en
Feedback
Поросёнок Пётр

Поросёнок Пётр

Open in Telegram

чат: @pigPeter_chat Истории обыденных дней поросёнка в Берлине Предложения, вопросы, сотрудничество: @Valyaroller

Show more
4 129
Subscribers
No data24 hours
+37 days
-130 days
Attracting Subscribers
July '26
July '26
+33
in 0 channels
June '26
+115
in 7 channels
Get PRO
May '26
+124
in 3 channels
Get PRO
April '26
+137
in 2 channels
Get PRO
March '26
+111
in 6 channels
Get PRO
February '26
+70
in 2 channels
Get PRO
January '26
+101
in 5 channels
Get PRO
December '25
+72
in 6 channels
Get PRO
November '25
+64
in 4 channels
Get PRO
October '25
+95
in 4 channels
Get PRO
September '25
+110
in 7 channels
Get PRO
August '25
+90
in 7 channels
Get PRO
July '25
+175
in 7 channels
Get PRO
June '25
+103
in 5 channels
Get PRO
May '25
+175
in 12 channels
Get PRO
April '25
+95
in 4 channels
Get PRO
March '25
+137
in 21 channels
Get PRO
February '25
+123
in 6 channels
Get PRO
January '25
+76
in 4 channels
Get PRO
December '24
+68
in 5 channels
Get PRO
November '24
+86
in 2 channels
Get PRO
October '24
+205
in 9 channels
Get PRO
September '24
+127
in 5 channels
Get PRO
August '24
+101
in 4 channels
Get PRO
July '24
+79
in 6 channels
Get PRO
June '24
+151
in 7 channels
Get PRO
May '24
+95
in 4 channels
Get PRO
April '24
+121
in 6 channels
Get PRO
March '24
+88
in 0 channels
Get PRO
February '24
+94
in 0 channels
Get PRO
January '24
+149
in 6 channels
Get PRO
December '23
+162
in 3 channels
Get PRO
November '23
+75
in 7 channels
Get PRO
October '23
+76
in 1 channels
Get PRO
September '23
+193
in 0 channels
Get PRO
August '23
+102
in 0 channels
Get PRO
July '23
+83
in 0 channels
Get PRO
June '23
+114
in 0 channels
Get PRO
May '23
+542
in 0 channels
Get PRO
April '23
+38
in 0 channels
Get PRO
March '23
+46
in 0 channels
Get PRO
February '23
+26
in 0 channels
Get PRO
January '23
+45
in 0 channels
Get PRO
December '22
+63
in 0 channels
Get PRO
November '22
+39
in 0 channels
Get PRO
October '22
+38
in 0 channels
Get PRO
September '22
+56
in 0 channels
Get PRO
August '22
+35
in 0 channels
Get PRO
July '22
+100
in 0 channels
Get PRO
June '22
+82
in 0 channels
Get PRO
May '22
+112
in 0 channels
Get PRO
April '22
+24
in 0 channels
Get PRO
March '22
+47
in 0 channels
Get PRO
February '22
+152
in 0 channels
Get PRO
January '22
+101
in 0 channels
Get PRO
December '21
+25
in 0 channels
Get PRO
November '21
+28
in 0 channels
Get PRO
October '21
+34
in 0 channels
Get PRO
September '21
+88
in 0 channels
Get PRO
August '21
+68
in 0 channels
Get PRO
July '21
+10
in 0 channels
Get PRO
June '21
+30
in 0 channels
Get PRO
May '21
+35
in 0 channels
Get PRO
April '21
+10
in 0 channels
Get PRO
March '21
+21
in 0 channels
Get PRO
February '21
+358
in 0 channels
Date
Subscriber Growth
Mentions
Channels
15 July+1
14 July+3
13 July+5
12 July+5
11 July+1
10 July0
09 July+1
08 July+2
07 July+2
06 July+5
05 July0
04 July+1
03 July+1
02 July+4
01 July+2
Channel Posts
Когда даже триажер платформы на твоей стороне, но команда программы включила заднюю передачу и едет в пропасть. Mediation-тик
Когда даже триажер платформы на твоей стороне, но команда программы включила заднюю передачу и едет в пропасть. Mediation-тикет создан. Все доказательства представлены. Максимально интересно почитать причины, почему сервисы, которые используются на главном домене через middleware-прокси, внезапно перестали быть частью скоупа. Это же как сказать, что IP-адрес базы данных не в скоупе, а значит, и прямой доступ к этим данным считается Out of Scope. 😁💁‍♂️ Теперь у ребят два выхода: либо утопить самих себя в некомпетентности, либо принять архитектурные реалии и быть красавчиками. Но последнее по понятным причинам вряд ли случится. Так что я ищу возможности сделать всю эту историю достоянием общественности и прославить компанию, при этом не быть забаненным на платформе. Ваши идеи как это сделать грамотно в комментариях приветствуются. 😉

2
Респект тому кто сделать эмулятор этого великолепия 👾 Олдскулы свело не только мне. Малой отложила в сторону Nintendo switch с фортнайт и пытался разгадать пропажу слона 🤣 https://dos.zone/ru/bratya-piloty-po-sledam-polosatogo-slona/
1 142
3
Старый добрый WAPT/WAPTX от eLearning перестал быть столь доступным. Но у ребят из Codeby есть импортозамещенное предложение
Старый добрый WAPT/WAPTX от eLearning перестал быть столь доступным. Но у ребят из Codeby есть импортозамещенное предложение для тех, кто хочет прокачать свои навыки🥷 Большинство уязвимостей в вебе — это типовые ошибки, которые находят уже после инцидента. Курс WAPT от Codeby учит находить их раньше — с позиции атакующего. Обучение максимально заточено на практику: 65 заданий в лаб, где вы отрабатываете каждую технику на реальных сценариях. Что внутри: ⏺️Эксплуатация актуальных классов уязвимостей, активный и пассивный фаззинг ⏺️SQL Injection, CMD Injection, XSS, PHP Injection, Server-Side Template Injection ⏺️Повышение привилегий и client-side атаки (XSS, CSRF) Каждую неделю — вебинары с куратором. Навыки применимы и в рабочих задачах по пентесту, и в Bug Bounty. Курс стартует 16 июля. Читателям канала по промокоду "Поросёнок" скидка 5% 😉 👉Запись на курс
1 191
4
Трудяга пошуршал вентилятором и помог вытащить пятничный крит. Теперь думаю быть максимальным подонком отправив сейчас, или п
Трудяга пошуршал вентилятором и помог вытащить пятничный крит. Теперь думаю быть максимальным подонком отправив сейчас, или подержать до понедельника? 🙈
1 615
5
Все еще не могу осознать что сходил на их концерт. Если кому-то раньше удалось их увидеть в живую - то я вам завидую. Большую+3
Все еще не могу осознать что сходил на их концерт. Если кому-то раньше удалось их увидеть в живую - то я вам завидую. Большую часть жизни у меня не было таких возможностей. В том числе и финансовых. А единство огромного олимпийского стадиона было невероятным. Хочется чтоб весь мир жил в таком единстве. Make love not war 🫶 SOAD 🤟🏻🇦🇲
1 764
6
Более строгие BYOD политики компании вынудили пойти на крайние меры. Теперь эта Hack-Machine должна показать на что способна.
Более строгие BYOD политики компании вынудили пойти на крайние меры. Теперь эта Hack-Machine должна показать на что способна. Задача #1 на ближайшие пару недель - отбить её стоимость. Конфиг не самый жирный - 14' M1 Pro, 48GB, 18 CPU, 20 GPU, 1TB. Но для моих целей подойдет абсолютно точно. Да и локальные модели я не планировал крутить на ней. Задачи на месяц еще более амбициозны. Но об этом как нибудь в следующих публикациях 😉 Пока сохраню интригу.
1 793
7
Вот чисто я в ожидании когда мои 12 Critical, 3 High и 2 Medium начнут оплачивать. Но кажется впервые за долгие годы на платф
Вот чисто я в ожидании когда мои 12 Critical, 3 High и 2 Medium начнут оплачивать. Но кажется впервые за долгие годы на платформе, я ожидаю тотальный скам, и возможное закрытие программы. Раньше всегда оплачивалось в течении 3-5 дней. Теперь же прошло почти полтора месяца и ноль реакции в репортах. При этом все баги удивительным образом исправляются 💁‍♂️
1 897
8
Сидел я как-то пару вечеров и отстреливал багу за багов в скоупе одной конторы. Но в какой-то момент я так глубоко вывалился
Сидел я как-то пару вечеров и отстреливал багу за багов в скоупе одной конторы. Но в какой-то момент я так глубоко вывалился за скоуп, что проломил основного "провайдера" системных интеграций. А там столько данных.... Столько компаний ... И смешно и грустно. Видимо теперь придется искать формочку Responsible Disclosure у этих ребяток 😒
1 980
9
Раз разрешение на дисклоуз от Bundeswehr, то можно и опубликовать. Сказ о том как немецкие журналисты слили интересы "национальной безопасности". Приятного чтения 😉 https://medium.com/@krevetk0/mercury-rising-how-german-journalists-exposed-a-live-nato-locked-shields-system-35b98d570b9a?sk=4be7d16ed1f8d00e4079613b41e73fbd
2 449
10
Куда вас водили в 8 лет? Меня например в деревню ягоды собирать и корову с выпаса встречать🙈 На самом деле в шоке что малому+2
Куда вас водили в 8 лет? Меня например в деревню ягоды собирать и корову с выпаса встречать🙈 На самом деле в шоке что малому такие возможности перепали. Даж завидую немного.
3 031
11
AI SEO Osint по ссылке. Хочется верить, что при проверке документов никто не будет пользоваться всякими Kimi и Llama. А то та+1
AI SEO Osint по ссылке. Хочется верить, что при проверке документов никто не будет пользоваться всякими Kimi и Llama. А то там, судя по всему, следующей страницей почти сразу покажут ордер за cyber crime 🙈
3 401
12
Советы о том, как избегать дублей, фокусируясь только на сложных и импактных багах, больше не работают. Но поиск креативных п
Советы о том, как избегать дублей, фокусируясь только на сложных и импактных багах, больше не работают. Но поиск креативных проблем пока остаётся вполне рабочим выходом из ситуации. PS: Если кто-то всё ещё считает, что sophisticated attack vector - это попытка занизить критичность, то у меня для таких людей плохие новости.
2 608
13
Я тут совершил одно ночное приключение. И впечатления от находки всё ещё не отпускают. Весьма крупный финансовый сервис провт
Я тут совершил одно ночное приключение. И впечатления от находки всё ещё не отпускают. Весьма крупный финансовый сервис провтыкал возможность отправки сообщений через свой официальный верифицированный адрес. Сказать, что я в шоке, - ничего не сказать. У ребят видимо Compliance - это буквально какая-то формальность нарисованная в фотошопе. Это ж сколько пользователей можно было "обработать" на отправку денег на «безопасный счёт» 🙈
2 278
14
Из утюгов и чайников летят новости о том, что Anthropic выкатили пресс-релиз и что модели поколения Mythos будут ограничены в
Из утюгов и чайников летят новости о том, что Anthropic выкатили пресс-релиз и что модели поколения Mythos будут ограничены в доступе. Но на самом деле тут есть два очень понятных нюанса. 1) Да, модели могут и могли в хакинг. И меня уже полгода мучил вопрос: а как же моментик с регулированием экспорта cyber weapons? Ведь Cellebrite не продаёт любому потребителю свои коробки. Стало быть, и модельки с продвинутыми навыками не должны попадать в ненадёжные руки. 2) У Anthropic скоро IPO, а это отличный катализатор, чтобы заиметь «ценности», которые могут бустить компанию в оценке.
2 670
15
Агентов для кодинга и багфиксов уже можно встретить очень часто. Это быстро смекнули ребята в чёрных шляпах и начали свои тёмные делишки в этом направлении. Так, например, одна из обнаруженных атак строилась на захламлении Sentry алертами, которые провоцировали кодинг-агента пойти и исправить проблему, попутно подтягивая malicious dependency. Формат атаки следующий: 1) Нагружаем Sentry липовыми баг-алертами. Сделать это, в принципе, несложно. Да и найти идентификаторы Sentry в JS — задача довольно тривиальная. 2) Фейковый баг убеждает агента, что исправление требует установки отсутствующей зависимости или обновления до версии, которую уже успели захакать. 3) Скомпрометированный пакет приезжает в проект и уносит все переменные окружения на подозрительный домен вроде advisory-tracker[.]com/api/v1/telemetry. P.S. Аналогичную историю рассказывали на Black Hat USA: через JIRA MCP саппорт-тикет заставил Cursor собрать креды и сделать их эвакуацию в «безопасное место».
8 644
16
Ребята из Bugcrowd 2ого июля проводят митап в Берлине и позвали меня в качестве приглашённого хакера. Если у вас есть время, желание и интерес поболтать о хакинге, хакерах, ну и расширить нетворкинг - регистрируйтесь на встречу по ссылке. На крайний случай можно после митапа поболтать о жизни и развлечениях кризиса среднего возраста 😉
2 187
17
С появлением LLM стало значительно проще генерить сумасшедшие идеи. В апреле я решил посмотреть на утёкшие сорцы и конфиги од+1
С появлением LLM стало значительно проще генерить сумасшедшие идеи. В апреле я решил посмотреть на утёкшие сорцы и конфиги одной фирмы. Сорцам было уже 9 лет, а репорт по утечке исходников ранее закрыли как informative. Но знание систем компании помогло найти сервис, где эти исходники играли важную роль. Дальше LLM на основе сорцов и динамического тестирования нашла паттерн выполнения запросов без авторизации. Анализ ответов указывал, что это уже RCE. Деплоить свой код в облако я не стал, т.к. моментально бы навернул систему учёта продаж крупного ритейла. Однако триажер из HackerOne, не читая репорт, предложил доказать RCE. Когда я спросил, сможет ли он откатить изменения, если я внезапно всё нахер сломаю, репорт ушёл на ревью. И лежал там месяц. Пока другой рисёрчер не пришёл и не навернул им прод 🤣 Спасибо этому господину за ускорение рассмотрения моей баги. Иногда не надо скромничать. Особенно если тебя уже попросили протестить "опасно" 😉 Где там "опенсорсную" монорепу Яндекса ещё можно скачать? 😏
2 526
18
Занимательная история о том, как аккаунты в Instagram угонялись через Meta AI Support Agent. Полное видео можно найти по ссыл+1
Занимательная история о том, как аккаунты в Instagram угонялись через Meta AI Support Agent. Полное видео можно найти по ссылке. И в целом бага уровня бурповых лабораторок когда бота просто просишь поменять email на "правильный". Но у кого-то может возникнуть вопрос: да как так? Неужели настолько просто? Почему? И вот моё субъективное мнение. Последние 3 месяца в Meta была волнительная обстановка. Метрики по использованию AI, стресс на фоне плановых сокращений, хайринг фриз, плохая структурная организация между командами и их взаимодействую. И как итог — сырую фичу катят в прод. Причем видно, что для успешной атаки лучше всего подсовывать VPN с близкой локацией. Но, видимо, на уровне бота и его прав доступа не вкрутили необходимые проверки и не настроили нужные алерты. А архитектурное ревью и ограничения бота просто не успели проработать. Уверен, что в Meta работают умные инженеры, которые способны предусмотреть подобные сценарии. Но корпоративная реальность часто диктует свои правила🤷‍♂️
2 413
19
Один из «отцов» русскоязычного Bug Bounty залетел на подкаст и поделился своим опытом, подходами и стратегиями поиска уязвимостей. Поговорили про выбор целей, участие в hacking events, состояние bug bounty в СНГ и то, что на самом деле помогает находить хорошие баги годами, а не случайно время от времени. Уверен, что выпуск будет интересен и полезен как новичкам, так и опытным исследователям. Приятного просмотра 😉
4 897
20
Недельный отпуск подходит к концу. Порешал всякие бытовые вопросики, на которые не хватало времени и сил. Сгонял на Балтийско+1
Недельный отпуск подходит к концу. Порешал всякие бытовые вопросики, на которые не хватало времени и сил. Сгонял на Балтийское море и поймал много великолепных волн за морскими кораблями.🏄‍♂️ А напоследок открылась моя любимая программа, и я успел их порадовать от души 😁 Июнь обещает быть сложным и загруженным. Но где наша не пропадала?🦾
2 014