Офигеть конечно история.
Помогаешь государственным службам, делаешь рисёрчи, о которых потом пишут все новостные издания. И потом внезапно ты попадаешь на Security Control в аэропорту, где твой телефон несколько часов проверяют. А потом тебе еще какое-то обвинение пытаются выкатить. Хорошо что отделался небольшим испугом. Вывод простой, даже если вайтхэт - то лучше лишний раз перевоткнуть VPN и помыть руки.
PS: Много тут читателей испытавших подобный экспириенс? За последнее время уверен что многие научились возить телефон в cloud dump 😁 Жизнь заставила можно сказать.
https://x.com/samwcyo/status/1706834185443483762?s=20

Вот это поворот.
Сергей Тошин aka BagiPro(TOP1 Mobile Hacker) записал неплохое интервью с ребятами из criticalthinking подкаста.
Приятно слушать таких людей, которые буквально прорубили целую сферу мобильного хакинга своими руками и ногами.
https://youtu.be/W6UWw0L01sE

Пока мы тут увлеченно пихаем кавычки и что-то ревёрсим, друзья по цеху из очередной страны идут воевать настоящим оружием. Вот буквально сейчас увидел как мой подписчик из твиттера попал под мобилизацию в Израиле.
https://x.com/SayafayaS/status/1711029946762600820?s=20
Приятель написал что у них "дизайнера" призвали...
И это такой это ад осозновать что в 2023 году происходит то что могло происходить в средневековье. С похищением детей, стариков и молодых девушек.
https://echofm.online/opinions/hton-yavno-nastroena-bitsya-do-poslednego (Интересно описал восприятие ситуации Лошак, но не разделяю как он замешал еще несколько стран в этой публикации)
В очередной раз хочется посмотреть билеты до Новой Зеландии в один конец.

Кажется это будут весьма интересные 4 дня обучения которые я ждал почти год.
А уж сколько критики было по поводу стоимости обучения 😁

"Что-то на богатом" считает большинство, когда видит тренинг по Burp Suite за 3к евро.
Сегодня последний день тренинга. И могу сказать точно - он стоит своих денег. И он точно нужен тем кто "на опыте". Я ощутил себя невежественным крестьянином с мотыгой, после того как увидел какие возможности таит в себе инструмент. Можно разные штуки делать, разные кейсы тестить и сканить.
Сам тренинг идет 4 дня в онлайне. Под все "штуки" есть лабы где быстро и просто демонстрируется теория по ходу обучения. Отдельно стоит отметить препода. Он не какой-то там инфобизнесмен. Он опытный пентестер и багхантер. И я к нему шел именно потому что он умеет сам и не продаёт воздух без релевантного опыта в своих руках.

Оставлю тут.
Как минимум потому что в отзыве сложил ссылки на публикации и видосы, которые надо будет пересмотреть внимательно 🙂
https://telegra.ph/Mastering-Burp-Suite-Pro---moj-chestnyj-otzyv-10-13

Господа, а помогите сформировать список интересных конференций, близких к тематике web security, bug bounty, application security с полезными и качественными докладами.
На текущий момент я подсобрал такой список, но уверен что многое упускают.
https://www.hexacon.fr/
https://nullcon.net/
https://securityfest.com/
https://www.hackinparis.com/
https://hacktivity.com/
https://kazhackstan.com/
https://defcon.org/
https://conference.hitb.org
PS: Желательно рекомендовать зарубежное. Временно "не работаю по ру" 😁

Интересная легенда про race condition😁
https://youtu.be/3Nq3ye-QCyM?si=UlZcPhyFDrLrvlBH

Августина тут неплохое размышление накидала на счет race condition. Достаточно интересно прочитать и взять во внимание многие моменты и места где этим можно злоупотребить.
https://teletype.in/@api_0/CxnX92T324G

Вот явно многие из вас страдали с понижением критичности репортов от триажеров платформы.
Зачастую триажер понижает критичность просто не понимая бизнес рисков. Однако те кто их понимают, предпочитают "сэкономить" и оставить всё как уже оценили ранее. Зачем менять критичность с high на critical если h1 triager уже "произвел" оценку?! Зачем кому-то за собственные ошибки платить больше, если можно заплатить меньше? 😁 Большинство сидят на этой истории годами. К тому же если бага - утечка PII, то с точки зрения CVSS затрагивается confidentiality, и крайне редко подтягивается Integrity. Как итог - с точки зрения CVSS ваш мега похек на чувствительные данные почти всегда будет сидеть в High, и очень неохотно и редко его переводят в Critical. Звучит глупо, но так оно и есть...
В итоге пару недель назад HackerOne выкатил прекрасную полиси, в котороую можно носом тыкать всех триажеров платформы - https://docs.hackerone.com/organizations/platform-standards.html
В данной полиси описаны неудобные моменты с игрой в критичность в разных ситуациях. И английским по белому зафиксировано - "Mass Leakage of Sensitive PII" should be considered as Critical.
Надеюсь эта информация кому-то поможет заполучить законный Critical 😉

Думаю что настал момент под конец года собрать оху***льный рассказ.
С фактами, реальными примерами, ревардами и комментариями компаний.

Но в первую очередь хочется подсобрать ожидания от вас как от читателей и узнать - а что вы ожидаете увидеть при прочтении такой статьи? Принимаются любые пожелания. В том числе и по заголовку, на случай если он слишком мудреный :)

Удивительное чувство, когда зовут поделиться свежими идеями и историями на местном секьюрити митапчике. Но еще интереснее, когда подходят люди которых видишь впервые и говорят - «О, а я за тобой слежу и читаю. Спасибо что пишешь!».

Одновременно приятно и странно. Ведь я простой пацан из Ижевска, который публикует не всегда свежие идеи и похеки 💁🏻‍♂️
Еще раз спасибо всем кто был сегодня на митапчике. И спасибо всем кто подписан и читает 🙌🏻❤️

Часто кто-то из вас тестировал подобное?
А вот зря! Больше подробностей тут - https://starlabs.sg/advisories/23/23-32530/

Скуля через ssl cert 🤯

Интересное чтиво о том как well known issue стало внезапно важным и необходимым к исправлению.
https://www.paloaltonetworks.com/blog/prisma-cloud/secrets-leakage-user-error-azure-cli
PS: кстати подобный подход в поиске уязвимостей не новый. У меня был опыт когда почитав внимательно форум по одному из продуктов, удалось найти забытые трэды и обсуждения potential security issue. И вот незнай как продукт этой компании проходил все комплаенс пентесты долгие годы, однако с этим well known issue удалось даже собрать немного репы и денег на бб 💁‍♂️

Отложите в закладки этот твитт.
Кажется легенда Mark Lichfield замутил иск против платформы или против программы где на нём пытались сэкономить.
Надеюсь история станет публичной и результативной.

Как-то мимо меня прошла эта преза по Amass от автора Jeff Foley
Интересные 30 минуток чтоб найти полезные идеи для вашего recon flow
https://youtu.be/IgxPsv8MXMw