Поросёнок Пётр

Ребята из Bugcrowd 2ого июля проводят митап в Берлине и позвали меня в качестве приглашённого хакера. Если у вас есть время, желание и интерес поболтать о хакинге, хакерах, ну и расширить нетворкинг - регистрируйтесь на встречу по ссылке. На крайний случай можно после митапа поболтать о жизни и развлечениях кризиса среднего возраста 😉

С появлением LLM стало значительно проще генерить сумасшедшие идеи. В апреле я решил посмотреть на утёкшие сорцы и конфиги одной фирмы. Сорцам было уже 9 лет, а репорт по утечке исходников ранее закрыли как informative. Но знание систем компании помогло найти сервис, где эти исходники играли важную роль. Дальше LLM на основе сорцов и динамического тестирования нашла паттерн выполнения запросов без авторизации. Анализ ответов указывал, что это уже RCE. Деплоить свой код в облако я не стал, т.к. моментально бы навернул систему учёта продаж крупного ритейла. Однако триажер из HackerOne, не читая репорт, предложил доказать RCE. Когда я спросил, сможет ли он откатить изменения, если я внезапно всё нахер сломаю, репорт ушёл на ревью. И лежал там месяц. Пока другой рисёрчер не пришёл и не навернул им прод 🤣 Спасибо этому господину за ускорение рассмотрения моей баги. Иногда не надо скромничать. Особенно если тебя уже попросили протестить "опасно" 😉 Где там "опенсорсную" монорепу Яндекса ещё можно скачать? 😏

Занимательная история о том, как аккаунты в Instagram угонялись через Meta AI Support Agent. Полное видео можно найти по ссылке. И в целом бага уровня бурповых лабораторок когда бота просто просишь поменять email на "правильный". Но у кого-то может возникнуть вопрос: да как так? Неужели настолько просто? Почему? И вот моё субъективное мнение. Последние 3 месяца в Meta была волнительная обстановка. Метрики по использованию AI, стресс на фоне плановых сокращений, хайринг фриз, плохая структурная организация между командами и их взаимодействую. И как итог — сырую фичу катят в прод. Причем видно, что для успешной атаки лучше всего подсовывать VPN с близкой локацией. Но, видимо, на уровне бота и его прав доступа не вкрутили необходимые проверки и не настроили нужные алерты. А архитектурное ревью и ограничения бота просто не успели проработать. Уверен, что в Meta работают умные инженеры, которые способны предусмотреть подобные сценарии. Но корпоративная реальность часто диктует свои правила🤷‍♂️

Один из «отцов» русскоязычного Bug Bounty залетел на подкаст и поделился своим опытом, подходами и стратегиями поиска уязвимостей. Поговорили про выбор целей, участие в hacking events, состояние bug bounty в СНГ и то, что на самом деле помогает находить хорошие баги годами, а не случайно время от времени. Уверен, что выпуск будет интересен и полезен как новичкам, так и опытным исследователям. Приятного просмотра 😉

Недельный отпуск подходит к концу. Порешал всякие бытовые вопросики, на которые не хватало времени и сил. Сгонял на Балтийское море и поймал много великолепных волн за морскими кораблями.🏄‍♂️ А напоследок открылась моя любимая программа, и я успел их порадовать от души 😁 Июнь обещает быть сложным и загруженным. Но где наша не пропадала?🦾

1:0 в пользу рисёрчеров. Вчера CEO HackerOne публично признала, что старая модель рассмотрения отчетов не работает. Теперь ребята с репутацией на платформе не будут попадать в общую очередь с новоиспеченными вайб-хакерами. Отличное решение проблемы, на мой взгляд. После долгих лет было грустно смотреть, как тебя гоустят. Теперь осталось решить проблему триажеров. У меня люто подгорает, когда я вижу неуместный комментарий в отношении моего репорта. А потом открываю профиль триажера и вижу, что он появился на платформе в последний год. И вот мне теперь надо бороться с этим lack of skill. Но ничего. Это мы тоже победим 🦾

Утомило меня все это ваше секьюрити и ai агенты. Укатил восстанавливать менталку🏄🏻‍♂️ Море ожидаемо холодное. Дует примерно 5-8м/с, что создает очень приятный и интересный рельеф для катания по набегающим волнам. Впервые за пять лет заглянул в общую статистику затрэканных поездок. Сильно удивился с учетом что я не абсолютно все поездки трэкал. Top speed очевидный глюк датчика скорости.

Сосед напротив наконец-то разгреб свой бэклог. А вы говорите AI не работает 💁🏻‍♂️

Shubham Shah (shubs) закинул тут очень дельное размышление на тему проблем платформ и bug bounty индустрии в целом. https://shubs.io/the-down-fall-of-bug-bounties/ У меня, на самом деле, схожая ситуация: достаточно годные репорты просто утонули в потоке бестолковых попыток других ребят заработать свои первые сто баксов. Азарт поиска и отправки валидного репорта умирает, когда программа встает на паузу или вообще не может принять репорт, т.к. у них нет ресурсов разгрести входящие и правильно всё оценить. Объективности становится меньше. Кстати, объем «новорегов» на HackerOne тоже какой-то смертоносный. Я это вижу как менеджер программы. Хочется верить, что платформы наконец-то начнут приоритезировать репорты по метрикам профиля исследователя. Либо введут платные сабмиты, как это сделал HackenProof. В остальном теперь это больше похоже на отправку репорта на security@example.com. Где всегда есть шансы что репорт просто окажется в спаме.

Пупупу. Кажется кто-то нашел слитый гитхаб токен сотрудника Grafana. И вместо того чтоб пытаться запроцессить находку через bug bounty платформу, он решил что можно просто потребовать выкуп за «удаление» скаченных сорцов. Why not? 💁🏻‍♂️ Полагаю что графана в ближайшее время будет источником supply chain рисков. https://x.com/grafana/status/2055827123236171827?s=46&t=CF0Vh-Z-vc7fuRxW3gUbMw

На самом деле я давно подписан на @codeby_sec, где частенько публикуются годные материалы. А тут у них очередной набор в группу 🥷 Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Старт 25 мая — регистрация здесь. Что вас ждёт: 🔸 Освоение полного цикла пентеста: от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети 🔸 Практика атак на сети, web-сайты, ОС и устройства, а также проведение внутреннего и внешнего пентеста 🔸 Работа с Kali Linux, администрированием, написанием эксплойтов и шелл-кода, обходом антивирусных решений 🔸 Сможете увереннее участвовать в Bug Bounty программах или построить карьеру в информационной безопасности 🚀Присоединяйтесь к Академии Кодебай — защищайте мир от угроз, находя уязвимости и предотвращая кибератаки! Подробнее о курсе. Про Bug Bounty вы можете дальше читать тут, пока у меня есть ипотеки. Но вот шлифануть базу кому-то будет точно полезно 🦾

Кажется, всем известный Pwn20wn проживает переломный момент. Все эти ваши неглупые LLM-модели привели к тому, что количество Oday и количество заявок на участие оказалось сильно больше, чем могут переварить организаторы. Многих крутых рисёрчеров просто игнорили до последнего. А потом и вовсе прислали отказ в рассмотрении заявки на участие. Кажется рынок 0-day уязвимостей проживает как лучшие так и худшие времена. Ведь при огромном предложении, спрос очевидно будет делать коррекцию.

Весьма неплохой результат за 5 лет. Что думаете? Даже не знаю, чем я потом вас буду развлекать в этом канале. Видимо, придётся ещё поискать варианты и снова «залететь в историю». Дорогое это удовольствие — вести канал в телеге 😁

Кажется это очередное возвращение к истокам. К результативным ночным посиделкам, после которых и без redbull сложно уснуть. Надеюсь криты еще для меня остались 😎

https://hacks.mozilla.org/2026/05/behind-the-scenes-hardening-firefox/ Увлекательное пятничное чтиво принёс вам. Пока вы читаете, я уже записываюсь на приём в JobCenter. Отвлекающий манёвр так сказать 😏 А вообще бэклог на исправление багов в некоторых компаниях стремительно улетает в космос уже сейчас. Именно рабочие баги, а не репорты нейрослопа. Мне вот уже дубли на криты попадаются, которые месяц назад зарепортили. Раньше такое редко встретить можно было 🥲

А много тут людей, кто смог найти рюкзак мечты? Уверен, что среди читателей достаточно айтишников, кто практически каждый день таскает свой ноутбук в рюкзаке, который всем устраивает. Мне вот интересно узнать, что это за модели рюкзаков и расцветки. А то современный тренд безвкусных, стрёмных чёрных рюкзаков меня утомил. Плюс эти скучные рюкзаки не умеют прицепить скейт и не выдавать в тебе школьника, который опоздал к первому уроку. Короче, не сдерживайтесь и накидайте ссылок и фоток в комменты. Хочется реально что-то классное найти.

Кажется кто-то скормил данный канал в качестве тренировочного датасета 🤨 Теперь для определения сложных задач нужно в промте указывать что вы в Ижевске. Тогда effort в решении вопроса будет лучше 😉

Господа эксперты. Если сотрудникам компании похер на сообщения через LinkedIn. HR специалист компании вообще не заинтересован в том что у компании есть утечка кастомеров с именами, email и телефонами. Региональный CERT не смог так же уведомить их и принудить к исправлению системы. Что дальше? Gdpr репорт в региональное управления?

Кажется мы начали забывать для чего создавался этот блог😁 Сегодня открыл свой 6ой сезон на фойле. За зиму при бережном хранении с батареей ничего не произошло. Даже деградации не случилось. Домашний спот уже немного приелся, и видимо надо в менее привычные места выбираться. Но в любом случае это такой кайф 🏄🏻‍♂️