whaley пишет
почему в мире веб3 правят предприимчивые девы и как это коррелирует с веб2 в общем то на этот пост меня сподвигла моя неделя размышлений, куда же мне в итоге пойти, было два варианта: 1. продолжить в девинге 2. пойти в маркетинг/менеджмент у девинга было…
у юникода вышла статья, в которую он позвал меня
кому интересно было вот это чтиво про девов в веб3 - советую к ознакомлению
ну и поддержите юникода - подписка там реакция, старается человек
————————————
оффтопик по будущему канала и вообще зачем я его веду:
вообще изначально я позиционировал свой канал как про-крипто
но глобально я думаю все кто время от времени читает - заметили мой шифт к более жизненным и философским темам
этот канал я веду и буду вести скорее как личный блог человека, который большую часть осознанной жизни зарабатывает деньги в интернете
я стремлюсь к большему чем просто n-ая сумма денег и документирую свой путь, раскрывать свои личные планы я естественно не буду, если все получится вам и так станет понятно
все еще думаю над каким-то ирл форматом, хочу записать и дропнуть влог из китая, мб стримы какие придумаю
сейчас очень много работы, так что эта идея так и пылится в моих избранных, надеюсь, когда-нибудь выйдет в свет
в общем-то я просто рассказываю свою историю и меня этот формат более чем устраивает
кому интересно было вот это чтиво про девов в веб3 - советую к ознакомлению
ну и поддержите юникода - подписка там реакция, старается человек
————————————
оффтопик по будущему канала и вообще зачем я его веду:
вообще изначально я позиционировал свой канал как про-крипто
но глобально я думаю все кто время от времени читает - заметили мой шифт к более жизненным и философским темам
этот канал я веду и буду вести скорее как личный блог человека, который большую часть осознанной жизни зарабатывает деньги в интернете
я стремлюсь к большему чем просто n-ая сумма денег и документирую свой путь, раскрывать свои личные планы я естественно не буду, если все получится вам и так станет понятно
все еще думаю над каким-то ирл форматом, хочу записать и дропнуть влог из китая, мб стримы какие придумаю
сейчас очень много работы, так что эта идея так и пылится в моих избранных, надеюсь, когда-нибудь выйдет в свет
в общем-то я просто рассказываю свою историю и меня этот формат более чем устраивает
❤7🐳3🫡3
за каждую найденную сибил ферму на Ethos из 3+ акков получаете 50$
можете заделаться в краснопузых и написать софт/навайбкодить если есть свободное время
довольно приятное баунти, искать можно и по одним и тем же кошелькам, и по ончейн связям, и по твиттерам.
линк на программу
линк на более подробный пост от юникода
можете заделаться в краснопузых и написать софт/навайбкодить если есть свободное время
довольно приятное баунти, искать можно и по одним и тем же кошелькам, и по ончейн связям, и по твиттерам.
линк на программу
линк на более подробный пост от юникода
❤3🐳2🫡2
рассказываю о своих планах
решил я замутить проект под грант от опиниона, тк проходка в прошлой волне была довольно вкусная, а также попало даже вайбкод говно
~1.15% саплая выделено на аирдроп для чуваков кто имеет билдерку (если выиграл грант - получаешь билдерку), а также 2к баксов фиксой
следовательно имея 600kk фдв по премаркету получаем ~$30k на рыло (что слишком жирно, но лишние шальные пару тысяч могут вполне залететь)
в чём заключается идея моего проекта:
я как любитель теоретической физики очень хотел прикрутить какое-то квантум решение, начал сёрчить и обнаружил что в веб3 никто не применял и не применяет квантовые поправки к вероятности того или иного события
мы знаем что человеческий мозг, согласно квантовой когниции является биологическим квантовым компьютером, а также сентимент маркета склонен к иррациональным решениям, особенно при высокой волатильности маркета
рынки предсказаний для рассчёта вероятностей на своих рынках используют классическую теорию вероятности
но мы можем, используя квантовую теорию вероятности (поправка на квантовую когницию), исходя из перекоса волюмов и волатильности рассчитать квантовую поправку, получив тем самым более достоверный результат (обычно несколько процентов), что открывает теоретическую возможность арбитража для интерферирующих событий.
к счастью, умные люди за меня уже изобрели мат. аппарат для рассчёта квантовой поправки и мне не нужно придумывать формулы
тогда я просто описываю на языке программирования эти готовые формулы на бэке
делаю красивый фронт и наглядно показываю сравнение графиков классических вероятностей (которые беру прямо с опиниона) и графиков квантовых вероятностей
в итоге имеем:
1. вау-эффект (арбитраж не всегда будет фурычить, нужно очень долго калибровать свободную переменную k)
2. proof of concept, в виде экспериментально доказанных формул.
объём работы:
бэк пишется буквально за два дня
первый день:
описание логики и архитектуры + просмотр нескольких лекций о квантовой когниции
второй день:
перенос псевдокода на язык программирования (в моём случае тайпскрипт)
над фронтом же придётся попотеть, завтра-послезавтра начну, надеюсь управлюсь в 3-4 дня, хочу сделать очень красиво, или хотя бы презентабельно
думаю что с такой идеей, если удастся её реализовать, а ещё и прикрутить мнимый (или не очень) арбитраж - выиграть грант шансы довольно высокие
не уверен успею ли я в дедлайн, но очень на это надеюсь, в любом случае мне самому очень интересно реализовать такое детище
всех обнял, увидимся через n дней, когда закончу / приведу в нормальный для сникпиков вид
решил я замутить проект под грант от опиниона, тк проходка в прошлой волне была довольно вкусная, а также попало даже вайбкод говно
~1.15% саплая выделено на аирдроп для чуваков кто имеет билдерку (если выиграл грант - получаешь билдерку), а также 2к баксов фиксой
следовательно имея 600kk фдв по премаркету получаем ~$30k на рыло (что слишком жирно, но лишние шальные пару тысяч могут вполне залететь)
в чём заключается идея моего проекта:
я как любитель теоретической физики очень хотел прикрутить какое-то квантум решение, начал сёрчить и обнаружил что в веб3 никто не применял и не применяет квантовые поправки к вероятности того или иного события
мы знаем что человеческий мозг, согласно квантовой когниции является биологическим квантовым компьютером, а также сентимент маркета склонен к иррациональным решениям, особенно при высокой волатильности маркета
рынки предсказаний для рассчёта вероятностей на своих рынках используют классическую теорию вероятности
но мы можем, используя квантовую теорию вероятности (поправка на квантовую когницию), исходя из перекоса волюмов и волатильности рассчитать квантовую поправку, получив тем самым более достоверный результат (обычно несколько процентов), что открывает теоретическую возможность арбитража для интерферирующих событий.
к счастью, умные люди за меня уже изобрели мат. аппарат для рассчёта квантовой поправки и мне не нужно придумывать формулы
тогда я просто описываю на языке программирования эти готовые формулы на бэке
делаю красивый фронт и наглядно показываю сравнение графиков классических вероятностей (которые беру прямо с опиниона) и графиков квантовых вероятностей
в итоге имеем:
1. вау-эффект (арбитраж не всегда будет фурычить, нужно очень долго калибровать свободную переменную k)
2. proof of concept, в виде экспериментально доказанных формул.
объём работы:
бэк пишется буквально за два дня
первый день:
описание логики и архитектуры + просмотр нескольких лекций о квантовой когниции
второй день:
перенос псевдокода на язык программирования (в моём случае тайпскрипт)
над фронтом же придётся попотеть, завтра-послезавтра начну, надеюсь управлюсь в 3-4 дня, хочу сделать очень красиво, или хотя бы презентабельно
думаю что с такой идеей, если удастся её реализовать, а ещё и прикрутить мнимый (или не очень) арбитраж - выиграть грант шансы довольно высокие
не уверен успею ли я в дедлайн, но очень на это надеюсь, в любом случае мне самому очень интересно реализовать такое детище
всех обнял, увидимся через n дней, когда закончу / приведу в нормальный для сникпиков вид
❤5🐳3🤯2🔥1
поздравляю всех девушек с восьмым марта (если вы тут есть конечно 👀 ), а также большая любовь моей девушке которая это читает! 💝
наконец закончил бэк своего проекта - не обдумал заранее что апи опиниона отдает лишь полный объем по двум исходам -> перевес волюмов посчитать невозможно, если ты не скрапишь сам
так что пришлось писать скрапер, подключаться по вебсокету и собирать данные о сделках в БД, только после этого подсчитывать перевес волюмов
задача за малым - привести в презентабельный вид + добавить другие платформы
архитектура вышла универсальной, так что другие платформы добавить будет нетрудно!
приступаю к фронту и буду подавать заявку буквально на днях.
апи ключ мне кстати выдавали целых 6 дней, благо есть замечательный человек, давший мне тестовый апи ключик, отдельное спасибо ему
наконец закончил бэк своего проекта - не обдумал заранее что апи опиниона отдает лишь полный объем по двум исходам -> перевес волюмов посчитать невозможно, если ты не скрапишь сам
так что пришлось писать скрапер, подключаться по вебсокету и собирать данные о сделках в БД, только после этого подсчитывать перевес волюмов
задача за малым - привести в презентабельный вид + добавить другие платформы
архитектура вышла универсальной, так что другие платформы добавить будет нетрудно!
приступаю к фронту и буду подавать заявку буквально на днях.
апи ключ мне кстати выдавали целых 6 дней, благо есть замечательный человек, давший мне тестовый апи ключик, отдельное спасибо ему
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🐳2🔥1🫡1
почитал статью от n чувака об агентивной разработке
в какой раз убеждаюсь, если человек додумался написать статью - это ДАЛЕКО не значит что он нормально разбирается в топике о котором он пишет
вот скажите, зачем мне собирать франкенштейна из кодекса + антигравити (с их дырявыми лимитами и пососной моделью, когда есть курсор где я могу выбрать ЛЮБУЮ) и клод кода
как мне нормально синхронизировать контекстное окно? непонятненько.
чувак также говорит что вообще в целом ide можно не использовать. что?!?!?
то есть ты хочешь сказать, что твой слоп который ты даже нормально поредачить не можешь юзая ТОЛЬКО cli клод код/кодекс будет нормально работать?!
конечно же нет, зачастую ии совершает столько ошибок на бэке что приходится весь бэк вручную переписывать, да и архитектуру выбирает не самую лучшую зачастую.
единственный его аргумент это харнесс - у cli клода/кодекса свой харнесс от девов поэтому они работают лучше.
я этого не отрицаю, но если ты хоть немного понимаешь что пишешь вообще в своем коде (а без этого ты вообще далеко никуда уедешь), то тебе хватит обыкновенного курсора с про подпиской
20 баксов в месяц и минимум гемора
я не порицаю использование cli агента + нормальной ide (вим/вскод/на крайняк курсор)
но как можно в статье писать на серьезке что “можно обойтись и без ide”?
ИИ в руках программиста - инструмент который может бустить продуктивность х10
если ИИ твой автопилот - ты не добьешься никакого успеха, потому что:
а) ты будешь х10 медленнее нормального программиста
б) со временем тебе будет тяжелее решать алгоритмические задачи и дебажить в связи с деградацией нейронных связей, это физиология
в) тебя в любой момент заменит такой же болван
в общем-то не будьте ведомыми и думайте своей головой, криптапирожок даже репостнул эту статью к себе в лайф канал
хотя ну имхо то что там написано - лютейший оверкилл
платишь больше за менее удобный воркфлоу, спрашивается зачем?
—————————
спасибо за прочтение, погнал я дальше лепить свой проект.
сделал пока пивот на полимаркет, потому что на опинионе торгуют три калеки - очень неудобно собирать данные, потом просто интегрирую опинион.
всех обнял, see you soon!
в какой раз убеждаюсь, если человек додумался написать статью - это ДАЛЕКО не значит что он нормально разбирается в топике о котором он пишет
вот скажите, зачем мне собирать франкенштейна из кодекса + антигравити (с их дырявыми лимитами и пососной моделью, когда есть курсор где я могу выбрать ЛЮБУЮ) и клод кода
как мне нормально синхронизировать контекстное окно? непонятненько.
чувак также говорит что вообще в целом ide можно не использовать. что?!?!?
то есть ты хочешь сказать, что твой слоп который ты даже нормально поредачить не можешь юзая ТОЛЬКО cli клод код/кодекс будет нормально работать?!
конечно же нет, зачастую ии совершает столько ошибок на бэке что приходится весь бэк вручную переписывать, да и архитектуру выбирает не самую лучшую зачастую.
единственный его аргумент это харнесс - у cli клода/кодекса свой харнесс от девов поэтому они работают лучше.
я этого не отрицаю, но если ты хоть немного понимаешь что пишешь вообще в своем коде (а без этого ты вообще далеко никуда уедешь), то тебе хватит обыкновенного курсора с про подпиской
20 баксов в месяц и минимум гемора
я не порицаю использование cli агента + нормальной ide (вим/вскод/на крайняк курсор)
но как можно в статье писать на серьезке что “можно обойтись и без ide”?
ИИ в руках программиста - инструмент который может бустить продуктивность х10
если ИИ твой автопилот - ты не добьешься никакого успеха, потому что:
а) ты будешь х10 медленнее нормального программиста
б) со временем тебе будет тяжелее решать алгоритмические задачи и дебажить в связи с деградацией нейронных связей, это физиология
в) тебя в любой момент заменит такой же болван
в общем-то не будьте ведомыми и думайте своей головой, криптапирожок даже репостнул эту статью к себе в лайф канал
хотя ну имхо то что там написано - лютейший оверкилл
платишь больше за менее удобный воркфлоу, спрашивается зачем?
—————————
спасибо за прочтение, погнал я дальше лепить свой проект.
сделал пока пивот на полимаркет, потому что на опинионе торгуют три калеки - очень неудобно собирать данные, потом просто интегрирую опинион.
всех обнял, see you soon!
❤10🔥3🤯2🐳1
если вы вайбкодите - настоятельно рекомендую ознакомиться с базовыми понятиями безопасности кода и почекать что такое owasp top 10
вот вроде норм видосик на эту тему:
https://www.youtube.com/watch?v=q1IMqOCrbb8&lc=UgzSGAxQ2Q3xgC1sRnp4AaABAg
линка на бедную игрульку не будет, а то щас какой-нить жук со своим клауде опус 3000 снесёт бедному пингвину бдшку
сделал js инъекцию за 5 минут, он оставил апи ключ от фаербазы в жс бандле на фронте...
вот вроде норм видосик на эту тему:
https://www.youtube.com/watch?v=q1IMqOCrbb8&lc=UgzSGAxQ2Q3xgC1sRnp4AaABAg
линка на бедную игрульку не будет, а то щас какой-нить жук со своим клауде опус 3000 снесёт бедному пингвину бдшку
сделал js инъекцию за 5 минут, он оставил апи ключ от фаербазы в жс бандле на фронте...
❤5🔥1🐳1
whaley пишет
если вы вайбкодите - настоятельно рекомендую ознакомиться с базовыми понятиями безопасности кода и почекать что такое owasp top 10 вот вроде норм видосик на эту тему: https://www.youtube.com/watch?v=q1IMqOCrbb8&lc=UgzSGAxQ2Q3xgC1sRnp4AaABAg линка на бедную…
Please open Telegram to view this post
VIEW IN TELEGRAM
продолжаем рубрику: чем сейчас занимаюсь
почти закончил оформлять свой гитхаб, решил навести там порядок, никак не мог выделить время, хочу вернуться в твиттер как дев.
фоллоу нажать можно тут - https://github.com/whaleyxbt
осталось залить ещё один крупный проект, который я написал по работе, по сути являющийся кастомным программируемым антиком с мультисессиями, позволяющий обход waf, ядро на patchright (форк плейрайта) + чутка ручками отспуфал через иниты и кастом хедеры.
обходит многие waf, включая cloufdlfare turnstile, akama, kasada и иммитирует человеческие действия
сейчас займусь небольшим дебагом и написанием readme.md и залью его + дозалью небольшой петик на его базе.
——————————————
чутка альфы - хакатон GenLayer на который я постараюсь успеть залететь со своей идеей, чуть позже опишу, наверное уже когда закончу, хочу реализовать кое-что связанное с аи агентами.
ревард - $5k и поинты победителю, попробую закинуть свой проект, шансы есть.
——————————————
по моему проекту, который я планировал заслать на грант опиниона:
реалии оказались печальными, работы тут на целую команду, так что пока я его решил не заканчивать, на гите валяется только бэк под опинион, у меня в привате имеется бэк под полимаркет.
подробнее о концепте можете почитать тут.
при разработке вылезли данные проблемы:
1. опинион контора которая раздаст непойми когда, плюс дедлайны очень непонятные.
2. на опинионе очень низкий твл, в связи с чем рассчёт квантовой поправки превращается в мучение
3. подбирать свободную переменную требуется очень скурпулёзно и внимательно, используя для этого достаточно тяжелый мат. аппарат (с чем я бы вполне себе справился, просто это заняло бы слишком много времени)
4. отсутствие моего времени.
на самом деле очень печально что не могу уделять всё свободное время этому проекту из-за учёбы и других приоритетных целей. очень интересная и классная идея, которая в теории может дать дичайший принт, но требуется слишком много работы и времени. отложу пока, надеюсь ненадолго.
——————————————
почти дочитал "будущее разума" от митио каку. уже третье произведение от данного автора, честно особо нечего сказать насчёт этой книги, разве что здесь неплохая базовая информация по нейробиологии (да и то упоминается несуществующая "мусорная днк") и абсолютно неактуальные знания насчёт текущего положения нейробиологии, ИИ и роботов.
в общем на 7/10 будет, его книги по теоретической физике, очевидно, намного лучше, в целом мне стоило этого ожидать, автор - физик и популяризатор науки, а не нейробиолог
——————————————
наконец вернулся с недавних пор (около полутора месяца назад) в пентест и security engineering, очень давно хотел этого и вот мне выпал шанс.
сейчас активно прохожу hackthebox'ы, практикуюсь с различными утилитами, продолжил проходить веб секурити академи от порт свиггер и изредка практикуюсь на реальных целях.
——————————————
меня недавно спросили насчёт тайм-менеджмента:
честно, больше всего мне помогает ведение тасклиста, который я стараюсь максимально закрыть за день, после занеся результаты дня в небольшой дневник в obsidian'е.
с последнего поста поменялся мой день довольно сильно, тк с утра до 13-15 я обычно на учёбе, что высасывает очень много энергии. обычно стараюсь сесть за работу в 14-16, с перерывами на физуху и ирл стафф. работаю до ~22-23, после чего начинаю готовиться ко сну/иду делать что-то по учёбе и после уже готовлюсь ко сну.
планов очень много, работы ещё больше, очень надеюсь вырваться наконец попутешествовать.
а пока - работаю.
спасибо за прочтение, довольно длинный пост, всех обнял. see you.
почти закончил оформлять свой гитхаб, решил навести там порядок, никак не мог выделить время, хочу вернуться в твиттер как дев.
фоллоу нажать можно тут - https://github.com/whaleyxbt
осталось залить ещё один крупный проект, который я написал по работе, по сути являющийся кастомным программируемым антиком с мультисессиями, позволяющий обход waf, ядро на patchright (форк плейрайта) + чутка ручками отспуфал через иниты и кастом хедеры.
обходит многие waf, включая cloufdlfare turnstile, akama, kasada и иммитирует человеческие действия
сейчас займусь небольшим дебагом и написанием readme.md и залью его + дозалью небольшой петик на его базе.
——————————————
чутка альфы - хакатон GenLayer на который я постараюсь успеть залететь со своей идеей, чуть позже опишу, наверное уже когда закончу, хочу реализовать кое-что связанное с аи агентами.
ревард - $5k и поинты победителю, попробую закинуть свой проект, шансы есть.
——————————————
по моему проекту, который я планировал заслать на грант опиниона:
реалии оказались печальными, работы тут на целую команду, так что пока я его решил не заканчивать, на гите валяется только бэк под опинион, у меня в привате имеется бэк под полимаркет.
подробнее о концепте можете почитать тут.
при разработке вылезли данные проблемы:
1. опинион контора которая раздаст непойми когда, плюс дедлайны очень непонятные.
2. на опинионе очень низкий твл, в связи с чем рассчёт квантовой поправки превращается в мучение
3. подбирать свободную переменную требуется очень скурпулёзно и внимательно, используя для этого достаточно тяжелый мат. аппарат (с чем я бы вполне себе справился, просто это заняло бы слишком много времени)
4. отсутствие моего времени.
на самом деле очень печально что не могу уделять всё свободное время этому проекту из-за учёбы и других приоритетных целей. очень интересная и классная идея, которая в теории может дать дичайший принт, но требуется слишком много работы и времени. отложу пока, надеюсь ненадолго.
——————————————
почти дочитал "будущее разума" от митио каку. уже третье произведение от данного автора, честно особо нечего сказать насчёт этой книги, разве что здесь неплохая базовая информация по нейробиологии (да и то упоминается несуществующая "мусорная днк") и абсолютно неактуальные знания насчёт текущего положения нейробиологии, ИИ и роботов.
в общем на 7/10 будет, его книги по теоретической физике, очевидно, намного лучше, в целом мне стоило этого ожидать, автор - физик и популяризатор науки, а не нейробиолог
——————————————
наконец вернулся с недавних пор (около полутора месяца назад) в пентест и security engineering, очень давно хотел этого и вот мне выпал шанс.
сейчас активно прохожу hackthebox'ы, практикуюсь с различными утилитами, продолжил проходить веб секурити академи от порт свиггер и изредка практикуюсь на реальных целях.
——————————————
меня недавно спросили насчёт тайм-менеджмента:
честно, больше всего мне помогает ведение тасклиста, который я стараюсь максимально закрыть за день, после занеся результаты дня в небольшой дневник в obsidian'е.
с последнего поста поменялся мой день довольно сильно, тк с утра до 13-15 я обычно на учёбе, что высасывает очень много энергии. обычно стараюсь сесть за работу в 14-16, с перерывами на физуху и ирл стафф. работаю до ~22-23, после чего начинаю готовиться ко сну/иду делать что-то по учёбе и после уже готовлюсь ко сну.
планов очень много, работы ещё больше, очень надеюсь вырваться наконец попутешествовать.
а пока - работаю.
спасибо за прочтение, довольно длинный пост, всех обнял. see you.
❤8🐳5🔥3🫡1
whaley пишет
обходит многие waf, включая cloufdlfare turnstile, akama, kasada и иммитирует человеческие действия
https://github.com/whaleyxbt/ghostprobe
убрал кастом хедеры и спуфы через инит, тк пришлось бы самому очень мучительно патчить ядро, патчрайт сам неплохо с этим справляется
удобная обёртка над патчрайтом получилась
+ ротация прокси из файла
+ параллельные сессии с изолированными профилями - lifecycle management, cleanup, error handling
+ human-like utils - humanType, smoothScroll, performBulletproofClick, humanMouseWiggle
+ traffic blocker - блочит лишний контент при необходимости
+ готовые примеры сценариев использования - lead form pentest, whitepage CTA finder
также очень удобно использовать вместе с openclaw - его зачастую блочат waf из-за того что он юзает классический пупитер, моя софтина же решает эту проблему, ноль детекшена, вашему опенклаву понравится⬅️
убрал кастом хедеры и спуфы через инит, тк пришлось бы самому очень мучительно патчить ядро, патчрайт сам неплохо с этим справляется
удобная обёртка над патчрайтом получилась
+ ротация прокси из файла
+ параллельные сессии с изолированными профилями - lifecycle management, cleanup, error handling
+ human-like utils - humanType, smoothScroll, performBulletproofClick, humanMouseWiggle
+ traffic blocker - блочит лишний контент при необходимости
+ готовые примеры сценариев использования - lead form pentest, whitepage CTA finder
также очень удобно использовать вместе с openclaw - его зачастую блочат waf из-за того что он юзает классический пупитер, моя софтина же решает эту проблему, ноль детекшена, вашему опенклаву понравится
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2🐳1
axios@1.14.1 - выполняет вредоносный код на вашем пк (троян-тайп штука)
если деваете на nodejs и каким-то образом обновились на эту версию - срочно сносите, из нпм её уже удалили.
как говорится - лучше поздно, чем никогда
https://x.com/d_vuln/status/2038823264802496783?s=46
https://x.com/feross/status/2038867034419982449?s=46
если деваете на nodejs и каким-то образом обновились на эту версию - срочно сносите, из нпм её уже удалили.
как говорится - лучше поздно, чем никогда
https://x.com/d_vuln/status/2038823264802496783?s=46
https://x.com/feross/status/2038867034419982449?s=46
X (formerly Twitter)
Dvuln (@d_vuln) on X
100 Million reasons to stop what you're doing at share this right now.
@d_vuln is issuing an urgent warning to all customers using axios. A supply chain attack is currently active, and any project that has run npm install in the last several hours may be…
@d_vuln is issuing an urgent warning to all customers using axios. A supply chain attack is currently active, and any project that has run npm install in the last several hours may be…
❤2🐳2🫡2🔥1
вчера пофармил ауры, просканил порты на новом вайбкод сайтике макса вайлда
потихоньку просветляю вайбкодеров
написал еще репортик по уязвимости знакомым чувакам
ниже закину, конфиденциальную информацию (название аппки/эндпоинты) - видоизменю
хз, думаю может статью какую по ИБ для вайбкодеров напишу и дропну
потихоньку просветляю вайбкодеров
написал еще репортик по уязвимости знакомым чувакам
ниже закину, конфиденциальную информацию (название аппки/эндпоинты) - видоизменю
хз, думаю может статью какую по ИБ для вайбкодеров напишу и дропну
1❤6🔥2🐳2
whaley пишет
написал еще репортик по уязвимости знакомым чувакам
мой репорт:
CWE-201: Broken Access Control (обход прав доступа на стороне клиента) / Sensitive Information Leakage
cvss (Common Vulnerability Scoring System) v4.0 score: 5.5 / 10 - medium, ввиду надежной проверки jwt на бэкенде полноценный доступ к привелегиям администрации получить не выходит (не гарантирую что тоже самое хорошо работает для вебсокета, если там есть админский канал)
было обнаружено, что административная логика и компоненты панели управления (adminPage) включены в продакшн билд. это позволяет любому аутентифицированному пользователю получить доступ к интерфейсу управления платформой и изучить структуру внутренних апи-запросов (включая админские запросы)
лик административного модуля: весь код, отвечающий за управление пользователями, просмотр балансов и настроек ботов, доступен в основном js бандле
обход авторизации (client side bypass): фронтэнд доверяет локальному состоянию объекта window.app, что позволяет принудительно активировать скрытые элементы интерфейса без наличия соответствующих прав в jwt-токене.
раскрытие эндпоинтов (видоизменено):
/set-fees
/delete-ref-code
/set-referrer
/check-users
/userdetail?username=
/ban
/resetsettings
/force-stop-session
proof of concept:
атакующий может выполнить следующие действия в консоли браузера для доступа к панели администратора:
1. авторизоваться как обычный пользователь.
2. модифицировать глобальный объект состояния приложения:
window.app.authManager.isAdmin = true;
window.app.authManager.userRole = "admin";
window.app.authManager.permissions = ["*"];
подгрузить страницу с админкой:
window.app.adminPage.load();
импакт:
текущая реализация бэкенда корректно отклоняет запросы к эндпоинтам /admin/* с 403 форбиден, но данная уязвимость значительно снижает порог входа для проведения более сложных атак (bola/idor или перехват данных через вебсокеты), так как структура запросов и логика работы админ-панели полностью раскрыты.
рекомендации:
- воткнуть динамический импорт для административных компонентов, чтобы они загружались только пользователями с ролью admin
- удалить все упоминания административных эндпоинтов и методов из паблик бандлов
- убедиться что приватные данные не передаются в публичных каналах вебсокета и в отсутствии возможности получить доступ в приватные канал вебсокета (если они есть)
CWE-201: Broken Access Control (обход прав доступа на стороне клиента) / Sensitive Information Leakage
cvss (Common Vulnerability Scoring System) v4.0 score: 5.5 / 10 - medium, ввиду надежной проверки jwt на бэкенде полноценный доступ к привелегиям администрации получить не выходит (не гарантирую что тоже самое хорошо работает для вебсокета, если там есть админский канал)
было обнаружено, что административная логика и компоненты панели управления (adminPage) включены в продакшн билд. это позволяет любому аутентифицированному пользователю получить доступ к интерфейсу управления платформой и изучить структуру внутренних апи-запросов (включая админские запросы)
лик административного модуля: весь код, отвечающий за управление пользователями, просмотр балансов и настроек ботов, доступен в основном js бандле
обход авторизации (client side bypass): фронтэнд доверяет локальному состоянию объекта window.app, что позволяет принудительно активировать скрытые элементы интерфейса без наличия соответствующих прав в jwt-токене.
раскрытие эндпоинтов (видоизменено):
/set-fees
/delete-ref-code
/set-referrer
/check-users
/userdetail?username=
/ban
/resetsettings
/force-stop-session
proof of concept:
атакующий может выполнить следующие действия в консоли браузера для доступа к панели администратора:
1. авторизоваться как обычный пользователь.
2. модифицировать глобальный объект состояния приложения:
window.app.authManager.isAdmin = true;
window.app.authManager.userRole = "admin";
window.app.authManager.permissions = ["*"];
подгрузить страницу с админкой:
window.app.adminPage.load();
импакт:
текущая реализация бэкенда корректно отклоняет запросы к эндпоинтам /admin/* с 403 форбиден, но данная уязвимость значительно снижает порог входа для проведения более сложных атак (bola/idor или перехват данных через вебсокеты), так как структура запросов и логика работы админ-панели полностью раскрыты.
рекомендации:
- воткнуть динамический импорт для административных компонентов, чтобы они загружались только пользователями с ролью admin
- удалить все упоминания административных эндпоинтов и методов из паблик бандлов
- убедиться что приватные данные не передаются в публичных каналах вебсокета и в отсутствии возможности получить доступ в приватные канал вебсокета (если они есть)
❤3🐳2🔥1🫡1
важный анонс!
в течении нескольких недель я планирую запуск своего первого полноценного проекта (НЕ ИНФОПРОДУКТ!!), который сможет действительно принести небольшой пассивный доход каждому
(разумеется слоты будут ограничены, дабы уменьшить пвп между пользователями)
всегда хотел запустить что-то техничное и весомое, а также всегда сторонился каких-либо инфопродуктов, тк считаю что 99.9% инфопродуктов - отборный мусор.
основной концепт довольно прост и очевиден:
арбираж между web2 бетками / беттинговыми эксченджами и web3 prediction markets
ожидаемый roi: от 10% в месяц на ваш бенкролл, прайс за подписку будет отбиваться очень быстро
из крутых фишек будет:
1. сопоставление событий при помощи ML (фейк сигналов благодаря этому будет минимум)
2. поддержка вообще всех событий на prediction markets, не только спорт
3. гибкая настройка параметров: время до закрытия маркета, ожидаемый профит на ваш банкролл, учет слипажа и рассчет максимального safe-size’а исходя из стаканов платформ.
интегируемые платформы:
- polymarket
- kalshi
- opinionlabs
- predict fun (post beta)
- pinnacle
- betfair (post beta)
добавление новых платформ будет происходить с учетом голосования пользователей!
в mvp я добавил web2 платформы, лояльные к арбитражу, без строгой политики относительно вилочников.
сейчас mvp завершен на ~70%, уже готовы метчер и полностью интегрированы polymarket, kalshi и opinion, частично готова логика ядра и начата интеграция пиннакла.
в несколько недель я закладываю: добавление пиннакла, разработку фронта, интегрирование биллинга (мб простой криптобот сделаю), доработку ядра и пейпер тесты.
буду потихоньку закидывать сникпики, когда начну делать фронт, будет еще пару анонсов, coming soon
в течении нескольких недель я планирую запуск своего первого полноценного проекта (НЕ ИНФОПРОДУКТ!!), который сможет действительно принести небольшой пассивный доход каждому
(разумеется слоты будут ограничены, дабы уменьшить пвп между пользователями)
всегда хотел запустить что-то техничное и весомое, а также всегда сторонился каких-либо инфопродуктов, тк считаю что 99.9% инфопродуктов - отборный мусор.
основной концепт довольно прост и очевиден:
арбираж между web2 бетками / беттинговыми эксченджами и web3 prediction markets
ожидаемый roi: от 10% в месяц на ваш бенкролл, прайс за подписку будет отбиваться очень быстро
из крутых фишек будет:
1. сопоставление событий при помощи ML (фейк сигналов благодаря этому будет минимум)
2. поддержка вообще всех событий на prediction markets, не только спорт
3. гибкая настройка параметров: время до закрытия маркета, ожидаемый профит на ваш банкролл, учет слипажа и рассчет максимального safe-size’а исходя из стаканов платформ.
интегируемые платформы:
- polymarket
- kalshi
- opinionlabs
- predict fun (post beta)
- pinnacle
- betfair (post beta)
добавление новых платформ будет происходить с учетом голосования пользователей!
в mvp я добавил web2 платформы, лояльные к арбитражу, без строгой политики относительно вилочников.
сейчас mvp завершен на ~70%, уже готовы метчер и полностью интегрированы polymarket, kalshi и opinion, частично готова логика ядра и начата интеграция пиннакла.
в несколько недель я закладываю: добавление пиннакла, разработку фронта, интегрирование биллинга (мб простой криптобот сделаю), доработку ядра и пейпер тесты.
буду потихоньку закидывать сникпики, когда начну делать фронт, будет еще пару анонсов, coming soon
❤6🐳2🔥1🫡1
о жизни мне особо нечего сказать, все еще надеюсь выбраться попутешествовать.
начал читать свою первую книгу по теории игр, также закончил «будущее разума» от митио каку, концовка была оч сильная, так что книгу я недооценил всё таки.
про книгу которую сейчас начал - ничего не могу сказать особо, единственное, по ощущениям - слишком много очевидных примеров в книге.
все ситуации - интуитивно понятны, ни о какой теории игр практически и речи не идет, но (вероятно) это только начало, поэтому мне так кажется.
начал читать свою первую книгу по теории игр, также закончил «будущее разума» от митио каку, концовка была оч сильная, так что книгу я недооценил всё таки.
про книгу которую сейчас начал - ничего не могу сказать особо, единственное, по ощущениям - слишком много очевидных примеров в книге.
все ситуации - интуитивно понятны, ни о какой теории игр практически и речи не идет, но (вероятно) это только начало, поэтому мне так кажется.
1❤4🔥2🐳2
whaley пишет pinned «важный анонс! в течении нескольких недель я планирую запуск своего первого полноценного проекта (НЕ ИНФОПРОДУКТ!!), который сможет действительно принести небольшой пассивный доход каждому (разумеется слоты будут ограничены, дабы уменьшить пвп между пользователями)…»
как я хакнул moni
дело было вечером, делать было нечего, искал цели для практики, наткнулся на упоминания moni в одном из телеграм каналов, на которые я подписан.
сразу же я отправился сканить их порты через нмап, не получив никакого результата я перешел к поиску поддоменов.
и тут я нашел целых 78 поддоменов, среди которых была админ панель (к сожалению запаролена), открытый moni storage api и ещё одна админка strapi.
(баунти они мне зажали, так что почти вся конфиденциальная информация будет раскрыта, ничего личного против их дева я не имею (если это их дев конечно), так что в целях защиты его приватности я скрыл его личную информацию)
upd: выплатили баунти
главная уязвимость: на их google бакете был открыт полный доступ для всех, т.е. их хранилище (скорее конечно свалка), содержащее приватную информацию было доступно кому угодно - Publicly Accessible Google Cloud Storage Bucket.
линк на их гугл бакет: *hidden* (уже закрыли его, после моего репорта)
мои находки там:
1. папка wedd - один из работников мони решил не заморачиваться и захостил сайт с приглашением на свою свадьбу прямо на бакете мони...
в данном файле раскрываются: имя сотрудника и его жены, дата проведения свадьбы, адрес проведения свадьбы в городе -> вероятно, город проживания сотрудника, личные фото сотрудника и его будущей супруги.
2. whitelists.json - список из 5 евм валетов, не уверен что это за кошельки
3. куча ассетов с их сайта и странного мусора, весь его я просматривать и выгружать не стал, допускаю, что недосмотрел что-то.
очевидно если бы я не сказал им об этом, они могли бы выгрузить туда ещё больше нда инфы, что привело бы к более серьёзным проблемам.
————————
в общем-то я считаю так:
если вы команда, пытающаяся монетизировать свой продукт, будьте добры не поскупиться на багбаунти, если у вас нашлась уязвимость, иначе ваш проект превращается в таргет для атак.
больше сказать мне нечего, всем спасибо за прочтение, всех обнял.
UPD: баунти я получил, благодарю пару человек за пересылку данного поста и ваш фидбек!
также благодарю команду мони за справедливое баунти
дело было вечером, делать было нечего, искал цели для практики, наткнулся на упоминания moni в одном из телеграм каналов, на которые я подписан.
сразу же я отправился сканить их порты через нмап, не получив никакого результата я перешел к поиску поддоменов.
и тут я нашел целых 78 поддоменов, среди которых была админ панель (к сожалению запаролена), открытый moni storage api и ещё одна админка strapi.
(
upd: выплатили баунти
главная уязвимость: на их google бакете был открыт полный доступ для всех, т.е. их хранилище (скорее конечно свалка), содержащее приватную информацию было доступно кому угодно - Publicly Accessible Google Cloud Storage Bucket.
линк на их гугл бакет: *hidden* (уже закрыли его, после моего репорта)
мои находки там:
1. папка wedd - один из работников мони решил не заморачиваться и захостил сайт с приглашением на свою свадьбу прямо на бакете мони...
в данном файле раскрываются: имя сотрудника и его жены, дата проведения свадьбы, адрес проведения свадьбы в городе -> вероятно, город проживания сотрудника, личные фото сотрудника и его будущей супруги.
2. whitelists.json - список из 5 евм валетов, не уверен что это за кошельки
3. куча ассетов с их сайта и странного мусора, весь его я просматривать и выгружать не стал, допускаю, что недосмотрел что-то.
очевидно если бы я не сказал им об этом, они могли бы выгрузить туда ещё больше нда инфы, что привело бы к более серьёзным проблемам.
————————
в общем-то я считаю так:
если вы команда, пытающаяся монетизировать свой продукт, будьте добры не поскупиться на багбаунти, если у вас нашлась уязвимость, иначе ваш проект превращается в таргет для атак.
больше сказать мне нечего, всем спасибо за прочтение, всех обнял.
UPD: баунти я получил, благодарю пару человек за пересылку данного поста и ваш фидбек!
также благодарю команду мони за справедливое баунти
4🔥18🐳8❤7