This media is not supported in your browser
VIEW IN TELEGRAM
❤3
This media is not supported in your browser
VIEW IN TELEGRAM
❤5
охх много же трафика налетело на канал, вступительного поста я так и не делал - начинаем
если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами😱
это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве
точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай
первый
второй
мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:
решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку
мой старый бб профиль
имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..
если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек😯
если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами
это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве
точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай
первый
второй
мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:
решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку
мой старый бб профиль
имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..
если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек
Please open Telegram to view this post
VIEW IN TELEGRAM
афигеть два моих отчета вк открыл, выложил и разобрал
Forwarded from InfoSec VK Hub
Всем привет!
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
▫️ tv․mail․ru;
▫️ health․mail․ru;
▫️ deti․mail․ru;
но фикс был в одном месте.
🔹 Ссылка на отчет
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
🔹 Ссылка на отчет
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
🔹 Ссылка на отчет
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.
Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
но фикс был в одном месте.
XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.
Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.
Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!
Зарегистрироваться
VK Security | Буст этому каналу!
#bugbounty #разборы #confab
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
решил подготовить книгу на тему багбаунти и веб хакинга основываясь на самых последних знаниях вплоть до 2026 года со всеми мелочами, и тонной охваченных различных тем
я долго держал данную идею в голове, ибо она требовала довольно много ресурсов, закупить прошки сильнейших нейросетей, сделать адекватные длинные промпты, оформить, дать нейросетям правый хук в голову и много других нюансов
старые методологии требуют переосмысления, изменения и адаптирования под современный мир
поэтому выдаю тебе свежий материал, он получился невероятно крутым, можешь свободно распространять, критиковать ну или репостить, удачи!!
я долго держал данную идею в голове, ибо она требовала довольно много ресурсов, закупить прошки сильнейших нейросетей, сделать адекватные длинные промпты, оформить, дать нейросетям правый хук в голову и много других нюансов
старые методологии требуют переосмысления, изменения и адаптирования под современный мир
поэтому выдаю тебе свежий материал, он получился невероятно крутым, можешь свободно распространять, критиковать ну или репостить, удачи!!
сходил на вк конф, посмотрел и послушал легенд хакерского мирочка, жаль девушку не удалось прихватить с собой, ибо всё же нужно было иметь хакерскую специализацию в своем бекграунде
просто невероятное место, было море еды, напитков, крутых людей, получил кучу новых знакомств, увидел приятелей из чатиков, в общем мне очень зашло
вот вам фоточки с мероприятия, офиса вк в мск, мой кент с котиком и прочее
просто невероятное место, было море еды, напитков, крутых людей, получил кучу новых знакомств, увидел приятелей из чатиков, в общем мне очень зашло
вот вам фоточки с мероприятия, офиса вк в мск, мой кент с котиком и прочее