Деплой в пятницу

Хакаю игру, чтобы ребята поели бесплатные хинкали все труды не напрасны

Хайпует плесень Мой любимый fornex добавил серваки с предустановленным OpenClaw

Тут поделились простым способом сэкономить на крупных транзакциях Есть смысл пробовать

Второй сосед сюда

Изучаю безопасность wifi сетей и сразу решил протестить сеть своего соседа. Для меня стало открытием что все делается без подключения к интернету. Промониторил wifi эфир, перехватил 4-way handshake и провел успешную оффлайн атаку на WPA2-PSK по словарю с правилами мутаций (добавление цифр, смена регистра и тд) На скрине результат атаки, пароль успешно получен после перебора 307млн (!) вариаций, на все провсе ушло 24 минуты. Теперь есть ощущение, что назрел материал для нового поста с подробным разбором для новичков. P.S. Если вы живете в многоквартирном доме, убедитесь что в вашем wifi-пароле есть хотя бы пара спецсимволов. P.S.S. В комментах расскажу почему пользоваться чужой сетью все равно не буду.

Выглядит логично

Илон Маск заявил что сокращает производство Тесла, чтобы штамповать МИЛЛИОН гуманоидов в год. По роботу-помощнику в каждую семью, да?

Хочу познакомить вас с онлайн-игрой Natas, созданной специально для изучения веб-безопасности. Принцип такой: каждый уровень это веб-сайт с уязвимостью. Твоя задача использовать ее и добыть пароль от следующего уровня. Регистрация не нужна, игра бесплатная. Нулевой уровень здесь: http://natas0.natas.labs.overthewire.org/ Логин/пароль: natas0 Для следующих уровней просто увеличиваем цифру в ссылке и логине, а вот пароль..только через взлом. В комментариях можно делиться подсказками и наблюдениями - но без паролей в чистом виде.

Один из самых опасных этапов проверки безопасности - пассивная разведка. Опасных - потому что ты не оставляешь следов своего присутствия и даже не открываешь исследуемый сайт или бот. Ты еще «не трогал» приложение, но уже определяешь где и когда оно развивалось на костылях, где разработчики ошибочно решили что «туда никто не заглянет» и забыли вернуться. Пассивная разведка - это работа с тем, что само утекло в сеть: - данные, проиндексированные поисковиками (привет, доркинг) - старые поддомены, которые забыли удалить - кэшированные страницы, которые помнят больше, чем прод - публичные артефакты, оставленные «временно». И именно отсюда очень часто начинается настоящая компрометация, а не с красивых пейлоадов и CVE. Недавно я проводил аудит одного приложения, где заказчик сказал: «Я не вижу от тебя активности. Ты точно что-то проверяешь?» В этот момент я уже был авторизован под его личной учётной записью и имел права суперадмина. Без единого запроса к проду со своей машины. Пассивная разведка в вебе - это не про инструменты. Это про мышление, внимание и умение соединять точки. Если её пропустить - всё остальное превращается не в аудит, а в стрельбу вслепую.

Гроза вайбкодеров, получается 👾 А вообще, если хотите проверить свой продукт на устойчивость ко взломам - обращайтесь 🛡

Перед кликом на ссылку стоит проверять ее реальный url

Теперь не хуй в стакане, а сертифицированный специалист 🤑

На завтрак был курс по уязвимостям аутентификации. Интересное наблюдение: даже включенная двухфакторка не гарантирует безопасность, и в этом курсе рассматривается множество способов ее обойти. Обучение бесплатное, в каждой главе есть практика: https://portswigger.net/web-security/learning-paths/authentication-vulnerabilities P.S. Если вы хотите защитить свой продукт - рекомендации в последней главе.

зачем тг выводит количество всех сохраненок всех юзеров тг?

Зеркальный лифт 🙂 Когда вы заходите в лифт и привычно поворачиваетесь к зеркалу, чтобы поправить прическу или сделать селфи, вы думаете, что это забота о вашем внешнем виде. На самом деле, вы просто участвуете в одном из самых старых и дешевых UX-экспериментов в истории. В середине XX века владельцы небоскребов Нью-Йорка столкнулись с проблемой: арендаторы бесконечно жаловались на медленные лифты. Инженеры посчитали бюджет на замену двигателей и перестройку шахт — вышли космические суммы, способные обанкротить здание. Тогда кто-то догадался позвать не механиков, а психологов. Те быстро выяснили: проблема не в фактическом времени ожидания, а в скуке. Людям повесили зеркала. Жалобы исчезли мгновенно, хотя лифты быстрее не поехали ни на миллиметр. Это аналог загрузки в приложениях или прогресс-бара. Они не ускоряют интернет, они просто занимают ваш мозг обработкой визуальной информации, чтобы он не начал паниковать от безделья. Пока вы рассматриваете себя или соседа сзади, время субъективно сжимается. Так что зеркало в лифте — это не про дизайн и не про нарциссизм. Это гениальный пример того, как сэкономить миллионы долларов на «железе», просто перенастроив восприятие пользователя.

Продолжаю закрывать проекты, которыми больше не занимаюсь. Этот игровой бот в свое время генерил хороший доход, но нужно заниматься продвижением. Продаю за символическую сумму вместе с передачей владельца, за подробностями в лс @everbots

Люблю это чувство…когда положительно удастся влиять на качество продукта ❤️

Проводили экспресс-аудит одного мини-аппа, нашли критические провалы в безопасности: 1. Смогли выполнять действия в боте от лица других пользователей (в том числе от лица админа) 2. Получили доступ к некоторым админским функциям, включая доступ к тестовым окружениям, что кратно увеличивает поверхность атаки 3. Обнаружилась лазейка для выгрузки карточек любого клиента (UUID не спас) 4. AI-промпт бота оказался доступным для перезаписи, что позволило бы злоумышленнику в пару кликов нарушить работу бота P.S. Большинство проблем уже исправлено, но детали приходится блюрить, чтобы не раскрыть заказчика.

Кто-то решил сыграть грязную игру и накрутить мне ботов с утра пораньше. Без понятия кому я насолил, хорошо что они чистятся нажатием одной кнопки

✨ Наконец-то упаковал услугу по аудиту безопасности в полноценный продукт! А еще купил крутой домен hackmyapp.ru, где коротко и наглядно показал, как проходит аудит и в каких форматах работаю (самое время заценить) Если у вас есть сайт/тг миниапп/приложение, рано или поздно его попытаются взломать. Что будет, если контроль окажется в руках конкурентов? Предлагаю найти уязвимости раньше них и закрыть дыры как можно скорее ❤ Беру очень ограниченное количество проектов в работу, контакт для связи: @everbots