Forwarded from Spide Technologies
Спустя столь долгое время мы все таки восстановили работоспособность бота @iptools_robot!
Прошло конечно, много времени, 2ого октября даже заблокировали канал и чат BIN, но тоже уже восстановлены по новой ссылке @hashb1n.
Все, кто имел годовую премиум подписку, пожалуйста отпишите в Нашел баг?, я проверю вас по базе.
Прошло конечно, много времени, 2ого октября даже заблокировали канал и чат BIN, но тоже уже восстановлены по новой ссылке @hashb1n.
Все, кто имел годовую премиум подписку, пожалуйста отпишите в Нашел баг?, я проверю вас по базе.
Forwarded from bin
Исследователи выявили на портале Госуслуг еще две уязвимости, связанные с использованием Covert Redirect (скрытой переадресации). Важным отличием выявленных уязвимостей является возможность перехвата cookie-файлов при помощи технологии XSS (SSRF). Это позволяет злоумышленникам не только перенаправлять своих жертв на вредоносный ресурс, но и получать доступ к тем социальным аккаунтам, которые авторизованы в их браузере.
https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=http://gosulsug.ru/login/
https://esia.gosuslugi.ru/aas/oauth2/ac?response_type=code&client_id={данные по запросу}&redirect_uri=mailto:yourname@domain.com
Источник @tomhunterForwarded from bin
https://tgscan.github.io/ru-osint-infosec-map
Неплохо, однако)
В скором времени буду возрождать проект, как выйдет в продакшен одна из моих потусторонних компаний.
Неплохо, однако)
В скором времени буду возрождать проект, как выйдет в продакшен одна из моих потусторонних компаний.
Forwarded from bin
Утечка исходных данных ГОСУСЛУГ
Данные утекли из директории .git, на серверах были неправильно настроены права доступа, тем не менее это все же утечка.
Ниже привел способы настройки прав для .git и других каталогов. Такая же проблема может возникнуть и при использовании .svn.
Исправление для Nginx
Данные утекли из директории .git, на серверах были неправильно настроены права доступа, тем не менее это все же утечка.
Ниже привел способы настройки прав для .git и других каталогов. Такая же проблема может возникнуть и при использовании .svn.
Исправление для Nginx
location ~ /\.git {
deny all;
}
Исправление для ApacheRedirectMatch 403 /\.git
Скачать — 179.43.176.87:420/gosuslugi.pnzreg.ru.rarForwarded from bin
diia.gov.ua.tar
1.3 GB
Масштабная утечка исходных данных украинского портала «Дия»
Источником утечки является один из пользователей многим известного форума RaidForums.
По словам автора, утечка содержит исходных код государственного сайта. Сам я еще не смотрел, но скоро буду.
Источником утечки является один из пользователей многим известного форума RaidForums.
По словам автора, утечка содержит исходных код государственного сайта. Сам я еще не смотрел, но скоро буду.
Forwarded from bin
Напоминаю, что у нашего сообщества есть комфортный чат — t.me/+1MmL6TLTXgE2MGY6
Почему-то именно с поиском чата у людей возникают проблемы 🤦♀️
Также, главный администратор @hexuary в поисках скупщиков баз персональных данных или клиентов в наш эксклюзивный приватный канал, который в скором времени будет неплохо пополнен.
Почему-то именно с поиском чата у людей возникают проблемы 🤦♀️
Также, главный администратор @hexuary в поисках скупщиков баз персональных данных или клиентов в наш эксклюзивный приватный канал, который в скором времени будет неплохо пополнен.
Forwarded from bin
Эксплоит CVE-2021-4034 — github.com/berdav/CVE-2021-4034
Уязвимость заключается в локальном повышение привилегий на машине под управлением Debian и части основанных на ней дистрибутивов. Недочет скрывается в приложении polkit-pkexec, которое является инструментом setuid и позволяет обычным пользователям выполнять команды от имени привилегированных с предопределенными политиками.
Информация об уязвимости появилась вчера (25.01.2022), часть фиксов уже выпущена.
Уязвимость заключается в локальном повышение привилегий на машине под управлением Debian и части основанных на ней дистрибутивов. Недочет скрывается в приложении polkit-pkexec, которое является инструментом setuid и позволяет обычным пользователям выполнять команды от имени привилегированных с предопределенными политиками.
Информация об уязвимости появилась вчера (25.01.2022), часть фиксов уже выпущена.