Страница телеграм канала Info sec блог
Info sec блог
3305 подписчиков
Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!
Входит в категории: Технологии
31.10.2019 18:10
Отправил только что ещё 2 disclosure запроса, - уязвимости на Avito и Rocket Chat.
20.10.2019 20:10
Bug bounty tip: Всегда проверяйте разрешённые сайты в CSP policy. Есть вероятность, что домен/бакет не зарегистрирован или CSP ссылается на хранилище файлового хостинга. Например, недавно обнаружил CSP, доверительный домен в которой был raw.githubusercontent.com.
20.10.2019 20:10
Раскрыл старый, но тем не менее актуальный репорт на hackerone "Blind SQL injection in third-party software, that allows to reveal user statistic from rocket.chat and possibly hack into the rocketchat.agilecrm.com" https://hackerone.com/reports/433792. Изначально разработчики отказывались от раскрытия, но удалось их убедить. Попытаюсь раскрыть еще несколько репортов в ближайшем будущем.
29.09.2019 11:09
Отпечаток пальца был отключен в последнем обновлении два дня назад, устройство, на котором наблюдается - IOS
29.09.2019 11:09
Спустя несколько лет после выпуска приложения Приват24 разработчики Приватбанка удалили с приложения вход по отпечатку пальца. Ранее отправлял уязвимости в Bug Bounty, связанные со злоупотреблением данного функционала, но мне ответили что это фича и баг не собираются исправлять. Теперь его закрыли
27.09.2019 20:09
На самом деле, такой подход к клиентам действует намного лучше, чем любая платная реклама в соцсетях/рекламных сетях/билбордах/etc. Из-за должного отношения люди советуют твой продукт и он распространяется со скоростью света из-за коммуникации между людьми.
Насколько я помню, такого принципа придерживается Павел Дуров. Он не тратит деньги на рекламу Телеграм, а надеется на распространение с помощью пользователей, так как мессенджер удобный и конкурентноспособный.
27.09.2019 20:09
Ещё немного о сервисе airbnb(немного не по теме, но история интересная):
Вчера я заказал апартаменты на airbnb, сегодня при заселении оказалось, что квартира мне не совсем подходит и я сделал полный рефанд денег за все дни пребывания.
Спустя пару часов позвонили с французского номера, это оказалась служба поддержки airbnb. Извинились, пожали плечами и пожелали удачи со следующим жильем.
Вечером позвонила та же девушка из службы поддержки и сказала, что из-за потери некоторого количества моего времени руководство airbnb решило подарить купоны на $33 в качестве извинения, которые можно использовать для погашения чистой стоимости заказа. И указали, что существуют некоторые шансы разногласий с обоих сторон из-за человеческого фактора, с чем я полностью согласился.
В итоге последняя квартира оказалась одной из лучших, в которых я побывал в данном городе и служба поддержки airbnb приятно удивили. Всем советую обращаться к ним, они действительно клиентоориентированные.
27.09.2019 19:09
Вы не знаете, что такое настоящие пуш уведомления, если никогда не получали личное сообщение в приложении airbnb на аккаунт, привязанный к email и телефону
27.09.2019 19:09
Буду завтра на конференции dc https://www.eventbrite.com/e/dc8044blackout-tickets-73704888305, если есть желание познакомиться или просто сказать «hi», ю а велкам
27.09.2019 11:09
«Inside Shopify’s new nine-floor office with plenty of craft beer and a rooftop terrace»
https://torontolife.com/city/inside-shopifys-new-nine-floor-office-with-plenty-of-craft-beer-and-a-rooftop-terrace/
26.09.2019 22:09
«В Украине впервые состоялся марафон по поиску багов в государственной ІТ-системе»
https://news.finance.ua/ru/news/-/457013/v-ukraine-vpervye-sostoyalsya-marafon-po-poisku-bagov-v-gosudarstvennoj-it-sisteme
26.09.2019 20:09
«One XSS cheatsheet to rule them all»
https://portswigger.net/research/one-xss-cheatsheet-to-rule-them-all