Страница телеграм канала Info sec блог
Info sec блог
3132 подписчиков
Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!
Входит в категории: Технологии
27.11.2020 18:11
Список инфосек рилейтед товаров, которые можно выгодно купить в чёрную пятницу (может кто-то прикупит что-то) https://github.com/0x90n/InfoSec-Black-Friday
08.10.2020 18:10
New DNS Out-of-Band vector for MSSQL Injections in statement! Can be used for completely blind #sqli.
Use fn_trace_gettable and Burp Collaborator
08.10.2020 12:10
Окей, эта история просто заслуживает войти в the best этого канала!
Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе
https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html
21.09.2020 12:09
Забавная статья о взломе softserve https://ebanoe.it/2020/09/17/softserve-leaks/
21.09.2020 11:09
Mind-blowing статья на тему предугадывания выигрышных комбинаций в рулетках онлайн казино https://research.nccgroup.com/2020/09/18/online-casino-roulette-a-guideline-for-penetration-testers-and-security-researchers/
03.08.2020 20:08
https://www.nytimes.com/2020/08/02/technology/florida-teenager-twitter-hack.html
19.07.2020 11:07
https://blog.twitter.com/en_us/topics/company/2020/an--on-our-security-incident.html
09.01.2020 18:01
Опубликовал исследование на тему безопасности двухфакторной аутентификации Приятного чтения!
https://habr.com/ru/post/483134/
02.01.2020 20:01
Microsoft Edge и Internet Explorer - единственные браузеры, которые позволяют выполнять JavaScript из без закрытого тега. https://twitter.com/filedescriptor/status/1212076821258227712?s=21
24.12.2019 20:12
XSS с помощью названия закладки и cookie-based XSS на странице новой вкладки в Microsoft edge
https://leucosite.com/Edge-Chromium-EoP-RCE/
23.11.2019 15:11
Lifetime account Shodan за $1 https://shodan.io/store/member, предложение действует 24 часа
31.10.2019 18:10
Отправил только что ещё 2 disclosure запроса, - уязвимости на Avito и Rocket Chat.
20.10.2019 20:10
Bug bounty tip: Всегда проверяйте разрешённые сайты в CSP policy. Есть вероятность, что домен/бакет не зарегистрирован или CSP ссылается на хранилище файлового хостинга. Например, недавно обнаружил CSP, доверительный домен в которой был raw.githubusercontent.com.
20.10.2019 20:10
Раскрыл старый, но тем не менее актуальный репорт на hackerone "Blind SQL injection in third-party software, that allows to reveal user statistic from rocket.chat and possibly hack into the rocketchat.agilecrm.com" https://hackerone.com/reports/433792. Изначально разработчики отказывались от раскрытия, но удалось их убедить. Попытаюсь раскрыть еще несколько репортов в ближайшем будущем.