This media is not supported in your browser
VIEW IN TELEGRAM
зашел почитать официальную доку гугла, у них xss прокает в самых базовых местах хд, нигде от багхантинга не уйти
https://web.dev/learn/images/history
https://web.dev/learn/images/history
😁6❤5
с наступающим мои смурфы, как всегда завершаю год подытоживающим постом и пожеланиями
год кончился, я не добился своих целей, не стал на голову выше, наверно это скорее год неудач, но…
менее счастливым я не стал, я наоборот стал ценить то что у меня есть, радоваться любой мелочи, и ценить людей вокруг.
раньше я считал, то что навыки и знания это самое главное, но это не так.
важно любить этот мир, своих близких, быть добрым, относиться к миру проще
у людей часто может появиться высокомерие из-за своих достижений, что они начинают относиться к людям или другим существам неподобающе
каждая форма жизни заслуживает уважения и любви, по какой то причине люди возомнили себя богами
поэтому желаю вам в новом году научиться любить себя, людей вокруг и сам мир, все же нам всем повезло встретиться именно в эту эпоху и в это время
год кончился, я не добился своих целей, не стал на голову выше, наверно это скорее год неудач, но…
менее счастливым я не стал, я наоборот стал ценить то что у меня есть, радоваться любой мелочи, и ценить людей вокруг.
раньше я считал, то что навыки и знания это самое главное, но это не так.
важно любить этот мир, своих близких, быть добрым, относиться к миру проще
у людей часто может появиться высокомерие из-за своих достижений, что они начинают относиться к людям или другим существам неподобающе
каждая форма жизни заслуживает уважения и любви, по какой то причине люди возомнили себя богами
поэтому желаю вам в новом году научиться любить себя, людей вокруг и сам мир, все же нам всем повезло встретиться именно в эту эпоху и в это время
❤21🎄5🔥2
через 2 дня поеду покорять москву, рассмотрю вакансии пентестера, тестировщика или триажера (удаленка / мск),
может встретимся с кем то из вас, открыт для любого движа
может даже скоро придется пожить хардкорной жизнью хакера-бомжа на теплотрассе (шутка) , поэтому кто желает может поддержать вашего сенсея скинув пару шекелей
только смотрите хуйней не страдайте, я то знаю вас😳
+79889815666 - ВТБ
2200 2404 2282 6509
сча разгребусь с кучей дел, снова наделаю вам статеек по хакингу, осинту и прочим приколюхам, подождите немного
p.s братишка постом ниже, отжимайся соточку
может встретимся с кем то из вас, открыт для любого движа
может даже скоро придется пожить хардкорной жизнью хакера-бомжа на теплотрассе (шутка) , поэтому кто желает может поддержать вашего сенсея скинув пару шекелей
только смотрите хуйней не страдайте, я то знаю вас😳
сча разгребусь с кучей дел, снова наделаю вам статеек по хакингу, осинту и прочим приколюхам, подождите немного
p.s братишка постом ниже, отжимайся соточку
❤8🐳2
Forwarded from roleGIVEME 500 bucks
Новогодний багхантерский подкаст☃️
В этом выпуске подкаста три непонятых гения русского ИБ собрались, чтобы обсудить прошедший год и важные вопросы багбаунти.
Всем приятного просмотра!
За каждый репост rolegiv_BugBounty будет отжиматься 100 раз...
Участники:
🔵 rolegiv_BugBounty
🔵 MrKaban4ik
🔵 Lanyac
🔗 Ссылки
💙 VK Видео
📹 YouTube
В этом выпуске подкаста три непонятых гения русского ИБ собрались, чтобы обсудить прошедший год и важные вопросы багбаунти.
Всем приятного просмотра!
За каждый репост rolegiv_BugBounty будет отжиматься 100 раз...
Участники:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
переехал к другу, надо было обзавестись свободным входом в подъезд
скопировал ключик от домофона - не открывает
базовые контакты флиппера не смогли открыть домофон (как и 90% других, ибо слишком короткие)
чекнули цены ibutton модуля - от 1к рублей минималка
по итогу решили сделать сами из того, что лежит дома, по себестоимости вышло практически бесплатно, ну может рублей 5, интересно рынок устроен
скопировал ключик от домофона - не открывает
базовые контакты флиппера не смогли открыть домофон (как и 90% других, ибо слишком короткие)
чекнули цены ibutton модуля - от 1к рублей минималка
по итогу решили сделать сами из того, что лежит дома, по себестоимости вышло практически бесплатно, ну может рублей 5, интересно рынок устроен
❤4😁1
This media is not supported in your browser
VIEW IN TELEGRAM
❤8
This media is not supported in your browser
VIEW IN TELEGRAM
❤10
This media is not supported in your browser
VIEW IN TELEGRAM
❤8🔥3
я знаю что вы зашли смотреть как я модифицирую тамагочи (нет), в общем заказал же модулей с флиппер маркета, самое интересное и трудное - LED модуль, надо было вскрывать, распаивать эту парашу все дела
вроде всё работает, ничего не наебнулось, теперь он не ощущается так дешево как раньше
вроде всё работает, ничего не наебнулось, теперь он не ощущается так дешево как раньше
❤6
This media is not supported in your browser
VIEW IN TELEGRAM
❤3
This media is not supported in your browser
VIEW IN TELEGRAM
❤5
охх много же трафика налетело на канал, вступительного поста я так и не делал - начинаем
если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами😱
это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве
точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай
первый
второй
мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:
решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку
мой старый бб профиль
имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..
если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек😯
если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами
это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве
точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай
первый
второй
мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:
решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку
мой старый бб профиль
имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..
если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек
Please open Telegram to view this post
VIEW IN TELEGRAM
афигеть два моих отчета вк открыл, выложил и разобрал
Forwarded from InfoSec VK Hub
Всем привет!
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
▫️ tv․mail․ru;
▫️ health․mail․ru;
▫️ deti․mail․ru;
но фикс был в одном месте.
🔹 Ссылка на отчет
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
🔹 Ссылка на отчет
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
🔹 Ссылка на отчет
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
но фикс был в одном месте.
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
решил подготовить книгу на тему багбаунти и веб хакинга основываясь на самых последних знаниях вплоть до 2026 года со всеми мелочами, и тонной охваченных различных тем
я долго держал данную идею в голове, ибо она требовала довольно много ресурсов, закупить прошки сильнейших нейросетей, сделать адекватные длинные промпты, оформить, дать нейросетям правый хук в голову и много других нюансов
старые методологии требуют переосмысления, изменения и адаптирования под современный мир
поэтому выдаю тебе свежий материал, он получился невероятно крутым, можешь свободно распространять, критиковать ну или репостить, удачи!!
я долго держал данную идею в голове, ибо она требовала довольно много ресурсов, закупить прошки сильнейших нейросетей, сделать адекватные длинные промпты, оформить, дать нейросетям правый хук в голову и много других нюансов
старые методологии требуют переосмысления, изменения и адаптирования под современный мир
поэтому выдаю тебе свежий материал, он получился невероятно крутым, можешь свободно распространять, критиковать ну или репостить, удачи!!