Страница телеграм канала Info sec блог
Info sec блог
3305 подписчиков
Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!
Входит в категории: Технологии
09.01.2020 18:01
Опубликовал исследование на тему безопасности двухфакторной аутентификации Приятного чтения!
https://habr.com/ru/post/483134/
02.01.2020 20:01
Microsoft Edge и Internet Explorer - единственные браузеры, которые позволяют выполнять JavaScript из без закрытого тега. https://twitter.com/filedescriptor/status/1212076821258227712?s=21
24.12.2019 20:12
XSS с помощью названия закладки и cookie-based XSS на странице новой вкладки в Microsoft edge
https://leucosite.com/Edge-Chromium-EoP-RCE/
23.11.2019 15:11
Lifetime account Shodan за $1 https://shodan.io/store/member, предложение действует 24 часа
31.10.2019 18:10
Отправил только что ещё 2 disclosure запроса, - уязвимости на Avito и Rocket Chat.
20.10.2019 20:10
Bug bounty tip: Всегда проверяйте разрешённые сайты в CSP policy. Есть вероятность, что домен/бакет не зарегистрирован или CSP ссылается на хранилище файлового хостинга. Например, недавно обнаружил CSP, доверительный домен в которой был raw.githubusercontent.com.
20.10.2019 20:10
Раскрыл старый, но тем не менее актуальный репорт на hackerone "Blind SQL injection in third-party software, that allows to reveal user statistic from rocket.chat and possibly hack into the rocketchat.agilecrm.com" https://hackerone.com/reports/433792. Изначально разработчики отказывались от раскрытия, но удалось их убедить. Попытаюсь раскрыть еще несколько репортов в ближайшем будущем.
29.09.2019 11:09
Отпечаток пальца был отключен в последнем обновлении два дня назад, устройство, на котором наблюдается - IOS
29.09.2019 11:09
Спустя несколько лет после выпуска приложения Приват24 разработчики Приватбанка удалили с приложения вход по отпечатку пальца. Ранее отправлял уязвимости в Bug Bounty, связанные со злоупотреблением данного функционала, но мне ответили что это фича и баг не собираются исправлять. Теперь его закрыли
27.09.2019 20:09
На самом деле, такой подход к клиентам действует намного лучше, чем любая платная реклама в соцсетях/рекламных сетях/билбордах/etc. Из-за должного отношения люди советуют твой продукт и он распространяется со скоростью света из-за коммуникации между людьми.
Насколько я помню, такого принципа придерживается Павел Дуров. Он не тратит деньги на рекламу Телеграм, а надеется на распространение с помощью пользователей, так как мессенджер удобный и конкурентноспособный.
27.09.2019 20:09
Ещё немного о сервисе airbnb(немного не по теме, но история интересная):
Вчера я заказал апартаменты на airbnb, сегодня при заселении оказалось, что квартира мне не совсем подходит и я сделал полный рефанд денег за все дни пребывания.
Спустя пару часов позвонили с французского номера, это оказалась служба поддержки airbnb. Извинились, пожали плечами и пожелали удачи со следующим жильем.
Вечером позвонила та же девушка из службы поддержки и сказала, что из-за потери некоторого количества моего времени руководство airbnb решило подарить купоны на $33 в качестве извинения, которые можно использовать для погашения чистой стоимости заказа. И указали, что существуют некоторые шансы разногласий с обоих сторон из-за человеческого фактора, с чем я полностью согласился.
В итоге последняя квартира оказалась одной из лучших, в которых я побывал в данном городе и служба поддержки airbnb приятно удивили. Всем советую обращаться к ним, они действительно клиентоориентированные.
27.09.2019 19:09
Вы не знаете, что такое настоящие пуш уведомления, если никогда не получали личное сообщение в приложении airbnb на аккаунт, привязанный к email и телефону
27.09.2019 19:09
Буду завтра на конференции dc https://www.eventbrite.com/e/dc8044blackout-tickets-73704888305, если есть желание познакомиться или просто сказать «hi», ю а велкам