#Статья
Как скрытый GitHub-токен принес $50 000 в Bug Bounty
👉 В статье рассказывается, как скрытый GitHub-токен в публичном приложении привел к критической уязвимости, за которую исследователь получил $50 000 Bug Bounty. Исследователь обнаружил хардкоденный персональный токен доступа (PAT) в Electron-приложении, который давал чтение и запись в приватные репозитории компании. Это открывало путь для кражи кода, внедрения бэкдоров и компрометации инфраструктуры.
Представляю лицо баг-хантеров😁
⏱️ Время чтения: 6 минут
Как скрытый GitHub-токен принес $50 000 в Bug Bounty
👉 В статье рассказывается, как скрытый GitHub-токен в публичном приложении привел к критической уязвимости, за которую исследователь получил $50 000 Bug Bounty. Исследователь обнаружил хардкоденный персональный токен доступа (PAT) в Electron-приложении, который давал чтение и запись в приватные репозитории компании. Это открывало путь для кражи кода, внедрения бэкдоров и компрометации инфраструктуры.
⏱️ Время чтения: 6 минут
Telegraph
Как скрытый GitHub-токен принес $50 000 в Bug Bounty
Опасность хардкодинга секретов — как простая ошибка может поставить под угрозу всю компанию. Введение Хардкодинг секретов, таких как API-ключи и токены доступа, является одной из самых серьезных угроз безопасности в разработке программного обеспечения. Если…
#Статья
Как я заработал $2000 на простой уязвимости
👉 В статье рассказывается, как исследователь обнаружил критическую уязвимость обхода OTP в известном сервисе такси и заработал $2000 Bug Bounty. Приложение принимало "0000" как валидный OTP, позволяя злоумышленнику сменить номер телефона в аккаунте без верификации. Это открывало возможность для захвата учетных записей, удаления аккаунтов и мошенничества с поездками.
⏱️ Время чтения: 4 минуты
Как я заработал $2000 на простой уязвимости
👉 В статье рассказывается, как исследователь обнаружил критическую уязвимость обхода OTP в известном сервисе такси и заработал $2000 Bug Bounty. Приложение принимало "0000" как валидный OTP, позволяя злоумышленнику сменить номер телефона в аккаунте без верификации. Это открывало возможность для захвата учетных записей, удаления аккаунтов и мошенничества с поездками.
⏱️ Время чтения: 4 минуты
Telegraph
💰 Как я заработал $2000 на простой уязвимости 🐞
Сегодня у меня новый разбор уязвимости. На этот раз речь пойдет об обходе OTP, который мог привести к массовым захватам аккаунтов в известном сервисе такси. Давайте разбираться! 🕵️♂️💻 🔍 Уязвимость: обход OTP при обновлении номера телефона Я обнаружил критическую…
#Статья
Google допустил ошибку: простой IDOR, оцененный в $3,133.7
👉 В статье рассказывается, как простая уязвимость IDOR в сервисе Google позволяла получить доступ к приватным файлам в Google Drive, просто изменяя file ID в запросе. Google повысил приоритет уязвимости до P2 и спустя три недели выплатил исследователю $3,133.70.
⏱️ Время чтения: 4 минуты
Google допустил ошибку: простой IDOR, оцененный в $3,133.7
👉 В статье рассказывается, как простая уязвимость IDOR в сервисе Google позволяла получить доступ к приватным файлам в Google Drive, просто изменяя file ID в запросе. Google повысил приоритет уязвимости до P2 и спустя три недели выплатил исследователю $3,133.70.
⏱️ Время чтения: 4 минуты
Telegraph
Google допустил ошибку: простой IDOR, оцененный в $3,133.7
В 2019 году, когда я только начал изучать хакинг и Bug Bounty, у меня была мечта попасть в Зал Славы Google. 💡 Почему? Потому что продукты Google повсюду — миллиарды людей используют их каждый день, и мне казалось крутым быть среди тех, кто делает их безопаснее.…
#Статья
Продвинутый поиск секретов: как находить утекшие учетные данные в нестандартных местах
👉 В статье разобраны продвинутые методы поиска утекших учетных данных, включая дампы памяти, сетевой трафик, облачные хранилища, CI/CD пайплайны, Docker-контейнеры и OSINT-инструменты, которые помогают находить API-ключи, токены и пароли.
⏱️ Время чтения: 7 минут
Продвинутый поиск секретов: как находить утекшие учетные данные в нестандартных местах
👉 В статье разобраны продвинутые методы поиска утекших учетных данных, включая дампы памяти, сетевой трафик, облачные хранилища, CI/CD пайплайны, Docker-контейнеры и OSINT-инструменты, которые помогают находить API-ключи, токены и пароли.
⏱️ Время чтения: 7 минут
Telegraph
Продвинутый поиск секретов: как находить утекшие учетные данные в нестандартных местах
Как хакеры и исследователи безопасности обнаруживают скрытые API-ключи, токены и учетные данные? Введение Хотя поиск хардкоденных API-ключей и учетных данных в исходном коде — распространенная практика, опытные исследователи безопасности выходят за рамки…
#Статья
Извлечение конфиденциальных данных из GraphQL
👉 В статье разобраны методы атак на неправильно настроенные GraphQL API, позволяющие извлекать скрытые API-запросы, пользовательские данные, приватные отчеты и API-ключи, а также даны рекомендации по защите от утечек.
⏱️ Время чтения: 5 минут
Извлечение конфиденциальных данных из GraphQL
👉 В статье разобраны методы атак на неправильно настроенные GraphQL API, позволяющие извлекать скрытые API-запросы, пользовательские данные, приватные отчеты и API-ключи, а также даны рекомендации по защите от утечек.
⏱️ Время чтения: 5 минут
Telegraph
Извлечение конфиденциальных данных из GraphQL
Как атакующие используют ошибки конфигурации GraphQL API для поиска чувствительной информации? Введение GraphQL API широко используется благодаря своей гибкости, но ошибки конфигурации могут привести к утечке конфиденциальных данных. 📌 Что могут извлечь атакующие…
#Статья
Как найти свой первый легкий баг в Bug Bounty (Пошаговое руководство) на реальных сайтах
👉 В статье разобраны простые шаги для новичков в Bug Bounty, включая выбор правильной цели, поиск уязвимостей на React-сайтах, тестирование OTP Rate-limiting и утечек приватных ключей, чтобы быстро найти свой первый баг.
⏱️ Время чтения: 5 минут
Как найти свой первый легкий баг в Bug Bounty (Пошаговое руководство) на реальных сайтах
👉 В статье разобраны простые шаги для новичков в Bug Bounty, включая выбор правильной цели, поиск уязвимостей на React-сайтах, тестирование OTP Rate-limiting и утечек приватных ключей, чтобы быстро найти свой первый баг.
⏱️ Время чтения: 5 минут
Telegraph
Как найти свой первый легкий баг в Bug Bounty (Пошаговое руководство) на реальных сайтах
Ну что ж, я вернулся! После долгого перерыва разбираем одну из самых популярных тем — как найти самые простые баги на сайтах, которые иногда даже приносят награды! 💰 📌 Эти уязвимости настолько просты, что их может найти каждый, даже без опыта. 📌 Гарантирую…
#Статья
Обзор SafeLine WAF: Необходимый инструмент для веб-безопасности?
👉 В статье разобран SafeLine WAF – простой в установке веб-фаервол, защищающий сайты от SQL-инъекций, XSS, ботов и DDoS-атак, с бесплатной версией для личных проектов и премиум-функциями для бизнеса.
⏱️ Время чтения: 6 минут
Обзор SafeLine WAF: Необходимый инструмент для веб-безопасности?
👉 В статье разобран SafeLine WAF – простой в установке веб-фаервол, защищающий сайты от SQL-инъекций, XSS, ботов и DDoS-атак, с бесплатной версией для личных проектов и премиум-функциями для бизнеса.
⏱️ Время чтения: 6 минут
Telegraph
Обзор SafeLine WAF: Необходимый инструмент для веб-безопасности?
Мой опыт использования SafeLine WAF: стоит ли его применять, и что делает его особенным? Несколько недель назад я проснулся и увидел тревожное сообщение от друга. Его веб-сайт, на который он потратил месяцы разработки, был взломан. 🚨 Что произошло? Пользователи…
#Статья
Как логическая ошибка позволила злоумышленникам захватить учетные записи
👉 В статье описывается, как логическая ошибка в системе аутентификации веб-сайта позволила злоумышленникам обходить двухфакторную аутентификацию и захватывать учетные записи пользователей, используя уязвимость в механизме изменения адреса электронной почты и управления сессиями.
⏱️ Время чтения: 3 минуты
Как логическая ошибка позволила злоумышленникам захватить учетные записи
👉 В статье описывается, как логическая ошибка в системе аутентификации веб-сайта позволила злоумышленникам обходить двухфакторную аутентификацию и захватывать учетные записи пользователей, используя уязвимость в механизме изменения адреса электронной почты и управления сессиями.
⏱️ Время чтения: 3 минуты
Telegraph
Как логическая ошибка позволила злоумышленникам захватить учетные записи
Введение Двухфакторная аутентификация (2FA) является важной мерой безопасности, которая добавляет дополнительный уровень защиты помимо использования имени пользователя и пароля. Однако недавно раскрытая уязвимость на сайте Drugs.com продемонстрировала значительный…
#Статья
Простые методы обхода 2FA для начинающих
👉 В статье рассматриваются распространенные методы обхода двухфакторной аутентификации (2FA), такие как фишинг, атаки «человек посередине», подмена SIM-карты, захват сеанса и социальная инженерия, а также предлагаются меры защиты от этих угроз.
⏱️ Время чтения: 5 минут
Простые методы обхода 2FA для начинающих
👉 В статье рассматриваются распространенные методы обхода двухфакторной аутентификации (2FA), такие как фишинг, атаки «человек посередине», подмена SIM-карты, захват сеанса и социальная инженерия, а также предлагаются меры защиты от этих угроз.
⏱️ Время чтения: 5 минут
Telegraph
Простые методы обхода 2FA для начинающих
Понимание общих слабых мест двухфакторной аутентификации и способов их использования злоумышленниками Введение Двухфакторная аутентификация (2FA) – это мера безопасности, предназначенная для добавления дополнительного уровня защиты помимо пароля. Она широко…
#Статья
Уязвимость в GraphQL: как ошибка конфигурации привела к утечке данных и награде в $25 000
👉 В этой статье разобран случай, когда ошибка в конфигурации GraphQL позволила неавторизованным пользователям получить доступ к конфиденциальным данным частных баг-баунти программ. Это привело к утечке информации и принесло исследователю вознаграждение в $25 000.
⏱️ Время чтения: 6 минут
Уязвимость в GraphQL: как ошибка конфигурации привела к утечке данных и награде в $25 000
👉 В этой статье разобран случай, когда ошибка в конфигурации GraphQL позволила неавторизованным пользователям получить доступ к конфиденциальным данным частных баг-баунти программ. Это привело к утечке информации и принесло исследователю вознаграждение в $25 000.
⏱️ Время чтения: 6 минут
Telegraph
Уязвимость в GraphQL: как ошибка конфигурации привела к утечке данных и награде в $25 000
Введение GraphQL — мощный язык запросов API, который позволяет клиентам получать именно те данные, которые им нужны. Однако ошибки в его настройке могут привести к утечке конфиденциальной информации, раскрытию деталей закрытых программ и внутренней структуры…
Привет, друзья!)
Узнал, что стартовала продажа билетов на закрытую часть Positive Hack Days, который пройдет 22–24 мая в «Лужниках»! Это хорошая возможность послушать экспертные доклады и дискуссии, пообщаться с топовыми специалистами и завести полезные знакомства.
Билет можно приобрести, сделав пожертвование от 1500 рублей в один из благотворительных фондов — «Подари жизнь», «Улица Мира» или «Старость в радость». Все средства от продажи билетов пойдут на благотворительность.
Подробности тут: https://phdays.com/ru/
Помимо закрытой части, будет и бесплатная зона с научно-популярной программой, интерактивными инсталляциями, квестами и другими активностями!
До встречи на PHDays! Сам там буду и вам советую!🫶
Узнал, что стартовала продажа билетов на закрытую часть Positive Hack Days, который пройдет 22–24 мая в «Лужниках»! Это хорошая возможность послушать экспертные доклады и дискуссии, пообщаться с топовыми специалистами и завести полезные знакомства.
Билет можно приобрести, сделав пожертвование от 1500 рублей в один из благотворительных фондов — «Подари жизнь», «Улица Мира» или «Старость в радость». Все средства от продажи билетов пойдут на благотворительность.
Подробности тут: https://phdays.com/ru/
Помимо закрытой части, будет и бесплатная зона с научно-популярной программой, интерактивными инсталляциями, квестами и другими активностями!
До встречи на PHDays! Сам там буду и вам советую!
Please open Telegram to view this post
VIEW IN TELEGRAM
#Статья
От нуля до героя: Охота на высокооплачиваемые уязвимости Open Redirect в веб-приложениях
👉 В статье представлен подробный гайд по поиску и эксплуатации уязвимостей типа Open Redirect в веб-приложениях — с разбором ручного и автоматизированного тестирования, обхода фильтров, а также подборкой полезных команд и приёмов для фильтрации и ускорения поиска.
⏱️ Время чтения: 14 минут
От нуля до героя: Охота на высокооплачиваемые уязвимости Open Redirect в веб-приложениях
👉 В статье представлен подробный гайд по поиску и эксплуатации уязвимостей типа Open Redirect в веб-приложениях — с разбором ручного и автоматизированного тестирования, обхода фильтров, а также подборкой полезных команд и приёмов для фильтрации и ускорения поиска.
⏱️ Время чтения: 14 минут
Telegraph
От нуля до героя: Охота на высокооплачиваемые уязвимости Open Redirect в веб-приложениях
Введение Уязвимость открытого перенаправления (Open Redirect) — одна из распространённых проблем веб-безопасности. Она позволяет злоумышленникам перенаправлять пользователей на вредоносные ресурсы, используя уязвимость в логике обработки URL. Такая проблема…
Привет, друзья!👋
На сайте Positive Hack Days уже доступна программа докладов! В этом году — 26 треков, более 500 спикеров и 270 тем. Выбирайте любое направление, которое вам интересно — слушайте, впитывайте знания и заводите полезные знакомства.
Для тех кто не сможет быть лично - будет онлайн-трансляция, но некоторые доклады пройдут только офлайн, имейте это в виду.
🤔 А если хотите не только слушать, но и порешать задачи, заглядывайте на IDS Bypass — мы с коллегами готовим для вас интересную активность. Будет и весело, и полезно!
И напомню: чтобы попасть на закрытую часть и послушать экспертные доклады, нужно оформить билет через пожертвование от 1500 рублей в один из благотворительных фондов.
До встречи на PHDays!🫶
На сайте Positive Hack Days уже доступна программа докладов! В этом году — 26 треков, более 500 спикеров и 270 тем. Выбирайте любое направление, которое вам интересно — слушайте, впитывайте знания и заводите полезные знакомства.
Для тех кто не сможет быть лично - будет онлайн-трансляция, но некоторые доклады пройдут только офлайн, имейте это в виду.
И напомню: чтобы попасть на закрытую часть и послушать экспертные доклады, нужно оформить билет через пожертвование от 1500 рублей в один из благотворительных фондов.
До встречи на PHDays!
Please open Telegram to view this post
VIEW IN TELEGRAM
#Статья
Мастер-класс по обходу WAF: использование SQLMap с Proxychains и tamper-скриптами против Cloudflare и других систем защиты
👉 В статье представлен мастер-класс по обходу WAF с использованием SQLMap, ProxyChains и tamper-скриптов, включая настройку окружения, обход фильтров Cloudflare и ModSecurity, а также применение инструментов Ghauri и HackBar для тестирования защищённости веб-приложений.
⏱️ Время чтения: 9 минут
Мастер-класс по обходу WAF: использование SQLMap с Proxychains и tamper-скриптами против Cloudflare и других систем защиты
👉 В статье представлен мастер-класс по обходу WAF с использованием SQLMap, ProxyChains и tamper-скриптов, включая настройку окружения, обход фильтров Cloudflare и ModSecurity, а также применение инструментов Ghauri и HackBar для тестирования защищённости веб-приложений.
⏱️ Время чтения: 9 минут
Telegraph
Мастер-класс по обходу WAF: использование SQLMap с Proxychains и tamper-скриптами против Cloudflare и других систем защиты
Введение В стремительно развивающемся мире кибербезопасности веб-приложения нуждаются в надёжной защите от атак, таких как SQL-инъекции. В этом контексте важную роль играет файрвол веб-приложений (WAF), которые фильтруют и блокируют вредоносный трафик. Однако…
#Статья
10 редких, но полезных сайтов и сервисов для специалистов по безопасности
👉 В статье описаны редкие, но мощные сервисы для специалистов по кибербезопасности, помогающие в OSINT-исследованиях, анализе вредоносного ПО, отслеживании утечек и сборе данных о потенциальных угрозах.
⏱️ Время чтения: 5 минут
10 редких, но полезных сайтов и сервисов для специалистов по безопасности
👉 В статье описаны редкие, но мощные сервисы для специалистов по кибербезопасности, помогающие в OSINT-исследованиях, анализе вредоносного ПО, отслеживании утечек и сборе данных о потенциальных угрозах.
⏱️ Время чтения: 5 минут
Telegraph
10 редких, но полезных сайтов и сервисов для специалистов по безопасности
Платформы вроде Shodan, OWASP и VirusTotal давно стали стандартными инструментами в арсенале специалистов по информационной безопасности. Однако существует немало менее известных ресурсов, которые не уступают по своей ценности. Эти малозаметные сервисы помогают…
#Статья
Автоматизация управления сетевыми устройствами в Linux с использованием Ansible и Netmiko
👉 В статье показано, как с помощью Ansible и Netmiko автоматизировать управление сетевыми устройствами в Linux — включая написание playbook-ов, выполнение команд и создание Python-скриптов для резервного копирования конфигураций.
⏱️ Время чтения: 5 минут
Автоматизация управления сетевыми устройствами в Linux с использованием Ansible и Netmiko
👉 В статье показано, как с помощью Ansible и Netmiko автоматизировать управление сетевыми устройствами в Linux — включая написание playbook-ов, выполнение команд и создание Python-скриптов для резервного копирования конфигураций.
⏱️ Время чтения: 5 минут
Telegraph
Автоматизация управления сетевыми устройствами в Linux с использованием Ansible и Netmiko
Системным администраторам приходится управлять большим количеством устройств, конфигураций и обновлений в разнообразных инфраструктурах. По мере роста систем ручное администрирование становится всё менее эффективным и более подверженным ошибкам. К счастью…
Привет, друзья!👋
Открыт приём заявок на Pentest Award 2025 — это ежегодная премия для специалистов по тестированию на проникновение от команды «Авилликс». Мероприятие состоится уже в третий раз.
📌 Участие бесплатное. Можно подать одну или несколько работ — главное, успеть до 30 июня.
Заявка — это краткий рассказ о проекте в свободной форме. Не обязательно раскрывать технические детали — достаточно описать идею, подход и результат.
Из призов вы можете получить именную статуэтку, макбук, айфон, смарт-часы, подарки от партнёров, билеты на конференцию OFFZONE — и, конечно, признание сообщества.
Церемония награждения — 1 августа в Москве.
🔗 Узнать подробнее и подать заявку можно тут: https://award.awillix.ru/
Если есть интересный кейс — не упускайте возможность.
Я тоже отправлю — вдруг повезёт и что-нибудь выиграю!🤞
Открыт приём заявок на Pentest Award 2025 — это ежегодная премия для специалистов по тестированию на проникновение от команды «Авилликс». Мероприятие состоится уже в третий раз.
📌 Участие бесплатное. Можно подать одну или несколько работ — главное, успеть до 30 июня.
Заявка — это краткий рассказ о проекте в свободной форме. Не обязательно раскрывать технические детали — достаточно описать идею, подход и результат.
Из призов вы можете получить именную статуэтку, макбук, айфон, смарт-часы, подарки от партнёров, билеты на конференцию OFFZONE — и, конечно, признание сообщества.
Церемония награждения — 1 августа в Москве.
🔗 Узнать подробнее и подать заявку можно тут: https://award.awillix.ru/
Если есть интересный кейс — не упускайте возможность.
Я тоже отправлю — вдруг повезёт и что-нибудь выиграю!
Please open Telegram to view this post
VIEW IN TELEGRAM
#Статья
Автоматизация разведки как у профессионала: моя система из 5 этапов для нахождения большего числа уязвимостей
👉 В статье представлен практический гайд по автоматизации разведки для поиска уязвимостей, включающий 5 этапов: от сбора поддоменов и анализа JavaScript до мониторинга и визуализации.
⏱️ Время чтения: 4 минуты
Автоматизация разведки как у профессионала: моя система из 5 этапов для нахождения большего числа уязвимостей
👉 В статье представлен практический гайд по автоматизации разведки для поиска уязвимостей, включающий 5 этапов: от сбора поддоменов и анализа JavaScript до мониторинга и визуализации.
⏱️ Время чтения: 4 минуты
Telegraph
Автоматизация разведки как у профессионала: моя система из 5 этапов для нахождения большего числа уязвимостей
Позволь сказать неудобную правду, которую большинство багхантеров предпочитают замалчивать: 🧠 Разведка — это не просто набор инструментов, а продуманная стратегия. Ты можешь использовать все популярные утилиты — Amass, Subfinder, httpx — но если твоя разведка…
Привет, друзья! 👋
На PHDays идёт конкурс IDS Bypass — если вам близки нестандартные решения, загляните обязательно 🔥
💡 Суть простая: нужно выполнять задания так, чтобы обойти правила IDS. Подойдёт и креативный, и классический способ — главное, чтобы трафик прошёл, а IDS не сработала.
🧠 Сейчас уже открыты 2 задачи, и в скором времени появится ещё пара. Так что не откладывайте участие.
💰 За выполнение задач начисляются позитокены — их можно обменять на разные полезные и приятные штуки в зоне мерча.
📍 Локация: Cyberhub — комната Positive Labs
🕒 Конкурс уже в процессе!
Заходите, ломайте, обходите, зарабатывайте! 💪
На PHDays идёт конкурс IDS Bypass — если вам близки нестандартные решения, загляните обязательно 🔥
📍 Локация: Cyberhub — комната Positive Labs
🕒 Конкурс уже в процессе!
Заходите, ломайте, обходите, зарабатывайте! 💪
Please open Telegram to view this post
VIEW IN TELEGRAM
Привет, друзья! 👋
🧠 В конкурсе IDS Bypass появился новый таск — теперь их всего 6! Задачи всё ещё доступны, и вы успеваете ворваться. 💥
⏰ Финиш сегодня в 17:00, после чего состоится награждение победителей. 🏆
💰 Напомню: за каждую решённую задачу начисляются позитокены — их можно обменять на разные полезные и приятные штуки в зоне мерча.
📍 Локация: Cyberhub — комната Positive Labs
Ещё есть время — успейте обойти IDS! 💪
🧠 В конкурсе IDS Bypass появился новый таск — теперь их всего 6! Задачи всё ещё доступны, и вы успеваете ворваться. 💥
⏰ Финиш сегодня в 17:00, после чего состоится награждение победителей. 🏆
💰 Напомню: за каждую решённую задачу начисляются позитокены — их можно обменять на разные полезные и приятные штуки в зоне мерча.
📍 Локация: Cyberhub — комната Positive Labs
Ещё есть время — успейте обойти IDS! 💪