Страница телеграм канала Info sec блог
Info sec блог
3305 подписчиков
Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!
Входит в категории: Технологии
24.02.2019 18:02
Если вы хотите начать зарабатывать в интернете с нуля без регистрации и смс проводить исследования и получать за это вознаграждения на hackerone с меньшей конкуренцией, чем в публичных программах, но вы ещё не получили ни одного приглашения или не смогли переставить пару id-ов на ctf.hacker101.com для одного инвайта, то есть возможность получить приглашение в приватную программу, не прилагая вообще никаких усилий.
Недавно программа Lifeomic мигрировала с публичной программы в приватную и все, кто принимал участие, когда она была в паблике, автоматически перешли в приват. Но если есть исследователи, которые не участвовали в программе, но хотят получить приглашение в приватку, то они могут это сделать, просто отправив письмо на email, что находится по ссылке https://hackerone.com/lifeomic.
Таким образом, получив одну приватку, можно от неё отказаться, заняв очередь на следующую партию приваток, отказываться от неподходящих, пока не придет та самая, которая больше по душе, где меньше конкуренция и в разы меньше шанс получить дубликат.
28.12.2018 18:12
Интересный info sec trick с твиттера:
"Можно отправлять XSS и другие пейлоады в email адресе с помощью круглых скобок (), которые предполагают использование символов "{}. При помощи таких скобок фильтр посчитает email адрес валидным".
Blind XSS - моя самая любимая и наиболее оплачиваемая уязвимость. Если можно получить доступ к админ панели, то гарантированно получаем High-Critical . Я часто отправляю свой payload через регистрацию, различные опросы, службу поддержки и похожие потенциально уязвимые места. Вероятно, я пропустил немало Blind XSS уязвимостей такого типа, так как в поле email адреса может не присутствовать фильтрация против XSS: тикет в службу поддержки, в админке отображается email адрес; подписка на новости с помощью email; HelpDesk СПП/чаты и др.
11.12.2018 18:12
https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/ - подборка из трёх интересных уязвимостей, найденных на google
08.12.2018 21:12
Blind XSS в angular js web приложениях
https://bit.ly/2E8ek5b
22.11.2018 09:11
Facebook увеличили награду за уязвимость account takeover до $40 000 и $25 000 в bug bounty
https://www.facebook.com/BugBounty/posts/2338733869474159
19.11.2018 23:11
VK добавили функционал скачивания данных пользователя https://vk.com/data_protection?section=rules&scroll_to_archive=1
19.11.2018 16:11
Баг в Instagram позволял отображать пароль пользователя с помощью опции "Download Your Data"
https://bit.ly/2Kg1nr9
13.11.2018 18:11
Bug Bounty совет:
Для того, чтобы найти исходные коды веб приложения, можете поискать их с помощью гугл дорка
site:repl.it intext:<названиекомпании>
Источник: https://twitter.com/uraniumhacker/status/1061992982847533059
28.10.2018 14:10
"Расскажите нам, почему Вы отписываетесь?", - ещё одно место, куда можно внедрить свой blind xss payload и, вероятно, выполнить его в админ панели. Просто подпишитесь на обновления сайта в личном кабинете и ждите сообщения на почту, или же спровоцируйте отправку сообщения (например, отправьте сообщение с другого аккаунта или создайте тикет в службе поддержки).
11.10.2018 17:10
Опубликовал новую статью "[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей" https://habr.com/post/416835/
08.10.2018 19:10
Bug Bounty совет: Попытайтесь обойти защиту web-сайта с помощью мобильного приложения. Например, в мобильном приложении нет ограничения на количество попыток ввода кода 2fa или окно ввода 2fa пропускается, в то время, когда в web версии срабатывает защита.
02.10.2018 11:10
Дуров прокомментировал https://bit.ly/2Rco6rf баг, который раскрывал IP адрес пользователя telegram с помощью логов звонка.
«Дуров отметил, что десктопная версия приложения, которая считалась проблемной, использовалась для 0,01 % всех звонков через Telegram. Именно поэтому там p2p было активировано для звонков по умолчанию.»
Я хотел бы сказать, что это не совсем правда. Некоторое время назад я наткнулся на этот баг и заметил, что айпи адрес раскрывается на всех устройствах.
Для того, чтобы узнать адрес с мобильного приложения, нужно было позвонить, нажать на кнопку «оценить звонок», поставить одну звезду и отправить себе логи с помощью бота, в которых будет чужой айпи адрес.
Баг, на мой взгляд, был не очень опасным, потому как похожий баг они отказались исправлять, собстно, на этот раз я не хотел тратить время. Теперь же, метод со звонками был исправлен, а второй метод не настолько интересный, чтобы раскрывать его полную суть.