Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!
«390k. вебсайтов с открытой папкой .git» https://habr.com/post/422725/
16 Сен 2018
Обнаружил уязвимость на недавно удаленной Bug Bounty Киевстар на Bugcrowd. Баг позволял перебирать otp код (в обход защиты), который пришёл на телефон и входить в любой аккаунт на поддомене, если известен номер телефона жертвы. К сожалению, поддомен оказался...
5 Сен 2018
Исследователь безопасности обнаружил уязвимость в программе для удаленного управления ПК TeamViewer, которая позволяет обходить защиту и перебирать 4-х значный код для входа в аккаунт. Нужно просто не завершать соединение во время неверного ввода кода....
4 Сен 2018
Киевстар завтра закроет bug bounty программу на bugcrowd. Возможно, причина этому недавняя статья на Habrahabr.
Если у вас остались какие-то найденные уязвимости, лучше отправить их до конца завтрашнего дня, иначе награду можно не получить.
31 Авг 2018
...
31 Авг 2018
CSP bypass: Если у вас есть вот такой «script-src 'self' http://trusted.com http://trusted2.com;» ограниченный сценарий, попробуйте внедрить скрипт для выполнения XSS. Mozilla и Chrome будут блокировать выполнение js, но в Safari (даже последней версии)...
31 Авг 2018
Разработчики Burp Suite добавили возможность обнаружения новой уязвимости "Web cache poisoning" в активный сканер в последнем обновлении.
19 Авг 2018
Хакер взломал несколько аккаунтов сотрудников компании Reddit и получил доступ к базе данных пользователей 2007 года, в которой есть старые пароли и email адреса
https://bit.ly/2M9G9v2
19 Авг 2018
«Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов»
https://bit.ly/2AwSCHV
19 Авг 2018
«Китай, Россия и Иран занимаются экономическим шпионажем в США: отчёт»
https://bit.ly/2NUT84t
19 Авг 2018
«Заключенные из штата Айдахо обнаружили уязвимость в планшетах JPay и начислили себе $225 000 на внутренние счета»
https://bit.ly/2mJ81Lw
19 Авг 2018
«Google Pay-Replay attack», - уязвимость, что позволяет списывать деньги со счетов пользователей google pay (при определенных обстоятельствах и если злоумышленник находиться рядом с жертвой), разработчики пометили “won’t fix” и не собираются исправлять.
https://bit.ly/2LF08oz...
19 Авг 2018
«Получение доступа к файловой системе с помощью слепой xxe»
https://bit.ly/2Lh8vXQ
19 Авг 2018
...
19 Авг 2018
Bug Bounty площадка BugCrowd достигла нового максимума в выплатах : Samsung выплатила исследователю $114 000 за уязвимость
19 Авг 2018
«Приложение Burger King тайно записывает экран телефона» https://bit.ly/2KXJJvd
19 Авг 2018
Intel выплатил награду в $100 000 за уязвимость через hackerone.
19 Авг 2018
Необычный payload, закодирован в base64, может пригодится при обходе фильтра web фаервола
19 Авг 2018
⚫️ Околотематика. «Цукерберг стал богаче Уоррена Баффета»
https://bit.ly/2zoOd9E
19 Авг 2018
Яндекс начал индексировать гугл документы
https://yandex.ru/search/pad/?text=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8&lr=213&site=docs.google.com
19 Авг 2018