Ничего не мешает а base64 условном запаковать все что угодно. Как я сказал - сделать можно, но будет медленно и неудобно. А дальше зависит от того, какие технологии доступны на сайтах из белого списка. Если где-то будет мессенджер на вебсокете - то вообще все станет сильно удобнее изначального предложения.
Удаленное управление в неудобном, но рабочем варианте можно организовать через любой сайт почти. Достаточно иметь возможность писать на сайте свой текст в любое поле, в том числе в название своего профиля, например. Правда капча от этого не спасет тоже никак.
Вы не правы. Владелец впна увидит тоже самое что и провайдер. Если трафик был https и без митм, то в лучшем случае днс запросы и sni доменов при подключении сами урлы он не увидит. К остальному вопросов нет.
В данном случае идет речь о RCE на девайс юзера, а не просто о доступе к переписке и данных пользователя тг. Запихать бекдорный rce в клиент, который у всех стоит - задача не то чтобы очень простая и может сильно плохо кончится для бизнеса. Если не получится отбрехаться о том что это случайная ошибка.
Впрочем в историю, что все с тг сливается кому надо - я тоже не верю.
Немного не так. Если вы крутой спец, то на eb1 действительно можно догнать достижений за полгода-год плотной работы.
Проблема в другом - оценивает вашу петицию и доказательства под эту визу офицер, который ничерта не понимает вообще ни в одном направлении, и уж тем более в ит.
А это значит, что прям 80% дадут ли одобрение зависит не от ваших доказательств, а от того какое настроение будет у офицера в момент чтения петиции. Это я вам как обладатель одобренной визы eb1 говорю.
Это не является уязвимостью вообще. Очевидно что если выполняется питон код - то можно сделать так или иначе все что описано в статье. Мало того вариант запахивания этого в нормально рабочую песочницу - полностью устраняет проблему такого выполнения кода.
И да, чатгпт умеет выполнять и писать код на питоне так уже больше года.
От Польшы вы никак не избавитесь. Собес все равно проходить. При учете косых перелетов сейчас и их стоимости - то там уже будет около 5-6к минимум. Если вы с семьей, то ценник будет почти х2.
Перелет до штатов также косой и дорогой выходит + наверное жить хочется не в коробке.
Это миф, что она бесплатна. Бесплатна только лоторея. Но чтобы получить ее и вьехать в штаты (учитывая трудности с поездкой в консульство Варшавы) вы отдадите минимум 20к usd
Все кому это надо делают шенген любой другой страны (например Италия). После чего летят сперва в Италию(через Стамбул например), а оттуда уже в Польшу.
Таким образом все возможно, только долго, дорого и неудобно.
Не смотрел как устроено у них. Но то что вы описали - это дырень. Потому что, если «новое» устройство может через сервер запросить со «старого» пересылку расшифрованных сообщений без спросу - то сервер может это же сделать для кого угодно и без устройства. А значит шифрование фиктивное и по факту не защищает от атаки с сервера.
К девайсам тоже вопросов нет. Выглядит очень интересно.
Что касается «интересные пентесты» - да, обычно именно такие.
И если 100 человек условных делают на работе тоже самое каждый день, что описано выше. А один из них рассказал про это для жюри - это не делает его труд более выдающимся для награды, чем остальные 99 которые не участвовали.
Рассказывать о полном взломе национальных компаний уровня топ-1, которые влияют на экономику страны и десятки тысяч клиентов - не разрешат ни при каком уровне обезличивания. Там становится понятно по контексту независимо от цензуры.
Не знаю ни одного заказчика, который бы разрешил свои убийственные пентесты даже в обезличенном виде предоставлять куда-либо. Там под NDA зачастую даже сам факт проведения работ.
К багбаунти вопросов нет в этом плане. Просто стоит понимать, что по факту почти все, что описано в посте в наградах - это реально самый обычный будний день любого пентестера. ПетитПотам и дамп lsass - это в самом деле вершина для awards? Не стоит вводить в заблуждение.
Писал уже ранее. Вы предлагаете писать кейсы, которые все строго под NDA. Иначе просто быть не может в этой сфере. Поэтому никаких действительно серьезных и интересных чейнов тут априори быть не может сдано. Большая часть описанного выше - это стандартная практика любого пентестестера на абсолютно любом проекте. И приписывать этому - awards просто странно.
Мед осмотр можно в Москве будет. А собес надо будет в Варшаву ехать. Причем сейчас для этого надо будет сделать крюк через другую страну ЕС с шенгеном на руках
Нам всем только что рассказали что инфля 2.9%. Всем увеличивают зп, растут реальные доходы населения, самая низкая безработица и вообще уже зажили отлично. А следом сразу говорят о том как вложения в ОПК увеличены в разы. И ведь ни у кого не возникает вопроса - каким образом и откуда дополнительные деньги. К моему глубочайшему сожалению абсолютное большинство народа спит сном «завтра заживем». И лучшее что можно сделать в этой ситуации это спасать самого себя, если вдруг этот сон вам не нравится.
Режим не может терять устойчивость, если единственная реакция общества это выезд за пределы страны минимального процента от общего населения. Устойчивость теряется, когда не уезжают, а делают некоторые другие ныне запрещенные вещи.
Ничего не мешает а base64 условном запаковать все что угодно. Как я сказал - сделать можно, но будет медленно и неудобно. А дальше зависит от того, какие технологии доступны на сайтах из белого списка. Если где-то будет мессенджер на вебсокете - то вообще все станет сильно удобнее изначального предложения.
Удаленное управление в неудобном, но рабочем варианте можно организовать через любой сайт почти. Достаточно иметь возможность писать на сайте свой текст в любое поле, в том числе в название своего профиля, например. Правда капча от этого не спасет тоже никак.
Вы не правы. Владелец впна увидит тоже самое что и провайдер. Если трафик был https и без митм, то в лучшем случае днс запросы и sni доменов при подключении сами урлы он не увидит. К остальному вопросов нет.
В данном случае идет речь о RCE на девайс юзера, а не просто о доступе к переписке и данных пользователя тг. Запихать бекдорный rce в клиент, который у всех стоит - задача не то чтобы очень простая и может сильно плохо кончится для бизнеса. Если не получится отбрехаться о том что это случайная ошибка.
Впрочем в историю, что все с тг сливается кому надо - я тоже не верю.
Немного не так. Если вы крутой спец, то на eb1 действительно можно догнать достижений за полгода-год плотной работы.
Проблема в другом - оценивает вашу петицию и доказательства под эту визу офицер, который ничерта не понимает вообще ни в одном направлении, и уж тем более в ит.
А это значит, что прям 80% дадут ли одобрение зависит не от ваших доказательств, а от того какое настроение будет у офицера в момент чтения петиции. Это я вам как обладатель одобренной визы eb1 говорю.
Это не является уязвимостью вообще. Очевидно что если выполняется питон код - то можно сделать так или иначе все что описано в статье. Мало того вариант запахивания этого в нормально рабочую песочницу - полностью устраняет проблему такого выполнения кода.
И да, чатгпт умеет выполнять и писать код на питоне так уже больше года.
От Польшы вы никак не избавитесь. Собес все равно проходить. При учете косых перелетов сейчас и их стоимости - то там уже будет около 5-6к минимум. Если вы с семьей, то ценник будет почти х2.
Перелет до штатов также косой и дорогой выходит + наверное жить хочется не в коробке.
Так что ценник практически правильный
Это миф, что она бесплатна. Бесплатна только лоторея. Но чтобы получить ее и вьехать в штаты (учитывая трудности с поездкой в консульство Варшавы) вы отдадите минимум 20к usd
Актуален. Самому скоро понадобится для собеса по апрувленной EB-1 ехать
Все кому это надо делают шенген любой другой страны (например Италия). После чего летят сперва в Италию(через Стамбул например), а оттуда уже в Польшу.
Таким образом все возможно, только долго, дорого и неудобно.
Миф. Пока вы не выиграете и не заполните DS-260 - ничего не будет
Не смотрел как устроено у них. Но то что вы описали - это дырень. Потому что, если «новое» устройство может через сервер запросить со «старого» пересылку расшифрованных сообщений без спросу - то сервер может это же сделать для кого угодно и без устройства. А значит шифрование фиктивное и по факту не защищает от атаки с сервера.
К девайсам тоже вопросов нет. Выглядит очень интересно.
Что касается «интересные пентесты» - да, обычно именно такие.
И если 100 человек условных делают на работе тоже самое каждый день, что описано выше. А один из них рассказал про это для жюри - это не делает его труд более выдающимся для награды, чем остальные 99 которые не участвовали.
Рассказывать о полном взломе национальных компаний уровня топ-1, которые влияют на экономику страны и десятки тысяч клиентов - не разрешат ни при каком уровне обезличивания. Там становится понятно по контексту независимо от цензуры.
Не знаю ни одного заказчика, который бы разрешил свои убийственные пентесты даже в обезличенном виде предоставлять куда-либо. Там под NDA зачастую даже сам факт проведения работ.
К багбаунти вопросов нет в этом плане. Просто стоит понимать, что по факту почти все, что описано в посте в наградах - это реально самый обычный будний день любого пентестера. ПетитПотам и дамп lsass - это в самом деле вершина для awards? Не стоит вводить в заблуждение.
Писал уже ранее. Вы предлагаете писать кейсы, которые все строго под NDA. Иначе просто быть не может в этой сфере. Поэтому никаких действительно серьезных и интересных чейнов тут априори быть не может сдано. Большая часть описанного выше - это стандартная практика любого пентестестера на абсолютно любом проекте. И приписывать этому - awards просто странно.
Никак это не влияет абсолютно. Это всего лишь анкета в лото р не более.
Мед осмотр можно в Москве будет. А собес надо будет в Варшаву ехать. Причем сейчас для этого надо будет сделать крюк через другую страну ЕС с шенгеном на руках
Нам всем только что рассказали что инфля 2.9%. Всем увеличивают зп, растут реальные доходы населения, самая низкая безработица и вообще уже зажили отлично. А следом сразу говорят о том как вложения в ОПК увеличены в разы. И ведь ни у кого не возникает вопроса - каким образом и откуда дополнительные деньги. К моему глубочайшему сожалению абсолютное большинство народа спит сном «завтра заживем». И лучшее что можно сделать в этой ситуации это спасать самого себя, если вдруг этот сон вам не нравится.
Режим не может терять устойчивость, если единственная реакция общества это выезд за пределы страны минимального процента от общего населения. Устойчивость теряется, когда не уезжают, а делают некоторые другие ныне запрещенные вещи.
И останутся там и дальше. Это удобный подход.