Оставлю тут.
Как минимум потому что в отзыве сложил ссылки на публикации и видосы, которые надо будет пересмотреть внимательно 🙂
https://telegra.ph/Mastering-Burp-Suite-Pro---moj-chestnyj-otzyv-10-13
Как минимум потому что в отзыве сложил ссылки на публикации и видосы, которые надо будет пересмотреть внимательно 🙂
https://telegra.ph/Mastering-Burp-Suite-Pro---moj-chestnyj-otzyv-10-13
Telegraph
Mastering Burp Suite Pro - мой честный отзыв
Valeriy Shevchenko Попробую для всех читателей сложить пазл о данном обучении. Может кто-то так же как и я задумается и начнет на обедах экономить. Кто-то может назвать это - "курс по бурпу за очень много денег". Но я принципиально так не считаю, и вот почему.…
👍15🔥5👻5❤2
Господа, а помогите сформировать список интересных конференций, близких к тематике web security, bug bounty, application security с полезными и качественными докладами.
На текущий момент я подсобрал такой список, но уверен что многое упускают.
https://www.hexacon.fr/
https://nullcon.net/
https://securityfest.com/
https://www.hackinparis.com/
https://hacktivity.com/
https://kazhackstan.com/
https://defcon.org/
https://conference.hitb.org
PS: Желательно рекомендовать зарубежное. Временно "не работаю по ру" 😁
На текущий момент я подсобрал такой список, но уверен что многое упускают.
https://www.hexacon.fr/
https://nullcon.net/
https://securityfest.com/
https://www.hackinparis.com/
https://hacktivity.com/
https://kazhackstan.com/
https://defcon.org/
https://conference.hitb.org
PS: Желательно рекомендовать зарубежное. Временно "не работаю по ру" 😁
❤11👍3🔥1💔1
Интересная легенда про race condition😁
https://youtu.be/3Nq3ye-QCyM?si=UlZcPhyFDrLrvlBH
https://youtu.be/3Nq3ye-QCyM?si=UlZcPhyFDrLrvlBH
YouTube
How To Steal And Lose More Than $3 Billion In Bitcoin | CNBC Documentary
Twenty two year-old hacker Jimmy Zhong said he never meant to become a criminal billionaire. But that’s what happened in 2012 after he found a way to steal bitcoin from the Silk Road – a dark web exchange then known for some of the most unsavory trade on…
😁6
Августина тут неплохое размышление накидала на счет race condition. Достаточно интересно прочитать и взять во внимание многие моменты и места где этим можно злоупотребить.
https://teletype.in/@api_0/CxnX92T324G
https://teletype.in/@api_0/CxnX92T324G
Teletype
ИСТИННЫЙ ПОТЕНЦИАЛ RACE CONDITION
Долгое время мы думали о гонках как об ошибках, таких как многократное использование промо-кода или что-то, связанное...
👍14🔥3❤2😁2👏1
Вот явно многие из вас страдали с понижением критичности репортов от триажеров платформы.
Зачастую триажер понижает критичность просто не понимая бизнес рисков. Однако те кто их понимают, предпочитают "сэкономить" и оставить всё как уже оценили ранее. Зачем менять критичность с high на critical если h1 triager уже "произвел" оценку?! Зачем кому-то за собственные ошибки платить больше, если можно заплатить меньше? 😁 Большинство сидят на этой истории годами. К тому же если бага - утечка PII, то с точки зрения CVSS затрагивается confidentiality, и крайне редко подтягивается Integrity. Как итог - с точки зрения CVSS ваш мега похек на чувствительные данные почти всегда будет сидеть в High, и очень неохотно и редко его переводят в Critical. Звучит глупо, но так оно и есть...
В итоге пару недель назад HackerOne выкатил прекрасную полиси, в котороую можно носом тыкать всех триажеров платформы - https://docs.hackerone.com/organizations/platform-standards.html
В данной полиси описаны неудобные моменты с игрой в критичность в разных ситуациях. И английским по белому зафиксировано - "Mass Leakage of Sensitive PII" should be considered as Critical.
Надеюсь эта информация кому-то поможет заполучить законный Critical 😉
Зачастую триажер понижает критичность просто не понимая бизнес рисков. Однако те кто их понимают, предпочитают "сэкономить" и оставить всё как уже оценили ранее. Зачем менять критичность с high на critical если h1 triager уже "произвел" оценку?! Зачем кому-то за собственные ошибки платить больше, если можно заплатить меньше? 😁 Большинство сидят на этой истории годами. К тому же если бага - утечка PII, то с точки зрения CVSS затрагивается confidentiality, и крайне редко подтягивается Integrity. Как итог - с точки зрения CVSS ваш мега похек на чувствительные данные почти всегда будет сидеть в High, и очень неохотно и редко его переводят в Critical. Звучит глупо, но так оно и есть...
В итоге пару недель назад HackerOne выкатил прекрасную полиси, в котороую можно носом тыкать всех триажеров платформы - https://docs.hackerone.com/organizations/platform-standards.html
В данной полиси описаны неудобные моменты с игрой в критичность в разных ситуациях. И английским по белому зафиксировано - "Mass Leakage of Sensitive PII" should be considered as Critical.
Надеюсь эта информация кому-то поможет заполучить законный Critical 😉
Hackerone
Detailed Platform Standards | HackerOne Help Center
Organizations: HackerOne's Platform Standards for assessing rewards for a report
👍25❤8🔥3
Думаю что настал момент под конец года собрать оху***льный рассказ.
С фактами, реальными примерами, ревардами и комментариями компаний.
Но в первую очередь хочется подсобрать ожидания от вас как от читателей и узнать - а что вы ожидаете увидеть при прочтении такой статьи? Принимаются любые пожелания. В том числе и по заголовку, на случай если он слишком мудреный :)
С фактами, реальными примерами, ревардами и комментариями компаний.
Но в первую очередь хочется подсобрать ожидания от вас как от читателей и узнать - а что вы ожидаете увидеть при прочтении такой статьи? Принимаются любые пожелания. В том числе и по заголовку, на случай если он слишком мудреный :)
👍16👏1😢1
Удивительное чувство, когда зовут поделиться свежими идеями и историями на местном секьюрити митапчике. Но еще интереснее, когда подходят люди которых видишь впервые и говорят - «О, а я за тобой слежу и читаю. Спасибо что пишешь!».
Одновременно приятно и странно. Ведь я простой пацан из Ижевска, который публикует не всегда свежие идеи и похеки 💁🏻♂️
Еще раз спасибо всем кто был сегодня на митапчике. И спасибо всем кто подписан и читает 🙌🏻❤️
Одновременно приятно и странно. Ведь я простой пацан из Ижевска, который публикует не всегда свежие идеи и похеки 💁🏻♂️
Еще раз спасибо всем кто был сегодня на митапчике. И спасибо всем кто подписан и читает 🙌🏻❤️
❤34👍4🔥4
Часто кто-то из вас тестировал подобное?
А вот зря! Больше подробностей тут - https://starlabs.sg/advisories/23/23-32530/
Скуля через ssl cert 🤯
А вот зря! Больше подробностей тут - https://starlabs.sg/advisories/23/23-32530/
Скуля через ssl cert 🤯
🤯17😁9🔥6👍5❤1
Интересное чтиво о том как well known issue стало внезапно важным и необходимым к исправлению.
https://www.paloaltonetworks.com/blog/prisma-cloud/secrets-leakage-user-error-azure-cli
PS: кстати подобный подход в поиске уязвимостей не новый. У меня был опыт когда почитав внимательно форум по одному из продуктов, удалось найти забытые трэды и обсуждения potential security issue. И вот незнай как продукт этой компании проходил все комплаенс пентесты долгие годы, однако с этим well known issue удалось даже собрать немного репы и денег на бб 💁♂️
https://www.paloaltonetworks.com/blog/prisma-cloud/secrets-leakage-user-error-azure-cli
PS: кстати подобный подход в поиске уязвимостей не новый. У меня был опыт когда почитав внимательно форум по одному из продуктов, удалось найти забытые трэды и обсуждения potential security issue. И вот незнай как продукт этой компании проходил все комплаенс пентесты долгие годы, однако с этим well known issue удалось даже собрать немного репы и денег на бб 💁♂️
Palo Alto Networks Blog
All the Small Things: Azure CLI Leakage and Problematic Usage Patterns
Developer usage patterns with Azure CLI may leak sensitive data in CI/CD logs when used in public repositories, potentially exposing critical information.
👍7
Странное ощущение когда приходишь послушать доклады, а на одном из них ты сам 😁 Спасибо ребятам из n26 за минуту славы.
Конфа была неплохая, но кажется надо и самому что-то рассказать в следующий раз.
Конфа была неплохая, но кажется надо и самому что-то рассказать в следующий раз.
🔥22👍5
Отложите в закладки этот твитт.
Кажется легенда Mark Lichfield замутил иск против платформы или против программы где на нём пытались сэкономить.
Надеюсь история станет публичной и результативной.
Кажется легенда Mark Lichfield замутил иск против платформы или против программы где на нём пытались сэкономить.
Надеюсь история станет публичной и результативной.
HackerOne
HackerOne profile - mlitchfield
- https://www.bugbountyhq.com
🔥14🤔2👍1
Как-то мимо меня прошла эта преза по Amass от автора Jeff Foley
Интересные 30 минуток чтоб найти полезные идеи для вашего recon flow
https://youtu.be/IgxPsv8MXMw
Интересные 30 минуток чтоб найти полезные идеи для вашего recon flow
https://youtu.be/IgxPsv8MXMw
YouTube
Unlocking the Power of OWASP Amass - Recon Village @DEF CON 31
Are you ready to take your attack surface mapping to the next level? Join us at Recon Village as we unveil the game-changing integration of the Open Asset Model into the OWASP Amass Project v4.0!
The Open Asset Model (OAM) enhances the way we define and…
The Open Asset Model (OAM) enhances the way we define and…
👍9❤1
Многие кто следят за каналом видели пост о том как я купил проходку на обучение от Jason Haddix. Курс стоил 500 баксов.
Все выходные шло обучение в лайве. Два дня в дискорде мы смотрели его презу. Обсуждали возникающие вопросы. Получали ценные знания из презы о новых тулах и подходах. Вообще не секрет что вкатывание в bug bounty у меня проходило благодаря его старым докладам с презой The Bug Hunting Methodology. И в этот раз на обучении он просто представил свежий взгляд на вещи с учетом его опыта работы пентестером в HP, манагером триажеров в Bugcrowd, CISO в Ubisoft и рэд-тимером в его новой компании.
Чего я точно не ожидал увидеть - это себя в его презе. По сути я теперь буквально стал частью его TBHM в новой версии. И это чертовски приятно.
Все выходные шло обучение в лайве. Два дня в дискорде мы смотрели его презу. Обсуждали возникающие вопросы. Получали ценные знания из презы о новых тулах и подходах. Вообще не секрет что вкатывание в bug bounty у меня проходило благодаря его старым докладам с презой The Bug Hunting Methodology. И в этот раз на обучении он просто представил свежий взгляд на вещи с учетом его опыта работы пентестером в HP, манагером триажеров в Bugcrowd, CISO в Ubisoft и рэд-тимером в его новой компании.
Чего я точно не ожидал увидеть - это себя в его презе. По сути я теперь буквально стал частью его TBHM в новой версии. И это чертовски приятно.
🔥32❤11👏2😁2
На выходных случайно наткнулся на утечку данных одних известных ребяток. Набор данных чудесный - финансовая инфа кастомеров, кастомеры из военки сша, внутренние переписки, встречи и ссылки на встречи, общение с сапортом. По счастливой случайности у ребят была формочка для сабмита на h1. И вот после выходных h1 triager закрывает мне мой репорт как дубль на Infromative issue от October 2022. Я конечно понимаю что компаниям иногда бывает похер на баги. Но не до такой же степени?!
Посмотрев еще раз их сайтик, почитав все эти красивые CCPA, GDPR, SOC2, у меня закралось подозрение что репортить теперь нужно либо в CERT, либо сразу в CCPA с GDPR. Ну и я их любезно переспросил по почте - правильно ли я всё понял.
Удивительно на сколько бодрящим может быть заголовок письма "Possible CCPA and GDPR compliance violation due to reported vulnerability at hackerone"🙈
Через пять минут репорт переоткрыли 🤣
Посмотрев еще раз их сайтик, почитав все эти красивые CCPA, GDPR, SOC2, у меня закралось подозрение что репортить теперь нужно либо в CERT, либо сразу в CCPA с GDPR. Ну и я их любезно переспросил по почте - правильно ли я всё понял.
Удивительно на сколько бодрящим может быть заголовок письма "Possible CCPA and GDPR compliance violation due to reported vulnerability at hackerone"🙈
Через пять минут репорт переоткрыли 🤣
😁36🔥4👍2👏2
Ребята тут в твиттере подняли вопрос о крякнутых инструментах. И это такой непростой вопрос на самом деле. Это прекрасно обсуждать сидя в квартире в каком-то уютном городке за комьютером, который отлично тянет Burp.
Однако многим материально и ментально сложно взять и потратить несколько соток на лицензию. И я никогда не забуду парнишку, который пришел ко мне с вопросом о помощи со скулёй. Парнишке 16 лет, он из эфиопии и по его словам даже 20$ на интернет найти очень сложно. Скуля кстати рабочая была.
Вот другое дело когда люди сидят под всякими автоматизациями и сканерами, а на деле даже двух слов связать не могут про application security и bug bounty. За такое реально грустно...
Однако многим материально и ментально сложно взять и потратить несколько соток на лицензию. И я никогда не забуду парнишку, который пришел ко мне с вопросом о помощи со скулёй. Парнишке 16 лет, он из эфиопии и по его словам даже 20$ на интернет найти очень сложно. Скуля кстати рабочая была.
Вот другое дело когда люди сидят под всякими автоматизациями и сканерами, а на деле даже двух слов связать не могут про application security и bug bounty. За такое реально грустно...
👍17😢6
В выходные попробовал себя в роли багбаунти решалы, помогая одному хорошему знакомому.
Эффект не заставил себя долго ждать. Сегодня ему прилетел апдэйт. То что могло быть оценено как low, по итогу залетело как Medium. Пытались конечно попридержать и придумать как затащить в high или critical. Но была масса технических ограничений. Так же был не малый шанс вообщее провтыкать багу и стать дублером. В итоге расписав все нюансы и exploitability обнаруженной проблемы, у команды было мало шансов чтоб слить багу в low.
Вывод: Не нужно думать что команда всё за вас оценит правильно. Не экономьте на буквах в репорте 😉
Эффект не заставил себя долго ждать. Сегодня ему прилетел апдэйт. То что могло быть оценено как low, по итогу залетело как Medium. Пытались конечно попридержать и придумать как затащить в high или critical. Но была масса технических ограничений. Так же был не малый шанс вообщее провтыкать багу и стать дублером. В итоге расписав все нюансы и exploitability обнаруженной проблемы, у команды было мало шансов чтоб слить багу в low.
Вывод: Не нужно думать что команда всё за вас оценит правильно. Не экономьте на буквах в репорте 😉
❤15🔥9👍6👏2
Внимательные читатели блога заметили, что в истории с ипотекой упоминалось какая-то еще проблема.
И вот эта проблема на протяжении 4 месяцев сосала из меня энергию. Сразу после письма от застройщика, я получил письмо от налоговой!
Налоговая внезапно захотела понять что я за предпринимательскую деятельность веду. Почему у большей части счетов отсуствует НДС, и вообще чем я таким занимаюсь. А формулировки писем были такие, что хотелось уже начать сушить сухари и собирать вещи, хотя на самом деле проблем не должно было быть. И на каждую операцию есть инвойс или обоснование. Мой налоговый консультант тоже приободрил меня формулировкой - "подобную полную проверку и письмо я вижу впервые". Ну офигеть я счастливчик 🙈
В итоге в августе получив требование и срок исполнения в несколько недель, я собирал всю операционную историю, все счета, и выгружал вообще все транзакции по банку за запрошенный период. Отправив огромный конверт с кучей данных и объяснительных, через полтора месяца мне предложили дать дополнительные уточнения. Причем формулировка тоже была великолепная - вам нужно дать ответ в течении двух дней иначе мы сами решим что думаем по поводу вашей деятельности и вынесем решение, а согласно законодательству напоминаем про уголовную ответственность и.т.д. и.т.п. Перекидывание документами и письмами тянулось до сегодняшнего дня. И кажется теперь налоговый специалист понял кто такой багхантер krevetk0. Наконец-то получил формулировку что вопросов нет. Налоговый консультант так же подтвердил что можно выдохнуть.
Пойду винца выпью, а то прям устал морально от всего этого. Лучше б они моего застройщика проверяли, *лять 🤬
PS: попутно я еще получил счет на оплату налогов за 2023. И он посчитался авансово. Типа, чувак, вот ты в прошлом году столько задекларировал, давай ты и сейчас за весь год столько же заплатишь, ну, а после мы посчитаем и вернем если ты недотянул до результатов прошлого года. Очень интересный подход. Прям стимулирует не расслабляться и пихать кавычки🥲
И вот эта проблема на протяжении 4 месяцев сосала из меня энергию. Сразу после письма от застройщика, я получил письмо от налоговой!
Налоговая внезапно захотела понять что я за предпринимательскую деятельность веду. Почему у большей части счетов отсуствует НДС, и вообще чем я таким занимаюсь. А формулировки писем были такие, что хотелось уже начать сушить сухари и собирать вещи, хотя на самом деле проблем не должно было быть. И на каждую операцию есть инвойс или обоснование. Мой налоговый консультант тоже приободрил меня формулировкой - "подобную полную проверку и письмо я вижу впервые". Ну офигеть я счастливчик 🙈
В итоге в августе получив требование и срок исполнения в несколько недель, я собирал всю операционную историю, все счета, и выгружал вообще все транзакции по банку за запрошенный период. Отправив огромный конверт с кучей данных и объяснительных, через полтора месяца мне предложили дать дополнительные уточнения. Причем формулировка тоже была великолепная - вам нужно дать ответ в течении двух дней иначе мы сами решим что думаем по поводу вашей деятельности и вынесем решение, а согласно законодательству напоминаем про уголовную ответственность и.т.д. и.т.п. Перекидывание документами и письмами тянулось до сегодняшнего дня. И кажется теперь налоговый специалист понял кто такой багхантер krevetk0. Наконец-то получил формулировку что вопросов нет. Налоговый консультант так же подтвердил что можно выдохнуть.
Пойду винца выпью, а то прям устал морально от всего этого. Лучше б они моего застройщика проверяли, *лять 🤬
PS: попутно я еще получил счет на оплату налогов за 2023. И он посчитался авансово. Типа, чувак, вот ты в прошлом году столько задекларировал, давай ты и сейчас за весь год столько же заплатишь, ну, а после мы посчитаем и вернем если ты недотянул до результатов прошлого года. Очень интересный подход. Прям стимулирует не расслабляться и пихать кавычки🥲
😁34👍14🔥5❤4👌3
Решил навести рождественскую суету. Надеюсь никто не нашлёт на меня проклятья 😂 Поступил конечно не красиво, но у меня просто другого времени на это не нашлось.💁♂️
А вообще у меня в ближайшие несколько дней выходные. И огромный список задачек, которые я откладывал на потом. Попробую собрать небольшую автоматизацию и сделать финальный аккорд на пути к 10к репы на H1. А то у меня шмотки с последней посылки износились. А новые присылают только при достижении 10к репы 🥲
А вообще у меня в ближайшие несколько дней выходные. И огромный список задачек, которые я откладывал на потом. Попробую собрать небольшую автоматизацию и сделать финальный аккорд на пути к 10к репы на H1. А то у меня шмотки с последней посылки износились. А новые присылают только при достижении 10к репы 🥲
👍17🔥14😁2