#Beacon
Небольшой разбор данной статьи, она слегка кликбейтная, особенно что судебное решение создает некий "прецедент". Это не так. Подана апелляционная жалоба, то есть дело будет разобрано во второй инстанции. Чтобы оно стало прецедентом - по моему мнению, это дело должно быть рассмотрено как минимум в той же надзорной инстанции (до нее вряд ли оно дойдет). При этом - я вижу очень много нюансов из которых понятно почему, скорее всего, уже апелляция признает решение суда незаконным.
Суд первой инстанции обосновал отказ так:
1. Федеральный закон 63-ФЗ, ст. 17.2 требует, чтобы работодатель передал в удостоверяющий центр (УЦ) сведения об увольнении, но не называет точный срок.
2. Платежи шли на обычные расходы — зарплату, коммунальные услуги и т. д.; вреда бюджету или истице суд не увидел.
3. У Захаровой была возможность самой отозвать сертификат через УЦ; она сделала это поздно.
4. Администрация сразу после увольнения подняла вопрос об отзыве старого сертификата и начала оформлять новый на и. о. руководителя.
По итогу - Суд отказал Л. В. Захаровой во всех требованиях: признать незаконным бездействие администрации, признать недействительными документы, подписанные её КЭП после увольнения, взыскать 10 000 ₽ компенсации морального вреда и госпошлину.
Я вижу в решении суда следующие упущения:
Ст. 17.2 ФЗ-63 возлагает на работодателя обязанность обратиться в УЦ при прекращении полномочий. Замечание суда «можно было отозвать сертификат самой» противоречит распределению обязанностей описанным в Федеральном законе "Об электронной подписи" : ст. 17.2 возлагает обращение в УЦ на учредителя или и. о. руководителя, а не на «бывшего» владельца КЭП. Также стоит отметить, что п.13 - (Постановление Правительства РФ от 9 февраля 2012 г. N 111 - Об электронной подписи...) обязывает сообщать в УЦ незамедлительно при прекращении полномочий, суд же говорит что "Срок в течение, которого должностное лицо либо руководитель должны обратиться в удостоверяющий центр законом не определен.", что как будто бы не совсем корректно😳...
Также Захарова, скорее всего, в Апелляционной жалобе подметит, что суд неправильно распределил бремя доказывания: по ст. 62 КАС РФ именно администрация должна доказывать законность своих действий.
(Если гражданин (или организация) оспаривает решение, действие или бездействие органа, обязанность доказать законность этого решения/действия лежит на самом органе ) - суд же полностью переложил на истицу обязанность доказывать ущерб и незаконность бездействия.
Это общее правило, в публичном споре гражданин всегда находится в менее выгодном положении: у него меньше ресурсов и возможностей добыть доказательства.
По моему мнению такое решение не может создать прецедента🙂
Дополнение для общего понимания:
Судебная система в рф состоит из 4 уровней(инстанций) -
🔹 1. Первая инстанция
Рассматривает дело по существу, выносит решение/приговор.
🔹 2. Апелляционная инстанция
Пересматривает решение первой инстанции, если оно ещё не вступило в силу.
🔹 3. Кассационная инстанция
Проверяет законность и обоснованность уже вступивших в силу решений судов первой и апелляционной инстанций.
🔹 4. Надзорная инстанция
Это исключительная процедура пересмотра, возможна в Верховном Суде РФ, применяется в исключительных случаях, например, при грубых нарушениях закона.
Также отдельно существует Конституционный Суд РФ, который не входит в иерархию общих и арбитражных судов, а осуществляет контроль за конституционностью в пределах компетенции.
Суд первой инстанции обосновал отказ так:
1. Федеральный закон 63-ФЗ, ст. 17.2 требует, чтобы работодатель передал в удостоверяющий центр (УЦ) сведения об увольнении, но не называет точный срок.
2. Платежи шли на обычные расходы — зарплату, коммунальные услуги и т. д.; вреда бюджету или истице суд не увидел.
3. У Захаровой была возможность самой отозвать сертификат через УЦ; она сделала это поздно.
4. Администрация сразу после увольнения подняла вопрос об отзыве старого сертификата и начала оформлять новый на и. о. руководителя.
По итогу - Суд отказал Л. В. Захаровой во всех требованиях: признать незаконным бездействие администрации, признать недействительными документы, подписанные её КЭП после увольнения, взыскать 10 000 ₽ компенсации морального вреда и госпошлину.
Я вижу в решении суда следующие упущения:
Ст. 17.2 ФЗ-63 возлагает на работодателя обязанность обратиться в УЦ при прекращении полномочий. Замечание суда «можно было отозвать сертификат самой» противоречит распределению обязанностей описанным в Федеральном законе "Об электронной подписи" : ст. 17.2 возлагает обращение в УЦ на учредителя или и. о. руководителя, а не на «бывшего» владельца КЭП. Также стоит отметить, что п.13 - (Постановление Правительства РФ от 9 февраля 2012 г. N 111 - Об электронной подписи...) обязывает сообщать в УЦ незамедлительно при прекращении полномочий, суд же говорит что "Срок в течение, которого должностное лицо либо руководитель должны обратиться в удостоверяющий центр законом не определен.", что как будто бы не совсем корректно😳...
Также Захарова, скорее всего, в Апелляционной жалобе подметит, что суд неправильно распределил бремя доказывания: по ст. 62 КАС РФ именно администрация должна доказывать законность своих действий.
(
Это общее правило, в публичном споре гражданин всегда находится в менее выгодном положении: у него меньше ресурсов и возможностей добыть доказательства.
По моему мнению такое решение не может создать прецедента🙂
Дополнение для общего понимания:
Судебная система в рф состоит из 4 уровней(инстанций) -
🔹 1. Первая инстанция
Рассматривает дело по существу, выносит решение/приговор.
🔹 2. Апелляционная инстанция
Пересматривает решение первой инстанции, если оно ещё не вступило в силу.
🔹 3. Кассационная инстанция
Проверяет законность и обоснованность уже вступивших в силу решений судов первой и апелляционной инстанций.
🔹 4. Надзорная инстанция
Это исключительная процедура пересмотра, возможна в Верховном Суде РФ, применяется в исключительных случаях, например, при грубых нарушениях закона.
Также отдельно существует Конституционный Суд РФ, который не входит в иерархию общих и арбитражных судов, а осуществляет контроль за конституционностью в пределах компетенции.
base.garant.ru
Постановление Правительства РФ от 09.02.2012 N 111 "Об электронной подписи, используемой органами исполнительной власти и органами…
Постановление Правительства РФ от 9 февраля 2012 г. N 111 "Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также…
Forwarded from Bo0oM
Предвкушая вопросы, заранее отвечу:
CrackMapExec
Responder
Да, можно
Empire
Hashcat умеет
Bloodhound - скрипты для сбор данных в него (а не сам фреймворк)
Лучше тогда linWinPwn
CrackMapExec
Responder
Да, можно
Empire
Hashcat умеет
Bloodhound - скрипты для сбор данных в него (а не сам фреймворк)
Лучше тогда linWinPwn
Forwarded from Пост Лукацкого
Недавно, одно российское издательство предложило мне опубликовать мою новую книгу 📖 , ссылаясь на то, что отечественный книжный рынок сегодня не избалован хорошими изданиями по кибербезу. И я бесспорно согласен с этим утверждением. Тем радостнее было видеть, что кто-то пишет не всякую чухню про защиту персональных данных или применение кротовых нор при сканировании высоконагруженных и децентрализованных систем в квантовом облаке 📖
Сразу скажу, что я, хотя и сделал предзаказ книги, до конца пока не верю, что это не розыгрыш. Поэтому не стоит рассматривать мой пост как рекламу. Пока не получу на руки оплаченный экземпляр, буду считать это все хорошей шуткой, хотя содержание вполне себе интересное📕 Если же это не шутка, а текст соответствует чувству юмора заголовков, то предполагаю занятное чтиво.
#книга
Сразу скажу, что я, хотя и сделал предзаказ книги, до конца пока не верю, что это не розыгрыш. Поэтому не стоит рассматривать мой пост как рекламу. Пока не получу на руки оплаченный экземпляр, буду считать это все хорошей шуткой, хотя содержание вполне себе интересное
#книга
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
увидел интересный эндпоинт во время кравла бурпом
POST /api/admin/apiform/ExecuteSqlJSON
что бы это могло значить....
POST /api/admin/apiform/ExecuteSqlJSON
что бы это могло значить....
Forwarded from AP Security
How Attacks Are Detected And Correlated Using SIEM.pdf
170.8 KB
#soc
Детектирование атак с применение SIEM: кейсы
В данной статье Izzmier Izzuddin приводит большое количество практических кейсов, связанными с отработкой правил корреляции на различные компьютерные атаки.
Приятного прочтения
Детектирование атак с применение SIEM: кейсы
В данной статье Izzmier Izzuddin приводит большое количество практических кейсов, связанными с отработкой правил корреляции на различные компьютерные атаки.
Приятного прочтения
Hackers Broke In Through the Microwave. Yes, Really.
https://medium.com/meetcyber/hackers-broke-in-through-the-microwave-yes-really-89ef5c06376b
https://medium.com/meetcyber/hackers-broke-in-through-the-microwave-yes-really-89ef5c06376b
Medium
Hackers Broke In Through the Microwave. Yes, Really.
A kitchen appliance turned spy, a smart office that got a little too smart, and a $50,000 mistake no one saw coming.
Forwarded from Райтапы по CTF{2025}
Подборка райтапов на #bootcamp #standoff365
🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/225]
🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/265]
- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/264]
🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/282]
🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/233]
🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf
➡️ Райтап
[https://t.me/writeup_ctf/450]
БОНУС: райтапы на категорию #infra
[https://t.me/writeup_ctf/282]
💬 Канал & Чат | 📺 RUTUBE | 📺 YouTube
🗂️Задание
- [web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
- [web-1-2] Локальное повышение привилегий (LPE) на узле library.edu.stf
[https://t.me/writeup_ctf/225]
🗂️Задание
- [web-3-1] Подделка запроса со стороны сервера (SSRF) на узле utils.edu.stf
[https://t.me/writeup_ctf/265]
- [web-3-2] Удаленное выполнение кода (RCE) на узле utils.edu.stf
[https://t.me/writeup_ctf/264]
🗂️Задание
- [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf
[https://t.me/writeup_ctf/282]
🗂️Задание
- [web-5] Внедрение SQL-кода (SQLi) на узле tokenizer.edu.stf
[https://t.me/writeup_ctf/233]
🗂️Задание
- [web-6] Удаленное выполнение кода (RCE) на узле smashmusic.edu.stf
[https://t.me/writeup_ctf/450]
БОНУС: райтапы на категорию #infra
[https://t.me/writeup_ctf/282]
Please open Telegram to view this post
VIEW IN TELEGRAM
Standoff365
[web-1-1] Удаленное выполнение кода (RCE) на узле library.edu.stf
Standoff 365 Киберполигон — онлайн-киберучения, где этичные хакеры помогают на практике оценить защищенность инфраструктуры, найти в ней слабые места и подготовиться к отражению кибератак.
БАГ-БАУНТИ ДАЙДЖЕСТ: САМЫЕ ИНТЕРЕСНЫЕ НАХОДКИ
🕵️♂️ Всем привет. Решил поделиться интересными находками из мира баг-баунти, которые попались мне на глаза в последнее время.
ВОСПРОИЗВЕДЕНИЕ БАГА НА $10,000
💰 Исследователь phoenixcatalan воспроизвел баг, за который ранее заплатили $10,000. Он не просто прочитал отчет, а полностью повторил всю цепочку действий: https://infosecwriteups.com/i-reproduced-a-10-000-bug-8466603e45e
Это хороший пример того, как изучение чужих находок может привести к собственным открытиям.
УЯЗВИМОСТЬ В FIREFOX: УДАЛЕНИЕ АККАУНТА БЕЗ 2FA
🔥 Monika sharma обнаружила уязвимость в Firefox, позволяющую удалить аккаунт без двухфакторной аутентификации. Баг принес ей $1,000: https://infosecwriteups.com/1-000-bug-firefox-account-deletion-without-2fa-or-authorization-67d6c5bfd028
Интересно, что такая серьезная проблема скрывалась в системе, которой пользуются миллионы людей.
ОТ НОВИЧКА ДО ПРОФИ
⚡️ Заслуживает внимания история CosmicByte — специалиста без технического образования, который стал успешным охотником за багами: https://medium.com/@cosmicbyt3/story-of-a-cyber-newbie-81dd7c92ff26
Это подтверждает, что в кибербезопасности главное — упорство и любопытство, а не формальные дипломы.
НЕСТАНДАРТНОЕ ПРИМЕНЕНИЕ VIRUSTOTAL
🔮 Vikas Anand продемонстрировал нестандартное применение VirusTotal — он использовал сервис не для проверки файлов на вирусы, а для поиска уязвимостей: https://kingcoolvikas.medium.com/how-i-earned-a-bounty-using-virustotal-recon-93024ee964ed
Такой подход напоминает, что иногда стоит взглянуть на привычные инструменты под другим углом.
КРИТИЧЕСКАЯ УЯЗВИМОСТЬ В ПРАВИТЕЛЬСТВЕННОМ ПРИЛОЖЕНИИ
🏛 El Professor Qais нашел критическую уязвимость в правительственном веб-приложении Малайзии и ответственно сообщил о проблеме: https://medium.com/@wanqais007/how-i-found-a-critical-vulnerability-on-a-gov-my-web-app-and-reported-it-responsibly-548f27296a01
Это пример этичного хакинга, который делает интернет безопаснее для всех.
$7,500 ЗА УТЕЧКУ EMAIL-АДРЕСОВ НА HACKERONE
🎭 Та же Monika sharma обнаружила способ раскрыть email-адреса любого пользователя HackerOne через приглашения в приватные программы. Находка принесла ей $7,500: https://infosecwriteups.com/7-500-bug-exposing-any-hackerone-users-email-via-private-program-invite-de6fd6b3b6c8
Ирония в том, что платформа для поиска уязвимостей сама оказалась уязвимой.
NETLAS DORKING: НОВЫЙ УРОВЕНЬ OSINT
🌐 AbhirupKonwar опубликовал материал о Netlas Dorking — мощном инструменте для OSINT-разведки: https://systemweakness.com/netlas-dorking-part-1-c847fac73c
Это своего рода Google Dorking на новом уровне, позволяющий находить открытые порты и уязвимые сервисы.
ОПАСНЫЙ ДИЗАЙН-ФЛОУ В OTP
🃏 Aman Banga выявил проблему в дизайне системы одноразовых паролей, которая позволяла создавать фейковые аккаунты: https://medium.com/@amanba13.ab/design-flaw-on-otp-endpoint-leads-to-create-fake-accounts-a-subtle-yet-dangerous-flaw-in-user-c511dfab89e0
Это напоминает, что уязвимости могут скрываться не только в коде, но и в логике работы приложения.
ФОРМА ДЛЯ ЖАЛОБ КАК ИНСТРУМЕНТ СПАМА
📯 Iski превратил обычную форму для жалоб в инструмент для массовой рассылки email: https://infosecwriteups.com/abuse-ception-how-i-turned-the-abuse-report-feature-into-a-mass-email-spammer-38b38a4c3c36
Хороший пример того, как функция с благими намерениями может быть использована не по назначению.
РУКОВОДСТВО ПО ВЗЛОМУ JWT
🗝 Aditya Bhatt продолжает серию руководств по взлому JSON Web Tokens: https://infosecwriteups.com/cracking-jwts-a-bug-bounty-hunting-guide-part-5-2791be30bd17
JWT используются повсеместно, и их неправильная реализация — частый источник уязвимостей.
ОБХОД ОГРАНИЧЕНИЙ ЧЕРЕЗ МОДИФИЦИРОВАННЫЕ HTTP-ЗАПРОСЫ
🪓 Gaurrav Luthra показал, как простая модификация HTTP-запроса позволила обойти ограничения безопасности и заработать $1,000: https://gaurrav.medium.com/1-000-bounty-for-bypassing-restrictions-via-modified-http-request-8a195a72ded7
Иногда самые простые техники оказываются самыми эффективными.
🕵️♂️ Всем привет. Решил поделиться интересными находками из мира баг-баунти, которые попались мне на глаза в последнее время.
ВОСПРОИЗВЕДЕНИЕ БАГА НА $10,000
💰 Исследователь phoenixcatalan воспроизвел баг, за который ранее заплатили $10,000. Он не просто прочитал отчет, а полностью повторил всю цепочку действий: https://infosecwriteups.com/i-reproduced-a-10-000-bug-8466603e45e
Это хороший пример того, как изучение чужих находок может привести к собственным открытиям.
УЯЗВИМОСТЬ В FIREFOX: УДАЛЕНИЕ АККАУНТА БЕЗ 2FA
🔥 Monika sharma обнаружила уязвимость в Firefox, позволяющую удалить аккаунт без двухфакторной аутентификации. Баг принес ей $1,000: https://infosecwriteups.com/1-000-bug-firefox-account-deletion-without-2fa-or-authorization-67d6c5bfd028
Интересно, что такая серьезная проблема скрывалась в системе, которой пользуются миллионы людей.
ОТ НОВИЧКА ДО ПРОФИ
⚡️ Заслуживает внимания история CosmicByte — специалиста без технического образования, который стал успешным охотником за багами: https://medium.com/@cosmicbyt3/story-of-a-cyber-newbie-81dd7c92ff26
Это подтверждает, что в кибербезопасности главное — упорство и любопытство, а не формальные дипломы.
НЕСТАНДАРТНОЕ ПРИМЕНЕНИЕ VIRUSTOTAL
🔮 Vikas Anand продемонстрировал нестандартное применение VirusTotal — он использовал сервис не для проверки файлов на вирусы, а для поиска уязвимостей: https://kingcoolvikas.medium.com/how-i-earned-a-bounty-using-virustotal-recon-93024ee964ed
Такой подход напоминает, что иногда стоит взглянуть на привычные инструменты под другим углом.
КРИТИЧЕСКАЯ УЯЗВИМОСТЬ В ПРАВИТЕЛЬСТВЕННОМ ПРИЛОЖЕНИИ
🏛 El Professor Qais нашел критическую уязвимость в правительственном веб-приложении Малайзии и ответственно сообщил о проблеме: https://medium.com/@wanqais007/how-i-found-a-critical-vulnerability-on-a-gov-my-web-app-and-reported-it-responsibly-548f27296a01
Это пример этичного хакинга, который делает интернет безопаснее для всех.
$7,500 ЗА УТЕЧКУ EMAIL-АДРЕСОВ НА HACKERONE
🎭 Та же Monika sharma обнаружила способ раскрыть email-адреса любого пользователя HackerOne через приглашения в приватные программы. Находка принесла ей $7,500: https://infosecwriteups.com/7-500-bug-exposing-any-hackerone-users-email-via-private-program-invite-de6fd6b3b6c8
Ирония в том, что платформа для поиска уязвимостей сама оказалась уязвимой.
NETLAS DORKING: НОВЫЙ УРОВЕНЬ OSINT
🌐 AbhirupKonwar опубликовал материал о Netlas Dorking — мощном инструменте для OSINT-разведки: https://systemweakness.com/netlas-dorking-part-1-c847fac73c
Это своего рода Google Dorking на новом уровне, позволяющий находить открытые порты и уязвимые сервисы.
ОПАСНЫЙ ДИЗАЙН-ФЛОУ В OTP
🃏 Aman Banga выявил проблему в дизайне системы одноразовых паролей, которая позволяла создавать фейковые аккаунты: https://medium.com/@amanba13.ab/design-flaw-on-otp-endpoint-leads-to-create-fake-accounts-a-subtle-yet-dangerous-flaw-in-user-c511dfab89e0
Это напоминает, что уязвимости могут скрываться не только в коде, но и в логике работы приложения.
ФОРМА ДЛЯ ЖАЛОБ КАК ИНСТРУМЕНТ СПАМА
📯 Iski превратил обычную форму для жалоб в инструмент для массовой рассылки email: https://infosecwriteups.com/abuse-ception-how-i-turned-the-abuse-report-feature-into-a-mass-email-spammer-38b38a4c3c36
Хороший пример того, как функция с благими намерениями может быть использована не по назначению.
РУКОВОДСТВО ПО ВЗЛОМУ JWT
🗝 Aditya Bhatt продолжает серию руководств по взлому JSON Web Tokens: https://infosecwriteups.com/cracking-jwts-a-bug-bounty-hunting-guide-part-5-2791be30bd17
JWT используются повсеместно, и их неправильная реализация — частый источник уязвимостей.
ОБХОД ОГРАНИЧЕНИЙ ЧЕРЕЗ МОДИФИЦИРОВАННЫЕ HTTP-ЗАПРОСЫ
🪓 Gaurrav Luthra показал, как простая модификация HTTP-запроса позволила обойти ограничения безопасности и заработать $1,000: https://gaurrav.medium.com/1-000-bounty-for-bypassing-restrictions-via-modified-http-request-8a195a72ded7
Иногда самые простые техники оказываются самыми эффективными.
ТОП-10 AI-ИНСТРУМЕНТОВ ДЛЯ БАГ-ХАНТЕРОВ
🎲 Andrei Ivan составил список из 10 AI-инструментов для охотников за багами в 2025 году: https://medium.com/@sync-with-ivan/top-10-ai-powered-tools-every-bug-bounty-hunter-should-try-in-2025-3af6cfc6212e
Искусственный интеллект меняет правила игры в кибербезопасности, и стоит быть в курсе новых возможностей.
НЕ НУЖНО БЫТЬ ГЕНИЕМ, ЧТОБЫ СТАТЬ ХАКЕРОМ
🦊 Sumanth Yerranagula развенчивает миф о том, что хакерами становятся только гении: https://medium.com/@RootPwned/you-dont-need-to-be-a-genius-to-be-a-hacker-just-be-curious-72adbae6296
Главное качество — любопытство и желание разобраться в том, как работают системы.
RXSS В НЕИСПОЛЬЗУЕМОЙ ФУНКЦИИ
🧟♂️ Sevada797 нашел Reflected XSS в функции, которая даже не вызывалась в коде: https://medium.com/@zatikyan.sevada/rxss-in-uncalled-function-6eb14bc5bd6
https://github.com/Sevada797/get-bruter/
Это напоминает о важности проверки всего кода, даже если он кажется неиспользуемым.
УЯЗВИМОСТЬ В БИЗНЕС-ЛОГИКЕ
🚫 JEETPAL обнаружил уязвимость в бизнес-логике, позволяющую блокировать создание аккаунтов для любых пользователей: https://infosecwriteups.com/business-logic-allows-any-user-to-be-blocked-from-creating-an-account-6a7ab7013ccc
Ошибки в логике приложения часто приводят к серьезным последствиям.
СПРАВОЧНИК ПО УЯЗВИМОСТЯМ БИЗНЕС-ЛОГИКИ
📜 Gr3yG05T создал справочник по поиску уязвимостей в бизнес-логике приложений: https://gr3yg05t.medium.com/business-logic-flaws-a-bug-hunters-handbook-293f6a89a7f4
Это ценный ресурс для тех, кто хочет выйти за рамки стандартных проверок безопасности.
ГЛАВНЫЕ ВЫВОДЫ ДЛЯ ОХОТНИКОВ ЗА БАГАМИ:
1. 🔄 Воспроизведение известных багов может привести к новым открытиям
2. 🪚 Стандартные инструменты можно использовать нестандартным образом
3. 🧩 Уязвимости часто скрываются в бизнес-логике, а не только в коде
4. 👾 "Мертвый" код может оказаться источником проблем
5. 🦝 Для успеха в баг-баунти важнее любопытство, чем формальное образование
🦅 Охота за багами — это не просто поиск уязвимостей, это особый образ мышления, позволяющий видеть то, что другие пропускают.
🎲 Andrei Ivan составил список из 10 AI-инструментов для охотников за багами в 2025 году: https://medium.com/@sync-with-ivan/top-10-ai-powered-tools-every-bug-bounty-hunter-should-try-in-2025-3af6cfc6212e
Искусственный интеллект меняет правила игры в кибербезопасности, и стоит быть в курсе новых возможностей.
НЕ НУЖНО БЫТЬ ГЕНИЕМ, ЧТОБЫ СТАТЬ ХАКЕРОМ
🦊 Sumanth Yerranagula развенчивает миф о том, что хакерами становятся только гении: https://medium.com/@RootPwned/you-dont-need-to-be-a-genius-to-be-a-hacker-just-be-curious-72adbae6296
Главное качество — любопытство и желание разобраться в том, как работают системы.
RXSS В НЕИСПОЛЬЗУЕМОЙ ФУНКЦИИ
🧟♂️ Sevada797 нашел Reflected XSS в функции, которая даже не вызывалась в коде: https://medium.com/@zatikyan.sevada/rxss-in-uncalled-function-6eb14bc5bd6
https://github.com/Sevada797/get-bruter/
Это напоминает о важности проверки всего кода, даже если он кажется неиспользуемым.
УЯЗВИМОСТЬ В БИЗНЕС-ЛОГИКЕ
🚫 JEETPAL обнаружил уязвимость в бизнес-логике, позволяющую блокировать создание аккаунтов для любых пользователей: https://infosecwriteups.com/business-logic-allows-any-user-to-be-blocked-from-creating-an-account-6a7ab7013ccc
Ошибки в логике приложения часто приводят к серьезным последствиям.
СПРАВОЧНИК ПО УЯЗВИМОСТЯМ БИЗНЕС-ЛОГИКИ
📜 Gr3yG05T создал справочник по поиску уязвимостей в бизнес-логике приложений: https://gr3yg05t.medium.com/business-logic-flaws-a-bug-hunters-handbook-293f6a89a7f4
Это ценный ресурс для тех, кто хочет выйти за рамки стандартных проверок безопасности.
ГЛАВНЫЕ ВЫВОДЫ ДЛЯ ОХОТНИКОВ ЗА БАГАМИ:
1. 🔄 Воспроизведение известных багов может привести к новым открытиям
2. 🪚 Стандартные инструменты можно использовать нестандартным образом
3. 🧩 Уязвимости часто скрываются в бизнес-логике, а не только в коде
4. 👾 "Мертвый" код может оказаться источником проблем
5. 🦝 Для успеха в баг-баунти важнее любопытство, чем формальное образование
🦅 Охота за багами — это не просто поиск уязвимостей, это особый образ мышления, позволяющий видеть то, что другие пропускают.
Medium
Story of a Cyber Newbie
There are days I wake up feeling like a cyber ninja in training, browser open, Burp Suite ready, fingers dancing across keyboard like I am…
чтобы читать статьи на medium без "paywall" используйте https://freedium.cfd/
freedium.cfd
Breaking Medium paywall! - Freedium
Your paywall breakthrough for Medium!
Не все ссылки открываются тк конечный айдишник medium зависит от пользователя - поэтому переходите к автору конкретному статьи и смотрите😄
Forwarded from -CyberSecurityTechnologies- (-CST-)
Playbook_LLM_Sec.pdf
4.9 MB
#Tech_book
#MLSecOps
"The Developer's Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
#MLSecOps
"The Developer's Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
Я просто не понимаю....это Блиновская? Успешный успех продается, вы будете зарабатывать много денег, но заплатите денег.... что....
Пж обьясните в комментах для кого это, вот миллиард источников открыто, есть нейронки, есть ctf позволяющие попробовать себя и найти единомышленников, есть реально авторитетные курсы и MINDMAP курсов, карьерный трек от позитивов...без негатива к создателям, но что за кринж
https://t.me/c/2417106595/153
https://securitymentor.ru
Пж обьясните в комментах для кого это, вот миллиард источников открыто, есть нейронки, есть ctf позволяющие попробовать себя и найти единомышленников, есть реально авторитетные курсы и MINDMAP курсов, карьерный трек от позитивов...без негатива к создателям, но что за кринж
https://t.me/c/2417106595/153
https://securitymentor.ru
Возможно я ошибаюсь - пишите комменты, но немного хоть аргументированные.
Я помню начинал с юдемай, потом международные курсы и университеты (3 диплома по иб), есть даже СЛИТЫЕ ПЛАТНЫЕ курсы если реально хочется учится бесплатно....
Я помню начинал с юдемай, потом международные курсы и университеты (3 диплома по иб), есть даже СЛИТЫЕ ПЛАТНЫЕ курсы если реально хочется учится бесплатно....
БЕЗ негатива к автору, скорее всего есть спрос для людей которые не хотят ничего делать. Но они никем и не станут скорее всего