На Standoff365(265 ололо, ньюфаги не знают, олдфаги не помнят магию чисел) вышла новая программа.
https://bugbounty.standoff365.com/programs/dzen_vk
Жаль только, что уведомление на почту не пришло.
Случайно увидел где-то.
Видимо, это какие-то высокие ракетные технологии - прикрутить рассылку о любом чихе на почту зарегистрированным багхантерам.
#bb
https://bugbounty.standoff365.com/programs/dzen_vk
Жаль только, что уведомление на почту не пришло.
Случайно увидел где-то.
Видимо, это какие-то высокие ракетные технологии - прикрутить рассылку о любом чихе на почту зарегистрированным багхантерам.
#bb
👍3
Media is too big
VIEW IN TELEGRAM
Чтож, я выдул поллитра стекломоя. И значит пришло время поговорить об аниме.
Изначально аниме выдумали ускоглазые островные обезъяны. Ну, те, печально известные, которые устроили Нанкинскую резню, выдумали катану, перерубающую рельсу(на самом дележ пиздеж, из-за хуевого качества железной руды, выкованная катана в руках самурая могла поцарапать разве что крестьянина в деревянных доспехах), и которые отсосали во всех возможных войнах и на которых в довесок ко всему прочему пиндосы скинули пару ядерных бомб. А, ну там еще Фукусима была, это пиздец конечно. Там отдельная история про то как они обосрались с выведением стержней из активной зоны, что-то типа Чернобыля короче, только вот прямо по человеческому фактору. И теперь эти хуесосы до сих загрязняют мировой океан, но о таком не принято говорить в современном обществе, хехмда.
Так вот. Несмотря на все это мы любим ускоглазых островных обезъян за то, что они, пара-па-пам, придумали лучшую девочку.
Эту девочку зовут Артурия Пендрагон. Так же известна как Сейбер, или просто Сэйба. Вы ее можете знать по циклам рассказов из британского фольклора про короля Артура.
Аниме называется Fate Stay Night. Теперь это уже не просто аниме, а целая франшиза, с мерчем, гача-играми и так далее.
Рекомендую к ознакомлению.
Ну еще, из примечательно, у них есть:
Парк с оленями - Нара-парк (https://en.wikipedia.org/wiki/Nara_Park)
Остров с лисичками(https://ru.wikipedia.org/wiki/%D0%94%D0%B7%D0%B0%D0%BE-%D0%9A%D0%B8%D1%86%D1%83%D0%BD%D1%8D-%D0%9C%D1%83%D1%80%D0%B0 https://youtu.be/92wtDKCtOiU)
Остров с котейками(https://ru.wikipedia.org/wiki/%D0%A2%D0%B0%D1%81%D0%B8%D1%80%D0%BE_(%D0%BE%D1%81%D1%82%D1%80%D0%BE%D0%B2))
Такие дела.
#anime
Изначально аниме выдумали ускоглазые островные обезъяны. Ну, те, печально известные, которые устроили Нанкинскую резню, выдумали катану, перерубающую рельсу(на самом дележ пиздеж, из-за хуевого качества железной руды, выкованная катана в руках самурая могла поцарапать разве что крестьянина в деревянных доспехах), и которые отсосали во всех возможных войнах и на которых в довесок ко всему прочему пиндосы скинули пару ядерных бомб. А, ну там еще Фукусима была, это пиздец конечно. Там отдельная история про то как они обосрались с выведением стержней из активной зоны, что-то типа Чернобыля короче, только вот прямо по человеческому фактору. И теперь эти хуесосы до сих загрязняют мировой океан, но о таком не принято говорить в современном обществе, хехмда.
Так вот. Несмотря на все это мы любим ускоглазых островных обезъян за то, что они, пара-па-пам, придумали лучшую девочку.
Эту девочку зовут Артурия Пендрагон. Так же известна как Сейбер, или просто Сэйба. Вы ее можете знать по циклам рассказов из британского фольклора про короля Артура.
Аниме называется Fate Stay Night. Теперь это уже не просто аниме, а целая франшиза, с мерчем, гача-играми и так далее.
Рекомендую к ознакомлению.
Ну еще, из примечательно, у них есть:
Парк с оленями - Нара-парк (https://en.wikipedia.org/wiki/Nara_Park)
Остров с лисичками(https://ru.wikipedia.org/wiki/%D0%94%D0%B7%D0%B0%D0%BE-%D0%9A%D0%B8%D1%86%D1%83%D0%BD%D1%8D-%D0%9C%D1%83%D1%80%D0%B0 https://youtu.be/92wtDKCtOiU)
Остров с котейками(https://ru.wikipedia.org/wiki/%D0%A2%D0%B0%D1%81%D0%B8%D1%80%D0%BE_(%D0%BE%D1%81%D1%82%D1%80%D0%BE%D0%B2))
Такие дела.
#anime
🔥1
Посоны из гугла дали добро на врайтап по SSRF стоимостью 5k$
Алсо, люблю тральнуть пиндосов в переписке, напомнив, что я из России-матушки.
Постараюсь разродиться на днях, но поскольку мой инглиш вери бед(London is the capital of Great Britain, вся хуйня), это займет время.
#bb
Алсо, люблю тральнуть пиндосов в переписке, напомнив, что я из России-матушки.
Постараюсь разродиться на днях, но поскольку мой инглиш вери бед(London is the capital of Great Britain, вся хуйня), это займет время.
#bb
👍7🔥2😁1
Зарепортил юбилейный 300-ый репорт.
Хорошо ощущать себя причастным к чему-то хорошему.
standoff365, bugbounty.ru, bizone - добра вам :3
#bb
Хорошо ощущать себя причастным к чему-то хорошему.
standoff365, bugbounty.ru, bizone - добра вам :3
#bb
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Зашел на https://2ch.hk/wm/res/3892965.html
В бесконечный тред по специальной операции в Свинарнии.
Там вроде как обычно - круговорот зрадоперемог, обеспокоенные патриоты, все пропало, сдаемся, отступаем. Но есть одно но.
Кажется, наконец-то им въебали по ТЭЦам, случился блкэкаут, и количество нахрюка в ру-сегменте Интернета резко сократилось :3
Какое совпадение))0)
Ебать хохлов, ебать!
#кжхдпп
В бесконечный тред по специальной операции в Свинарнии.
Там вроде как обычно - круговорот зрадоперемог, обеспокоенные патриоты, все пропало, сдаемся, отступаем. Но есть одно но.
Кажется, наконец-то им въебали по ТЭЦам, случился блкэкаут, и количество нахрюка в ру-сегменте Интернета резко сократилось :3
Какое совпадение))0)
Ебать хохлов, ебать!
#кжхдпп
👍4💩4👎1🤯1
Устав воевать с хохлами в этих ваших интернетах, я вспомнил, что хотел написать отчет по 5$k SSRF на g/vrp
Посан сказал, посан сделал.
Cобственно, вот он https://0x01alka.medium.com/ssrf-g-vrp-for-5000-d08c8f515c95
Хинт: найдете ssrf и получите гугловский access token, обязательно причаститесь к исследованию https://www.youtube.com/watch?v=UyemBjyQ4qA Повысите импакт, все такое.
Были у меня подозрения, что SSRF на *.gateway.dev это не случайность, а закономерный факт. Хотел задеплоить свой проект, подключить Google Cloud API Gateway, посмотреть че там и как, но так и забил. А может там до сих пор что-то есть.
#bb
Посан сказал, посан сделал.
Cобственно, вот он https://0x01alka.medium.com/ssrf-g-vrp-for-5000-d08c8f515c95
Хинт: найдете ssrf и получите гугловский access token, обязательно причаститесь к исследованию https://www.youtube.com/watch?v=UyemBjyQ4qA Повысите импакт, все такое.
Были у меня подозрения, что SSRF на *.gateway.dev это не случайность, а закономерный факт. Хотел задеплоить свой проект, подключить Google Cloud API Gateway, посмотреть че там и как, но так и забил. А может там до сих пор что-то есть.
#bb
Medium
SSRF(g/vrp) for 5000$
Hi.
🔥5
Media is too big
VIEW IN TELEGRAM
Как вы помните, там Dzen https://bugbounty.standoff365.com/programs/dzen_vk выкатили программу на СтэндоФФ65.
Не может такого быть, чтобы там не было IDOR(комментирование закрытых видео и прочие шалости.)
Плюс там есть функционал добавления редакторов/админов в свою ололо Дзен-Студию. Тут точно непаханное поле для работы и есть где развернуться.
Что как бы намекает, да?
А значит пришло то самое время - подключить в Burp наше любимое расширение Autorize.
Но это все будет завтра, а сегодня мы просто послушаем музыку.
Ой-вей.
#bb #music
Не может такого быть, чтобы там не было IDOR(комментирование закрытых видео и прочие шалости.)
Плюс там есть функционал добавления редакторов/админов в свою ололо Дзен-Студию. Тут точно непаханное поле для работы и есть где развернуться.
Что как бы намекает, да?
А значит пришло то самое время - подключить в Burp наше любимое расширение Autorize.
Но это все будет завтра, а сегодня мы просто послушаем музыку.
Ой-вей.
#bb #music
👍4
This media is not supported in your browser
VIEW IN TELEGRAM
Если при работе возникло подозрение, что стандартные домены (oastify.com и burpcollaborator.net) Burp Collaborator'а блочатся - неплохо иметь возможность быстрой замены, чтобы исследовать входящие http запросы. Когда нет своего выделенного сервера, чтобы поднять какой-нибудь простенький листенер, а поковырять потенциальную багу хочется, могут сойти за альтернативу:
https://beeceptor.com/
https://ngrok.com/
https://webhook.site/
Мне лично нравится webhook.site(500 запросов в день, более чем достаточно и полностью бесплатно), перепрофилировал на него все свои файлики с OAST пейлоадами.
#bb
https://beeceptor.com/
https://ngrok.com/
https://webhook.site/
Мне лично нравится webhook.site(500 запросов в день, более чем достаточно и полностью бесплатно), перепрофилировал на него все свои файлики с OAST пейлоадами.
#bb
👍4🔥1
Media is too big
VIEW IN TELEGRAM
Смотрите, какая хуйня, посоны.
Пруф применения "Изделия 305".
https://ru.wikipedia.org/wiki/%D0%98%D0%B7%D0%B4%D0%B5%D0%BB%D0%B8%D0%B5_305
Редкий гость, я думал он из разряда "не трогай - это на Новый год".
Ложится в "крестик", как у швятого западного барена.
intredasting...
#combatfootage
Пруф применения "Изделия 305".
https://ru.wikipedia.org/wiki/%D0%98%D0%B7%D0%B4%D0%B5%D0%BB%D0%B8%D0%B5_305
Редкий гость, я думал он из разряда "не трогай - это на Новый год".
Ложится в "крестик", как у швятого западного барена.
intredasting...
#combatfootage
🔥2
Ну шо, хлопцi, таким образом, 2 из 3 репортов на Cтэндофф365, в "Работе", практически без лишних вопросов.
Остался третий, зарепорченный недавно, и я, в принципе удовлетворен импортозамещением, лол.
Это вторая отечественная баг-баунти площадка, к которой у меня нет вопросов. После bugbounty.ru Везде рассматривают, платят, отвечают.
Остался bi.zone - проебал их запуск и лишился футболочки за очевиднейшую XSS. Ну-с, ждем, авито, или что они там обещали выкатить, в качестве эксклюзива.
#bb
Остался третий, зарепорченный недавно, и я, в принципе удовлетворен импортозамещением, лол.
Это вторая отечественная баг-баунти площадка, к которой у меня нет вопросов. После bugbounty.ru Везде рассматривают, платят, отвечают.
Остался bi.zone - проебал их запуск и лишился футболочки за очевиднейшую XSS. Ну-с, ждем, авито, или что они там обещали выкатить, в качестве эксклюзива.
#bb
❤4👍4
Кек, лежал себе, смотрел аниме, как ВНЕЗАПНО, в репорт четырёх годичной давности по UBER прилетает коммент.
Видимо, ломанули какого-то бедолагу из уберовского стафа, хехмда.
На моей памяти такое первый раз.
В телеграм в комменте, я, конечно же, переходить не буду.
#bb
Видимо, ломанули какого-то бедолагу из уберовского стафа, хехмда.
На моей памяти такое первый раз.
В телеграм в комменте, я, конечно же, переходить не буду.
#bb
👍2
This media is not supported in your browser
VIEW IN TELEGRAM
Ну что, котятки мои информационно-безопасные. Понедельник, 6 утра.
А значитне ложились проснулись-потянулись, умыли мордашку, сделали зарядку и бегом восполнять пробелы в знаниях :3
Давно хотел плотненько изучить HTTP request smuggling. Читал и видел материалы по ней давно, но на текущий момент это явно не то, что лежит в моем арсенале.
Кто хочет со мной, вот план:
1. Пособие и учебные материалы:
- https://www.rfc-editor.org/rfc/rfc2616(да это жозенько, а шо поделать)
- https://portswigger.net/web-security/request-smuggling (Читаем все что есть)
- https://portswigger.net/web-security/all-labs (раздел HTTP request smuggling)
2. Инструментарий:
- Burp Suite Pro
- https://github.com/portswigger/http-request-smuggler
3. Дополнительно:
- James Kettle (@albinowax) - пишет интересные посты, пилит материалы по этой теме, погуглите еще его доклады на ютубчике, и все такое
- Открытые репорты с h1, врайтапы с медиума и тд.
#bb
А значит
Давно хотел плотненько изучить HTTP request smuggling. Читал и видел материалы по ней давно, но на текущий момент это явно не то, что лежит в моем арсенале.
Кто хочет со мной, вот план:
1. Пособие и учебные материалы:
- https://www.rfc-editor.org/rfc/rfc2616(да это жозенько, а шо поделать)
- https://portswigger.net/web-security/request-smuggling (Читаем все что есть)
- https://portswigger.net/web-security/all-labs (раздел HTTP request smuggling)
2. Инструментарий:
- Burp Suite Pro
- https://github.com/portswigger/http-request-smuggler
3. Дополнительно:
- James Kettle (@albinowax) - пишет интересные посты, пилит материалы по этой теме, погуглите еще его доклады на ютубчике, и все такое
- Открытые репорты с h1, врайтапы с медиума и тд.
#bb
🔥3❤2👍1🌚1
Лол, там частичную мобилизацию объявили, и у меня как раз, завалялся военный билет офицера запаса(1 разряд запаса) )0)))
Если мой ВУС потребуется, может и зацепит. Походу надо уже начинать гуглить магазины со снарягой, хехмда.
Товарищ Верховный главнокомандующий, ну вы как-то невовремя, конечно - я еще не все тайтлы досмотрел, которые хотел, и с HTTP Request Smuggling не до конца разобрался)0)
#lol
Если мой ВУС потребуется, может и зацепит. Походу надо уже начинать гуглить магазины со снарягой, хехмда.
Товарищ Верховный главнокомандующий, ну вы как-то невовремя, конечно - я еще не все тайтлы досмотрел, которые хотел, и с HTTP Request Smuggling не до конца разобрался)0)
#lol
😢8👍1
Хуй знает, че все так возбудились, но по мне так похуй. Большинство из вас(да и меня скорее всего тоже), это не коснется.
Набирать озвученные 300k будут прежде всего из здоровых лбов, участников разных БД, ветеранов, и просто желающих.
Поэтому, держите пару смешнявок, а мне еще проходить экспертные лабы по desync attack.
(Но если вдруг будет сводная рота багхантеров, позывной "лалка" я чур застолбил)
#lol
Набирать озвученные 300k будут прежде всего из здоровых лбов, участников разных БД, ветеранов, и просто желающих.
Поэтому, держите пару смешнявок, а мне еще проходить экспертные лабы по desync attack.
(Но если вдруг будет сводная рота багхантеров, позывной "лалка" я чур застолбил)
#lol
😁3❤2👍2🤡1
Кто вдруг пропустил(как я), на Standoff365 вышла новая программа:
https://bugbounty.standoff365.com/programs/rambler_and_co
Cкоуп:
www.rambler.ru
*.kassa.rambler.ru
*.mail.rambler.ru
www.afisha.ru
www.gazeta.ru
lenta.ru
www.championat.com
*.id.rambler.ru
*.news.rambler.ru
vp.rambler.ru
Деньхи плотят.
#bb
https://bugbounty.standoff365.com/programs/rambler_and_co
Cкоуп:
www.rambler.ru
*.kassa.rambler.ru
*.mail.rambler.ru
www.afisha.ru
www.gazeta.ru
lenta.ru
www.championat.com
*.id.rambler.ru
*.news.rambler.ru
vp.rambler.ru
Деньхи плотят.
#bb
🔥2
Media is too big
VIEW IN TELEGRAM
Все, посоны. Днюха на подходе. Из масквабада приехал мой лучший друг. Спали рядышком в казарме, потом три года в одной комнате в общаге. 20+ лет дружим. Кстати, очень грамотный специалист как сисадмин. Серваки, железо, вся хуйня. Сегодня мы нахуяримся стекломоя(точнее уже) и будем вспоминать, как в институте портянки наматывали и бегали на утреннюю физическую зарядку согласно распорядка дня, лооол!
А уж как мы играли в линейку на старых хрониках, через GPRS модемы, читали всякую хуйню про кольцевые топологии сетей, свитчи, хабы, комутаторы, ух...
Хорошие были времена.
Добра парни :3
А как откисну, надо бы взяться за бб Рамблера, ибо че-то он как-то стороной меня обошел, хз как так вышло. Авось что и найду.
Держу в курсе.
Спасибо, что вы есть.
#bb
А уж как мы играли в линейку на старых хрониках, через GPRS модемы, читали всякую хуйню про кольцевые топологии сетей, свитчи, хабы, комутаторы, ух...
Хорошие были времена.
Добра парни :3
А как откисну, надо бы взяться за бб Рамблера, ибо че-то он как-то стороной меня обошел, хз как так вышло. Авось что и найду.
Держу в курсе.
Спасибо, что вы есть.
#bb
🔥8❤1