Страница телеграм канала Info sec блог

vulns logo

Info sec блог

3305 подписчиков

Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!


Входит в категории: Технологии
Info sec блог
24.02.2019 18:02
Если вы хотите начать зарабатывать в интернете с нуля без регистрации и смс проводить исследования и получать за это вознаграждения на hackerone с меньшей конкуренцией, чем в публичных программах, но вы ещё не получили ни одного приглашения или не смогли переставить пару id-ов на ctf.hacker101.com для одного инвайта, то есть возможность получить приглашение в приватную программу, не прилагая вообще никаких усилий. Недавно программа Lifeomic мигрировала с публичной программы в приватную и все, кто принимал участие, когда она была в паблике, автоматически перешли в приват. Но если есть исследователи, которые не участвовали в программе, но хотят получить приглашение в приватку, то они могут это сделать, просто отправив письмо на email, что находится по ссылке https://hackerone.com/lifeomic. Таким образом, получив одну приватку, можно от неё отказаться, заняв очередь на следующую партию приваток, отказываться от неподходящих, пока не придет та самая, которая больше по душе, где меньше конкуренция и в разы меньше шанс получить дубликат.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
28.12.2018 18:12
Интересный info sec trick с твиттера: "Можно отправлять XSS и другие пейлоады в email адресе с помощью круглых скобок (), которые предполагают использование символов "{}. При помощи таких скобок фильтр посчитает email адрес валидным". Blind XSS - моя самая любимая и наиболее оплачиваемая уязвимость. Если можно получить доступ к админ панели, то гарантированно получаем High-Critical . Я часто отправляю свой payload через регистрацию, различные опросы, службу поддержки и похожие потенциально уязвимые места. Вероятно, я пропустил немало Blind XSS уязвимостей такого типа, так как в поле email адреса может не присутствовать фильтрация против XSS: тикет в службу поддержки, в админке отображается email адрес; подписка на новости с помощью email; HelpDesk СПП/чаты и др.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
28.12.2018 18:12
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
11.12.2018 18:12
https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/ - подборка из трёх интересных уязвимостей, найденных на google
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
08.12.2018 21:12
Blind XSS в angular js web приложениях https://bit.ly/2E8ek5b
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
22.11.2018 09:11
Facebook увеличили награду за уязвимость account takeover до $40 000 и $25 000 в bug bounty https://www.facebook.com/BugBounty/posts/2338733869474159
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
19.11.2018 23:11
VK добавили функционал скачивания данных пользователя https://vk.com/data_protection?section=rules&scroll_to_archive=1
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
19.11.2018 16:11
Баг в Instagram позволял отображать пароль пользователя с помощью опции "Download Your Data" https://bit.ly/2Kg1nr9
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
13.11.2018 18:11
Bug Bounty совет: Для того, чтобы найти исходные коды веб приложения, можете поискать их с помощью гугл дорка site:repl.it intext:<названиекомпании> Источник: https://twitter.com/uraniumhacker/status/1061992982847533059
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
29.10.2018 19:10
Канал с мемчиками по теме: @InfoSecPics
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
28.10.2018 14:10
"Расскажите нам, почему Вы отписываетесь?", - ещё одно место, куда можно внедрить свой blind xss payload и, вероятно, выполнить его в админ панели. Просто подпишитесь на обновления сайта в личном кабинете и ждите сообщения на почту, или же спровоцируйте отправку сообщения (например, отправьте сообщение с другого аккаунта или создайте тикет в службе поддержки).
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
28.10.2018 14:10
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
11.10.2018 17:10
Опубликовал новую статью "[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей" https://habr.com/post/416835/
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
08.10.2018 19:10
Bug Bounty совет: Попытайтесь обойти защиту web-сайта с помощью мобильного приложения. Например, в мобильном приложении нет ограничения на количество попыток ввода кода 2fa или окно ввода 2fa пропускается, в то время, когда в web версии срабатывает защита.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме


Info sec блог
02.10.2018 11:10
Дуров прокомментировал https://bit.ly/2Rco6rf баг, который раскрывал IP адрес пользователя telegram с помощью логов звонка. «Дуров отметил, что десктопная версия приложения, которая считалась проблемной, использовалась для 0,01 % всех звонков через Telegram. Именно поэтому там p2p было активировано для звонков по умолчанию.» Я хотел бы сказать, что это не совсем правда. Некоторое время назад я наткнулся на этот баг и заметил, что айпи адрес раскрывается на всех устройствах. Для того, чтобы узнать адрес с мобильного приложения, нужно было позвонить, нажать на кнопку «оценить звонок», поставить одну звезду и отправить себе логи с помощью бота, в которых будет чужой айпи адрес. Баг, на мой взгляд, был не очень опасным, потому как похожий баг они отказались исправлять, собстно, на этот раз я не хотел тратить время. Теперь же, метод со звонками был исправлен, а второй метод не настолько интересный, чтобы раскрывать его полную суть.
Читать

Обращаем внимание, что мы не несем ответственности за содержимое(content) того или иного канала размещенный на нашем сайте так как не мы являемся авторами этой информации и на сайте она размещается в автоматическом режиме