Comments / Profile of lukasafonov / Habr

В даркнет утекла база данных проголосовавших по поправкам в Конституцию на 1,1 миллиона записей

LukaSafonov August 4, 2020 at 03:08 PM

+13

Такую «базу» можно и нагенерить, она содержит записи типа ХХ ХХ ХХХХХХ. В подарок купившему дают базу ALL CREDIT CARD PIN CODES IN THE WORLD LEAKED.

Обнаружена опаснейшая уязвимость в Windows DNS Server

21

LukaSafonov July 15, 2020 at 01:39 PM

0

Исправил, спасибо!

В сети продают базу с данными 5 млн студентов и сотрудников Skyeng за 40 тысяч рублей

30

LukaSafonov June 27, 2020 at 12:40 PM

+16

Ага, дело не монге, но пароли в «вашей» бд вы храните (хранили в 2019) plaintext’ом. Теперь поинт вызвал доверие?

В сети продают базу с данными 5 млн студентов и сотрудников Skyeng за 40 тысяч рублей

30

LukaSafonov June 27, 2020 at 10:14 AM

+15

Немудрено, учитывая их «отношение» к багхантерам. О багах, приводящих к утечке пользователей в прошлом году сообщили минимум три человека, полученные ответы: дубль, это не продуктовая база и в таком духе. Вот и результат (=.

Консорциум OWASP обновил Web Security Testing Guide

2

LukaSafonov April 24, 2020 at 12:32 PM

0

Сергей, с последней версией 4.1 он стал Web Security Testing Guide.

Kali Linux 2020.1

29

LukaSafonov January 29, 2020 at 01:42 AM

+1

DE — desktop environment. Ошибки поправил. К сожалению переводить/дополнять особо нечем, такими темпами Kali скоро будут раздавать в виде дефолтового Debian/Ubuntu с набором обоев с драконами.

Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств

103

LukaSafonov October 29, 2019 at 07:30 PM

0

My bad, fixed :)

Подбор пароля Wi-Fi утилитой aircrack-ng

30

LukaSafonov August 21, 2019 at 11:58 AM

+10

Сейчас точно 2019 год?

«Мамкины хакеры» на официальной работе: чем занимаются пентестеры

34

LukaSafonov July 13, 2019 at 02:11 PM

+4

Распедалил по-взрослому. Респект, Сергей!

Авторы GandCrab прекращают работу: они уверяют, что украли достаточно

183

LukaSafonov June 3, 2019 at 04:04 PM

+3

Авторы GandCrab прекращают работу: они уверяют, что украли достаточно

183

LukaSafonov June 3, 2019 at 03:29 PM

+9

<sarcasm>Это забота</sarcasm>

Яндекс не считает Tabnabbing уязвимостью

25

LukaSafonov May 23, 2019 at 04:14 PM

+1

Хороший пример такой уязвимости.

Что-что случится 1 февраля 2020 года?

6

LukaSafonov May 22, 2019 at 12:27 AM

+7

2020 год это так далеко… Падажжи, как это сейчас 2019?!

Tenable обновила свой бесплатный инструмент для анализа уязвимостей

3

LukaSafonov May 20, 2019 at 01:50 PM

0

Зря иронизируете, полезный инструмент.

Слепая простота

7

LukaSafonov May 15, 2019 at 05:08 PM

+4

2019 год:

посещаемость сайта > 3.000.000 ежемесячно

/login?redirect=%250ajavascript:alert(1);

крупный ритейл:

/no-*****-******?q=%27%22%20autofocus=true%20onfocus=%22alert(document.domain) >

крупный онлайн магазин:

*********_center/********/******.php?SECTION_ID=******}});};top[%22eval%22](top[%22atob%22](%27************%27));function%20load*******()%20{$.ajax({%20type:%20%27get%27,%20url:%20%27/*******_center/*****/****.php%27,test:{//

Слепая простота

7

LukaSafonov May 15, 2019 at 11:56 AM

+4

Любая атака, принесшая результат эффективна. Эта статья именно о blind XSS. Что касается отраженных XSS — тут тоже много интересных векторов, например отрисовка формы фишинга.

В ответ на кибератаку Израиль нанёс авиаудар

206

LukaSafonov May 6, 2019 at 06:15 PM

0

Окружить на вражеской территории?

В ответ на кибератаку Израиль нанёс авиаудар

206

LukaSafonov May 6, 2019 at 05:50 PM

+14

Каюсь, это был небольшой сарказм. Думаю большинство читателей поняли правильно.

В ответ на кибератаку Израиль нанёс авиаудар

206

LukaSafonov May 6, 2019 at 05:48 PM

–5

Это новость, а не статья. Подробности можно прочитать в твиттере ЦАХАЛ, скриншот которого есть в тексте — twitter.com/IDF.

Crew Dragon взорвался

305

LukaSafonov April 21, 2019 at 07:18 PM

+29

Не стоит вскрывать эту тему.

Новый уровень безопасности МФУ: imageRUNNER ADVANCE III

12

LukaSafonov April 17, 2019 at 02:23 PM

+1

Любой нормальный администратор заблочит доступ в интернет для принтера.

если бы все так делали — пентестеры давно бы остались без работы. К сожалению, мой опыт говорит об обратном.

На Хабре открылся новостной раздел. Раскладываем всё по полкам

113

LukaSafonov March 27, 2019 at 06:29 PM

+13

Почему эта новость не в новостях?

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 27, 2019 at 02:04 PM

+1

и сольет багу =)

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 25, 2019 at 12:14 AM

+3

Слабоумие_и_отвага.jpg

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 25, 2019 at 12:06 AM

+3

Вы путаете offensive и defensive. Издевательства над ИБшниками в компаниях, Вы серьезно?

Вы либо фантазируете, либо прилетели к нам из параллельной вселенной.

Распутывание клубка уязвимостей на сайтах

19

LukaSafonov March 24, 2019 at 11:26 PM

+8

Если кого-то эта статья вдохновит на поиски уязвимостей без разрешения владельцев ресурса и вымогательство вознаграждения — советую ознакомиться со статьями 272 и 163.

Утечка данных (которая могла произойти, но не произошла) из телемедицинской компании

17

LukaSafonov March 21, 2019 at 09:46 AM

+1

Это скорее не утечка, как в первом случае, это уязвимость IDOR.

В России предлагают легализовать встроенные сим-карты

23

LukaSafonov March 18, 2019 at 09:41 PM

0

Переадресация поможет принять звонки в походе.

Writing a wasm loader for Ghidra. Part 1: Problem statement and setting up environment

1

LukaSafonov March 12, 2019 at 01:21 AM

–1

Ghidra contain some vulns, like this:

Наказывают ли в России за незаконную торговлю персональными данными?

36

LukaSafonov March 5, 2019 at 08:29 AM

+1

«Левая симка» тоже никому не принадлежит, но по факту на кого-то оформлена (хотя один раз я видел симкарту МТС с «незарегистрированный абонент» в личном кабинете).

Наказывают ли в России за незаконную торговлю персональными данными?

36

LukaSafonov March 5, 2019 at 08:19 AM

+2

Удивительно насколько много информации можно получить, тем не менее «посадок» практически нет. Это же не уязвимость, а процедура, запросить контрольный пробив и выявить сливателей информации.

По интересному совпадению как раз сегодня начал эксперимент по пробиву.

Wireshark 3.0.0: обзор нововведений

33

LukaSafonov March 4, 2019 at 06:22 PM

+11

Давненько хром блочит сайт. Я думаю человек с Вашим ником вполне справится с этим.

Wireshark 3.0.0: обзор нововведений

33

LukaSafonov March 4, 2019 at 05:46 PM

+2

Можете воспользоваться intercepter-ng.

Wireshark 3.0.0: обзор нововведений

33

LukaSafonov March 4, 2019 at 02:52 PM

+2

Да, речь именно о loopback, с оговоркой поддержи NIC-драйвера: Npcap brings support for loopback capture and 802.11 WiFi monitor mode capture (if supported by the NIC driver).

OWASP Proactive Controls: cписок обязательных требований для разработчиков ПО

9

LukaSafonov February 18, 2019 at 11:25 AM

+2

Если бы все соблюдали эти правила — мы бы каждый день не читали про взлом того или иного ресурса или крупную утечку.

Массовый взлом ВКонтакте [XSS-червь]

41

LukaSafonov February 14, 2019 at 09:52 PM

–12

Уже изменил последний абзац, но как багхантера понимаю Вас. Не применимо к ББ ВК, а в целом, примеры приводить не буду, по чатикам и так все о них знают.

Массовый взлом ВКонтакте [XSS-червь]

41

LukaSafonov February 14, 2019 at 09:09 PM

–21

Примеры выплат:
hackerone.com/reports/181823
hackerone.com/reports/375886
hackerone.com/reports/261966
hackerone.com/reports/281851

Перестану-ка я добро на помойку выкидывать

179

LukaSafonov January 25, 2019 at 05:50 PM

+2

Также раздал кучу инвайтов в пустоту. Но среди приглашенных нашлись настоящие брильянты, пусть статей немного, но они ого-го.

Подмена поисковой выдачи Google

22