#bug_bounty
#bug_hunting
#api
#27 Bug Bounty v.2 — Тестирование API. Rest API
Здравствуйте, дорогие друзья.
Когда-то приложения создавались с использованием одного языка, такого как PHP, но архитектура современных приложений, как правило, выглядит немного по-другому. Большинство современных приложений разделены на две части: интерфейс и серверную часть.
Подробнее: https://timcore.ru/2024/10/09/27-bug-bounty-v-2-testirovanie-api-rest-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#api
#27 Bug Bounty v.2 — Тестирование API. Rest API
Здравствуйте, дорогие друзья.
Когда-то приложения создавались с использованием одного языка, такого как PHP, но архитектура современных приложений, как правило, выглядит немного по-другому. Большинство современных приложений разделены на две части: интерфейс и серверную часть.
Подробнее: https://timcore.ru/2024/10/09/27-bug-bounty-v-2-testirovanie-api-rest-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#27 Bug Bounty v.2 - Тестирование API. Rest API - Этичный хакинг с Михаилом Тарасовым (Timcore)
Когда-то приложения создавались с использованием одного языка, такого как PHP, но архитектура современных приложений, как правило, выглядит немного по-другому. Большинство современных приложений разделены на две части: интерфейс и серверную часть.
#bug_bounty
#bug_hunting
#api
#28 Bug Bounty v.2 — Тестирование API. Remote Procedure Call (RPC)
Здравствуйте, дорогие друзья.
Remote Procedure Call (RPC) — это старейшая форма связи, которую вы можете увидеть в приложении, начиная с 1980-х годов. Этот протокол является довольно простым, каждый HTTP-запрос привязывается к определенной функции.
Подробнее: https://timcore.ru/2024/10/09/28-bug-bounty-v-2-testirovanie-api-remote-procedure-call-rpc/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#api
#28 Bug Bounty v.2 — Тестирование API. Remote Procedure Call (RPC)
Здравствуйте, дорогие друзья.
Remote Procedure Call (RPC) — это старейшая форма связи, которую вы можете увидеть в приложении, начиная с 1980-х годов. Этот протокол является довольно простым, каждый HTTP-запрос привязывается к определенной функции.
Подробнее: https://timcore.ru/2024/10/09/28-bug-bounty-v-2-testirovanie-api-remote-procedure-call-rpc/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#28 Bug Bounty v.2 - Тестирование API. Remote Procedure Call (RPC) - Этичный хакинг с Михаилом Тарасовым (Timcore)
Remote Procedure Call (RPC) - это старейшая форма связи, которую вы можете увидеть в приложении, начиная с 1980-х годов. Этот протокол является довольно простым, каждый HTTP-запрос привязывается к определенной функции.
#bug_bounty
#bug_hunting
#api
#29 Bug Bounty v.2 — Тестирование API. Simple Object Access Protocol (SOAP)
Здравствуйте, дорогие друзья.
В предыдущем разделе я упоминал RPC API, в частности, я говорил о так называемом XMLRPC. Вы можете рассматривать SOAP API как более продвинутую версию XMLRPC. Они оба очень похожи тем, что используют XML для кодирования и HTTP для передачи сообщений. Однако SOAP API, как правило, немного сложнее.
Подробнее: https://timcore.ru/2024/10/09/29-bug-bounty-v-2-testirovanie-api-simple-object-access-protocol-soap/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#api
#29 Bug Bounty v.2 — Тестирование API. Simple Object Access Protocol (SOAP)
Здравствуйте, дорогие друзья.
В предыдущем разделе я упоминал RPC API, в частности, я говорил о так называемом XMLRPC. Вы можете рассматривать SOAP API как более продвинутую версию XMLRPC. Они оба очень похожи тем, что используют XML для кодирования и HTTP для передачи сообщений. Однако SOAP API, как правило, немного сложнее.
Подробнее: https://timcore.ru/2024/10/09/29-bug-bounty-v-2-testirovanie-api-simple-object-access-protocol-soap/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#29 Bug Bounty v.2 — Тестирование API. Simple Object Access Protocol (SOAP) - Этичный хакинг с Михаилом Тарасовым (Timcore)
В предыдущем разделе я упоминал RPC API, в частности, я говорил о так называемом XMLRPC. Вы можете рассматривать SOAP API как более продвинутую версию XMLRPC. Они оба очень похожи тем, что используют XML для кодирования и HTTP для передачи сообщений. Однако…
#bug_bounty
#bug_hunting
#api
#30 Bug Bounty v.2 — Тестирование API. GraphQL API
Здравствуйте, дорогие друзья.
GraphQL — это язык запросов к данным, разработанный Facebook и выпущенный в 2015 году. GraphQL выступает в качестве альтернативы REST API. Rest API требует, чтобы клиент отправлял несколько запросов к разным конечным точкам API для запроса данных из серверной базы данных. С GraphQL вам нужно отправить только один запрос, чтобы запросить серверную часть. Это намного проще, потому что вам не нужно отправлять несколько запросов к API, для сбора всей необходимой информации можно использовать один запрос.
Подробнее: https://timcore.ru/2024/10/09/30-bug-bounty-v-2-testirovanie-api-graphql-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#api
#30 Bug Bounty v.2 — Тестирование API. GraphQL API
Здравствуйте, дорогие друзья.
GraphQL — это язык запросов к данным, разработанный Facebook и выпущенный в 2015 году. GraphQL выступает в качестве альтернативы REST API. Rest API требует, чтобы клиент отправлял несколько запросов к разным конечным точкам API для запроса данных из серверной базы данных. С GraphQL вам нужно отправить только один запрос, чтобы запросить серверную часть. Это намного проще, потому что вам не нужно отправлять несколько запросов к API, для сбора всей необходимой информации можно использовать один запрос.
Подробнее: https://timcore.ru/2024/10/09/30-bug-bounty-v-2-testirovanie-api-graphql-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#30 Bug Bounty v.2 - Тестирование API. GraphQL API - Этичный хакинг с Михаилом Тарасовым (Timcore)
GraphQL - это язык запросов к данным, разработанный Facebook и выпущенный в 2015 году. GraphQL выступает в качестве альтернативы REST API. Rest API требует, чтобы клиент отправлял несколько запросов к разным конечным точкам API для запроса данных из серверной…
#bug_bounty
#bug_hunting
#api
#31 Bug Bounty v.2 — Аутентификация. HTTP Basic
Здравствуйте, дорогие друзья.
Если приложение требует, чтобы вы вошли в систему, оно должно использовать ту или иную форму аутентификации, чтобы подтвердить, кто вы такой. В зависимости от того, какой метод аутентификации использует приложение, для нарушения процесса аутентификации может быть использовано несколько типов атак.
Подробнее: https://timcore.ru/2024/10/11/31-bug-bounty-v-2-autentifikacija-http-basic/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#api
#31 Bug Bounty v.2 — Аутентификация. HTTP Basic
Здравствуйте, дорогие друзья.
Если приложение требует, чтобы вы вошли в систему, оно должно использовать ту или иную форму аутентификации, чтобы подтвердить, кто вы такой. В зависимости от того, какой метод аутентификации использует приложение, для нарушения процесса аутентификации может быть использовано несколько типов атак.
Подробнее: https://timcore.ru/2024/10/11/31-bug-bounty-v-2-autentifikacija-http-basic/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#31 Bug Bounty v.2 - Аутентификация. HTTP Basic - Этичный хакинг с Михаилом Тарасовым (Timcore)
Если приложение требует, чтобы вы вошли в систему, оно должно использовать ту или иную форму аутентификации, чтобы подтвердить, кто вы такой. В зависимости от того, какой метод аутентификации использует приложение, для нарушения процесса аутентификации может…
#bug_bounty
#bug_hunting
#api
#jwt
#32 Bug Bounty v.2 — Json Web Token (JWT)
Здравствуйте, дорогие друзья.
Веб-токены Json (JWT) чрезвычайно популярны среди конечных точек API, поскольку их легко реализовать и понять.
Когда пользователь пытается войти в систему, он будет отправлять свои учетные данные для API бэкэнда. После этого программа будет проверять учетные данные, и если они верны, она будет генерировать токен JWT. Затем этот токен отправляется пользователю, после чего любой запрос, отправленный в API, будет содержать этот токен JWT для подтверждения его подлинности.
Подробнее: https://timcore.ru/2024/10/11/32-bug-bounty-v-2-json-web-token-jwt/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#api
#jwt
#32 Bug Bounty v.2 — Json Web Token (JWT)
Здравствуйте, дорогие друзья.
Веб-токены Json (JWT) чрезвычайно популярны среди конечных точек API, поскольку их легко реализовать и понять.
Когда пользователь пытается войти в систему, он будет отправлять свои учетные данные для API бэкэнда. После этого программа будет проверять учетные данные, и если они верны, она будет генерировать токен JWT. Затем этот токен отправляется пользователю, после чего любой запрос, отправленный в API, будет содержать этот токен JWT для подтверждения его подлинности.
Подробнее: https://timcore.ru/2024/10/11/32-bug-bounty-v-2-json-web-token-jwt/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#32 Bug Bounty v.2 - Json Web Token (JWT) - Этичный хакинг с Михаилом Тарасовым (Timcore)
Веб-токены Json (JWT) чрезвычайно популярны среди конечных точек API, поскольку их легко реализовать и понять.
#bug_bounty
#bug_hunting
#api
#37 Bug Bounty v.2 — Документация по API. Swagger API. XSS
Здравствуйте, дорогие друзья.
Подавляющее большинство уязвимостей, которые я нахожу в API, являются результатом конструктивных ошибок. Если у вас есть доступ к документации по API, их довольно легко найти. Например, предположим, что существует конечная точка сброса пароля, которая принимает идентификатор пользователя и новый пароль в качестве входных данных. Прямо сейчас вы, возможно, думаете, что мне следует проверить IDOR, чтобы узнать, могу ли я сбросить пароли других пользователей, и это было бы правильно. Эти типы конструктивных недостатков относительно легко обнаружить, если у вас есть документация по API, в которой перечислены все доступные конечные точки и их параметры. Другой вариант — вручную проверить трафик, чтобы найти эту конечную точку, но наличие доументации по API значительно упрощает задачу.
Подробнее: https://timcore.ru/2024/10/18/37-bug-bounty-v-2-dokumentacija-po-api-swagger-api-xss/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#bug_hunting
#api
#37 Bug Bounty v.2 — Документация по API. Swagger API. XSS
Здравствуйте, дорогие друзья.
Подавляющее большинство уязвимостей, которые я нахожу в API, являются результатом конструктивных ошибок. Если у вас есть доступ к документации по API, их довольно легко найти. Например, предположим, что существует конечная точка сброса пароля, которая принимает идентификатор пользователя и новый пароль в качестве входных данных. Прямо сейчас вы, возможно, думаете, что мне следует проверить IDOR, чтобы узнать, могу ли я сбросить пароли других пользователей, и это было бы правильно. Эти типы конструктивных недостатков относительно легко обнаружить, если у вас есть документация по API, в которой перечислены все доступные конечные точки и их параметры. Другой вариант — вручную проверить трафик, чтобы найти эту конечную точку, но наличие доументации по API значительно упрощает задачу.
Подробнее: https://timcore.ru/2024/10/18/37-bug-bounty-v-2-dokumentacija-po-api-swagger-api-xss/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
#37 Bug Bounty v.2 - Документация по API. Swagger API. XSS - Этичный хакинг с Михаилом Тарасовым (Timcore)
Подавляющее большинство уязвимостей, которые я нахожу в API, являются результатом конструктивных ошибок. Если у вас есть доступ к документации по API, их довольно легко найти. Например, предположим, что существует конечная точка сброса пароля, которая принимает…
#blog
#api
Разработчик xAI случайно слил на GitHub ключ API с доступом к LLM SpaceX и Tesla
Сотрудник компании xAI, входящей в экосистему Илона Маска, случайно опубликовал на GitHub приватный API-ключ, который предоставлял доступ к внутренним языковым моделям (LLM) SpaceX и Tesla. Утечка, обнаруженная журналистом Брайаном Кребсом, стала результатом ошибки при работе с кодом на платформе.
Согласно данным расследования, ключ оставался доступным в публичном репозитории в течение двух месяцев, что теоретически позволяло сторонним лицам получать данные из закрытых систем компаний. Как отмечается в сообщениях, ключ был частью SDK для взаимодействия с xAI API, требующего минимальных зависимостей.
Инцидент привлёк внимание к проблемам безопасности при управлении API-ключами. Эксперты ISACA подчеркнули, что подобные ошибки могут приводить к несанкционированному доступу к конфиденциальным данным. В xAI пока не комментируют ситуацию, однако, по данным источников, ключ был удалён сразу после обнаружения утечки.
Этот случай демонстрирует риски, связанные с халатным хранением учётных данных, даже в компаниях с высоким уровнем технологической экспертизы. Подобные инциденты подчёркивают необходимость автоматизации проверок кода перед его публикацией в открытых репозиториях.
#api
Разработчик xAI случайно слил на GitHub ключ API с доступом к LLM SpaceX и Tesla
Сотрудник компании xAI, входящей в экосистему Илона Маска, случайно опубликовал на GitHub приватный API-ключ, который предоставлял доступ к внутренним языковым моделям (LLM) SpaceX и Tesla. Утечка, обнаруженная журналистом Брайаном Кребсом, стала результатом ошибки при работе с кодом на платформе.
Согласно данным расследования, ключ оставался доступным в публичном репозитории в течение двух месяцев, что теоретически позволяло сторонним лицам получать данные из закрытых систем компаний. Как отмечается в сообщениях, ключ был частью SDK для взаимодействия с xAI API, требующего минимальных зависимостей.
Инцидент привлёк внимание к проблемам безопасности при управлении API-ключами. Эксперты ISACA подчеркнули, что подобные ошибки могут приводить к несанкционированному доступу к конфиденциальным данным. В xAI пока не комментируют ситуацию, однако, по данным источников, ключ был удалён сразу после обнаружения утечки.
Этот случай демонстрирует риски, связанные с халатным хранением учётных данных, даже в компаниях с высоким уровнем технологической экспертизы. Подобные инциденты подчёркивают необходимость автоматизации проверок кода перед его публикацией в открытых репозиториях.
Forwarded from Разработка роботов и эксплойтов. Михаил Тарасов
#graphql
#api
#python
GraphQL-инъекции: как ломать современные API
Привет, хакеры и разработчики! Сегодня мы с вами погрузимся в мир GraphQL — мощного и современного инструмента для работы с API, который, как и всё в IT, может стать слабым звеном, если его неправильно настроить. Мы разберём, что такое GraphQL-инъекции, как искать уязвимости через интроспекцию, обходить авторизацию и устраивать хаос с переполнением запросов. А главное — я дам вам готовый Python-скрипт для автоматизации процесса. Погнали!
Подробнее: https://timrobot.ru/graphql-inekczii-kak-lomat-sovremennye-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#api
#python
GraphQL-инъекции: как ломать современные API
Привет, хакеры и разработчики! Сегодня мы с вами погрузимся в мир GraphQL — мощного и современного инструмента для работы с API, который, как и всё в IT, может стать слабым звеном, если его неправильно настроить. Мы разберём, что такое GraphQL-инъекции, как искать уязвимости через интроспекцию, обходить авторизацию и устраивать хаос с переполнением запросов. А главное — я дам вам готовый Python-скрипт для автоматизации процесса. Погнали!
Подробнее: https://timrobot.ru/graphql-inekczii-kak-lomat-sovremennye-api/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Разработка роботов и эксплойтов
GraphQL-инъекции: как ломать современные API - Разработка роботов и эксплойтов
Привет, хакеры и разработчики! Сегодня мы с вами погрузимся в мир GraphQL — мощного и современного инструмента для работы с API, который, как и всё в IT, может стать слабым звеном, если его неправильно настроить. Мы разберём, что такое GraphQL-инъекции, как…
#pentest
#api
API без тормозов: IDOR, Mass Assignment и прочие радости бэкендера
Здарова, братан. Снова я. Помнишь, как раньше мы ломали сайты через SQLi и XSS? Весело было. Но сейчас весь сок, вся мякотка — в API. Разрабы пилят микросервисы, клепают эндпоинты для мобилок и фронтенда, а про безопасность думают в последнюю очередь. Они думают, раз снаружи красивая кнопочка, то никто в потроха не полезет. Наивные.
Подробнее: https://timcore.ru/2025/07/24/api-bez-tormozov-idor-mass-assignment-i-prochie-radosti-bjekendera/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
#api
API без тормозов: IDOR, Mass Assignment и прочие радости бэкендера
Здарова, братан. Снова я. Помнишь, как раньше мы ломали сайты через SQLi и XSS? Весело было. Но сейчас весь сок, вся мякотка — в API. Разрабы пилят микросервисы, клепают эндпоинты для мобилок и фронтенда, а про безопасность думают в последнюю очередь. Они думают, раз снаружи красивая кнопочка, то никто в потроха не полезет. Наивные.
Подробнее: https://timcore.ru/2025/07/24/api-bez-tormozov-idor-mass-assignment-i-prochie-radosti-bjekendera/
Другие наши проекты:
https://timcore.ru/
https://timcourse.ru/
https://timforensics.ru/
https://tarasovinvest.ru/
https://mikhailtarasovcom.ru/
https://timrobot.ru/
https://timneuro.ru/
👨💻 https://vk.com/hacker_timcore - Образование для хакеров Junior, Middle.
🏫 https://vk.com/school_timcore - Школа этичного хакинга Timcore.
🤖 https://vk.com/programmer_timcore - Разработка роботов под заказ, готовые скрипты.
🎮 https://vk.com/timcore_games - Разработка игр.
🕵️♂️ https://vk.com/forensics_timcore - Услуги кибердетектива.
💰 https://vk.com/project_financing - Инвестиции (проектное финансирование).
Телеграм-каналы:
https://t.me/timcore_hacking
https://t.me/school_timcore
https://t.me/programmer_timcore
Будем рады видеть Вас в числе наших посетителей и подписчиков в представленных сайтах и пабликах вк.
Этичный хакинг с Михаилом Тарасовым (Timcore)
API без тормозов: IDOR, Mass Assignment и прочие радости бэкендера - Этичный хакинг с Михаилом Тарасовым (Timcore)
Здарова, братан. Снова я. Помнишь, как раньше мы ломали сайты через SQLi и XSS? Весело было. Но сейчас весь сок, вся мякотка — в API. Разрабы пилят микросервисы, клепают эндпоинты для мобилок и фронтенда, а про безопасность думают в последнюю очередь. Они…