Для того, чтобы оно сработало при автоматическом воспроизведении нужно найти уязвимость в библиотеке, которая используется для воспроизведения. А в данном случае представлен вариант исполняемого файла, который запускается - такое в клиенте телеграм происходит только если кликнуть по файлу.
Что интересно, в клиенте последней версии (4.16.6) баг воспроизводится. Но работает только для того, кто отправил файл, требует клика по файлу, ну и естественно установленного питона. Для остальных файл загружается с расширением .untrusted, и соответственно код не исполняется.
С веб-версией есть фича-баг: в десктопном\мобильном клиенте отправляете самому себе ссылку web.telegram.org, переходите по ней, клиент добавляет к ссылке токен, и по этому токену веб-версия создаёт новую сессию без запроса второго фактора. Но при этом в мобильный клиент прилетает уведомление о новой сессии, поэтому совсем незаметно сделать не получится, если нет доступа к устройству
Блеклист вместо вайтлиста для исполнения файлов это конечно капец какое смелое решение; но что интересно, в оригинальном видео консоль открывается ещё до наведения мышки (и теоретически клика) на загруженный файл. То есть это либо другой баг, либо видео фейк
Вспоминая как однажды какой-то школяр, который почему-то подписался агентом поддержки webmoney, в довольно грубой форме написал о том, что мой кошелёк заблокирован, а для разблокировки необходимо явиться лично в московский офис этой шараги (или просто забрать свои деньги и больше никогда к ним не приходить) - ничуть не удивлён тому, что они не договорились с ЦБ. И кстати блокировка случилась не смотря на то, что аккаунту наверное уже лет 10 было, и на него был получен персональный аттестат (идентификация личности с личным присутствует у доверенного аттестатора, скан паспорта и всё такое). Как-то так совпало, что был в Москве по делам, и заскочил к ним в офис, и там сотрудник службы безопасности с очень важным видом задал два вопроса: знаю ли я что-нибудь про криптовалюты и почему у меня такой длинный пароль установлен на аккаунте, но при этом там лежат какие-то копейки. Получив ответы на вопрос аккаунт разблокировали.
Из всех доказательств в публикации есть только скриншоты, а времени, прошедшего с заявленной даты обнаружения уязвимости оказалось достаточно для исчезновения всех кешей, которые могли бы подтвердить её существование.
Попробуйте загуглить site:rus.vote
На момент написания комментария 73 страницы доступны для просмотра через "Сохранённую копию".
Пишу так, будто бы ещё в апреле отправил в ФБК информацию об открытых служебных ресурсах в .fbk.info (docker registry, k8s, cAdvisor, etc), на что получил ответ в духе "нам об этом известно, скоро напишем про это статью". Но почему-то в статье оказалось написано не про админов ФБК, а про одного из разработчиков, который пилил интеграцию с mailgun. Выглядит так, будто бы на SMMщиков денег хватило, а на админов нет.
Никто там особо не прятался. На IP одного из доменов, которые рекламировали по всем углам, висела база с логином по умолчанию и без пароля, причём настолько долго, что её успел найти и проиндексировать shodan, а затем через него нашли другие люди, слили и удалили содержимое (теоретически там ещё было возможно удалённое выполнение кода). Да и достаточно было посмотреть поддомены условного fbk.info и ужаснуться количеству того, что без всякой авторизации (либо с дефолтными кредами) общедоступно. Неизвестно сколько бы ещё это всё провисело в таком состоянии, если бы не какой-то случайный товарищ, опубликовавший слитые данные.
Ага, видел эту историю, но там пытались привлечь за продажу, а не за покупку. К сожалению, не смог найти чем закончилась история, надеюсь что просто "перегибы на местах".
Околонулевой. Тем более, после той истории с фермером, заказавшим GPS трекер для коровы, внесли поправки в законодательство, и с тех пор про подобные истории особо не слышно.
Речь про xray. Первое время на комплектацию с обогревом лобового ставили генераторы 150А и с ним не было никаких проблем даже во время прогрева, на холостых. Но потом начали экономить. Дилер проблемы не нашёл, ни в проводке, ни в генераторе, ни в аккумуляторе. Автоваз ответил что ситуацию изучили и дилеру они доверяют, поэтому тоже не видят никакой проблемы. Разница в пол вольта при измерении в прикуривателе и на клеммах АКБ особо ничего не меняет. Да и было бы странно, если бы 120А генератор выдавал 130А на холостых оборотах двигателя.
Подогрев лобового стекла используется минут 5 или максимум 10 за зимнее утро. Потребление при этом составляет примерно 130А, генератор на номинальных оборотах выдаёт 120А, на холостых в районе 90А. На нормальных машинах ЭБУ догадывается поднять холостые обороты, когда видит возросшую нагрузку на генератор, но не в случае с автовазом. После отключения обогрева напряжение в бортовой сети возвращается в норму, но разрядившаяся за 5 минут свинина всё равно не успевает восполнить заряд за пол часа, а когда это повторяется несколько дней подряд, то ёмкость заканчивается. Литий-титанат же за 5 минут сколько отдал, столько за 5 минут обратно и принял, за два сезона эксплуатации на вазе и четыре на уазе проблем замечено не было.
На новой машине менять генератор? За счёт автоваза/АКОМа можно конечно, да и аккумуляторы за их счёт тусовал бы каждый год, но такой опции не оказалось в наличии. А при цене генератора 12-15 тысяч рублей (231009362R) мне вышло дешевле собрать новый аккумулятор из титаната-лития и забыть про его существование
С подключением.
Ага, в качестве решения собираются перейти от чёрных списков к белым, чтобы без предупреждения запускались только фото/видео/аудио файлы.
Для того, чтобы оно сработало при автоматическом воспроизведении нужно найти уязвимость в библиотеке, которая используется для воспроизведения. А в данном случае представлен вариант исполняемого файла, который запускается - такое в клиенте телеграм происходит только если кликнуть по файлу.
Что интересно, в клиенте последней версии (4.16.6) баг воспроизводится. Но работает только для того, кто отправил файл, требует клика по файлу, ну и естественно установленного питона. Для остальных файл загружается с расширением .untrusted, и соответственно код не исполняется.
С веб-версией есть фича-баг: в десктопном\мобильном клиенте отправляете самому себе ссылку web.telegram.org, переходите по ней, клиент добавляет к ссылке токен, и по этому токену веб-версия создаёт новую сессию без запроса второго фактора. Но при этом в мобильный клиент прилетает уведомление о новой сессии, поэтому совсем незаметно сделать не получится, если нет доступа к устройству
Блеклист вместо вайтлиста для исполнения файлов это конечно капец какое смелое решение; но что интересно, в оригинальном видео консоль открывается ещё до наведения мышки (и теоретически клика) на загруженный файл. То есть это либо другой баг, либо видео фейк
Галя, у нас замена!
>>Опубликован проект Pwnagotchi
>>2019-10-19
кто опять изнасиловал редактора хабра?
На мой вопрос "а вы пароли в открытом виде храните что-ли?" ответа не последовало.
Вспоминая как однажды какой-то школяр, который почему-то подписался агентом поддержки webmoney, в довольно грубой форме написал о том, что мой кошелёк заблокирован, а для разблокировки необходимо явиться лично в московский офис этой шараги (или просто забрать свои деньги и больше никогда к ним не приходить) - ничуть не удивлён тому, что они не договорились с ЦБ. И кстати блокировка случилась не смотря на то, что аккаунту наверное уже лет 10 было, и на него был получен персональный аттестат (идентификация личности с личным присутствует у доверенного аттестатора, скан паспорта и всё такое). Как-то так совпало, что был в Москве по делам, и заскочил к ним в офис, и там сотрудник службы безопасности с очень важным видом задал два вопроса: знаю ли я что-нибудь про криптовалюты и почему у меня такой длинный пароль установлен на аккаунте, но при этом там лежат какие-то копейки. Получив ответы на вопрос аккаунт разблокировали.
Попробуйте загуглить site:rus.vote
На момент написания комментария 73 страницы доступны для просмотра через "Сохранённую копию".
Пишу так, будто бы ещё в апреле отправил в ФБК информацию об открытых служебных ресурсах в .fbk.info (docker registry, k8s, cAdvisor, etc), на что получил ответ в духе "нам об этом известно, скоро напишем про это статью". Но почему-то в статье оказалось написано не про админов ФБК, а про одного из разработчиков, который пилил интеграцию с mailgun. Выглядит так, будто бы на SMMщиков денег хватило, а на админов нет.
Для условного mongodb это может быть пустой логин и пустой пароль.
Никто там особо не прятался. На IP одного из доменов, которые рекламировали по всем углам, висела база с логином по умолчанию и без пароля, причём настолько долго, что её успел найти и проиндексировать shodan, а затем через него нашли другие люди, слили и удалили содержимое (теоретически там ещё было возможно удалённое выполнение кода). Да и достаточно было посмотреть поддомены условного fbk.info и ужаснуться количеству того, что без всякой авторизации (либо с дефолтными кредами) общедоступно. Неизвестно сколько бы ещё это всё провисело в таком состоянии, если бы не какой-то случайный товарищ, опубликовавший слитые данные.
Ага, видел эту историю, но там пытались привлечь за продажу, а не за покупку. К сожалению, не смог найти чем закончилась история, надеюсь что просто "перегибы на местах".
Околонулевой. Тем более, после той истории с фермером, заказавшим GPS трекер для коровы, внесли поправки в законодательство, и с тех пор про подобные истории особо не слышно.
Видимо дело в том, что у вас другой автомобиль, другие условия эксплуатации и другие погодные условия? Даже не знаю, что могло пойти не так.
Речь про xray. Первое время на комплектацию с обогревом лобового ставили генераторы 150А и с ним не было никаких проблем даже во время прогрева, на холостых. Но потом начали экономить. Дилер проблемы не нашёл, ни в проводке, ни в генераторе, ни в аккумуляторе. Автоваз ответил что ситуацию изучили и дилеру они доверяют, поэтому тоже не видят никакой проблемы. Разница в пол вольта при измерении в прикуривателе и на клеммах АКБ особо ничего не меняет. Да и было бы странно, если бы 120А генератор выдавал 130А на холостых оборотах двигателя.
Почему?
Подогрев лобового стекла используется минут 5 или максимум 10 за зимнее утро. Потребление при этом составляет примерно 130А, генератор на номинальных оборотах выдаёт 120А, на холостых в районе 90А. На нормальных машинах ЭБУ догадывается поднять холостые обороты, когда видит возросшую нагрузку на генератор, но не в случае с автовазом. После отключения обогрева напряжение в бортовой сети возвращается в норму, но разрядившаяся за 5 минут свинина всё равно не успевает восполнить заряд за пол часа, а когда это повторяется несколько дней подряд, то ёмкость заканчивается. Литий-титанат же за 5 минут сколько отдал, столько за 5 минут обратно и принял, за два сезона эксплуатации на вазе и четыре на уазе проблем замечено не было.
На новой машине менять генератор? За счёт автоваза/АКОМа можно конечно, да и аккумуляторы за их счёт тусовал бы каждый год, но такой опции не оказалось в наличии. А при цене генератора 12-15 тысяч рублей (231009362R) мне вышло дешевле собрать новый аккумулятор из титаната-лития и забыть про его существование