За это визу не дают. Читайте условия о1. Также как и нельзя по ней быть работодателем самому себе. Вообще не вижу смысла спорить - описанное в статье либо перевранная история, либо вымысел в принципе.
В чем ценность хлеба, если после того как он будет сьеден - он исчезнет? Тоже и с виртуальными предметами - если они приносят удовольствие кому-то в процессе пока сервер включен - никаких проблем.
Дали всего 1 миллион на день рождение? Да если реально и дали - то просто постебались за старания. 1 миллион для стартапа от инвест фонда - это просто пшик.
Дали визу о1 ? Ну удачи. Она не за таланты дается, а за уже достигнутые ачивки. При этом то, что ему дали в 16 лет ее - на грани фантастики. Кроме того она подразумевает работодателя обязательно в сша или агента. А еще по ней он не перевезет родителей. Те он что один в 16 лет уехал в штаты? Ну чушь же.
Все богатеи действуют проще с акциями. Их не надо продавать, чтобы обналичить. По крайней мере часть. Они их закладывают в качестве обеспечения под кредиты в банках. В итоге у них более чем достаточно кредитного нала, в счет залога акциями. Те и акции не продаются и деньги есть (разумеется не со всего пакета акций)
Ничего не мешает а base64 условном запаковать все что угодно. Как я сказал - сделать можно, но будет медленно и неудобно. А дальше зависит от того, какие технологии доступны на сайтах из белого списка. Если где-то будет мессенджер на вебсокете - то вообще все станет сильно удобнее изначального предложения.
Удаленное управление в неудобном, но рабочем варианте можно организовать через любой сайт почти. Достаточно иметь возможность писать на сайте свой текст в любое поле, в том числе в название своего профиля, например. Правда капча от этого не спасет тоже никак.
Вы не правы. Владелец впна увидит тоже самое что и провайдер. Если трафик был https и без митм, то в лучшем случае днс запросы и sni доменов при подключении сами урлы он не увидит. К остальному вопросов нет.
В данном случае идет речь о RCE на девайс юзера, а не просто о доступе к переписке и данных пользователя тг. Запихать бекдорный rce в клиент, который у всех стоит - задача не то чтобы очень простая и может сильно плохо кончится для бизнеса. Если не получится отбрехаться о том что это случайная ошибка.
Впрочем в историю, что все с тг сливается кому надо - я тоже не верю.
Немного не так. Если вы крутой спец, то на eb1 действительно можно догнать достижений за полгода-год плотной работы.
Проблема в другом - оценивает вашу петицию и доказательства под эту визу офицер, который ничерта не понимает вообще ни в одном направлении, и уж тем более в ит.
А это значит, что прям 80% дадут ли одобрение зависит не от ваших доказательств, а от того какое настроение будет у офицера в момент чтения петиции. Это я вам как обладатель одобренной визы eb1 говорю.
Это не является уязвимостью вообще. Очевидно что если выполняется питон код - то можно сделать так или иначе все что описано в статье. Мало того вариант запахивания этого в нормально рабочую песочницу - полностью устраняет проблему такого выполнения кода.
И да, чатгпт умеет выполнять и писать код на питоне так уже больше года.
От Польшы вы никак не избавитесь. Собес все равно проходить. При учете косых перелетов сейчас и их стоимости - то там уже будет около 5-6к минимум. Если вы с семьей, то ценник будет почти х2.
Перелет до штатов также косой и дорогой выходит + наверное жить хочется не в коробке.
Это миф, что она бесплатна. Бесплатна только лоторея. Но чтобы получить ее и вьехать в штаты (учитывая трудности с поездкой в консульство Варшавы) вы отдадите минимум 20к usd
Все кому это надо делают шенген любой другой страны (например Италия). После чего летят сперва в Италию(через Стамбул например), а оттуда уже в Польшу.
Таким образом все возможно, только долго, дорого и неудобно.
Не смотрел как устроено у них. Но то что вы описали - это дырень. Потому что, если «новое» устройство может через сервер запросить со «старого» пересылку расшифрованных сообщений без спросу - то сервер может это же сделать для кого угодно и без устройства. А значит шифрование фиктивное и по факту не защищает от атаки с сервера.
К девайсам тоже вопросов нет. Выглядит очень интересно.
Что касается «интересные пентесты» - да, обычно именно такие.
И если 100 человек условных делают на работе тоже самое каждый день, что описано выше. А один из них рассказал про это для жюри - это не делает его труд более выдающимся для награды, чем остальные 99 которые не участвовали.
Рассказывать о полном взломе национальных компаний уровня топ-1, которые влияют на экономику страны и десятки тысяч клиентов - не разрешат ни при каком уровне обезличивания. Там становится понятно по контексту независимо от цензуры.
Не знаю ни одного заказчика, который бы разрешил свои убийственные пентесты даже в обезличенном виде предоставлять куда-либо. Там под NDA зачастую даже сам факт проведения работ.
К багбаунти вопросов нет в этом плане. Просто стоит понимать, что по факту почти все, что описано в посте в наградах - это реально самый обычный будний день любого пентестера. ПетитПотам и дамп lsass - это в самом деле вершина для awards? Не стоит вводить в заблуждение.
Писал уже ранее. Вы предлагаете писать кейсы, которые все строго под NDA. Иначе просто быть не может в этой сфере. Поэтому никаких действительно серьезных и интересных чейнов тут априори быть не может сдано. Большая часть описанного выше - это стандартная практика любого пентестестера на абсолютно любом проекте. И приписывать этому - awards просто странно.
За это визу не дают. Читайте условия о1. Также как и нельзя по ней быть работодателем самому себе. Вообще не вижу смысла спорить - описанное в статье либо перевранная история, либо вымысел в принципе.
В чем ценность хлеба, если после того как он будет сьеден - он исчезнет? Тоже и с виртуальными предметами - если они приносят удовольствие кому-то в процессе пока сервер включен - никаких проблем.
Да тут чушь во всем в статье.
Дали всего 1 миллион на день рождение? Да если реально и дали - то просто постебались за старания. 1 миллион для стартапа от инвест фонда - это просто пшик.
Дали визу о1 ? Ну удачи. Она не за таланты дается, а за уже достигнутые ачивки. При этом то, что ему дали в 16 лет ее - на грани фантастики. Кроме того она подразумевает работодателя обязательно в сша или агента. А еще по ней он не перевезет родителей. Те он что один в 16 лет уехал в штаты? Ну чушь же.
Сам стартап - уже выше описали.
Все богатеи действуют проще с акциями. Их не надо продавать, чтобы обналичить. По крайней мере часть. Они их закладывают в качестве обеспечения под кредиты в банках. В итоге у них более чем достаточно кредитного нала, в счет залога акциями. Те и акции не продаются и деньги есть (разумеется не со всего пакета акций)
Ничего не мешает а base64 условном запаковать все что угодно. Как я сказал - сделать можно, но будет медленно и неудобно. А дальше зависит от того, какие технологии доступны на сайтах из белого списка. Если где-то будет мессенджер на вебсокете - то вообще все станет сильно удобнее изначального предложения.
Удаленное управление в неудобном, но рабочем варианте можно организовать через любой сайт почти. Достаточно иметь возможность писать на сайте свой текст в любое поле, в том числе в название своего профиля, например. Правда капча от этого не спасет тоже никак.
Вы не правы. Владелец впна увидит тоже самое что и провайдер. Если трафик был https и без митм, то в лучшем случае днс запросы и sni доменов при подключении сами урлы он не увидит. К остальному вопросов нет.
В данном случае идет речь о RCE на девайс юзера, а не просто о доступе к переписке и данных пользователя тг. Запихать бекдорный rce в клиент, который у всех стоит - задача не то чтобы очень простая и может сильно плохо кончится для бизнеса. Если не получится отбрехаться о том что это случайная ошибка.
Впрочем в историю, что все с тг сливается кому надо - я тоже не верю.
Немного не так. Если вы крутой спец, то на eb1 действительно можно догнать достижений за полгода-год плотной работы.
Проблема в другом - оценивает вашу петицию и доказательства под эту визу офицер, который ничерта не понимает вообще ни в одном направлении, и уж тем более в ит.
А это значит, что прям 80% дадут ли одобрение зависит не от ваших доказательств, а от того какое настроение будет у офицера в момент чтения петиции. Это я вам как обладатель одобренной визы eb1 говорю.
Это не является уязвимостью вообще. Очевидно что если выполняется питон код - то можно сделать так или иначе все что описано в статье. Мало того вариант запахивания этого в нормально рабочую песочницу - полностью устраняет проблему такого выполнения кода.
И да, чатгпт умеет выполнять и писать код на питоне так уже больше года.
От Польшы вы никак не избавитесь. Собес все равно проходить. При учете косых перелетов сейчас и их стоимости - то там уже будет около 5-6к минимум. Если вы с семьей, то ценник будет почти х2.
Перелет до штатов также косой и дорогой выходит + наверное жить хочется не в коробке.
Так что ценник практически правильный
Это миф, что она бесплатна. Бесплатна только лоторея. Но чтобы получить ее и вьехать в штаты (учитывая трудности с поездкой в консульство Варшавы) вы отдадите минимум 20к usd
Актуален. Самому скоро понадобится для собеса по апрувленной EB-1 ехать
Все кому это надо делают шенген любой другой страны (например Италия). После чего летят сперва в Италию(через Стамбул например), а оттуда уже в Польшу.
Таким образом все возможно, только долго, дорого и неудобно.
Миф. Пока вы не выиграете и не заполните DS-260 - ничего не будет
Не смотрел как устроено у них. Но то что вы описали - это дырень. Потому что, если «новое» устройство может через сервер запросить со «старого» пересылку расшифрованных сообщений без спросу - то сервер может это же сделать для кого угодно и без устройства. А значит шифрование фиктивное и по факту не защищает от атаки с сервера.
К девайсам тоже вопросов нет. Выглядит очень интересно.
Что касается «интересные пентесты» - да, обычно именно такие.
И если 100 человек условных делают на работе тоже самое каждый день, что описано выше. А один из них рассказал про это для жюри - это не делает его труд более выдающимся для награды, чем остальные 99 которые не участвовали.
Рассказывать о полном взломе национальных компаний уровня топ-1, которые влияют на экономику страны и десятки тысяч клиентов - не разрешат ни при каком уровне обезличивания. Там становится понятно по контексту независимо от цензуры.
Не знаю ни одного заказчика, который бы разрешил свои убийственные пентесты даже в обезличенном виде предоставлять куда-либо. Там под NDA зачастую даже сам факт проведения работ.
К багбаунти вопросов нет в этом плане. Просто стоит понимать, что по факту почти все, что описано в посте в наградах - это реально самый обычный будний день любого пентестера. ПетитПотам и дамп lsass - это в самом деле вершина для awards? Не стоит вводить в заблуждение.
Писал уже ранее. Вы предлагаете писать кейсы, которые все строго под NDA. Иначе просто быть не может в этой сфере. Поэтому никаких действительно серьезных и интересных чейнов тут априори быть не может сдано. Большая часть описанного выше - это стандартная практика любого пентестестера на абсолютно любом проекте. И приписывать этому - awards просто странно.
Никак это не влияет абсолютно. Это всего лишь анкета в лото р не более.