Страница телеграм канала Info sec блог

vulns logo

Info sec блог

3305 подписчиков

Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!


Входит в категории: Технологии
Info sec блог
11.12.2018 18:12
https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/ - подборка из трёх интересных уязвимостей, найденных на google
Читать

Info sec блог
08.12.2018 21:12
Blind XSS в angular js web приложениях https://bit.ly/2E8ek5b
Читать

Info sec блог
22.11.2018 09:11
Facebook увеличили награду за уязвимость account takeover до $40 000 и $25 000 в bug bounty https://www.facebook.com/BugBounty/posts/2338733869474159
Читать

Info sec блог
19.11.2018 23:11
VK добавили функционал скачивания данных пользователя https://vk.com/data_protection?section=rules&scroll_to_archive=1
Читать

Info sec блог
19.11.2018 16:11
Баг в Instagram позволял отображать пароль пользователя с помощью опции "Download Your Data" https://bit.ly/2Kg1nr9
Читать

Info sec блог
13.11.2018 18:11
Bug Bounty совет: Для того, чтобы найти исходные коды веб приложения, можете поискать их с помощью гугл дорка site:repl.it intext:<названиекомпании> Источник: https://twitter.com/uraniumhacker/status/1061992982847533059
Читать

Info sec блог
29.10.2018 19:10
Канал с мемчиками по теме: @InfoSecPics
Читать

Info sec блог
28.10.2018 14:10
"Расскажите нам, почему Вы отписываетесь?", - ещё одно место, куда можно внедрить свой blind xss payload и, вероятно, выполнить его в админ панели. Просто подпишитесь на обновления сайта в личном кабинете и ждите сообщения на почту, или же спровоцируйте отправку сообщения (например, отправьте сообщение с другого аккаунта или создайте тикет в службе поддержки).
Читать

Info sec блог
28.10.2018 14:10
Читать

Info sec блог
11.10.2018 17:10
Опубликовал новую статью "[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей" https://habr.com/post/416835/
Читать

Info sec блог
08.10.2018 19:10
Bug Bounty совет: Попытайтесь обойти защиту web-сайта с помощью мобильного приложения. Например, в мобильном приложении нет ограничения на количество попыток ввода кода 2fa или окно ввода 2fa пропускается, в то время, когда в web версии срабатывает защита.
Читать

Info sec блог
02.10.2018 11:10
Дуров прокомментировал https://bit.ly/2Rco6rf баг, который раскрывал IP адрес пользователя telegram с помощью логов звонка. «Дуров отметил, что десктопная версия приложения, которая считалась проблемной, использовалась для 0,01 % всех звонков через Telegram. Именно поэтому там p2p было активировано для звонков по умолчанию.» Я хотел бы сказать, что это не совсем правда. Некоторое время назад я наткнулся на этот баг и заметил, что айпи адрес раскрывается на всех устройствах. Для того, чтобы узнать адрес с мобильного приложения, нужно было позвонить, нажать на кнопку «оценить звонок», поставить одну звезду и отправить себе логи с помощью бота, в которых будет чужой айпи адрес. Баг, на мой взгляд, был не очень опасным, потому как похожий баг они отказались исправлять, собстно, на этот раз я не хотел тратить время. Теперь же, метод со звонками был исправлен, а второй метод не настолько интересный, чтобы раскрывать его полную суть.
Читать

Info sec блог
02.10.2018 11:10
Читать

Info sec блог
29.09.2018 11:09
«Facebook взломан: до 90 млн аккаунтов пользователей подверглось атаке из-за ошибки в коде» https://habr.com/post/424815/
Читать

Info sec блог
27.09.2018 19:09
Hackerone: - Несколько дней назад достиг отметки в 1000 баллов репутации (https://hackerone.com/w2w) ; - Получил выплату в сумме $6300; - Занял место в Hall of Fame PayPal (ещё когда PP был в приватной программе) за IDOR уязвимость, которая позволяет удалять определенные данные всех пользователей(собстно, пока что triaged, но надеюсь, статус изменится только на resolved и уязвимость устранят); - Начал получать приглашения в "свежие" приватные bug bounty, в которых можно найти много уязвимостей, в отличии от тех, которые получал раньше (дата создания >1 года) и которые уже проверили большинство баг хантеров; - Пришло приглашение на event в Сан-Франциско.
Читать