• Отключение проверок состояния среды исполнения в Android-приложении
    0
    Полезная статья. Продолжай в том же духе!
  • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
    0
    Тоже очень разумно, если совсем киевстар жлобы заплатить. Исследователю будет приятно, уже в общественность он не понесет этот кейс, ну или это уже будет совсем другой разговор.
  • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
    +2
    И если бага\информация не попадает в scope bugbounty компании, но может нанести урон, то это исключительно недоработка самой компании. Если хантер нашел какую то уязвимость и очень сомневается, писать ли репорт, то это в первую очередь вина самой компании. Это говорит о том, что bugbounty программа не полностью справляется со своей задачей и нужно что то улучшать. Имею в виду конечно же независимых исследователей, White\Gray Hat хантеров, ищущих баги в целях заработать вознаграждение законным способом. Целенаправленные APT атаки — это отдельная тема разговора.
  • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
    +3
    ildarz, вот поразмысли еще над следующей информацией:

    Bug Bounty нужно не багхантерам в первую очередь, они то заработают в любом случае, Bug Bounty нужно компании. Зачем? Что бы минимизировать крупные убытки в виде утечек и взломов более мелкими тратами, стараясь заинтересовать всех багхантеров в отправке найденного ими непосредственно в компанию, а не третьей стороне. Вот изначальная идея создания любого Bug Bounty. Это уже потом придумываются Severity, Scope и прочее, что бы как то формализовать схему оценки\выплат.

    Если компания открывает свое Bug Bounty и не понимает то, что я написал выше, то это как использовать кучу одинаковых вложенных циклов вместо рекурсии, будет частично работать, но костыыыыыыыыльно и очень коряво…
  • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
    +1
    @ldarz ну ты смешной. Один тащищь за весь киевстар чтоли? ахахахах.

    Вот ты пишешь
    Парни, у вас тут из окошка какая-то папка с бумагами выпала. — О, чувак, спасибо, мы можем тебя чем-то отблагодарить? — Ну угостите пивом.", а вовсе не "- Так, парни, я тут нашел вашу папочку, прочитал и решил, что вы мне теперь за молчание много бабла должны".


    А вот как это выглядит на самом деле
    — Компания: Ой, мы тут ехали по улице на машине и у нас выпал из окна чемоданчик, набитый деньгами (учитывая вашу утечку) не меньше чем с четвертью миллиона гривен.
    — Хантер: Ребят, у вас тут чемодан с деньгами выпал с окна машины, вот, держите, срочно закройте свое окно, что бы дальше деньги не вываливались.
    — Компания: О, ну ты молодец, умничка, вот тебе 1000 гривен, иди с богом.
    — Хантер: Алло, я мог забрать себе четверть миллиона, а вы мне 1000? Вы адекватные вообще?
    — Компания: Ну ты понимаешь, это out-of-scope, вот если бы ты придумал как вытащить наши четверть миллиона из нашего офиса, вот тогда ты молодец, а так возьми на пиво и топай.
    — Хантер: Да вы совсем охерели, пойду напишу хоть на хабр, пусть общественность увидит какой Киевстар жмоты с недоразвитым security отделом.
    — Компания (один чувак): Ну я попытаюсь оправдать наш говнофейл в коментах, что бы нас не так хуесосили другие хантеры (понимая что компания в жопе :) )


    И все в таком духе будет продолжаться. Короч Киевстар мудозвоны, а автор статьи один из ярчайших примеров White Hat хантеров.

    P.S. Но в следующий раз топи этот Киевстар, толкай Critical баги в даркнете) Эти недалекие ребята потом еще поймут, как обосрались)
  • Методика тестирования крипто-бирж и крипто-кошельков
    0
    Автор взял и сократил OWASP Testing Guide или любую другую методологию по пентесту Web приложений до короткой статьи, делая упор на тестировании безопаности проведения транзакций, аккаунтов с балансом криптовалюты\долларов и прочие особенности такого типа приложений. Видно, что материал собран по опыту, а не только с прочитанных книг. Как баг хантер почерпнул для себя полезную информацию.

    Статья годная.
  • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
    +2
    Вот яркий промер того, как из whitehat люди становятся blackhat. А потом эти же компании вроде киевстара ноют по поводу того, что их взломали плохие хакеры и украли енную сумму баксов\данных или же что то напортачили.
  • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
    +6
    Вот яркий пример того, как из whitehat люди становятся blackhat. А потом эти же компании, вроде киевстара, ноют по поводу того, что их взломали плохие хакеры и украли енную сумму баксов\данных или же что то напортачили.
  • Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
    +4
    Если рассматривать чисто из «политики bugbounty», то киевстар мог вообще ничего не платить. Если рассматривать как кейс компроментации данных компании, то лучше бы киевстару заплатить. Пусть и не 3000$, но 1-2к$ можно было выплатить за порядочность. Благодаря этой статье ни один баг хантер больше не отправит киевстару high или critical уязвимость (слышавший о текущей истории), лучше продать третьей стороне. Говорю как баг хантер. В перспективе киевстар может потерять десятки тысяч долларов, и в этом будет виноват сам киевстар.

    P.S. если бы киевстар вообще ничего не заплатил, а дал только репутации, это было бы адекватнее. Можно было бы сослаться на политику багбаунти, возможно выдать какой то подарок и все. Выплатить 50$ это как дать на благотворительность 10 копеек.
  • История взлома всех игр в Telegram
    +1
    Потому что делал это долго, сделать это было проблематично, и большинство людей просто не станет так сильно заморачиваться. И взломал, потому что был баг в работе сервера. Если бы не он, было бы все намного сложнее. И я был первым, кто нашел этот баг среди 100к людей, и второй среди тех, кто когда либо ломал эту игру. Так что это говорит о прекрасно проделанной работе одного разработчика.
  • История взлома всех игр в Telegram
    0
    можно, но зачем усложнять?)
  • История взлома всех игр в Telegram
    0
    Это текстовый квест сделанный через бота. В текущую тему не очень вписывается
  • История взлома всех игр в Telegram
    0
    как момент смерти отлавливать будешь?
  • История взлома всех игр в Telegram
    0
    Вот по примеру его игры нужно строить фронт енд логику
  • История взлома всех игр в Telegram
    0
    Сам разраб Лисицы оценил, спасибо!)
  • История взлома всех игр в Telegram
    0
    Найс)
  • История взлома всех игр в Telegram
    0
    Особенно если эта девочка HR
  • История взлома всех игр в Telegram
    0
    Вы не правы. Чем более популярна игра, тем более высокая должна быть безопасность игры. Когда в игру играют сотнями в чатах, десятками тысяч (если есть scoreboard), то какая разница, где реализованна логика, если ты на первом месте?
  • История взлома всех игр в Telegram
    0
    Гм, вперед! Поломай «Tricky Foxy», гений, и выйди на первое место. И попробуй это сделать не подсматривая в статью.
  • История взлома всех игр в Telegram
    0
    Проблема в том, что таких игр 98% среди всех. Об этом стоило написать, что бы разрабы начали переносить хоть часть логики на бекенд. Взломом можно назвать общую массу игр, если за 2-3 дня смог перебрать все популярные игры. И игры для рассмотрения брались из многих источников, в том числе и из games.tlgrm.ru. Если какую то игру не рассмотрел, то она либо типична по решению, либо не популярна.
  • История взлома всех игр в Telegram
    0
    это скорее текстовый квест, чем игра, причем серверный) квестов в тг тоже много
  • По следам кибердетектива
    0
    а теперь поищи себя по паспорту, ИНН) фотки свои погугли, вообще испугаешься)
  • По следам кибердетектива
    0
    Спасибо, поправил.