Pull to refresh
260
0
Sergey Belov @BeLove

Пользователь

Send message

Судя по всему, для сильной привязки сессии к конкретному соединению, чтобы нельзя было украсть сессионный токен.

Именно так. И пока малварь на машине - да, проблем много, но ключ нельзя достать, если он в HSM.

В целом нормальный подход, лишь бы в этих магазинах не было бы адреса доставки, последних 4 цифр номера карты или подобного, неприятно если это информация где-то будет опубликована или хуже - может быть использована для общения с саппортом при восстановлении аккаунта. Например как в упомянутой статье Wired 2012 года.

Контрольные вопросы - это зло, от которого должны избавиться все сервисы. Чаще всего это еще один фактор, как юзер может быть скомпроментирован.

Для себя, где нельзя пропустить их - генерирую рандомные строки и сохраняю их в парольном менеджере.

К/с №: 30101810200000000700

БИК 044525700

ИНН 7744000302

КПП 770201001

Номер счета АО «Kaspi Bank» — 30111810000000000079

переводом на юр лицо в РФ с любого банка, в комменте 

АО Kaspi Bank, Казахстан. Для клиента СВОЕ_ФИО, ИИН ИИН_В_КЗ. Счет клиента СЧЕТ_КАСПИ. Перевод между собственными счетами


идут 1-3 дня, сегодня курс был 7.3

Это работает не так. Если приносят за 20к и постоянно - значит баги столько и стоят. Перестанут - поднимут цены.

На всякий случай про ihor - https://vc.ru/legal/57838-hosting-provayder-ayhor-soobshchil-o-popytke-reyderskogo-zahvata-biznesa

Я так лишился своего сервера) наверное под что-то мелкое можно

На днях включили поддержу в iOS 15.4, надо отсканировать QR код на экране декстоп сафари с коллбеком и закончить вход на телефоне :)

А намайнил бы в 2021 0.1 битка... в 2030 получил бы <допиши значение>

Наверняка, к этой проблеме уязвимы большие cloud провайдеры для видеонаблюдения и им можно было бы в потоке скормить этот кусок. И проблема DoS становится актуальной - если в цикле постоянно выводить ноды из строя (пусть даже у них будет рестарт).

Проводить CTF внутри компании — это круто, проводить между компаниями — вдвойне круто! Спасибо за опыт и и поздравляю с проведением. А SPbCTF уже надо сделать лендинг и с заказом CTF as a Service :)
Ощущение, что компании набивают себе репутацию в блоге ИБ, чтобы иметь успех среди ИБ, а чем — не оч важно.
Да, я про Bluetooth, конечно :)
Когда нам всем дадут использовать Android девайсы как fido2 ключи? :)
По части — имхо, по делу. Кофе, wifi и т.п.
Ну по некоторым моментам :)
> если по факту через 10 минут у ведущего закончились идеи?
Ведущие на ZN — это не наемные артисты, это люди которые сидят ночами в консоли/IDA/Burp и т.п. и, ну да, не лучшие они ведущие. Как и многие спикеры на технических конференциях — в целом плохо выступают и это стресс. И я не предлагаю тут что-то менять, пусть на сцене будут люди которые сами варятся в сфере и пусть не умеют зажигать зал или иногда занимать паузы.
> Программки докладов в печатном виде разобрали почти сразу, и посмотреть её было негде.
Вообще я сам всегда делаю скрин программы с сайта на телефоне, чтобы не таскать бумагу с собой. Да и все уходит в диджитал, многие конференции вообще отказываются от печати и имхо — это верный вектор и такого будет больше

А самое главное — про доклады. Я вот работаю сам в сфере, но некоторые так круты и сложны, что я в целом могу понять лишь их часть и общую идею — «NUClear explotion», «From Graphic Mode To God Mode, Discovery Vulnerabilities of GPU Virtualization», «Researching Marvell Avastar Wi-Fi: from zero knowledge to over-the-air zero-touch RCE». Возможно это потому, что я почти не занимаюсь бинарными уязвимостями, но могу сказать, что разбираюсь в вебе и на WebVillage были отличные ресерчи, взять хотя бы BlackFan про Bug Bounty, который наконец-то выступил на ZN.
С таким же успехом можно сделать proxy_pass до web.telegram.org (https://www.slideshare.net/sergeybelove/nginx-warhead)
Статья #31 — medium.com/bread-and-circuses/how-i-got-paid-0-from-the-uber-security-bug-bounty-aa9646aa103f ну полный зашквар. В техническом ИБ комьюнити все сошлись во мнении, что это шлак. Uber норм и платит хорошо, просто не надо пытаться пропихнуть недобаги :)
НЕ ЗАМЕНИЛ!
Добавили бы видео, как это работает, было бы круто

Information

Rating
Does not participate
Registered
Activity