Пост Импакта @postimpact Channel on Telegram

Пост Импакта

@postimpact

Уникальный контент про кибербезопасность от Импакта (@impact_l) - мысли, полезные ссылки, комментарии к событиям и юмор

Пост Импакта (Russian)

Пост Импакта - это уникальный Telegram канал, который предлагает интересный и актуальный контент про кибербезопасность от команды Импакта (@impact_l). Здесь вы найдете не только мысли экспертов, но и полезные ссылки, комментарии к событиям и юмор, связанные с миром кибербезопасности. nnКто такие Импакт? Это профессиональная команда специалистов по кибербезопасности, которая следит за последними трендами и новостями в этой области. Их знания и опыт делают канал "Пост Импакта" надежным источником информации для тех, кто интересуется безопасностью в интернете. nnЧто можно найти на канале? Помимо мыслей и комментариев специалистов, здесь публикуются полезные ссылки на статьи, видео и другие ресурсы, которые помогут вам оставаться в курсе последних событий в мире кибербезопасности. Благодаря каналу "Пост Импакта" вы сможете узнавать о новых угрозах, защищать свою конфиденциальность и делиться знаниями с другими участниками канала. nnПрисоединяйтесь к каналу "Пост Импакта" и будьте в курсе всех событий, связанных с кибербезопасностью! Оставайтесь в безопасности вместе с Импактом!

Пост Импакта

30 Jul, 12:10

Незабываемый отдых на Бали!

🌴 Хочешь полететь на Бали, поплавать в море и окунуться в атмосферу индонезийских тропических островов? У тебя есть шанс!

Скоро конец подачи докладов на SAS 2024!

Security Analyst Summit — это эксклюзивная трехдневная конференция, для ведущих исследователей в области борьбы с вредоносным ПО, групп реагирования на компьютерные инциденты и т.д. На конференции спикеры впервые поделятся эксклюзивными докладами и идеями.

Отправить заявку: thesascon.com/papers

Об отеле: sofitel-bali-nusa-dua-beach-resort.all-balihotels.net

PDF: thesascon.com/files/SAS_2024.pdf

Bali, Indonesia, 22-25 Oct, 2024
2,434
Пост Импакта

16 Apr, 14:29

Спасибо @ValyaRoller за приглашение на подкаст! Подписывайтесь на его замечательный канал @pigPeter

Кому интересен кейс с paypal, тут подробнее можно почитать: t.me/postImpact/6

такой же кейс все еще работает с TripAdvisor так что можете счейнить до high с любой xss на поддоменах: Pattern.compile("^(?:https?\\:\\/\\/(?:[A-Za-z0-9_\\-]+\\.(dhcp(\\-[A-Za-z]+)?\\.([A-Za-z0-9_\\-]+\\.corp\\.)?|(nw\\.)?dev(\\-[A-Za-z]+)?\\.|cmc\\.|d\\.)?)?tripadvisor\\.(?:com|(?:[a-z]{2})|(?:(?:co|com)\\.[a-z]{2})))?\\/.*$");

Вообще многие сдают не раскручивая — сдают medium вместо high теряя значительное bounty.

Еще кейс с dyson не попал в видео, там я рассказывал про то что у них одна тестовая репа попала в публичный bitbucket (всего на пару часов), а там был логин/пароль QA. И пароль подходил к его рабочему outlook , внутреннему bitbucket и slack. Как итог - доступ к главному домену dyson.com и сорцам. Так что нужны второй фактор и еще фингерпиринты к браузерам/ip.

про мою первую багу в ICQ, на самом деле 150$ (отчет оказался частично раскрытым) — https://hackerone.com/reports/373909
9,053
Пост Импакта

16 Apr, 11:43

В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾
https://youtu.be/2KCSxYQ543M
2,538
Пост Импакта

07 Mar, 15:18

Новая статья в блоге PT SWARM про раскрытие исходного кода asp[.]net приложений

https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
4,099
Пост Импакта

01 Feb, 09:10

3️⃣, 2️⃣, 1️⃣ — поехали! Открываем прием заявок на выступления на киберфестивале Positive Hack Days 2

Если вы всегда мечтали собрать целый стадион, у нас отличные новости: PHDays Fest в этом году пройдет в «Лужниках» в Москве с 23 по 26 мая.

Спортивный комплекс на четыре дня превратится в киберарену: мы создадим настоящий мегаполис с интерактивными инсталляциями, а сотни спикеров расскажут о кибератаках и способах им противостоять.

🤟 Ждем крутых докладов как от профи, так и от новичков: главное — свежий взгляд на актуальные проблемы ИБ и пути их решения. Узнать все подробности и оставить заявку можно на сайте киберфестиваля.

Темы докладов принимаются до 15 марта
Будут два формата: доклад на 50 минут и короткое выступление на 15 минут.
Подавать заявку необходимо лично

До встречи на втором международном киберфестивале PHDays!
Больше подробностей — soon.

@Positive_Technologies
#PHD2
3,981
Пост Импакта

18 Dec, 11:46

📁Отслеживаем изменения в файлах JS

Недавно было раскрыто несколько отчетов (например тут или тут), где исследователь просто отслеживал изменения в файлах JS и таким образом находил уязвимости.

Почитать подробнее об этом вы можете тут, а ниже прикладываю инструмент, который поможет вам отслеживать такие изменения и информировать вас о них в телеграмм.

Thx @cyb3r4z

Ссылка на GitHub

#web #tools #js
3,702
Пост Импакта

10 Nov, 10:37

Недавно OpenAI представила для подписчиков Plus контекстное окно в 32к токенов! А еще возможность создания кастомных GPT на основе своих данных.

Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор.

Представляю вашему вниманию Кавычка GPT

Теперь модель больше не будет спорить с вами об этичности пэйлоадов.

https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt
10,221
Пост Импакта

20 Oct, 14:45

Выпустили Nuclei v3 — добавили возможность писать код на bash, Python, Javascipt прямо в YAML файлах. А также запускать другие утилиты, например sqlmap.

Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов.

Получается Nuclei это теперь оркестратор с поддержкой Javascript 🤔

code:
  - engine:
      - sh
      - bash
    source: |
      echo "$OAST" | base64

  - engine:
      - py
      - python3
    source: |
      import base64
      import os

      text = os.getenv('OAST')
      text_bytes = text.encode('utf-8')


blog.projectdiscovery.io/nuclei-v3-featurefusion/
5,744
Пост Импакта

18 Sep, 10:41

Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.

Доклады, которые были на конференции прикреплены файлами к посту выше:

«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om

«Атакуем языковые модели»
@wearetyomsmnv

«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365

«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi

«Red Purple Team»
@Sn0w7 — lead MTC RED

«DevSecOps»
@gazizovasg — Swordfish

«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix

«Offensive OSINT»
@adkkkkkkkk — Innostage
10,658
Пост Импакта

30 Aug, 10:37

Для того чтобы найти дополнительные директории в веб-приложении.

1. Можно попытаться найти swagger-файлы, используя брутфорс

💬 Прикреплён словарь в файле swagger.txt

2. Извлечь их из apk

💬 Используем jadx или apktool + grep скачиваем, используя загрузчики

— чем больше тем лучше из-за DMCA:

apkcombo.com/downloader/
apk.support/apk-downloader
apps.evozi.com/apk-downloader/
apkmirror.com
apkpure.com
apkeep

3. Поискать в js на сайте

jsluice
linkfinder (BApp)

4. Извлечь из архива

web.archive.org/cdx/search/cdx?url=evil.com*

gau

5. Открыть WebArchive и поискать в js

web.archive.org/web/20170102091031js_/https://hackerone.com/assets/frontend.09051386.js
13,738
Пост Импакта

01 Aug, 10:37

Что сдать на ББ чтобы не отправили в спам

Недавно меня пригласили поговорить по мужски за Багбаунти и уязвимости в мобильных приложениях, в целом вышло познавательно

ИБ: @OxFi5t @luigivampa92 @impact_l Разработчик: @osipxd

P.S. первые 5 минут были проблемы со связью

youtube.com/live/DAHdYrSIhp8
6,190

2024 All Right Reserved

Disclaimer: The content displayed on this website is solely provided by the respective Telegram channels. We hold no ownership or responsibility for the content shared by these channels.