А еще ребятки нашли как делать десериализацию в java передав серализованный объект с специальным content-type
❤🔥1
В общем много идей и мыслей, много записей докладов нужно посмотреть (жаль очень мало веба), zeronights удался.
❤🔥1
С ноября по декабрь на форуме АНТИЧАТ будет проходить уникальное мероприятие:
Новогодний видеоконкурс 2017.
Тематика конкурса - практическая информационная безопасность.
Любой желающий может побороться за призовое место.
Чтобы принять участие в конкурсе, требуется снять видео в разрешении не ниже 720, вставить строчку "Видео сделано специально для новогоднего конкурса Античата 2017", а затем отправить его на e-mail [email protected].
Заявки будут приниматься с 1 ноября по 15 декабря.
Жюри выберут топ 3 самых хардкорных видео по следующим критериям: уникальность техники, сложность эксплуатации, креативность.
Главный призовой фонд - 100 т.р., будет разбит так:
Первое место: 60000р
Второе место: 30000р
Третье место: 10000р
Подробности на форуме АНТИЧАТ: https://forum.antichat.ru/threads/443093/
//А я там один из членов жюри
Новогодний видеоконкурс 2017.
Тематика конкурса - практическая информационная безопасность.
Любой желающий может побороться за призовое место.
Чтобы принять участие в конкурсе, требуется снять видео в разрешении не ниже 720, вставить строчку "Видео сделано специально для новогоднего конкурса Античата 2017", а затем отправить его на e-mail [email protected].
Заявки будут приниматься с 1 ноября по 15 декабря.
Жюри выберут топ 3 самых хардкорных видео по следующим критериям: уникальность техники, сложность эксплуатации, креативность.
Главный призовой фонд - 100 т.р., будет разбит так:
Первое место: 60000р
Второе место: 30000р
Третье место: 10000р
Подробности на форуме АНТИЧАТ: https://forum.antichat.ru/threads/443093/
//А я там один из членов жюри
❤🔥1
Знаете площадку для багхантеров hackerone?
А у нее утекли все отчеты об уязвимостях, точнее комментарии к ним (что тоже важная инфа, часто там информация по воспроизведению).
Отчет об уязвимости вместе с комментариями можно скачать в виде архива, и чел подменив id своего репорта качал чужие.
https://hackerone.com/reports/182358
А у нее утекли все отчеты об уязвимостях, точнее комментарии к ним (что тоже важная инфа, часто там информация по воспроизведению).
Отчет об уязвимости вместе с комментариями можно скачать в виде архива, и чел подменив id своего репорта качал чужие.
https://hackerone.com/reports/182358
HackerOne
HackerOne disclosed on HackerOne: Partial disclosure of report...
This problem was introduced on Monday, November 14th and resolved the following day on Tuesday, November 15th, within one hour of the report being filed. This was an impressive find, and we want to...
❤🔥1
Кавычка
Знаете площадку для багхантеров hackerone? А у нее утекли все отчеты об уязвимостях, точнее комментарии к ним (что тоже важная инфа, часто там информация по воспроизведению). Отчет об уязвимости вместе с комментариями можно скачать в виде архива, и чел подменив…
Не до конца зафиксили))
https://hackerone.com/reports/186230
https://hackerone.com/reports/186230
HackerOne
HackerOne disclosed on HackerOne: Internal attachments can be...
This issue was introduced on Monday, November 21st and resolved one week later on Monday, November 28th, within 90 minutes of the report being filed. We'd like to thank @japzdivino for bringing...
❤🔥1
А чужой скайп-аккаунт можно удалять, отправив на него горсть жалоб. Вот так просто, да.
https://habrahabr.ru/post/316912/
https://habrahabr.ru/post/316912/
Хабр
Как Skype уязвимости чинил
Короткий ответ: никак, им пофиг. В статье описываются мои безуспешные попытки убедить сотрудников Microsoft, что их сервис уязвим, а также унижения, которые пр...
❤🔥1
Способы обхода проверки домена и IP адреса
https://bo0om.ru/domain-and-ip-checker-bypass
https://bo0om.ru/domain-and-ip-checker-bypass
Погиб чертовски талантливый хакер, которого все знали как Крис Касперски, он же Мыщъх.
https://rsdn.org/forum/life/6717583.1
https://www.news-journalonline.com/news/20170213/sky-diver-injured-in-deland-remains-hospitalized
https://rsdn.org/forum/life/6717583.1
https://www.news-journalonline.com/news/20170213/sky-diver-injured-in-deland-remains-hospitalized
❤🔥1
Привет! Го в CTF?
Там традиционный HackQuest запущен (hackquest.phdays.com), в качестве призов - инвайты на PHDays, сувениры и вот это вот все.
Там традиционный HackQuest запущен (hackquest.phdays.com), в качестве призов - инвайты на PHDays, сувениры и вот это вот все.
Привет, завтра буду на PHDays, в программе Lightning Talks (https://www.phdays.ru/program/248019/)
А послезавтра на Fast Track :)
Забегай, увидимся
А послезавтра на Fast Track :)
Забегай, увидимся
Кавычка
Способы обхода проверки домена и IP адреса https://bo0om.ru/domain-and-ip-checker-bypass
В дополнение к статье.
Вместо двоеточия может быть:
В середине
Ну и %0a %0d %09 (знак табуляции) естественно, причем последний можно вовсе сократить до 	
https://jsfiddle.net/423zcpL0/
Используя html entities подобмным образом можно скрыть ссылку на домен:
https://jsfiddle.net/423zcpL0/1/
Ссылка ведет на google.com ¯\_(ツ)_/¯
Таблица с html entities для игр:
https://dev.w3.org/html5/html-author/charref
<a href="javascript{entity}alert(1)">clickme</a>Вместо двоеточия может быть:
: : : (ну и вариации двух последних)В середине
<a href="ja{entity}vas{entity}cript:alert(1)">clickme</a>	




Ну и %0a %0d %09 (знак табуляции) естественно, причем последний можно вовсе сократить до 	
https://jsfiddle.net/423zcpL0/
Используя html entities подобмным образом можно скрыть ссылку на домен:
<a href="//\/@g⁠o​o‌g‍l­e
.	com">clickme</a>
https://jsfiddle.net/423zcpL0/1/
Ссылка ведет на google.com ¯\_(ツ)_/¯
Таблица с html entities для игр:
https://dev.w3.org/html5/html-author/charref
jsfiddle.net
Edit fiddle - JSFiddle
Test your JavaScript, CSS, HTML or CoffeeScript online with JSFiddle code editor.
❤🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
Бот для поиска готовых эксплойтов
@GetSploitBot
@GetSploitBot
❤🔥1
Предательство Safari. Чтение локальных файлов с дальнейшей отправкой на сервер помощью html документа.
https://xakep.ru/2017/07/06/safari-localfile-read/
https://github.com/Bo0oM/Safiler
https://xakep.ru/2017/07/06/safari-localfile-read/
https://github.com/Bo0oM/Safiler
❤🔥1
Если ты пользователь twitter:
https://twitter.com/account/personalization/download_your_data.pdf
(На самом деле отображается корректно, если у профиля английский язык)
https://twitter.com/account/personalization/download_your_data.pdf
(На самом деле отображается корректно, если у профиля английский язык)
❤🔥1
Забавная находка, в которой школьник получил доступ к одному из ресурсов внутренней инфраструктуры Google.
https://sites.google.com/site/testsitehacking/10k-host-header
https://sites.google.com/site/testsitehacking/10k-host-header
🔥1
Chrome закручивает гайки.
Раньше можно было передавать такую ссылку:
Также с client-side атаками, улучшают парсер, запрещают символ переноса строки у атрибутов тегов, если это ссылка:
То ли еще будет :)
Раньше можно было передавать такую ссылку:
https://username:[email protected], тем самым, передав значения логина и пароля для basic auth. Отныне и вовеки использовать их для атак вида <img src="//login:[email protected]"> - нельзя.[Deprecation] Subresource requests whose URLs contain embedded credentials (e.g. `https://user:pass@host/`) are blocked. See https://www.chromestatus.com/feature/5669008342777856 for more details.
Также с client-side атаками, улучшают парсер, запрещают символ переноса строки у атрибутов тегов, если это ссылка:
[Deprecation] Resource requests whose URLs contain raw newline characters are deprecated, and may be blocked in M60, around August 2017. Please remove newlines from places like element attribute values in order to continue loading those resources. See https://www.chromestatus.com/features/5735596811091968 for more details.
То ли еще будет :)
1