This media is not supported in your browser
VIEW IN TELEGRAM
3
This media is not supported in your browser
VIEW IN TELEGRAM
5
охх много же трафика налетело на канал, вступительного поста я так и не делал - начинаем

если ты попал сюда - то наверно интесуешься хакингом, информационной безопасностью, осинтом и другими подобными сферами😱

это местечко третье продолжение остальных моих проектов по бесплатному альтруистичному развитию людей в этом искусстве

точно знаю, что если не сказать тебе читать всё с нуля, то ты этого и не сделаешь, поэтому если ты действительно за знаниями - дерзай

первый
второй

мне нравится смотреть на хакинг через призму рофла и простоты, поэтому многие меня еще могут знать как багхантера который ставит глупые цели по типу:

решил сдать по 1 уязвимости в каждой из программ без повторений, 13 разных компаний кстати собрал, и сломал ачивку случайно зарепортив две подряд, поэтому бросил эту игрушку

мой старый бб профиль

имею кое какой бекграунд в некоторых других айтишных сферах, веб разработка, системное администрирование, программирование и прочая чепуха, поэтому..

если чем то интересуешься - не бойся задать мне вопрос в лс, я такой же обычный человек😯
Please open Telegram to view this post
VIEW IN TELEGRAM
12
афигеть два моих отчета вк открыл, выложил и разобрал
7
Forwarded from InfoSec VK Hub
Всем привет!

Продолжаем практику раскрытия отчётов от багхантеров! В этой подборке — находки, которые объединяет внимательность к деталям: нестабильная XSS, инъекция через SVG и тайминг-атака на странице восстановления аккаунта.

Нестабильная XSS
На сайте lady․mail․ru в параметре поиска q обнаружилась Reflected XSS, которая срабатывала не с первого раза. Но даже такая уязвимость не теряет актуальности: при повторных запросах код выполняется, а значит, злоумышленник может украсть куки или сессии. Уязвимость затрагивала несколько поддоменов:
▫️tv․mail․ru;
▫️health․mail․ru;
▫️deti․mail․ru;
но фикс был в одном месте.

🔹 Ссылка на отчет

XSS через SVG
В параметре query на otvet․mail․ru сработала инъекция через вложенные теги <svg>+<style>+<img>. После перехода по ссылке вредоносный код внедрялся в посты пользователей и выполнялся, оставаясь незаметным в URL.

🔹 Ссылка на отчет

Тайминг-атака на восстановление аккаунта VK ID
На странице id․vk․com/restore время ответа сервера отличалось для валидного и невалидного номера телефона (≈160 мс против ≈120 мс). Разница позволила написать скрипт для перебора номеров со скоростью 670 запросов в секунду — весь диапазон российских номеров можно было подобрать за короткое время.

🔹 Ссылка на отчет

Это только начало — мы будем и дальше выкладывать отчёты, так что следите за обновлениями!

🔹 Обсудить репорты вживую, поспорить с коллегами и задать вопросы экспертам VK? Легко! 19 марта на VK Security Confab!
Зарегистрироваться

VK Security | Буст этому каналу!

#bugbounty #разборы #confab
Please open Telegram to view this post
VIEW IN TELEGRAM
12
This media is not supported in your browser
VIEW IN TELEGRAM
решил подготовить книгу на тему багбаунти и веб хакинга основываясь на самых последних знаниях вплоть до 2026 года со всеми мелочами, и тонной охваченных различных тем

я долго держал данную идею в голове, ибо она требовала довольно много ресурсов, закупить прошки сильнейших нейросетей, сделать адекватные длинные промпты, оформить, дать нейросетям правый хук в голову и много других нюансов

старые методологии требуют переосмысления, изменения и адаптирования под современный мир

поэтому выдаю тебе свежий материал, он получился невероятно крутым, можешь свободно распространять, критиковать ну или репостить, удачи!!
22
сходил на вк конф, посмотрел и послушал легенд хакерского мирочка, жаль девушку не удалось прихватить с собой, ибо всё же нужно было иметь хакерскую специализацию в своем бекграунде

просто невероятное место, было море еды, напитков, крутых людей, получил кучу новых знакомств, увидел приятелей из чатиков, в общем мне очень зашло

вот вам фоточки с мероприятия, офиса вк в мск, мой кент с котиком и прочее