Отложите в закладки этот твитт.
Кажется легенда Mark Lichfield замутил иск против платформы или против программы где на нём пытались сэкономить.
Надеюсь история станет публичной и результативной.
Кажется легенда Mark Lichfield замутил иск против платформы или против программы где на нём пытались сэкономить.
Надеюсь история станет публичной и результативной.
HackerOne
HackerOne profile - mlitchfield
- https://www.bugbountyhq.com
🔥14🤔2👍1
Как-то мимо меня прошла эта преза по Amass от автора Jeff Foley
Интересные 30 минуток чтоб найти полезные идеи для вашего recon flow
https://youtu.be/IgxPsv8MXMw
Интересные 30 минуток чтоб найти полезные идеи для вашего recon flow
https://youtu.be/IgxPsv8MXMw
YouTube
Unlocking the Power of OWASP Amass - Recon Village @DEF CON 31
Are you ready to take your attack surface mapping to the next level? Join us at Recon Village as we unveil the game-changing integration of the Open Asset Model into the OWASP Amass Project v4.0!
The Open Asset Model (OAM) enhances the way we define and…
The Open Asset Model (OAM) enhances the way we define and…
👍9❤1
Многие кто следят за каналом видели пост о том как я купил проходку на обучение от Jason Haddix. Курс стоил 500 баксов.
Все выходные шло обучение в лайве. Два дня в дискорде мы смотрели его презу. Обсуждали возникающие вопросы. Получали ценные знания из презы о новых тулах и подходах. Вообще не секрет что вкатывание в bug bounty у меня проходило благодаря его старым докладам с презой The Bug Hunting Methodology. И в этот раз на обучении он просто представил свежий взгляд на вещи с учетом его опыта работы пентестером в HP, манагером триажеров в Bugcrowd, CISO в Ubisoft и рэд-тимером в его новой компании.
Чего я точно не ожидал увидеть - это себя в его презе. По сути я теперь буквально стал частью его TBHM в новой версии. И это чертовски приятно.
Все выходные шло обучение в лайве. Два дня в дискорде мы смотрели его презу. Обсуждали возникающие вопросы. Получали ценные знания из презы о новых тулах и подходах. Вообще не секрет что вкатывание в bug bounty у меня проходило благодаря его старым докладам с презой The Bug Hunting Methodology. И в этот раз на обучении он просто представил свежий взгляд на вещи с учетом его опыта работы пентестером в HP, манагером триажеров в Bugcrowd, CISO в Ubisoft и рэд-тимером в его новой компании.
Чего я точно не ожидал увидеть - это себя в его презе. По сути я теперь буквально стал частью его TBHM в новой версии. И это чертовски приятно.
🔥32❤11👏2😁2
На выходных случайно наткнулся на утечку данных одних известных ребяток. Набор данных чудесный - финансовая инфа кастомеров, кастомеры из военки сша, внутренние переписки, встречи и ссылки на встречи, общение с сапортом. По счастливой случайности у ребят была формочка для сабмита на h1. И вот после выходных h1 triager закрывает мне мой репорт как дубль на Infromative issue от October 2022. Я конечно понимаю что компаниям иногда бывает похер на баги. Но не до такой же степени?!
Посмотрев еще раз их сайтик, почитав все эти красивые CCPA, GDPR, SOC2, у меня закралось подозрение что репортить теперь нужно либо в CERT, либо сразу в CCPA с GDPR. Ну и я их любезно переспросил по почте - правильно ли я всё понял.
Удивительно на сколько бодрящим может быть заголовок письма "Possible CCPA and GDPR compliance violation due to reported vulnerability at hackerone"🙈
Через пять минут репорт переоткрыли 🤣
Посмотрев еще раз их сайтик, почитав все эти красивые CCPA, GDPR, SOC2, у меня закралось подозрение что репортить теперь нужно либо в CERT, либо сразу в CCPA с GDPR. Ну и я их любезно переспросил по почте - правильно ли я всё понял.
Удивительно на сколько бодрящим может быть заголовок письма "Possible CCPA and GDPR compliance violation due to reported vulnerability at hackerone"🙈
Через пять минут репорт переоткрыли 🤣
😁36🔥4👍2👏2
Ребята тут в твиттере подняли вопрос о крякнутых инструментах. И это такой непростой вопрос на самом деле. Это прекрасно обсуждать сидя в квартире в каком-то уютном городке за комьютером, который отлично тянет Burp.
Однако многим материально и ментально сложно взять и потратить несколько соток на лицензию. И я никогда не забуду парнишку, который пришел ко мне с вопросом о помощи со скулёй. Парнишке 16 лет, он из эфиопии и по его словам даже 20$ на интернет найти очень сложно. Скуля кстати рабочая была.
Вот другое дело когда люди сидят под всякими автоматизациями и сканерами, а на деле даже двух слов связать не могут про application security и bug bounty. За такое реально грустно...
Однако многим материально и ментально сложно взять и потратить несколько соток на лицензию. И я никогда не забуду парнишку, который пришел ко мне с вопросом о помощи со скулёй. Парнишке 16 лет, он из эфиопии и по его словам даже 20$ на интернет найти очень сложно. Скуля кстати рабочая была.
Вот другое дело когда люди сидят под всякими автоматизациями и сканерами, а на деле даже двух слов связать не могут про application security и bug bounty. За такое реально грустно...
👍17😢6
В выходные попробовал себя в роли багбаунти решалы, помогая одному хорошему знакомому.
Эффект не заставил себя долго ждать. Сегодня ему прилетел апдэйт. То что могло быть оценено как low, по итогу залетело как Medium. Пытались конечно попридержать и придумать как затащить в high или critical. Но была масса технических ограничений. Так же был не малый шанс вообщее провтыкать багу и стать дублером. В итоге расписав все нюансы и exploitability обнаруженной проблемы, у команды было мало шансов чтоб слить багу в low.
Вывод: Не нужно думать что команда всё за вас оценит правильно. Не экономьте на буквах в репорте 😉
Эффект не заставил себя долго ждать. Сегодня ему прилетел апдэйт. То что могло быть оценено как low, по итогу залетело как Medium. Пытались конечно попридержать и придумать как затащить в high или critical. Но была масса технических ограничений. Так же был не малый шанс вообщее провтыкать багу и стать дублером. В итоге расписав все нюансы и exploitability обнаруженной проблемы, у команды было мало шансов чтоб слить багу в low.
Вывод: Не нужно думать что команда всё за вас оценит правильно. Не экономьте на буквах в репорте 😉
❤15🔥9👍6👏2
Внимательные читатели блога заметили, что в истории с ипотекой упоминалось какая-то еще проблема.
И вот эта проблема на протяжении 4 месяцев сосала из меня энергию. Сразу после письма от застройщика, я получил письмо от налоговой!
Налоговая внезапно захотела понять что я за предпринимательскую деятельность веду. Почему у большей части счетов отсуствует НДС, и вообще чем я таким занимаюсь. А формулировки писем были такие, что хотелось уже начать сушить сухари и собирать вещи, хотя на самом деле проблем не должно было быть. И на каждую операцию есть инвойс или обоснование. Мой налоговый консультант тоже приободрил меня формулировкой - "подобную полную проверку и письмо я вижу впервые". Ну офигеть я счастливчик 🙈
В итоге в августе получив требование и срок исполнения в несколько недель, я собирал всю операционную историю, все счета, и выгружал вообще все транзакции по банку за запрошенный период. Отправив огромный конверт с кучей данных и объяснительных, через полтора месяца мне предложили дать дополнительные уточнения. Причем формулировка тоже была великолепная - вам нужно дать ответ в течении двух дней иначе мы сами решим что думаем по поводу вашей деятельности и вынесем решение, а согласно законодательству напоминаем про уголовную ответственность и.т.д. и.т.п. Перекидывание документами и письмами тянулось до сегодняшнего дня. И кажется теперь налоговый специалист понял кто такой багхантер krevetk0. Наконец-то получил формулировку что вопросов нет. Налоговый консультант так же подтвердил что можно выдохнуть.
Пойду винца выпью, а то прям устал морально от всего этого. Лучше б они моего застройщика проверяли, *лять 🤬
PS: попутно я еще получил счет на оплату налогов за 2023. И он посчитался авансово. Типа, чувак, вот ты в прошлом году столько задекларировал, давай ты и сейчас за весь год столько же заплатишь, ну, а после мы посчитаем и вернем если ты недотянул до результатов прошлого года. Очень интересный подход. Прям стимулирует не расслабляться и пихать кавычки🥲
И вот эта проблема на протяжении 4 месяцев сосала из меня энергию. Сразу после письма от застройщика, я получил письмо от налоговой!
Налоговая внезапно захотела понять что я за предпринимательскую деятельность веду. Почему у большей части счетов отсуствует НДС, и вообще чем я таким занимаюсь. А формулировки писем были такие, что хотелось уже начать сушить сухари и собирать вещи, хотя на самом деле проблем не должно было быть. И на каждую операцию есть инвойс или обоснование. Мой налоговый консультант тоже приободрил меня формулировкой - "подобную полную проверку и письмо я вижу впервые". Ну офигеть я счастливчик 🙈
В итоге в августе получив требование и срок исполнения в несколько недель, я собирал всю операционную историю, все счета, и выгружал вообще все транзакции по банку за запрошенный период. Отправив огромный конверт с кучей данных и объяснительных, через полтора месяца мне предложили дать дополнительные уточнения. Причем формулировка тоже была великолепная - вам нужно дать ответ в течении двух дней иначе мы сами решим что думаем по поводу вашей деятельности и вынесем решение, а согласно законодательству напоминаем про уголовную ответственность и.т.д. и.т.п. Перекидывание документами и письмами тянулось до сегодняшнего дня. И кажется теперь налоговый специалист понял кто такой багхантер krevetk0. Наконец-то получил формулировку что вопросов нет. Налоговый консультант так же подтвердил что можно выдохнуть.
Пойду винца выпью, а то прям устал морально от всего этого. Лучше б они моего застройщика проверяли, *лять 🤬
PS: попутно я еще получил счет на оплату налогов за 2023. И он посчитался авансово. Типа, чувак, вот ты в прошлом году столько задекларировал, давай ты и сейчас за весь год столько же заплатишь, ну, а после мы посчитаем и вернем если ты недотянул до результатов прошлого года. Очень интересный подход. Прям стимулирует не расслабляться и пихать кавычки🥲
😁34👍14🔥5❤4👌3
Решил навести рождественскую суету. Надеюсь никто не нашлёт на меня проклятья 😂 Поступил конечно не красиво, но у меня просто другого времени на это не нашлось.💁♂️
А вообще у меня в ближайшие несколько дней выходные. И огромный список задачек, которые я откладывал на потом. Попробую собрать небольшую автоматизацию и сделать финальный аккорд на пути к 10к репы на H1. А то у меня шмотки с последней посылки износились. А новые присылают только при достижении 10к репы 🥲
А вообще у меня в ближайшие несколько дней выходные. И огромный список задачек, которые я откладывал на потом. Попробую собрать небольшую автоматизацию и сделать финальный аккорд на пути к 10к репы на H1. А то у меня шмотки с последней посылки износились. А новые присылают только при достижении 10к репы 🥲
👍17🔥14😁2
Сумасшедший был год. Полный взлетов и падений. Поворотов на 180 градусов. Сейчас смотрю и искренне не понимаю, когда я успел во всей этой суматохе наклепать репортов и засэйвить второе место по Германии в лидерборде Hackerone. При том что это активности исключительно в выходные или в будни ночью.
На следующий год постараюсь сбавить темп и заняться немецким языком.
Но bug bounty арену безусловно не покину. Для меня это уже зависимость, которая вырабатывает эндорфин. Кто-то гамает, смотрит сериалы, а я вот кавычки расставляю 💁♂️
Всех с наступающим новым годом!
PS: Пойду налоговую декларацию заполнять за целый год 🥲
На следующий год постараюсь сбавить темп и заняться немецким языком.
Но bug bounty арену безусловно не покину. Для меня это уже зависимость, которая вырабатывает эндорфин. Кто-то гамает, смотрит сериалы, а я вот кавычки расставляю 💁♂️
Всех с наступающим новым годом!
PS: Пойду налоговую декларацию заполнять за целый год 🥲
🔥45👍8❤3👏1
Сказ о том как в касперыче раскрыли "операцию триангуляция".
Ранее публиковались материалы об этом. Но на мой взгляд именно такой формат презентации от самих исследователей смотреть в разы круче.
https://media.ccc.de/v/37c3-11859-operation_triangulation_what_you_get_when_attack_iphones_of_researchers
Ранее публиковались материалы об этом. Но на мой взгляд именно такой формат презентации от самих исследователей смотреть в разы круче.
https://media.ccc.de/v/37c3-11859-operation_triangulation_what_you_get_when_attack_iphones_of_researchers
media.ccc.de
Operation Triangulation
Imagine discovering a zero-click attack targeting Apple mobile devices of your colleagues and managing to capture all the stages of the a...
❤7
Ох прям как из рога изобилия бьют крутые доклады с CCC Hamburg.
На этот раз очень интересный похек автопилота теслы от "студентов" из TU Berlin. Я этих ребят недавно слушал на bsides berlin когда они рассказывали как через хардварные похеки включали подогрев сидений, тогда как подогрев заднего ряда идет платной опцией. Они там честно признались что часть проблем была им известна ранее, т.к они занимались рисёрчем в области процессоров AMD. А тут внезапно в тесле те же процессоры 😁
В этот раз они добрались до системы Autopilot.
https://media.ccc.de/v/37c3-12144-back_in_the_driver_s_seat_recovering_critical_data_from_tesla_autopilot_using_voltage_glitching
На этот раз очень интересный похек автопилота теслы от "студентов" из TU Berlin. Я этих ребят недавно слушал на bsides berlin когда они рассказывали как через хардварные похеки включали подогрев сидений, тогда как подогрев заднего ряда идет платной опцией. Они там честно признались что часть проблем была им известна ранее, т.к они занимались рисёрчем в области процессоров AMD. А тут внезапно в тесле те же процессоры 😁
В этот раз они добрались до системы Autopilot.
https://media.ccc.de/v/37c3-12144-back_in_the_driver_s_seat_recovering_critical_data_from_tesla_autopilot_using_voltage_glitching
media.ccc.de
Back in the Driver's Seat
Tesla's driving assistant has been subject to public scrutiny for good and bad: As accidents with its "full self-driving" (FSD) technolog...
👍12👏1
Подбивая статистику за год, пришлось собрать всю информацию о поездках на каршеринге. Ну и посчитать её стоимость. В этом графике нет долгосрочных поездок за год. Они посчитались отдельно.
Но что забавно, за прошлый год цифра была практически копейка в капейку 😁️️️️️️
И снова прихожу к тому что владеть своим авто в Берлине не выгодно. Страховки, парковки, ремонты, резина съели бы значительно больше денег.
Но что забавно, за прошлый год цифра была практически копейка в капейку 😁️️️️️️
И снова прихожу к тому что владеть своим авто в Берлине не выгодно. Страховки, парковки, ремонты, резина съели бы значительно больше денег.
👍20
PR отдел из 23andMe кринжанулись и выкатили офигенную историю о том почему пользователи сами во всем виноваты. Имхо, если у тебя смогли пробить несколько десятков тысяч учёток, то проблема точно не в твоих пользователях 🤡
PS: видимо надо сесть и дописать статью на медиум. Ух там столько кринжовых кейсов которые я не показывал раньше в бложике.
https://x.com/mattjay/status/1742617021936787672?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw
PS: видимо надо сесть и дописать статью на медиум. Ух там столько кринжовых кейсов которые я не показывал раньше в бложике.
https://x.com/mattjay/status/1742617021936787672?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw
👍9
BSides Berlin наконец-то залили все доклады. Много докладов было связано с AI. Начиная от рисков и заканчивая непосредственно атаками AI.
Вот мой топ докладов на которые не жалко потратить время. И они будут интересны читателям моего канала.
1) Vangelis Stykas с очень классной подачей, поведал как он блэчеров ломал.
2) Bar Lanyado и доклад по сути о dependency confussion но через ChatGPT. Весьма интересно послушать. Ну и посмотреть реальный пример. Полезно кстати командам разработки показать такое.
3) Alberto del Rio рассказал о моём похеке блэчеров атаковавших пользователей N26. Необычно было видеть как мой репорт с рекомендациями по решению проблемы доплыл до доклада на конфе от целого банка.
4) Mikko Hypponen с весьма интересной подачей про AI и ML. Это был завершающий доклад, и мне он показался весьма интересным.
Думаю на BSides Berlin 2024 сам схожу что нибудь рассказать 😎️️️️️️
Вот мой топ докладов на которые не жалко потратить время. И они будут интересны читателям моего канала.
1) Vangelis Stykas с очень классной подачей, поведал как он блэчеров ломал.
2) Bar Lanyado и доклад по сути о dependency confussion но через ChatGPT. Весьма интересно послушать. Ну и посмотреть реальный пример. Полезно кстати командам разработки показать такое.
3) Alberto del Rio рассказал о моём похеке блэчеров атаковавших пользователей N26. Необычно было видеть как мой репорт с рекомендациями по решению проблемы доплыл до доклада на конфе от целого банка.
4) Mikko Hypponen с весьма интересной подачей про AI и ML. Это был завершающий доклад, и мне он показался весьма интересным.
Думаю на BSides Berlin 2024 сам схожу что нибудь рассказать 😎️️️️️️
YouTube
BSides Berlin 2023: Vangelis Stykas - The Art of Compromising C2 Servers
About the talk: C2 servers of malware are usually left to their own fate after they have been discovered and the malware is no longer effective. We are going to take a deep dive into the rabbit hole of attacking and owning C2 servers, exposing details about…
👍22🔥4❤1
Из всех месенджеров и социальных сеток меня засыпает новостью что Германия приняла закон об упрощенном гражданстве. А многие друзья присылают и поздравляют. Может я слишком душный сегодня, но правда не очень понимаю радости, особенно для меня.
1) Бундестаг спустя годы обсуждений и попыток принять новый закон наконец-то утвердил его. Дада, этот закон не первый год маячит в новостях. Ну, а теперь что же такое Бундестаг? Bundestag – это парламент Федеративной Республики Германия. Бундестаг является высшим законодательным органом Германии. Он принимает федеральные законы. Поскольку Германия является федеральной парламентской демократией, 16 земель также участвуют в формировании ее политической системы. Так, многие законы и распоряжения могут быть приняты только при условии одобрения со стороны федеральных земель. Федеральные земли представлены в земельной палате – Bundesrat (бундесрат)
2) Получается что закон еще не до конца приняли и он должен быть одобрен в Бундесрате. Незнай могут ли уже на этом этапе влиять на закон, но это действительно еще не финал.
3) Новый закон упрощает получение гражданства и позволяет получить немецкий паспорт через 5 лет арбайтена на немецкую экономику. При этом не нужно будет отказываться от текущего гражданства. Раньше нужно было отказываться и возможность вступить в гражданство была с 7-8 лет. В зависимости от успешности интеграции.
С учетом того что я вдыхаю этот немецкий воздух 7 лет, то для меня вообще не принципиально через сколько времени я могу вступить в новое гражданство. Мне буквально пофиг. Конечно удобненько что от первого не придется отказываться, НО...
Представьте сколько теперь людей подаст документы на получение нового гражданства?! Да немцы эту очередь разгребать будут из заявок года 2-3 минимум. Ну и да, гражданство получить без знаний языка нельзя. А язык нужно не просто выучить но и сдать экзамены до уровня B1. И далеко не секрет что язык не самый простой...
Вообщем новость конечно интересная, но если принять во внимание все нюансы, то я не вижу повода для радости. Налоги то с немецким паспортом меньше не станут 😁
1) Бундестаг спустя годы обсуждений и попыток принять новый закон наконец-то утвердил его. Дада, этот закон не первый год маячит в новостях. Ну, а теперь что же такое Бундестаг? Bundestag – это парламент Федеративной Республики Германия. Бундестаг является высшим законодательным органом Германии. Он принимает федеральные законы. Поскольку Германия является федеральной парламентской демократией, 16 земель также участвуют в формировании ее политической системы. Так, многие законы и распоряжения могут быть приняты только при условии одобрения со стороны федеральных земель. Федеральные земли представлены в земельной палате – Bundesrat (бундесрат)
2) Получается что закон еще не до конца приняли и он должен быть одобрен в Бундесрате. Незнай могут ли уже на этом этапе влиять на закон, но это действительно еще не финал.
3) Новый закон упрощает получение гражданства и позволяет получить немецкий паспорт через 5 лет арбайтена на немецкую экономику. При этом не нужно будет отказываться от текущего гражданства. Раньше нужно было отказываться и возможность вступить в гражданство была с 7-8 лет. В зависимости от успешности интеграции.
С учетом того что я вдыхаю этот немецкий воздух 7 лет, то для меня вообще не принципиально через сколько времени я могу вступить в новое гражданство. Мне буквально пофиг. Конечно удобненько что от первого не придется отказываться, НО...
Представьте сколько теперь людей подаст документы на получение нового гражданства?! Да немцы эту очередь разгребать будут из заявок года 2-3 минимум. Ну и да, гражданство получить без знаний языка нельзя. А язык нужно не просто выучить но и сдать экзамены до уровня B1. И далеко не секрет что язык не самый простой...
Вообщем новость конечно интересная, но если принять во внимание все нюансы, то я не вижу повода для радости. Налоги то с немецким паспортом меньше не станут 😁
👍11🤔4💔1
Подсмотрел в твиттере интересный читкод для любителей вайлд скоупа.
Если зарегать учётку на https://builtwith.com/ и сходить посмотреть relationships у запрошенного домена, то можно найти связанные домены.
Связи находятся через совпадения всяких трэкинг пикселей на страницах.
Однажды простой угадайкой я нашел доменную зону, которая в итоге принесла пятизначный ревард. Видимо теперь в угадайку можно не играть. А жаль, было увлекательно и очень азартно 😁
Если зарегать учётку на https://builtwith.com/ и сходить посмотреть relationships у запрошенного домена, то можно найти связанные домены.
Связи находятся через совпадения всяких трэкинг пикселей на страницах.
Однажды простой угадайкой я нашел доменную зону, которая в итоге принесла пятизначный ревард. Видимо теперь в угадайку можно не играть. А жаль, было увлекательно и очень азартно 😁
👍12🔥7❤5