«В 2021 году я только начинал свой путь в наступательной безопасности. Я уже взломал довольно много компаний и получал стабильный доход охотой за баг-баунти — практикой этичного хакинга, при которой исследователи безопасности находят уязвимости и сообщают о них, получая за это вознаграждение. Однако я ещё не достиг уровня, позволившего бы мне быстро обнаруживать критические уязвимости цели. Этот уровень умений казался мне недостижимым. Но всё поменялось, когда я познакомился с человеком, ставшим ключевой фигурой в моей карьере баг-баунти: Snorlhax.
Поначалу я видел в нём конкурента. Он был намного выше меня во французской таблице лидеров HackerOne, что стимулировало меня расти над собой. Мы начали общаться в Discord, и спустя несколько недель я рассказал ему о многообещающей программе баг-баунти. Вскоре после этого он обнаружил у этой цели критическую уязвимость, оценённую в 10000 долларов — сумму вдвое больше, чем максимальная полученная мной от этой же цели. Мотивировавшись этим, я вернулся к этой же цели и за ту же неделю нашёл собственную критическую уязвимость за 10000 долларов в другом классе багов.
Вместо того, чтобы продолжать состязаться, мы решили сотрудничать. Теперь нашей задачей стало выявление у этой цели всех возможных классов багов: IDOR, SQL-инъекций, XSS, багов OAuth, Dependency Confusion, SSRF, RCE и так далее. Все их мы нашли, сообщили компании и написали отчёты. Это сотрудничество длилось несколько лет, и даже сегодня мы время от времени снова возвращаемся к этой цели.
Однако недостижимой оставалась одна задача: обнаружение «чудовищной уязвимости». Это должен быть настолько критичный баг, что нам выплатят нестандартное вознаграждение, намного превышающее обычные выплаты. Это стало для нас главной целью.
В посте я расскажу, как мы со Snorlhax наконец-то этого добились»
Как взломать цепочку поставок и получить 50 тысяч долларов
Поначалу я видел в нём конкурента. Он был намного выше меня во французской таблице лидеров HackerOne, что стимулировало меня расти над собой. Мы начали общаться в Discord, и спустя несколько недель я рассказал ему о многообещающей программе баг-баунти. Вскоре после этого он обнаружил у этой цели критическую уязвимость, оценённую в 10000 долларов — сумму вдвое больше, чем максимальная полученная мной от этой же цели. Мотивировавшись этим, я вернулся к этой же цели и за ту же неделю нашёл собственную критическую уязвимость за 10000 долларов в другом классе багов.
Вместо того, чтобы продолжать состязаться, мы решили сотрудничать. Теперь нашей задачей стало выявление у этой цели всех возможных классов багов: IDOR, SQL-инъекций, XSS, багов OAuth, Dependency Confusion, SSRF, RCE и так далее. Все их мы нашли, сообщили компании и написали отчёты. Это сотрудничество длилось несколько лет, и даже сегодня мы время от времени снова возвращаемся к этой цели.
Однако недостижимой оставалась одна задача: обнаружение «чудовищной уязвимости». Это должен быть настолько критичный баг, что нам выплатят нестандартное вознаграждение, намного превышающее обычные выплаты. Это стало для нас главной целью.
В посте я расскажу, как мы со Snorlhax наконец-то этого добились»
Как взломать цепочку поставок и получить 50 тысяч долларов
👍57😎18❤4
Короче, это самые странные IT-новости февраля 2025:
#strangerIT
Please open Telegram to view this post
VIEW IN TELEGRAM
🤪22🤡12👍6❤4🤔2👎1
ООП: худшее, что случалось с программированием
Попробуем разобраться, почему ООП — худшее, что было придумано в программировании, как оно стало таким популярным, почему опытные программисты Java (C#, C++ и т. п.) в принципе не могут считаться крутыми инженерами, а код на Java — хорошим.
Попробуем разобраться, почему ООП — худшее, что было придумано в программировании, как оно стало таким популярным, почему опытные программисты Java (C#, C++ и т. п.) в принципе не могут считаться крутыми инженерами, а код на Java — хорошим.
🤮127👍54🤡44😁15💯10🔥6🤔6👎4🥱3❤2
Forwarded from Хабр Новости
Citibank по ошибке перевёл клиенту $81 триллион, хотя нужно было перевести $280. Ошибка произошла из-за невнимательности двух сотрудников, обрабатывавших транзакцию. Перевод был одобрен, и только когда третий специалист обнаружил несоответствие в балансе счетов и отменил операцию спустя полтора часа после отправки, средства вернулись на счёт банка.
#финансы #ТехническиеШоколадки
#финансы #ТехническиеШоколадки
🤯73😁43👍14🤡10🤓5😎3🙏1
Дикая Java
Безопасный язык, говорили они. Чёткая спецификация, говорили они. Java не даст вам выстрелить себе в ногу, и прочее, и прочее. Реальность же оказалась куда веселее официальной документации. Ибо JVM темна и полна ужасов.
Безопасный язык, говорили они. Чёткая спецификация, говорили они. Java не даст вам выстрелить себе в ногу, и прочее, и прочее. Реальность же оказалась куда веселее официальной документации. Ибо JVM темна и полна ужасов.
🤣60👍10🔥3
Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
Сегодня Yandex B2B Tech в режиме технического превью открывает пользователям доступ к SourceCraft — платформе для разработки полного цикла, которая помогает создавать исходный код, управлять версиями, заниматься тестированием, сборкой, деплоить и сопровождать программные продукты. Её история началась в Yandex Infrastructure — эта команда развивает инструменты для создания и развёртывания приложений и сервисов внутри Яндекса и поддерживает инфраструктуру, на которой работают большинство разработчиков компании. Во многом поэтому значительная часть идей для новой платформы возникла благодаря догфудингу — практике использования собственного продукта командой его создателей.
Узнаем, каково это — делать платформу для разработки, одновременно используя эту же самую платформу для написания кода, тестирования, проверки пул‑реквестов, сборки и деплоя
Сегодня Yandex B2B Tech в режиме технического превью открывает пользователям доступ к SourceCraft — платформе для разработки полного цикла, которая помогает создавать исходный код, управлять версиями, заниматься тестированием, сборкой, деплоить и сопровождать программные продукты. Её история началась в Yandex Infrastructure — эта команда развивает инструменты для создания и развёртывания приложений и сервисов внутри Яндекса и поддерживает инфраструктуру, на которой работают большинство разработчиков компании. Во многом поэтому значительная часть идей для новой платформы возникла благодаря догфудингу — практике использования собственного продукта командой его создателей.
Узнаем, каково это — делать платформу для разработки, одновременно используя эту же самую платформу для написания кода, тестирования, проверки пул‑реквестов, сборки и деплоя
👍25🤮17💩8❤6👎6🔥3
Agents 101: как создать своего первого ИИ-агента за полчаса
ИИ-агенты становятся всё более востребованными для автоматизации задач и улучшения взаимодействия с пользователем. В этой статье вы узнаете, как создать собственного агента с помощью CopilotKit и LangGraph. Пошаговое руководство, примеры с исходным кодом и разбор ключевых компонентов помогут вам быстро освоить процесс и запустить своего первого ИИ-ассистента за 30 минут.
ИИ-агенты становятся всё более востребованными для автоматизации задач и улучшения взаимодействия с пользователем. В этой статье вы узнаете, как создать собственного агента с помощью CopilotKit и LangGraph. Пошаговое руководство, примеры с исходным кодом и разбор ключевых компонентов помогут вам быстро освоить процесс и запустить своего первого ИИ-ассистента за 30 минут.
🤮14🤓13👍7🔥3🤡3👎2🤔2❤1
Forwarded from Хабр Карьера
Много стажировок на Хабр Карьере.
Frontend-разработчик (React) в Ревамп АйТи. Можно удаленно. До 40 000 ₽.
Sales manager в Strikt. Можно удаленно. Москва, Санкт-Петербург, Ростов-на-Дону. Неполный день. До 35 000 ₽.
IT-recruiter в Wanted. Санкт-Петербург. До 120 000 ₽.
Разработчик бэкенда в Яндекс. Ташкент. Неполный день.
Game developer в Wind4Tune. Можно удаленно.
Fullstack-разработчик в Bogoda Digital Pro. Можно удаленно. Сан-Хосе. Неполный день.
Системный аналитик в LaunchHub. Москва, Санкт-Петербург, Екатеринбург. От 100 000 ₽.
Инженер-проектировщик АСУТП в Текон. Неполный день. Москва, Санкт-Петербург, Нижнекамск. От 80 000 ₽.
QA engineer manual в Vorta. Можно удаленно. 40 000 — 65 000 ₽.
Devops-инженер в Renue. Можно удаленно. До 60 000 ₽.
Больше вакансий
#intern
Frontend-разработчик (React) в Ревамп АйТи. Можно удаленно. До 40 000 ₽.
Sales manager в Strikt. Можно удаленно. Москва, Санкт-Петербург, Ростов-на-Дону. Неполный день. До 35 000 ₽.
IT-recruiter в Wanted. Санкт-Петербург. До 120 000 ₽.
Разработчик бэкенда в Яндекс. Ташкент. Неполный день.
Game developer в Wind4Tune. Можно удаленно.
Fullstack-разработчик в Bogoda Digital Pro. Можно удаленно. Сан-Хосе. Неполный день.
Системный аналитик в LaunchHub. Москва, Санкт-Петербург, Екатеринбург. От 100 000 ₽.
Инженер-проектировщик АСУТП в Текон. Неполный день. Москва, Санкт-Петербург, Нижнекамск. От 80 000 ₽.
QA engineer manual в Vorta. Можно удаленно. 40 000 — 65 000 ₽.
Devops-инженер в Renue. Можно удаленно. До 60 000 ₽.
Больше вакансий
#intern
🤡37👍9❤4
Как информационная служба Хабра ищет и отрабатывает технические инфоповоды
Каждый день сотрудники информационной службы Хабра ищут интересные технические инфоповоды, часть из которых становятся новостями, лонгридами или переводами. Узнаем, как это происходит.
Каждый день сотрудники информационной службы Хабра ищут интересные технические инфоповоды, часть из которых становятся новостями, лонгридами или переводами. Узнаем, как это происходит.
🥱29👍12🤮5❤1🔥1
Кто проживает на дне океана: о подводных линиях связи
Задумывались ли вы, как сообщение в мессенджере или видеозвонок достигают адресата за доли секунды, преодолевая тысячи километров? Наверняка. А о том, что 70% Земли покрыто водой? Скорее всего, тоже. Но если совместить эти факты, то выходит, что большая часть «магии» происходит именно на глубине, а подводные линии связи — это невидимые герои, соединяющие континенты. Давайте немного окунёмся в историю и поговорим об их основных типах и функциональных элементах, а также рассмотрим сферы применения.
Задумывались ли вы, как сообщение в мессенджере или видеозвонок достигают адресата за доли секунды, преодолевая тысячи километров? Наверняка. А о том, что 70% Земли покрыто водой? Скорее всего, тоже. Но если совместить эти факты, то выходит, что большая часть «магии» происходит именно на глубине, а подводные линии связи — это невидимые герои, соединяющие континенты. Давайте немного окунёмся в историю и поговорим об их основных типах и функциональных элементах, а также рассмотрим сферы применения.
👍76🔥5
[ХАБРААРХИВ]
Компьютер из 10000 костей домино
Мэтт Паркер, отметившийся в проектах Numberphile и Standup Maths, и команда Domino Computer Builders построили, наверное, самый медленный компьютер в мире.
К примеру, AND gate выглядит следующим образом. Если толкнуть один из входов («послать единицу»), на выходе получим «ноль»: «единица» на правом входе просто «закроет ключ», единица на левом же раздвоится, и тот сигнал, который ушёл вправо, закроет ключ для левого, прежде чем тот дойдёт до него. Если же толкнуть оба входа, правый сигнал, закрыв ключ, не даст левому входу «самоуничтожиться», и на выход уйдёт «единица».
#хабраархив
Компьютер из 10000 костей домино
Мэтт Паркер, отметившийся в проектах Numberphile и Standup Maths, и команда Domino Computer Builders построили, наверное, самый медленный компьютер в мире.
К примеру, AND gate выглядит следующим образом. Если толкнуть один из входов («послать единицу»), на выходе получим «ноль»: «единица» на правом входе просто «закроет ключ», единица на левом же раздвоится, и тот сигнал, который ушёл вправо, закроет ключ для левого, прежде чем тот дойдёт до него. Если же толкнуть оба входа, правый сигнал, закрыв ключ, не даст левому входу «самоуничтожиться», и на выход уйдёт «единица».
#хабраархив
👍43🤡14🔥10😁6❤3👌1
Генератор картинок от разработчиков DeepSeek: тест-драйв новой нейросети
Всего месяц назад команда DeepSeek выпустила в открытый доступ новую мультимодальную модель для генерации картинок — Janus-Pro-7B. Разработчики заверяют, что она умеет генерировать изображения, почти неотличимые от настоящих, хорошо работает в локальном режиме, бесплатна и превосходит западных конкурентов в ряде задач.
Но действительно ли Janus-Pro-7B так хорош? Развернём модель в облаке, протестируем её в деле и сравним результаты с другими генераторами изображений.
Всего месяц назад команда DeepSeek выпустила в открытый доступ новую мультимодальную модель для генерации картинок — Janus-Pro-7B. Разработчики заверяют, что она умеет генерировать изображения, почти неотличимые от настоящих, хорошо работает в локальном режиме, бесплатна и превосходит западных конкурентов в ряде задач.
Но действительно ли Janus-Pro-7B так хорош? Развернём модель в облаке, протестируем её в деле и сравним результаты с другими генераторами изображений.
👍35🤮18🤡6👎2❤1🔥1💩1
Квантовые точки и их получение
Одно из интереснейших явлений — открытие «квантовых точек», и многие называют это существенной вехой, которая даёт начало целым направлениям в науке и технике. Посмотрим поближе, что они представляют собой и насколько реально их создать самому.
Одно из интереснейших явлений — открытие «квантовых точек», и многие называют это существенной вехой, которая даёт начало целым направлениям в науке и технике. Посмотрим поближе, что они представляют собой и насколько реально их создать самому.
🤔29👍18❤5🤡3🤮2👎1
Истоки и эволюция редакторов Vi и Vim
В этой статье мы отправимся к истокам текстовых редакторов UNIX, чтобы рассмотреть ключевых участников и важные события, сыгравшие решающую роль в эволюции Vi и Vim, и узнаем, кто их общий «прародитель».
В этой статье мы отправимся к истокам текстовых редакторов UNIX, чтобы рассмотреть ключевых участников и важные события, сыгравшие решающую роль в эволюции Vi и Vim, и узнаем, кто их общий «прародитель».
👍51❤9🥴5❤🔥3🔥3👌2
«Вот есть у нас, например, два хоста-клиента и один Linux. Хосты из одной подсети. Надо чтобы пообщаться смогли они друг с дружкой. В общем, свитчик D-link тупой сделать надо из Линукса»
FRRouting. Без кликбейтного названия
FRRouting. Без кликбейтного названия
🤔30👍14🔥7❤2
Опрос анонимный, а ваши ответы помогут нам в подготовке большого исследования.
Please open Telegram to view this post
VIEW IN TELEGRAM
👎28👍7🤔7🤡7
Органы на заказ: собираем генно-инженерную свинью
Сейчас донорство органов — это всегда радостное событие для одних, но печальное — для других. Да, есть замечательные люди, которые при жизни согласились спасти других, если с ними самими что-то случится. Но сегодня поговорим об альтернативе, которая стала одним из наиболее перспективных направлений в продлении жизни и трансплантологии.
Сейчас донорство органов — это всегда радостное событие для одних, но печальное — для других. Да, есть замечательные люди, которые при жизни согласились спасти других, если с ними самими что-то случится. Но сегодня поговорим об альтернативе, которая стала одним из наиболее перспективных направлений в продлении жизни и трансплантологии.
🤗39😢23👍12🥴2
Фидонет: как получить первого поинта, а также как настроить заветный софт
Поговорим о том, как установить заветный «голый дед» (GoldED+) на свой телефон вместе со стандартным тоссером Husky и мейлером BinkD, а также получить первого поинта в сети.
Поговорим о том, как установить заветный «голый дед» (GoldED+) на свой телефон вместе со стандартным тоссером Husky и мейлером BinkD, а также получить первого поинта в сети.
😁57👍31🤮7😱3🥰2🥱1
Почему дизайнер = инженер
Поговорим о том, что из себя представляет работа дизайнера сегодня. Пройдёмся по основным мифам, посмотрим на роль дизайнеров в разработке и проблемы, с которыми они сталкиваются. Надеемся, после этого текста вы убедитесь, что в профессии дизайнера много технических моментов и они ближе к разработчикам и инженерам, чем к художникам.
Поговорим о том, что из себя представляет работа дизайнера сегодня. Пройдёмся по основным мифам, посмотрим на роль дизайнеров в разработке и проблемы, с которыми они сталкиваются. Надеемся, после этого текста вы убедитесь, что в профессии дизайнера много технических моментов и они ближе к разработчикам и инженерам, чем к художникам.
😁63👎19👍7🤮4❤🔥3🤡3🤣2❤1👏1
На прошедшей неделе мы создавали ИИ-радио, вспоминали вымершие языки программирования, составляли числа из четырёх двоек и превращали старый смартфон в игровую консоль с возможностью звонить.
Лучшие публикации недели (24 февраля — 2 марта 2025)
Лучшие публикации недели (24 февраля — 2 марта 2025)
🔥19❤5👍5🤮2🥱2