Посоны, по итогам активности за прошлый год на g/vrp святой западный барин прислал бусы и допомогу высокотехнологичные игрушки, лол.
Спасибо, барин!
С другой стороны, в который раз убеждаюсь, что g/vrp одна из немногих забугорных площадок, которым не стыдно занести баги. Потому что они любят баги так же, как и вы, и им все равно, откуда вы.
Правда, с посылкой вышла заминка. Мне отписали, сказав, что вот прямо сейчас не можем вам отправить(тактично умолчав о причинах), типа отложим для вас до лучших времен, пусть полежит на складе. Подозреваю, из-за наличия электроники в отправлении, вроде запретили такое отсылать. Я предложил вариант - переслать через 3 лицо. Они пошли на встречу и согласились(!). В итоге swag добрался домой через знакомого из Армении.
Такие дела :3
#bb
Спасибо, барин!
С другой стороны, в который раз убеждаюсь, что g/vrp одна из немногих забугорных площадок, которым не стыдно занести баги. Потому что они любят баги так же, как и вы, и им все равно, откуда вы.
Правда, с посылкой вышла заминка. Мне отписали, сказав, что вот прямо сейчас не можем вам отправить(тактично умолчав о причинах), типа отложим для вас до лучших времен, пусть полежит на складе. Подозреваю, из-за наличия электроники в отправлении, вроде запретили такое отсылать. Я предложил вариант - переслать через 3 лицо. Они пошли на встречу и согласились(!). В итоге swag добрался домой через знакомого из Армении.
Такие дела :3
#bb
Media is too big
VIEW IN TELEGRAM
Дарова, посоны.
У меня тут какая-то чушь нарисовалась, может кто-то подскажет, куда посмотреть/покопать.
Суть такова.
Есть потенциально уязвимый параметр в GET запросе. Стек технологий неизвестен.
GET /lol/?lol=(select*from(select(sleep(12)))a) -> ответ 12 секунд
Радостно потираю ручки, иду тестировать дальше, и понимаю, что точно не MySQL/MSSSQL. Обмякаю.
Думаю, что может, какая слепая инъекция кода
GET /lol/?lol=sleep(12) -> ответ уже 36 секунд, x3 то есть. Да и на code injection непохоже, судя по дальнейшим тестам. Обмякаю.
Что думаете? Что бы вы сделали в таком случае?
#bb
У меня тут какая-то чушь нарисовалась, может кто-то подскажет, куда посмотреть/покопать.
Суть такова.
Есть потенциально уязвимый параметр в GET запросе. Стек технологий неизвестен.
GET /lol/?lol=(select*from(select(sleep(12)))a) -> ответ 12 секунд
Радостно потираю ручки, иду тестировать дальше, и понимаю, что точно не MySQL/MSSSQL. Обмякаю.
Думаю, что может, какая слепая инъекция кода
GET /lol/?lol=sleep(12) -> ответ уже 36 секунд, x3 то есть. Да и на code injection непохоже, судя по дальнейшим тестам. Обмякаю.
Что думаете? Что бы вы сделали в таком случае?
#bb
В общем, сначала написали, мол ололо селф, иди нахуй. Я обычно не спорю с аналитиками(тупа лень строчить письма), но тут жопка подгорела(когда еще найдешь XSSску на главной яндекса), и я, пройдя все знакомые хантеру стадии типа гнев/отрицание/депрессия, включил свое природное обаяние и забабахал сценарий атаки, который приняли.
Посмотрим, короче.
Держу в курсе.
#bb
Посмотрим, короче.
Держу в курсе.
#bb
This media is not supported in your browser
VIEW IN TELEGRAM
Дарова, посоны. Вести с полей.
Прямо сейчас проходит закрытый ивент на https://bugbounty.standoff365.com
Суть такова. Тридцать базированныхсамураев багхантеров, отобранных под этот ивент, соревнуются в течение короткого промежутка времени(27 апреля - 13 мая) по строго определенному скоупу.
Собственно, представители бизнеса и скоуп:
1. Вкашечка и ее продукт https://bugbounty.standoff365.com/programs/hrtek_vk VK HR Tek — система безбумажного обмена кадровыми документами с работниками на едином удобном портале. В обычных условиях ее потестить полноценно не получится, в силу технических особенностей регистрации в этой самой системе.
2. Компания, которая еще не была до этого представлена на платформах багбаунти. На данный момент программы приватна, поэтому скоуп, по понятным причинам, озвучить не могу.
Чем все это дело примечательно. По сути, ситуация win-win для обеих сторон:
1. Для хакеров - багхантинг вышел на новый уровень, а именно "спортивный багхантинг" - ограничение по времени, эффект соревновательности, фан, бессонные ночи(ну а у кого как, наверное), и все в таком духе. Лучшие будут поощрены.
2. Для бизнеса - в короткие сроки получить огромный поток репортов от высокомотивированных хантеров.
3. Просто движуха, которая в общем полезна для популяризации отношений хантер-бизнес в России, роста интереса к этому вопросу. Возможно, подобные ивенты послужат толчком к развитию конкуренции между отечественными багбаунти-агрегаторами, от которой в конечном итоге выиграют все.
По завершению ивента в Москве пройдет закрытое мероприятие, на котором стороны обсудят произошедшее, будут подведены итоги, раскрыты самые интересные находки.
Надеюсь, подобные ивенты будут проходить на постоянной основе.
Спасибо организаторам, бизнесу, и пожелаем удачи хантерам!
#bb
Прямо сейчас проходит закрытый ивент на https://bugbounty.standoff365.com
Суть такова. Тридцать базированных
Собственно, представители бизнеса и скоуп:
1. Вкашечка и ее продукт https://bugbounty.standoff365.com/programs/hrtek_vk VK HR Tek — система безбумажного обмена кадровыми документами с работниками на едином удобном портале. В обычных условиях ее потестить полноценно не получится, в силу технических особенностей регистрации в этой самой системе.
2. Компания, которая еще не была до этого представлена на платформах багбаунти. На данный момент программы приватна, поэтому скоуп, по понятным причинам, озвучить не могу.
Чем все это дело примечательно. По сути, ситуация win-win для обеих сторон:
1. Для хакеров - багхантинг вышел на новый уровень, а именно "спортивный багхантинг" - ограничение по времени, эффект соревновательности, фан, бессонные ночи(ну а у кого как, наверное), и все в таком духе. Лучшие будут поощрены.
2. Для бизнеса - в короткие сроки получить огромный поток репортов от высокомотивированных хантеров.
3. Просто движуха, которая в общем полезна для популяризации отношений хантер-бизнес в России, роста интереса к этому вопросу. Возможно, подобные ивенты послужат толчком к развитию конкуренции между отечественными багбаунти-агрегаторами, от которой в конечном итоге выиграют все.
По завершению ивента в Москве пройдет закрытое мероприятие, на котором стороны обсудят произошедшее, будут подведены итоги, раскрыты самые интересные находки.
Надеюсь, подобные ивенты будут проходить на постоянной основе.
Спасибо организаторам, бизнесу, и пожелаем удачи хантерам!
#bb
Ну, и так сказать, чтобы поссать на пятак допоможных, переможных, горелодупных хохлов - мое любимое :3 Ну а шо поделать, выходные, все-таки. Приятного вечера :3
#wm #combatfootage
#wm #combatfootage
Media is too big
VIEW IN TELEGRAM
Чет заебали ОЯШи.
Хочется сильного персонажа.
Алсо, вас посетила Балалайка-тян. Скажи "Спасибо, Балалайка-тян!", и удача будет сопутствовать тебе весь следующий год.
#anime
Хочется сильного персонажа.
Алсо, вас посетила Балалайка-тян. Скажи "Спасибо, Балалайка-тян!", и удача будет сопутствовать тебе весь следующий год.
#anime
Чтож, 13-ое мая уже на носу, а это значит что пора выдвигаться на подведение итогов закрытого мероприятия Standoff Hacks.
Рюкзак собран, патлы подстрижены(а то бомжи уже стали за своего принимать и смотреть с уважением).
Ваш покорный слуга планирует занять в общем зачете из 30+ багхантеров позицию чуть выше средней или около того. Лично для себя считаю результат неплохим, тем более что конкуренцию мне составляли матёрые кулхацкеры.
От встречи ожидаю прежде всего возможность встретиться лично с семпаями, на статьях, материалах, отчетах которых я постигал тонкости багхантинга. Например, это Сергей Бобров.
После подведения итогов, постараюсь поделится опытом того, за счет чего я планировал, в первую очередь, не нарваться на дубликаты в первые дни соревнования.
Ну а там рукой и до пхд подать.
А в перерывах между этими событиями, мы будем заниматься алхимией с моим лучшим дружаней и искать рецепт эликсира бессмертия.
Такие дела.
#bb
Рюкзак собран, патлы подстрижены(а то бомжи уже стали за своего принимать и смотреть с уважением).
Ваш покорный слуга планирует занять в общем зачете из 30+ багхантеров позицию чуть выше средней или около того. Лично для себя считаю результат неплохим, тем более что конкуренцию мне составляли матёрые кулхацкеры.
От встречи ожидаю прежде всего возможность встретиться лично с семпаями, на статьях, материалах, отчетах которых я постигал тонкости багхантинга. Например, это Сергей Бобров.
После подведения итогов, постараюсь поделится опытом того, за счет чего я планировал, в первую очередь, не нарваться на дубликаты в первые дни соревнования.
Ну а там рукой и до пхд подать.
А в перерывах между этими событиями, мы будем заниматься алхимией с моим лучшим дружаней и искать рецепт эликсира бессмертия.
Такие дела.
#bb
Всем привет.
Итак, завершился Standoff Hacks 13.05.2023.
Первый и уникальный ивент в своем роде. Что сказать?
Крутая организация мероприятия, крутые и интересные люди. Мудрая идея. Бизнес тоже врядли ушел обиженным, поскольку ему занесли огромную кучу репортов в короткие сроки.
Лично для себя, по итогам, я буду особенно дорожить и с теплотой вспоминать личные знакомства, которые обрел.
Это и стафф Standoff - очаровательная Ксения, Анатолий(который в поте лица прикрутил нам, самозанятым, Консоль, чтобы мы платили 6% вместо 13%), Ярослав Бабин.
Конечно же симпатичные девушки из их пресс-службы/пиар отдела. Уххх...
Это и представители ВКашечки - Алексей Гришин, и его команда профессионалов в лице аналитиков/безопасников, которые там были.
Это и багхантеры, кулхацкеры, семпаи-легенды, от одного нахождения рядом с которыми дух захватывает.
Вот вы руку Сергею Боброву жали? А я да :3
Так что вперед - регистрироваться на https://bugbounty.standoff365.com/, поднимать репутацию, и быть приглашенным на следующий ивент. Все в ваших руках.
____________________________
К сожалению, не смог прийти на последующий за этим ивентом Talks, поскольку был практически насильно увезен куда-то под Волоколамск, где мы отдыхали с однокурсниками.
Вот, вернулся в Москву, добрался до компа, сижу разгребаю личные сообщения и все такое.
До своего выступления на пхд я буду в Москве - допиливать доклад, отдыхать, и все такое. Ну а после будет возвращение в родной тихий Мухосранск, в 20-ых числах, и все придет на круги своя. Так что если будут какие-то вопросы - пишите, спрашивайте, чем смогу, помогу.
Там как обычно - смехуёчки, лулзы, параллельно в планах обсудить контекстуальный брутфорс периметра широкого скоупа(например ffuf), чтобы на подобных ивентах скрипткиддис смог урвать хотя бы парочку высоких багов из цепких лапок сильных ребят типа Кедра :3
Как-то так. Держу в курсе.
P.S Ах да, надо разобрать кучу подарков от стэндоффа, которые были вручены каждому участнику - люблю подарки :3
#bb
Итак, завершился Standoff Hacks 13.05.2023.
Первый и уникальный ивент в своем роде. Что сказать?
Крутая организация мероприятия, крутые и интересные люди. Мудрая идея. Бизнес тоже врядли ушел обиженным, поскольку ему занесли огромную кучу репортов в короткие сроки.
Лично для себя, по итогам, я буду особенно дорожить и с теплотой вспоминать личные знакомства, которые обрел.
Это и стафф Standoff - очаровательная Ксения, Анатолий(который в поте лица прикрутил нам, самозанятым, Консоль, чтобы мы платили 6% вместо 13%), Ярослав Бабин.
Конечно же симпатичные девушки из их пресс-службы/пиар отдела. Уххх...
Это и представители ВКашечки - Алексей Гришин, и его команда профессионалов в лице аналитиков/безопасников, которые там были.
Это и багхантеры, кулхацкеры, семпаи-легенды, от одного нахождения рядом с которыми дух захватывает.
Вот вы руку Сергею Боброву жали? А я да :3
Так что вперед - регистрироваться на https://bugbounty.standoff365.com/, поднимать репутацию, и быть приглашенным на следующий ивент. Все в ваших руках.
____________________________
К сожалению, не смог прийти на последующий за этим ивентом Talks, поскольку был практически насильно увезен куда-то под Волоколамск, где мы отдыхали с однокурсниками.
Вот, вернулся в Москву, добрался до компа, сижу разгребаю личные сообщения и все такое.
До своего выступления на пхд я буду в Москве - допиливать доклад, отдыхать, и все такое. Ну а после будет возвращение в родной тихий Мухосранск, в 20-ых числах, и все придет на круги своя. Так что если будут какие-то вопросы - пишите, спрашивайте, чем смогу, помогу.
Там как обычно - смехуёчки, лулзы, параллельно в планах обсудить контекстуальный брутфорс периметра широкого скоупа(например ffuf), чтобы на подобных ивентах скрипткиддис смог урвать хотя бы парочку высоких багов из цепких лапок сильных ребят типа Кедра :3
Как-то так. Держу в курсе.
P.S Ах да, надо разобрать кучу подарков от стэндоффа, которые были вручены каждому участнику - люблю подарки :3
#bb
Дом, милый дом :3
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays
Насыщенная неделя закончилась, теперь можно откинуться в любимом кресле и попить чаю и из новой любимой кружки.
Да, будет о чем рассказывать внукам, phdays это круто.
Как идейный замкадыш был приятно порадован парком Горького(всмысле что можете/могете).
Комп включил, вещи раскидал.
На рюкзак уже нацепил значок "phdays 12" - тянки смотрят с уважением, быдло боится.
Немного отдохну, и наверное стоит закончить список отложенныx интересностей по Яндексу. Тем более, что пока действует бафф после всех ивентов - "УДАЧА БАГХАНТЕРА" - +100 удачи, +100 к скорости каста(давлению кавычек), +1 бесплатное и стопроцентное воскрешение в случае разрыва жопы от дубликата.
Всем побольше критов, и поменьше дубликатов, добра :3
#bb #phdays