Slack закрыл уязвимость с «массовым захватом аккаунтов через контрабанду HTTP-запросов»

Ох уж эта контрабанда

Безопасность через ограничение пользователей или как создать уязвимость

Еще есть всякие X-Rewrite-Url :)

Фишеры icloud и где они обитают

Тут не очень хорошо вышло, я узнал, что регистрация на форуме откроется через неделю

Фишеры icloud и где они обитают

Почему нет?

Фишеры icloud и где они обитают

Угу

Как я взломал мошенников, или просто внутренности фишинг-панелей

Мой пездюк

OSINT в Telegram

По поводу @HNews, там раньше было множество источников типа securitylab, cnews и еще парочка менее популярных ресурсов, но из-за слишком одинаковых новостей и (или) низкого качества их всех повыпиливали :)

Самый беззащитный — это Сапсан

Там я хотел как всегда что-либо поломать, получить за это приз, и т.д., но как я выяснил — интересных задач там не было, и пришлось развлекать себя самому.

Ничего не выйграл @ конфа шлак

19 полезных возможностей файла .htaccess

Ну раз это опубликовано в инормационной безопасности, оставлю ссылку на .htaccess шеллы
github.com/wireghoul/htshells

XSS'им iOS устройства на примере софта от Facebook, Google, ВКонтакте

Посмотрели?

Трагедия не приходит одна

*всматривается в аватарку автора*

Как я Telegram ломал

В моем блоге у меня больше плюсиков, чем у того чувака

ШОК! Новый софт для фишинга побеждает второй фактор

Classic

Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов

Ты разработчик сейфов. И ты объявил конкурс, что если кто-то взломает твой сейф — получит деньги.
Ты случайно оставляешь во дворе на лавочке ключи от квартиры, я проверив, не ханипот ли это, открываю твою квартирную дверь. Как оказалось, в связке ключей еще и ключи от машины и офиса. А этим можно нанести огромный ущерб.

Уязвимость ли это?

Любая компания не может раскидываться деньгами налево-направо, есть программа Bug Bounty, с условиями конкурса, на который выделен бюджет. Просто платить из кармана (с своей зарплаты) никто не хочет.

Да, это мощная утечка, инцидент, оплошность работника, но награду за это никто не обещал и ничего не должен. Как за утерю паспорта. Или ключей. Можно договориться чисто на человеческих отношениях, не более.

Уязвимость в ICQ позволяла присоединиться абсолютно к любому чату

Будет юзать не в не хороших целях всего доброго.

Вот тебе и white hat :D

Рассказ о том, как я, с помощью Google, нашёл пароли на десятках публичных досок Trello

Чувак открыл для себя гугл дорки

СберШифт: пять раз нажимай и в систему попадай

YunusovTimur а есть статистика по этому поводу?)

СберШифт: пять раз нажимай и в систему попадай

Полагаю, это неправильная конфигурация одного банкомата, а не системы в целом

Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона

Ну обычно пишут имя и фамилию, даже при незавершенных операциях (сбер, тинков), это нужно для того, чтобы удостовериться, что перевод не ошибочный, потому что возврат средств практически невозможен. А то, что ФИО показывается полностью, скорее всего да, бага.

Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона

Хотя да, полное ФИО можно заменить неполным