рассказываю о своих планах
решил я замутить проект под грант от опиниона, тк проходка в прошлой волне была довольно вкусная, а также попало даже вайбкод говно
~1.15% саплая выделено на аирдроп для чуваков кто имеет билдерку (если выиграл грант - получаешь билдерку), а также 2к баксов фиксой
следовательно имея 600kk фдв по премаркету получаем ~$30k на рыло (что слишком жирно, но лишние шальные пару тысяч могут вполне залететь)
в чём заключается идея моего проекта:
я как любитель теоретической физики очень хотел прикрутить какое-то квантум решение, начал сёрчить и обнаружил что в веб3 никто не применял и не применяет квантовые поправки к вероятности того или иного события
мы знаем что человеческий мозг, согласно квантовой когниции является биологическим квантовым компьютером, а также сентимент маркета склонен к иррациональным решениям, особенно при высокой волатильности маркета
рынки предсказаний для рассчёта вероятностей на своих рынках используют классическую теорию вероятности
но мы можем, используя квантовую теорию вероятности (поправка на квантовую когницию), исходя из перекоса волюмов и волатильности рассчитать квантовую поправку, получив тем самым более достоверный результат (обычно несколько процентов), что открывает теоретическую возможность арбитража для интерферирующих событий.
к счастью, умные люди за меня уже изобрели мат. аппарат для рассчёта квантовой поправки и мне не нужно придумывать формулы
тогда я просто описываю на языке программирования эти готовые формулы на бэке
делаю красивый фронт и наглядно показываю сравнение графиков классических вероятностей (которые беру прямо с опиниона) и графиков квантовых вероятностей
в итоге имеем:
1. вау-эффект (арбитраж не всегда будет фурычить, нужно очень долго калибровать свободную переменную k)
2. proof of concept, в виде экспериментально доказанных формул.
объём работы:
бэк пишется буквально за два дня
первый день:
описание логики и архитектуры + просмотр нескольких лекций о квантовой когниции
второй день:
перенос псевдокода на язык программирования (в моём случае тайпскрипт)
над фронтом же придётся попотеть, завтра-послезавтра начну, надеюсь управлюсь в 3-4 дня, хочу сделать очень красиво, или хотя бы презентабельно
думаю что с такой идеей, если удастся её реализовать, а ещё и прикрутить мнимый (или не очень) арбитраж - выиграть грант шансы довольно высокие
не уверен успею ли я в дедлайн, но очень на это надеюсь, в любом случае мне самому очень интересно реализовать такое детище
всех обнял, увидимся через n дней, когда закончу / приведу в нормальный для сникпиков вид
решил я замутить проект под грант от опиниона, тк проходка в прошлой волне была довольно вкусная, а также попало даже вайбкод говно
~1.15% саплая выделено на аирдроп для чуваков кто имеет билдерку (если выиграл грант - получаешь билдерку), а также 2к баксов фиксой
следовательно имея 600kk фдв по премаркету получаем ~$30k на рыло (что слишком жирно, но лишние шальные пару тысяч могут вполне залететь)
в чём заключается идея моего проекта:
я как любитель теоретической физики очень хотел прикрутить какое-то квантум решение, начал сёрчить и обнаружил что в веб3 никто не применял и не применяет квантовые поправки к вероятности того или иного события
мы знаем что человеческий мозг, согласно квантовой когниции является биологическим квантовым компьютером, а также сентимент маркета склонен к иррациональным решениям, особенно при высокой волатильности маркета
рынки предсказаний для рассчёта вероятностей на своих рынках используют классическую теорию вероятности
но мы можем, используя квантовую теорию вероятности (поправка на квантовую когницию), исходя из перекоса волюмов и волатильности рассчитать квантовую поправку, получив тем самым более достоверный результат (обычно несколько процентов), что открывает теоретическую возможность арбитража для интерферирующих событий.
к счастью, умные люди за меня уже изобрели мат. аппарат для рассчёта квантовой поправки и мне не нужно придумывать формулы
тогда я просто описываю на языке программирования эти готовые формулы на бэке
делаю красивый фронт и наглядно показываю сравнение графиков классических вероятностей (которые беру прямо с опиниона) и графиков квантовых вероятностей
в итоге имеем:
1. вау-эффект (арбитраж не всегда будет фурычить, нужно очень долго калибровать свободную переменную k)
2. proof of concept, в виде экспериментально доказанных формул.
объём работы:
бэк пишется буквально за два дня
первый день:
описание логики и архитектуры + просмотр нескольких лекций о квантовой когниции
второй день:
перенос псевдокода на язык программирования (в моём случае тайпскрипт)
над фронтом же придётся попотеть, завтра-послезавтра начну, надеюсь управлюсь в 3-4 дня, хочу сделать очень красиво, или хотя бы презентабельно
думаю что с такой идеей, если удастся её реализовать, а ещё и прикрутить мнимый (или не очень) арбитраж - выиграть грант шансы довольно высокие
не уверен успею ли я в дедлайн, но очень на это надеюсь, в любом случае мне самому очень интересно реализовать такое детище
всех обнял, увидимся через n дней, когда закончу / приведу в нормальный для сникпиков вид
❤5🐳3🤯2🔥1
поздравляю всех девушек с восьмым марта (если вы тут есть конечно 👀 ), а также большая любовь моей девушке которая это читает! 💝
наконец закончил бэк своего проекта - не обдумал заранее что апи опиниона отдает лишь полный объем по двум исходам -> перевес волюмов посчитать невозможно, если ты не скрапишь сам
так что пришлось писать скрапер, подключаться по вебсокету и собирать данные о сделках в БД, только после этого подсчитывать перевес волюмов
задача за малым - привести в презентабельный вид + добавить другие платформы
архитектура вышла универсальной, так что другие платформы добавить будет нетрудно!
приступаю к фронту и буду подавать заявку буквально на днях.
апи ключ мне кстати выдавали целых 6 дней, благо есть замечательный человек, давший мне тестовый апи ключик, отдельное спасибо ему
наконец закончил бэк своего проекта - не обдумал заранее что апи опиниона отдает лишь полный объем по двум исходам -> перевес волюмов посчитать невозможно, если ты не скрапишь сам
так что пришлось писать скрапер, подключаться по вебсокету и собирать данные о сделках в БД, только после этого подсчитывать перевес волюмов
задача за малым - привести в презентабельный вид + добавить другие платформы
архитектура вышла универсальной, так что другие платформы добавить будет нетрудно!
приступаю к фронту и буду подавать заявку буквально на днях.
апи ключ мне кстати выдавали целых 6 дней, благо есть замечательный человек, давший мне тестовый апи ключик, отдельное спасибо ему
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🐳2🔥1🫡1
почитал статью от n чувака об агентивной разработке
в какой раз убеждаюсь, если человек додумался написать статью - это ДАЛЕКО не значит что он нормально разбирается в топике о котором он пишет
вот скажите, зачем мне собирать франкенштейна из кодекса + антигравити (с их дырявыми лимитами и пососной моделью, когда есть курсор где я могу выбрать ЛЮБУЮ) и клод кода
как мне нормально синхронизировать контекстное окно? непонятненько.
чувак также говорит что вообще в целом ide можно не использовать. что?!?!?
то есть ты хочешь сказать, что твой слоп который ты даже нормально поредачить не можешь юзая ТОЛЬКО cli клод код/кодекс будет нормально работать?!
конечно же нет, зачастую ии совершает столько ошибок на бэке что приходится весь бэк вручную переписывать, да и архитектуру выбирает не самую лучшую зачастую.
единственный его аргумент это харнесс - у cli клода/кодекса свой харнесс от девов поэтому они работают лучше.
я этого не отрицаю, но если ты хоть немного понимаешь что пишешь вообще в своем коде (а без этого ты вообще далеко никуда уедешь), то тебе хватит обыкновенного курсора с про подпиской
20 баксов в месяц и минимум гемора
я не порицаю использование cli агента + нормальной ide (вим/вскод/на крайняк курсор)
но как можно в статье писать на серьезке что “можно обойтись и без ide”?
ИИ в руках программиста - инструмент который может бустить продуктивность х10
если ИИ твой автопилот - ты не добьешься никакого успеха, потому что:
а) ты будешь х10 медленнее нормального программиста
б) со временем тебе будет тяжелее решать алгоритмические задачи и дебажить в связи с деградацией нейронных связей, это физиология
в) тебя в любой момент заменит такой же болван
в общем-то не будьте ведомыми и думайте своей головой, криптапирожок даже репостнул эту статью к себе в лайф канал
хотя ну имхо то что там написано - лютейший оверкилл
платишь больше за менее удобный воркфлоу, спрашивается зачем?
—————————
спасибо за прочтение, погнал я дальше лепить свой проект.
сделал пока пивот на полимаркет, потому что на опинионе торгуют три калеки - очень неудобно собирать данные, потом просто интегрирую опинион.
всех обнял, see you soon!
в какой раз убеждаюсь, если человек додумался написать статью - это ДАЛЕКО не значит что он нормально разбирается в топике о котором он пишет
вот скажите, зачем мне собирать франкенштейна из кодекса + антигравити (с их дырявыми лимитами и пососной моделью, когда есть курсор где я могу выбрать ЛЮБУЮ) и клод кода
как мне нормально синхронизировать контекстное окно? непонятненько.
чувак также говорит что вообще в целом ide можно не использовать. что?!?!?
то есть ты хочешь сказать, что твой слоп который ты даже нормально поредачить не можешь юзая ТОЛЬКО cli клод код/кодекс будет нормально работать?!
конечно же нет, зачастую ии совершает столько ошибок на бэке что приходится весь бэк вручную переписывать, да и архитектуру выбирает не самую лучшую зачастую.
единственный его аргумент это харнесс - у cli клода/кодекса свой харнесс от девов поэтому они работают лучше.
я этого не отрицаю, но если ты хоть немного понимаешь что пишешь вообще в своем коде (а без этого ты вообще далеко никуда уедешь), то тебе хватит обыкновенного курсора с про подпиской
20 баксов в месяц и минимум гемора
я не порицаю использование cli агента + нормальной ide (вим/вскод/на крайняк курсор)
но как можно в статье писать на серьезке что “можно обойтись и без ide”?
ИИ в руках программиста - инструмент который может бустить продуктивность х10
если ИИ твой автопилот - ты не добьешься никакого успеха, потому что:
а) ты будешь х10 медленнее нормального программиста
б) со временем тебе будет тяжелее решать алгоритмические задачи и дебажить в связи с деградацией нейронных связей, это физиология
в) тебя в любой момент заменит такой же болван
в общем-то не будьте ведомыми и думайте своей головой, криптапирожок даже репостнул эту статью к себе в лайф канал
хотя ну имхо то что там написано - лютейший оверкилл
платишь больше за менее удобный воркфлоу, спрашивается зачем?
—————————
спасибо за прочтение, погнал я дальше лепить свой проект.
сделал пока пивот на полимаркет, потому что на опинионе торгуют три калеки - очень неудобно собирать данные, потом просто интегрирую опинион.
всех обнял, see you soon!
❤10🔥3🤯2🐳1
если вы вайбкодите - настоятельно рекомендую ознакомиться с базовыми понятиями безопасности кода и почекать что такое owasp top 10
вот вроде норм видосик на эту тему:
https://www.youtube.com/watch?v=q1IMqOCrbb8&lc=UgzSGAxQ2Q3xgC1sRnp4AaABAg
линка на бедную игрульку не будет, а то щас какой-нить жук со своим клауде опус 3000 снесёт бедному пингвину бдшку
сделал js инъекцию за 5 минут, он оставил апи ключ от фаербазы в жс бандле на фронте...
вот вроде норм видосик на эту тему:
https://www.youtube.com/watch?v=q1IMqOCrbb8&lc=UgzSGAxQ2Q3xgC1sRnp4AaABAg
линка на бедную игрульку не будет, а то щас какой-нить жук со своим клауде опус 3000 снесёт бедному пингвину бдшку
сделал js инъекцию за 5 минут, он оставил апи ключ от фаербазы в жс бандле на фронте...
❤5🔥1🐳1
whaley пишет
если вы вайбкодите - настоятельно рекомендую ознакомиться с базовыми понятиями безопасности кода и почекать что такое owasp top 10 вот вроде норм видосик на эту тему: https://www.youtube.com/watch?v=q1IMqOCrbb8&lc=UgzSGAxQ2Q3xgC1sRnp4AaABAg линка на бедную…
Please open Telegram to view this post
VIEW IN TELEGRAM
продолжаем рубрику: чем сейчас занимаюсь
почти закончил оформлять свой гитхаб, решил навести там порядок, никак не мог выделить время, хочу вернуться в твиттер как дев.
фоллоу нажать можно тут - https://github.com/whaleyxbt
осталось залить ещё один крупный проект, который я написал по работе, по сути являющийся кастомным программируемым антиком с мультисессиями, позволяющий обход waf, ядро на patchright (форк плейрайта) + чутка ручками отспуфал через иниты и кастом хедеры.
обходит многие waf, включая cloufdlfare turnstile, akama, kasada и иммитирует человеческие действия
сейчас займусь небольшим дебагом и написанием readme.md и залью его + дозалью небольшой петик на его базе.
——————————————
чутка альфы - хакатон GenLayer на который я постараюсь успеть залететь со своей идеей, чуть позже опишу, наверное уже когда закончу, хочу реализовать кое-что связанное с аи агентами.
ревард - $5k и поинты победителю, попробую закинуть свой проект, шансы есть.
——————————————
по моему проекту, который я планировал заслать на грант опиниона:
реалии оказались печальными, работы тут на целую команду, так что пока я его решил не заканчивать, на гите валяется только бэк под опинион, у меня в привате имеется бэк под полимаркет.
подробнее о концепте можете почитать тут.
при разработке вылезли данные проблемы:
1. опинион контора которая раздаст непойми когда, плюс дедлайны очень непонятные.
2. на опинионе очень низкий твл, в связи с чем рассчёт квантовой поправки превращается в мучение
3. подбирать свободную переменную требуется очень скурпулёзно и внимательно, используя для этого достаточно тяжелый мат. аппарат (с чем я бы вполне себе справился, просто это заняло бы слишком много времени)
4. отсутствие моего времени.
на самом деле очень печально что не могу уделять всё свободное время этому проекту из-за учёбы и других приоритетных целей. очень интересная и классная идея, которая в теории может дать дичайший принт, но требуется слишком много работы и времени. отложу пока, надеюсь ненадолго.
——————————————
почти дочитал "будущее разума" от митио каку. уже третье произведение от данного автора, честно особо нечего сказать насчёт этой книги, разве что здесь неплохая базовая информация по нейробиологии (да и то упоминается несуществующая "мусорная днк") и абсолютно неактуальные знания насчёт текущего положения нейробиологии, ИИ и роботов.
в общем на 7/10 будет, его книги по теоретической физике, очевидно, намного лучше, в целом мне стоило этого ожидать, автор - физик и популяризатор науки, а не нейробиолог
——————————————
наконец вернулся с недавних пор (около полутора месяца назад) в пентест и security engineering, очень давно хотел этого и вот мне выпал шанс.
сейчас активно прохожу hackthebox'ы, практикуюсь с различными утилитами, продолжил проходить веб секурити академи от порт свиггер и изредка практикуюсь на реальных целях.
——————————————
меня недавно спросили насчёт тайм-менеджмента:
честно, больше всего мне помогает ведение тасклиста, который я стараюсь максимально закрыть за день, после занеся результаты дня в небольшой дневник в obsidian'е.
с последнего поста поменялся мой день довольно сильно, тк с утра до 13-15 я обычно на учёбе, что высасывает очень много энергии. обычно стараюсь сесть за работу в 14-16, с перерывами на физуху и ирл стафф. работаю до ~22-23, после чего начинаю готовиться ко сну/иду делать что-то по учёбе и после уже готовлюсь ко сну.
планов очень много, работы ещё больше, очень надеюсь вырваться наконец попутешествовать.
а пока - работаю.
спасибо за прочтение, довольно длинный пост, всех обнял. see you.
почти закончил оформлять свой гитхаб, решил навести там порядок, никак не мог выделить время, хочу вернуться в твиттер как дев.
фоллоу нажать можно тут - https://github.com/whaleyxbt
осталось залить ещё один крупный проект, который я написал по работе, по сути являющийся кастомным программируемым антиком с мультисессиями, позволяющий обход waf, ядро на patchright (форк плейрайта) + чутка ручками отспуфал через иниты и кастом хедеры.
обходит многие waf, включая cloufdlfare turnstile, akama, kasada и иммитирует человеческие действия
сейчас займусь небольшим дебагом и написанием readme.md и залью его + дозалью небольшой петик на его базе.
——————————————
чутка альфы - хакатон GenLayer на который я постараюсь успеть залететь со своей идеей, чуть позже опишу, наверное уже когда закончу, хочу реализовать кое-что связанное с аи агентами.
ревард - $5k и поинты победителю, попробую закинуть свой проект, шансы есть.
——————————————
по моему проекту, который я планировал заслать на грант опиниона:
реалии оказались печальными, работы тут на целую команду, так что пока я его решил не заканчивать, на гите валяется только бэк под опинион, у меня в привате имеется бэк под полимаркет.
подробнее о концепте можете почитать тут.
при разработке вылезли данные проблемы:
1. опинион контора которая раздаст непойми когда, плюс дедлайны очень непонятные.
2. на опинионе очень низкий твл, в связи с чем рассчёт квантовой поправки превращается в мучение
3. подбирать свободную переменную требуется очень скурпулёзно и внимательно, используя для этого достаточно тяжелый мат. аппарат (с чем я бы вполне себе справился, просто это заняло бы слишком много времени)
4. отсутствие моего времени.
на самом деле очень печально что не могу уделять всё свободное время этому проекту из-за учёбы и других приоритетных целей. очень интересная и классная идея, которая в теории может дать дичайший принт, но требуется слишком много работы и времени. отложу пока, надеюсь ненадолго.
——————————————
почти дочитал "будущее разума" от митио каку. уже третье произведение от данного автора, честно особо нечего сказать насчёт этой книги, разве что здесь неплохая базовая информация по нейробиологии (да и то упоминается несуществующая "мусорная днк") и абсолютно неактуальные знания насчёт текущего положения нейробиологии, ИИ и роботов.
в общем на 7/10 будет, его книги по теоретической физике, очевидно, намного лучше, в целом мне стоило этого ожидать, автор - физик и популяризатор науки, а не нейробиолог
——————————————
наконец вернулся с недавних пор (около полутора месяца назад) в пентест и security engineering, очень давно хотел этого и вот мне выпал шанс.
сейчас активно прохожу hackthebox'ы, практикуюсь с различными утилитами, продолжил проходить веб секурити академи от порт свиггер и изредка практикуюсь на реальных целях.
——————————————
меня недавно спросили насчёт тайм-менеджмента:
честно, больше всего мне помогает ведение тасклиста, который я стараюсь максимально закрыть за день, после занеся результаты дня в небольшой дневник в obsidian'е.
с последнего поста поменялся мой день довольно сильно, тк с утра до 13-15 я обычно на учёбе, что высасывает очень много энергии. обычно стараюсь сесть за работу в 14-16, с перерывами на физуху и ирл стафф. работаю до ~22-23, после чего начинаю готовиться ко сну/иду делать что-то по учёбе и после уже готовлюсь ко сну.
планов очень много, работы ещё больше, очень надеюсь вырваться наконец попутешествовать.
а пока - работаю.
спасибо за прочтение, довольно длинный пост, всех обнял. see you.
❤8🐳5🔥3🫡1
whaley пишет
обходит многие waf, включая cloufdlfare turnstile, akama, kasada и иммитирует человеческие действия
https://github.com/whaleyxbt/ghostprobe
убрал кастом хедеры и спуфы через инит, тк пришлось бы самому очень мучительно патчить ядро, патчрайт сам неплохо с этим справляется
удобная обёртка над патчрайтом получилась
+ ротация прокси из файла
+ параллельные сессии с изолированными профилями - lifecycle management, cleanup, error handling
+ human-like utils - humanType, smoothScroll, performBulletproofClick, humanMouseWiggle
+ traffic blocker - блочит лишний контент при необходимости
+ готовые примеры сценариев использования - lead form pentest, whitepage CTA finder
также очень удобно использовать вместе с openclaw - его зачастую блочат waf из-за того что он юзает классический пупитер, моя софтина же решает эту проблему, ноль детекшена, вашему опенклаву понравится⬅️
убрал кастом хедеры и спуфы через инит, тк пришлось бы самому очень мучительно патчить ядро, патчрайт сам неплохо с этим справляется
удобная обёртка над патчрайтом получилась
+ ротация прокси из файла
+ параллельные сессии с изолированными профилями - lifecycle management, cleanup, error handling
+ human-like utils - humanType, smoothScroll, performBulletproofClick, humanMouseWiggle
+ traffic blocker - блочит лишний контент при необходимости
+ готовые примеры сценариев использования - lead form pentest, whitepage CTA finder
также очень удобно использовать вместе с openclaw - его зачастую блочат waf из-за того что он юзает классический пупитер, моя софтина же решает эту проблему, ноль детекшена, вашему опенклаву понравится
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2🔥2🐳1
axios@1.14.1 - выполняет вредоносный код на вашем пк (троян-тайп штука)
если деваете на nodejs и каким-то образом обновились на эту версию - срочно сносите, из нпм её уже удалили.
как говорится - лучше поздно, чем никогда
https://x.com/d_vuln/status/2038823264802496783?s=46
https://x.com/feross/status/2038867034419982449?s=46
если деваете на nodejs и каким-то образом обновились на эту версию - срочно сносите, из нпм её уже удалили.
как говорится - лучше поздно, чем никогда
https://x.com/d_vuln/status/2038823264802496783?s=46
https://x.com/feross/status/2038867034419982449?s=46
X (formerly Twitter)
Dvuln (@d_vuln) on X
100 Million reasons to stop what you're doing at share this right now.
@d_vuln is issuing an urgent warning to all customers using axios. A supply chain attack is currently active, and any project that has run npm install in the last several hours may be…
@d_vuln is issuing an urgent warning to all customers using axios. A supply chain attack is currently active, and any project that has run npm install in the last several hours may be…
❤2🐳2🫡2🔥1
вчера пофармил ауры, просканил порты на новом вайбкод сайтике макса вайлда
потихоньку просветляю вайбкодеров
написал еще репортик по уязвимости знакомым чувакам
ниже закину, конфиденциальную информацию (название аппки/эндпоинты) - видоизменю
хз, думаю может статью какую по ИБ для вайбкодеров напишу и дропну
потихоньку просветляю вайбкодеров
написал еще репортик по уязвимости знакомым чувакам
ниже закину, конфиденциальную информацию (название аппки/эндпоинты) - видоизменю
хз, думаю может статью какую по ИБ для вайбкодеров напишу и дропну
1❤6🔥2🐳2
whaley пишет
написал еще репортик по уязвимости знакомым чувакам
мой репорт:
CWE-201: Broken Access Control (обход прав доступа на стороне клиента) / Sensitive Information Leakage
cvss (Common Vulnerability Scoring System) v4.0 score: 5.5 / 10 - medium, ввиду надежной проверки jwt на бэкенде полноценный доступ к привелегиям администрации получить не выходит (не гарантирую что тоже самое хорошо работает для вебсокета, если там есть админский канал)
было обнаружено, что административная логика и компоненты панели управления (adminPage) включены в продакшн билд. это позволяет любому аутентифицированному пользователю получить доступ к интерфейсу управления платформой и изучить структуру внутренних апи-запросов (включая админские запросы)
лик административного модуля: весь код, отвечающий за управление пользователями, просмотр балансов и настроек ботов, доступен в основном js бандле
обход авторизации (client side bypass): фронтэнд доверяет локальному состоянию объекта window.app, что позволяет принудительно активировать скрытые элементы интерфейса без наличия соответствующих прав в jwt-токене.
раскрытие эндпоинтов (видоизменено):
/set-fees
/delete-ref-code
/set-referrer
/check-users
/userdetail?username=
/ban
/resetsettings
/force-stop-session
proof of concept:
атакующий может выполнить следующие действия в консоли браузера для доступа к панели администратора:
1. авторизоваться как обычный пользователь.
2. модифицировать глобальный объект состояния приложения:
window.app.authManager.isAdmin = true;
window.app.authManager.userRole = "admin";
window.app.authManager.permissions = ["*"];
подгрузить страницу с админкой:
window.app.adminPage.load();
импакт:
текущая реализация бэкенда корректно отклоняет запросы к эндпоинтам /admin/* с 403 форбиден, но данная уязвимость значительно снижает порог входа для проведения более сложных атак (bola/idor или перехват данных через вебсокеты), так как структура запросов и логика работы админ-панели полностью раскрыты.
рекомендации:
- воткнуть динамический импорт для административных компонентов, чтобы они загружались только пользователями с ролью admin
- удалить все упоминания административных эндпоинтов и методов из паблик бандлов
- убедиться что приватные данные не передаются в публичных каналах вебсокета и в отсутствии возможности получить доступ в приватные канал вебсокета (если они есть)
CWE-201: Broken Access Control (обход прав доступа на стороне клиента) / Sensitive Information Leakage
cvss (Common Vulnerability Scoring System) v4.0 score: 5.5 / 10 - medium, ввиду надежной проверки jwt на бэкенде полноценный доступ к привелегиям администрации получить не выходит (не гарантирую что тоже самое хорошо работает для вебсокета, если там есть админский канал)
было обнаружено, что административная логика и компоненты панели управления (adminPage) включены в продакшн билд. это позволяет любому аутентифицированному пользователю получить доступ к интерфейсу управления платформой и изучить структуру внутренних апи-запросов (включая админские запросы)
лик административного модуля: весь код, отвечающий за управление пользователями, просмотр балансов и настроек ботов, доступен в основном js бандле
обход авторизации (client side bypass): фронтэнд доверяет локальному состоянию объекта window.app, что позволяет принудительно активировать скрытые элементы интерфейса без наличия соответствующих прав в jwt-токене.
раскрытие эндпоинтов (видоизменено):
/set-fees
/delete-ref-code
/set-referrer
/check-users
/userdetail?username=
/ban
/resetsettings
/force-stop-session
proof of concept:
атакующий может выполнить следующие действия в консоли браузера для доступа к панели администратора:
1. авторизоваться как обычный пользователь.
2. модифицировать глобальный объект состояния приложения:
window.app.authManager.isAdmin = true;
window.app.authManager.userRole = "admin";
window.app.authManager.permissions = ["*"];
подгрузить страницу с админкой:
window.app.adminPage.load();
импакт:
текущая реализация бэкенда корректно отклоняет запросы к эндпоинтам /admin/* с 403 форбиден, но данная уязвимость значительно снижает порог входа для проведения более сложных атак (bola/idor или перехват данных через вебсокеты), так как структура запросов и логика работы админ-панели полностью раскрыты.
рекомендации:
- воткнуть динамический импорт для административных компонентов, чтобы они загружались только пользователями с ролью admin
- удалить все упоминания административных эндпоинтов и методов из паблик бандлов
- убедиться что приватные данные не передаются в публичных каналах вебсокета и в отсутствии возможности получить доступ в приватные канал вебсокета (если они есть)
❤3🐳2🔥1🫡1
важный анонс!
в течении нескольких недель я планирую запуск своего первого полноценного проекта (НЕ ИНФОПРОДУКТ!!), который сможет действительно принести небольшой пассивный доход каждому
(разумеется слоты будут ограничены, дабы уменьшить пвп между пользователями)
всегда хотел запустить что-то техничное и весомое, а также всегда сторонился каких-либо инфопродуктов, тк считаю что 99.9% инфопродуктов - отборный мусор.
основной концепт довольно прост и очевиден:
арбираж между web2 бетками / беттинговыми эксченджами и web3 prediction markets
ожидаемый roi: от 10% в месяц на ваш бенкролл, прайс за подписку будет отбиваться очень быстро
из крутых фишек будет:
1. сопоставление событий при помощи ML (фейк сигналов благодаря этому будет минимум)
2. поддержка вообще всех событий на prediction markets, не только спорт
3. гибкая настройка параметров: время до закрытия маркета, ожидаемый профит на ваш банкролл, учет слипажа и рассчет максимального safe-size’а исходя из стаканов платформ.
интегируемые платформы:
- polymarket
- kalshi
- opinionlabs
- predict fun (post beta)
- pinnacle
- betfair (post beta)
добавление новых платформ будет происходить с учетом голосования пользователей!
в mvp я добавил web2 платформы, лояльные к арбитражу, без строгой политики относительно вилочников.
сейчас mvp завершен на ~70%, уже готовы метчер и полностью интегрированы polymarket, kalshi и opinion, частично готова логика ядра и начата интеграция пиннакла.
в несколько недель я закладываю: добавление пиннакла, разработку фронта, интегрирование биллинга (мб простой криптобот сделаю), доработку ядра и пейпер тесты.
буду потихоньку закидывать сникпики, когда начну делать фронт, будет еще пару анонсов, coming soon
в течении нескольких недель я планирую запуск своего первого полноценного проекта (НЕ ИНФОПРОДУКТ!!), который сможет действительно принести небольшой пассивный доход каждому
(разумеется слоты будут ограничены, дабы уменьшить пвп между пользователями)
всегда хотел запустить что-то техничное и весомое, а также всегда сторонился каких-либо инфопродуктов, тк считаю что 99.9% инфопродуктов - отборный мусор.
основной концепт довольно прост и очевиден:
арбираж между web2 бетками / беттинговыми эксченджами и web3 prediction markets
ожидаемый roi: от 10% в месяц на ваш бенкролл, прайс за подписку будет отбиваться очень быстро
из крутых фишек будет:
1. сопоставление событий при помощи ML (фейк сигналов благодаря этому будет минимум)
2. поддержка вообще всех событий на prediction markets, не только спорт
3. гибкая настройка параметров: время до закрытия маркета, ожидаемый профит на ваш банкролл, учет слипажа и рассчет максимального safe-size’а исходя из стаканов платформ.
интегируемые платформы:
- polymarket
- kalshi
- opinionlabs
- predict fun (post beta)
- pinnacle
- betfair (post beta)
добавление новых платформ будет происходить с учетом голосования пользователей!
в mvp я добавил web2 платформы, лояльные к арбитражу, без строгой политики относительно вилочников.
сейчас mvp завершен на ~70%, уже готовы метчер и полностью интегрированы polymarket, kalshi и opinion, частично готова логика ядра и начата интеграция пиннакла.
в несколько недель я закладываю: добавление пиннакла, разработку фронта, интегрирование биллинга (мб простой криптобот сделаю), доработку ядра и пейпер тесты.
буду потихоньку закидывать сникпики, когда начну делать фронт, будет еще пару анонсов, coming soon
❤6🐳2🔥1🫡1
о жизни мне особо нечего сказать, все еще надеюсь выбраться попутешествовать.
начал читать свою первую книгу по теории игр, также закончил «будущее разума» от митио каку, концовка была оч сильная, так что книгу я недооценил всё таки.
про книгу которую сейчас начал - ничего не могу сказать особо, единственное, по ощущениям - слишком много очевидных примеров в книге.
все ситуации - интуитивно понятны, ни о какой теории игр практически и речи не идет, но (вероятно) это только начало, поэтому мне так кажется.
начал читать свою первую книгу по теории игр, также закончил «будущее разума» от митио каку, концовка была оч сильная, так что книгу я недооценил всё таки.
про книгу которую сейчас начал - ничего не могу сказать особо, единственное, по ощущениям - слишком много очевидных примеров в книге.
все ситуации - интуитивно понятны, ни о какой теории игр практически и речи не идет, но (вероятно) это только начало, поэтому мне так кажется.
1❤4🔥2🐳2
whaley пишет pinned «важный анонс! в течении нескольких недель я планирую запуск своего первого полноценного проекта (НЕ ИНФОПРОДУКТ!!), который сможет действительно принести небольшой пассивный доход каждому (разумеется слоты будут ограничены, дабы уменьшить пвп между пользователями)…»
как я хакнул moni
дело было вечером, делать было нечего, искал цели для практики, наткнулся на упоминания moni в одном из телеграм каналов, на которые я подписан.
сразу же я отправился сканить их порты через нмап, не получив никакого результата я перешел к поиску поддоменов.
и тут я нашел целых 78 поддоменов, среди которых была админ панель (к сожалению запаролена), открытый moni storage api и ещё одна админка strapi.
(баунти они мне зажали, так что почти вся конфиденциальная информация будет раскрыта, ничего личного против их дева я не имею (если это их дев конечно), так что в целях защиты его приватности я скрыл его личную информацию)
upd: выплатили баунти
главная уязвимость: на их google бакете был открыт полный доступ для всех, т.е. их хранилище (скорее конечно свалка), содержащее приватную информацию было доступно кому угодно - Publicly Accessible Google Cloud Storage Bucket.
линк на их гугл бакет: *hidden* (уже закрыли его, после моего репорта)
мои находки там:
1. папка wedd - один из работников мони решил не заморачиваться и захостил сайт с приглашением на свою свадьбу прямо на бакете мони...
в данном файле раскрываются: имя сотрудника и его жены, дата проведения свадьбы, адрес проведения свадьбы в городе -> вероятно, город проживания сотрудника, личные фото сотрудника и его будущей супруги.
2. whitelists.json - список из 5 евм валетов, не уверен что это за кошельки
3. куча ассетов с их сайта и странного мусора, весь его я просматривать и выгружать не стал, допускаю, что недосмотрел что-то.
очевидно если бы я не сказал им об этом, они могли бы выгрузить туда ещё больше нда инфы, что привело бы к более серьёзным проблемам.
————————
в общем-то я считаю так:
если вы команда, пытающаяся монетизировать свой продукт, будьте добры не поскупиться на багбаунти, если у вас нашлась уязвимость, иначе ваш проект превращается в таргет для атак.
больше сказать мне нечего, всем спасибо за прочтение, всех обнял.
UPD: баунти я получил, благодарю пару человек за пересылку данного поста и ваш фидбек!
также благодарю команду мони за справедливое баунти
дело было вечером, делать было нечего, искал цели для практики, наткнулся на упоминания moni в одном из телеграм каналов, на которые я подписан.
сразу же я отправился сканить их порты через нмап, не получив никакого результата я перешел к поиску поддоменов.
и тут я нашел целых 78 поддоменов, среди которых была админ панель (к сожалению запаролена), открытый moni storage api и ещё одна админка strapi.
(
upd: выплатили баунти
главная уязвимость: на их google бакете был открыт полный доступ для всех, т.е. их хранилище (скорее конечно свалка), содержащее приватную информацию было доступно кому угодно - Publicly Accessible Google Cloud Storage Bucket.
линк на их гугл бакет: *hidden* (уже закрыли его, после моего репорта)
мои находки там:
1. папка wedd - один из работников мони решил не заморачиваться и захостил сайт с приглашением на свою свадьбу прямо на бакете мони...
в данном файле раскрываются: имя сотрудника и его жены, дата проведения свадьбы, адрес проведения свадьбы в городе -> вероятно, город проживания сотрудника, личные фото сотрудника и его будущей супруги.
2. whitelists.json - список из 5 евм валетов, не уверен что это за кошельки
3. куча ассетов с их сайта и странного мусора, весь его я просматривать и выгружать не стал, допускаю, что недосмотрел что-то.
очевидно если бы я не сказал им об этом, они могли бы выгрузить туда ещё больше нда инфы, что привело бы к более серьёзным проблемам.
————————
в общем-то я считаю так:
если вы команда, пытающаяся монетизировать свой продукт, будьте добры не поскупиться на багбаунти, если у вас нашлась уязвимость, иначе ваш проект превращается в таргет для атак.
больше сказать мне нечего, всем спасибо за прочтение, всех обнял.
UPD: баунти я получил, благодарю пару человек за пересылку данного поста и ваш фидбек!
также благодарю команду мони за справедливое баунти
4🔥18🐳8❤7
whaley пишет
как я хакнул moni дело было вечером, делать было нечего, искал цели для практики, наткнулся на упоминания moni в одном из телеграм каналов, на которые я подписан. сразу же я отправился сканить их порты через нмап, не получив никакого результата я перешел…
спасибо всем за фидбек, получил баунти.
извиняюсь перед командой мони, что поторопился с оглаской и очернением репутации, от репорта прошло 6 дней, стоило подождать хотя бы ровно неделю с момента отправки репорта, будет мне опыт.
эндпоинты и сабдомены я скрыл, также в целях защиты информации.
извиняюсь перед командой мони, что поторопился с оглаской и очернением репутации, от репорта прошло 6 дней, стоило подождать хотя бы ровно неделю с момента отправки репорта, будет мне опыт.
эндпоинты и сабдомены я скрыл, также в целях защиты информации.
69❤12🔥6🐳6
Forwarded from whaley
чутка уточню технические подробности:
со слов сео мони - это был легаси бакет, на котором не предполагалось хранение нда инфы.
я также считаю этот сценарий трущным, ведь практически никакой инфы там не было, кроме кучи ассетов и тех самых двух вещей (личная инфа дева + какие-то адерсы валетов). я не занимался изучением их инфраструктуры во всех подробностях, а просто провёл небольшой первичный аудит.
основная уязвимость заключалась в листинге бакета - кто угодно мог открыть и просмотреть все файлы, находящиеся там, а также в возможности загрузки файлов на этот бакет через сваггер апи.
любой продукт технически уязвим, просто многие уязвимости экономически невыгодно эксплуатировать.
я как пентестер, занимаюсь поиском тех уязвимостей, что слишком дёшево / финансово выгодно эксплуатировать.
хаком может называться обычный dom-based xss, хаком может называться полноценный RCE, хаком может называться эксплойт, который повлёк потерю огромного количества денег.
я веду к тому, что существует подмена понятий и именно она и произошла в сегодняшней ситуации с мони, из-за людей, не читающих дальше первой строчки.
всем понимающим спасибо, непонимающих прошу ознакомиться с текстом выше.
всех обнял, всем удачи!
со слов сео мони - это был легаси бакет, на котором не предполагалось хранение нда инфы.
я также считаю этот сценарий трущным, ведь практически никакой инфы там не было, кроме кучи ассетов и тех самых двух вещей (личная инфа дева + какие-то адерсы валетов). я не занимался изучением их инфраструктуры во всех подробностях, а просто провёл небольшой первичный аудит.
основная уязвимость заключалась в листинге бакета - кто угодно мог открыть и просмотреть все файлы, находящиеся там, а также в возможности загрузки файлов на этот бакет через сваггер апи.
любой продукт технически уязвим, просто многие уязвимости экономически невыгодно эксплуатировать.
я как пентестер, занимаюсь поиском тех уязвимостей, что слишком дёшево / финансово выгодно эксплуатировать.
хаком может называться обычный dom-based xss, хаком может называться полноценный RCE, хаком может называться эксплойт, который повлёк потерю огромного количества денег.
я веду к тому, что существует подмена понятий и именно она и произошла в сегодняшней ситуации с мони, из-за людей, не читающих дальше первой строчки.
всем понимающим спасибо, непонимающих прошу ознакомиться с текстом выше.
всех обнял, всем удачи!
❤7🔥1🐳1
возвращаюсь в твиттер, планирую постить тотальный слопчик, иногда будут проскакивать мои отчёты по пентесту, технические посты и всякие мыслишки
я и в этот канал хотел бы щитпостить тотальный слоп, но мне кажется формат телеги не очень подходит для этого
ещё недавно ликнул апи ключ от рпс ноды alchemy, что открыло вектор для dos атаки на небольшую понзи на етх с твл $150k, в некст посте чуть больше расскажу
кто не знает, я неск месяцев активно вёл твиттер и заливал туда разного рода слоп
нужно было попросить мозги у мони...
я и в этот канал хотел бы щитпостить тотальный слоп, но мне кажется формат телеги не очень подходит для этого
ещё недавно ликнул апи ключ от рпс ноды alchemy, что открыло вектор для dos атаки на небольшую понзи на етх с твл $150k, в некст посте чуть больше расскажу
кто не знает, я неск месяцев активно вёл твиттер и заливал туда разного рода слоп
нужно было попросить мозги у мони...
❤7🔥1🐳1