашли критические провалы в безопасности:
1. Смогли выполнять действия в боте от лица других пользователей (в том числе от лица админа)
2. Получили доступ к некоторым админским функциям, включая доступ к тестовым окружениям, что кратно увеличивает поверхность атаки
3. Обнаружилась лазейка для выгрузки карточек любого клиента (UUID не спас)
4. AI-промпт бота оказался доступным для перезаписи, что позволило бы злоумышленнику в пару кликов нарушить работу бота
P.S. Большинство проблем уже исправлено, но детали приходится блюрить, чтобы не раскрыть заказчика.
1. Смогли выполнять действия в боте от лица других пользователей (в том числе от лица админа)
2. Получили доступ к некоторым админским функциям, включая доступ к тестовым окружениям, что кратно увеличивает поверхность атаки
3. Обнаружилась лазейка для выгрузки карточек любого клиента (UUID не спас)
4. AI-промпт бота оказался доступным для перезаписи, что позволило бы злоумышленнику в пару кликов нарушить работу бота
❤7🔥3👏1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🥰1
Деплой в пятницу pinned «✨ Наконец-то упаковал услугу по аудиту безопасности в полноценный продукт! А еще купил крутой домен hackmyapp.ru, где коротко и наглядно показал, как проходит аудит и в каких форматах работаю (самое время заценить) Если у вас есть сайт/тг миниапп/приложение…»
Продолжаю закрывать проекты, которыми больше не занимаюсь.
Этот игровой бот в свое время генерил хороший доход, но нужно заниматься продвижением.
Продаю за символическую сумму вместе с юзернеймом и полной передачей прав, за подробностями в лс @everbots
Этот игровой бот в свое время генерил хороший доход, но нужно заниматься продвижением.
Продаю за символическую сумму вместе с юзернеймом и полной передачей прав, за подробностями в лс @everbots
🤔5
Зеркальный лифт 🙂
Когда вы заходите в лифт и привычно поворачиваетесь к зеркалу, чтобы поправить прическу или сделать селфи, вы думаете, что это забота о вашем внешнем виде. На самом деле, вы просто участвуете в одном из самых старых и дешевых UX-экспериментов в истории.
В середине XX века владельцы небоскребов Нью-Йорка столкнулись с проблемой: арендаторы бесконечно жаловались на медленные лифты. Инженеры посчитали бюджет на замену двигателей и перестройку шахт — вышли космические суммы, способные обанкротить здание. Тогда кто-то догадался позвать не механиков, а психологов.
Те быстро выяснили: проблема не в фактическом времени ожидания, а в скуке. Людям повесили зеркала. Жалобы исчезли мгновенно, хотя лифты быстрее не поехали ни на миллиметр.
Это аналог загрузки в приложениях или прогресс-бара. Они не ускоряют интернет, они просто занимают ваш мозг обработкой визуальной информации, чтобы он не начал паниковать от безделья. Пока вы рассматриваете себя или соседа сзади, время субъективно сжимается.
Так что зеркало в лифте — это не про дизайн и не про нарциссизм. Это гениальный пример того, как сэкономить миллионы долларов на «железе», просто перенастроив восприятие пользователя.
Когда вы заходите в лифт и привычно поворачиваетесь к зеркалу, чтобы поправить прическу или сделать селфи, вы думаете, что это забота о вашем внешнем виде. На самом деле, вы просто участвуете в одном из самых старых и дешевых UX-экспериментов в истории.
В середине XX века владельцы небоскребов Нью-Йорка столкнулись с проблемой: арендаторы бесконечно жаловались на медленные лифты. Инженеры посчитали бюджет на замену двигателей и перестройку шахт — вышли космические суммы, способные обанкротить здание. Тогда кто-то догадался позвать не механиков, а психологов.
Те быстро выяснили: проблема не в фактическом времени ожидания, а в скуке. Людям повесили зеркала. Жалобы исчезли мгновенно, хотя лифты быстрее не поехали ни на миллиметр.
Это аналог загрузки в приложениях или прогресс-бара. Они не ускоряют интернет, они просто занимают ваш мозг обработкой визуальной информации, чтобы он не начал паниковать от безделья. Пока вы рассматриваете себя или соседа сзади, время субъективно сжимается.
Так что зеркало в лифте — это не про дизайн и не про нарциссизм. Это гениальный пример того, как сэкономить миллионы долларов на «железе», просто перенастроив восприятие пользователя.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯6👍4
На завтрак был курс по уязвимостям аутентификации.
Интересное наблюдение: даже включенная двухфакторка не гарантирует безопасность, и в этом курсе рассматривается множество способов ее обойти.
Обучение бесплатное, в каждой главе есть практика: https://portswigger.net/web-security/learning-paths/authentication-vulnerabilities
P.S. Если вы хотите защитить свой продукт - рекомендации в последней главе.
Интересное наблюдение: даже включенная двухфакторка не гарантирует безопасность, и в этом курсе рассматривается множество способов ее обойти.
Обучение бесплатное, в каждой главе есть практика: https://portswigger.net/web-security/learning-paths/authentication-vulnerabilities
P.S. Если вы хотите защитить свой продукт - рекомендации в последней главе.
👍6🔥4
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆10🎉3🤣3👌1🌭1🤝1🫡1