Поросёнок Пётр
Ir al canal en Telegram
чат: @pigPeter_chat Истории обыденных дней поросёнка в Берлине Предложения, вопросы, сотрудничество: @Valyaroller
Mostrar más4 127
Suscriptores
-224 horas
-37 días
+2630 días
Carga de datos en curso...
Canales Similares
Nube de Etiquetas
Menciones Entrantes y Salientes
---
---
---
---
---
---
Atraer Suscriptores
julio '26
julio '26
+18
en 0 canales
junio '26
+115
en 7 canales
Get PRO
mayo '26
+124
en 3 canales
Get PRO
abril '26
+137
en 2 canales
Get PRO
marzo '26
+111
en 6 canales
Get PRO
febrero '26
+70
en 2 canales
Get PRO
enero '26
+101
en 5 canales
Get PRO
diciembre '25
+72
en 6 canales
Get PRO
noviembre '25
+64
en 4 canales
Get PRO
octubre '25
+95
en 4 canales
Get PRO
septiembre '25
+110
en 7 canales
Get PRO
agosto '25
+90
en 7 canales
Get PRO
julio '25
+175
en 7 canales
Get PRO
junio '25
+103
en 5 canales
Get PRO
mayo '25
+175
en 12 canales
Get PRO
abril '25
+95
en 4 canales
Get PRO
marzo '25
+137
en 21 canales
Get PRO
febrero '25
+123
en 6 canales
Get PRO
enero '25
+76
en 4 canales
Get PRO
diciembre '24
+68
en 5 canales
Get PRO
noviembre '24
+86
en 2 canales
Get PRO
octubre '24
+205
en 9 canales
Get PRO
septiembre '24
+127
en 5 canales
Get PRO
agosto '24
+101
en 4 canales
Get PRO
julio '24
+79
en 6 canales
Get PRO
junio '24
+151
en 7 canales
Get PRO
mayo '24
+95
en 4 canales
Get PRO
abril '24
+121
en 6 canales
Get PRO
marzo '24
+88
en 0 canales
Get PRO
febrero '24
+94
en 0 canales
Get PRO
enero '24
+149
en 6 canales
Get PRO
diciembre '23
+162
en 3 canales
Get PRO
noviembre '23
+75
en 7 canales
Get PRO
octubre '23
+76
en 1 canales
Get PRO
septiembre '23
+193
en 0 canales
Get PRO
agosto '23
+102
en 0 canales
Get PRO
julio '23
+83
en 0 canales
Get PRO
junio '23
+114
en 0 canales
Get PRO
mayo '23
+542
en 0 canales
Get PRO
abril '23
+38
en 0 canales
Get PRO
marzo '23
+46
en 0 canales
Get PRO
febrero '23
+26
en 0 canales
Get PRO
enero '23
+45
en 0 canales
Get PRO
diciembre '22
+63
en 0 canales
Get PRO
noviembre '22
+39
en 0 canales
Get PRO
octubre '22
+38
en 0 canales
Get PRO
septiembre '22
+56
en 0 canales
Get PRO
agosto '22
+35
en 0 canales
Get PRO
julio '22
+100
en 0 canales
Get PRO
junio '22
+82
en 0 canales
Get PRO
mayo '22
+112
en 0 canales
Get PRO
abril '22
+24
en 0 canales
Get PRO
marzo '22
+47
en 0 canales
Get PRO
febrero '22
+152
en 0 canales
Get PRO
enero '22
+101
en 0 canales
Get PRO
diciembre '21
+25
en 0 canales
Get PRO
noviembre '21
+28
en 0 canales
Get PRO
octubre '21
+34
en 0 canales
Get PRO
septiembre '21
+88
en 0 canales
Get PRO
agosto '21
+68
en 0 canales
Get PRO
julio '21
+10
en 0 canales
Get PRO
junio '21
+30
en 0 canales
Get PRO
mayo '21
+35
en 0 canales
Get PRO
abril '21
+10
en 0 canales
Get PRO
marzo '21
+21
en 0 canales
Get PRO
febrero '21
+358
en 0 canales
| Fecha | Crecimiento de Suscriptores | Menciones | Canales | |
| 10 julio | 0 | |||
| 09 julio | +1 | |||
| 08 julio | +2 | |||
| 07 julio | +2 | |||
| 06 julio | +5 | |||
| 05 julio | 0 | |||
| 04 julio | +1 | |||
| 03 julio | +1 | |||
| 02 julio | +4 | |||
| 01 julio | +2 |
Publicaciones del Canal
Все еще не могу осознать что сходил на их концерт.
Если кому-то раньше удалось их увидеть в живую - то я вам завидую. Большую часть жизни у меня не было таких возможностей. В том числе и финансовых. А единство огромного олимпийского стадиона было невероятным. Хочется чтоб весь мир жил в таком единстве.
Make love not war 🫶
SOAD 🤟🏻🇦🇲
| 2 | Более строгие BYOD политики компании вынудили пойти на крайние меры.
Теперь эта Hack-Machine должна показать на что способна.
Задача #1 на ближайшие пару недель - отбить её стоимость.
Конфиг не самый жирный - 14' M1 Pro, 48GB, 18 CPU, 20 GPU, 1TB. Но для моих целей подойдет абсолютно точно. Да и локальные модели я не планировал крутить на ней.
Задачи на месяц еще более амбициозны. Но об этом как нибудь в следующих публикациях 😉
Пока сохраню интригу. | 1 112 |
| 3 | Вот чисто я в ожидании когда мои 12 Critical, 3 High и 2 Medium начнут оплачивать.
Но кажется впервые за долгие годы на платформе, я ожидаю тотальный скам, и возможное закрытие программы. Раньше всегда оплачивалось в течении 3-5 дней. Теперь же прошло почти полтора месяца и ноль реакции в репортах. При этом все баги удивительным образом исправляются 💁♂️ | 1 526 |
| 4 | Сидел я как-то пару вечеров и отстреливал багу за багов в скоупе одной конторы.
Но в какой-то момент я так глубоко вывалился за скоуп, что проломил основного "провайдера" системных интеграций.
А там столько данных.... Столько компаний ...
И смешно и грустно.
Видимо теперь придется искать формочку Responsible Disclosure у этих ребяток 😒 | 1 715 |
| 5 | Раз разрешение на дисклоуз от Bundeswehr, то можно и опубликовать.
Сказ о том как немецкие журналисты слили интересы "национальной безопасности".
Приятного чтения 😉
https://medium.com/@krevetk0/mercury-rising-how-german-journalists-exposed-a-live-nato-locked-shields-system-35b98d570b9a?sk=4be7d16ed1f8d00e4079613b41e73fbd | 2 279 |
| 6 | Куда вас водили в 8 лет?
Меня например в деревню ягоды собирать и корову с выпаса встречать🙈
На самом деле в шоке что малому такие возможности перепали. Даж завидую немного. | 2 599 |
| 7 | AI SEO Osint по ссылке.
Хочется верить, что при проверке документов никто не будет пользоваться всякими Kimi и Llama. А то там, судя по всему, следующей страницей почти сразу покажут ордер за cyber crime 🙈 | 2 951 |
| 8 | Советы о том, как избегать дублей, фокусируясь только на сложных и импактных багах, больше не работают.
Но поиск креативных проблем пока остаётся вполне рабочим выходом из ситуации.
PS: Если кто-то всё ещё считает, что sophisticated attack vector - это попытка занизить критичность, то у меня для таких людей плохие новости. | 2 539 |
| 9 | Я тут совершил одно ночное приключение. И впечатления от находки всё ещё не отпускают.
Весьма крупный финансовый сервис провтыкал возможность отправки сообщений через свой официальный верифицированный адрес.
Сказать, что я в шоке, - ничего не сказать. У ребят видимо Compliance - это буквально какая-то формальность нарисованная в фотошопе.
Это ж сколько пользователей можно было "обработать" на отправку денег на «безопасный счёт» 🙈 | 2 203 |
| 10 | Из утюгов и чайников летят новости о том, что Anthropic выкатили пресс-релиз и что модели поколения Mythos будут ограничены в доступе. Но на самом деле тут есть два очень понятных нюанса.
1) Да, модели могут и могли в хакинг. И меня уже полгода мучил вопрос: а как же моментик с регулированием экспорта cyber weapons? Ведь Cellebrite не продаёт любому потребителю свои коробки. Стало быть, и модельки с продвинутыми навыками не должны попадать в ненадёжные руки.
2) У Anthropic скоро IPO, а это отличный катализатор, чтобы заиметь «ценности», которые могут бустить компанию в оценке. | 2 594 |
| 11 | Агентов для кодинга и багфиксов уже можно встретить очень часто. Это быстро смекнули ребята в чёрных шляпах и начали свои тёмные делишки в этом направлении.
Так, например, одна из обнаруженных атак строилась на захламлении Sentry алертами, которые провоцировали кодинг-агента пойти и исправить проблему, попутно подтягивая malicious dependency.
Формат атаки следующий:
1) Нагружаем Sentry липовыми баг-алертами. Сделать это, в принципе, несложно. Да и найти идентификаторы Sentry в JS — задача довольно тривиальная.
2) Фейковый баг убеждает агента, что исправление требует установки отсутствующей зависимости или обновления до версии, которую уже успели захакать.
3) Скомпрометированный пакет приезжает в проект и уносит все переменные окружения на подозрительный домен вроде advisory-tracker[.]com/api/v1/telemetry.
P.S. Аналогичную историю рассказывали на Black Hat USA: через JIRA MCP саппорт-тикет заставил Cursor собрать креды и сделать их эвакуацию в «безопасное место». | 8 571 |
| 12 | Ребята из Bugcrowd 2ого июля проводят митап в Берлине и позвали меня в качестве приглашённого хакера.
Если у вас есть время, желание и интерес поболтать о хакинге, хакерах, ну и расширить нетворкинг - регистрируйтесь на встречу по ссылке.
На крайний случай можно после митапа поболтать о жизни и развлечениях кризиса среднего возраста 😉 | 2 187 |
| 13 | С появлением LLM стало значительно проще генерить сумасшедшие идеи.
В апреле я решил посмотреть на утёкшие сорцы и конфиги одной фирмы. Сорцам было уже 9 лет, а репорт по утечке исходников ранее закрыли как informative.
Но знание систем компании помогло найти сервис, где эти исходники играли важную роль. Дальше LLM на основе сорцов и динамического тестирования нашла паттерн выполнения запросов без авторизации. Анализ ответов указывал, что это уже RCE.
Деплоить свой код в облако я не стал, т.к. моментально бы навернул систему учёта продаж крупного ритейла. Однако триажер из HackerOne, не читая репорт, предложил доказать RCE. Когда я спросил, сможет ли он откатить изменения, если я внезапно всё нахер сломаю, репорт ушёл на ревью.
И лежал там месяц. Пока другой рисёрчер не пришёл и не навернул им прод 🤣
Спасибо этому господину за ускорение рассмотрения моей баги. Иногда не надо скромничать. Особенно если тебя уже попросили протестить "опасно" 😉
Где там "опенсорсную" монорепу Яндекса ещё можно скачать? 😏 | 2 526 |
| 14 | Занимательная история о том, как аккаунты в Instagram угонялись через Meta AI Support Agent. Полное видео можно найти по ссылке. И в целом бага уровня бурповых лабораторок когда бота просто просишь поменять email на "правильный". Но у кого-то может возникнуть вопрос: да как так? Неужели настолько просто? Почему?
И вот моё субъективное мнение.
Последние 3 месяца в Meta была волнительная обстановка. Метрики по использованию AI, стресс на фоне плановых сокращений, хайринг фриз, плохая структурная организация между командами и их взаимодействую. И как итог — сырую фичу катят в прод.
Причем видно, что для успешной атаки лучше всего подсовывать VPN с близкой локацией. Но, видимо, на уровне бота и его прав доступа не вкрутили необходимые проверки и не настроили нужные алерты. А архитектурное ревью и ограничения бота просто не успели проработать.
Уверен, что в Meta работают умные инженеры, которые способны предусмотреть подобные сценарии. Но корпоративная реальность часто диктует свои правила🤷♂️ | 2 413 |
| 15 | Один из «отцов» русскоязычного Bug Bounty залетел на подкаст и поделился своим опытом, подходами и стратегиями поиска уязвимостей.
Поговорили про выбор целей, участие в hacking events, состояние bug bounty в СНГ и то, что на самом деле помогает находить хорошие баги годами, а не случайно время от времени.
Уверен, что выпуск будет интересен и полезен как новичкам, так и опытным исследователям.
Приятного просмотра 😉 | 4 897 |
| 16 | Недельный отпуск подходит к концу.
Порешал всякие бытовые вопросики, на которые не хватало времени и сил. Сгонял на Балтийское море и поймал много великолепных волн за морскими кораблями.🏄♂️
А напоследок открылась моя любимая программа, и я успел их порадовать от души 😁
Июнь обещает быть сложным и загруженным. Но где наша не пропадала?🦾 | 2 014 |
| 17 | 1:0 в пользу рисёрчеров.
Вчера CEO HackerOne публично признала, что старая модель рассмотрения отчетов не работает. Теперь ребята с репутацией на платформе не будут попадать в общую очередь с новоиспеченными вайб-хакерами.
Отличное решение проблемы, на мой взгляд. После долгих лет было грустно смотреть, как тебя гоустят. Теперь осталось решить проблему триажеров.
У меня люто подгорает, когда я вижу неуместный комментарий в отношении моего репорта. А потом открываю профиль триажера и вижу, что он появился на платформе в последний год. И вот мне теперь надо бороться с этим lack of skill.
Но ничего. Это мы тоже победим 🦾 | 2 412 |
| 18 | Утомило меня все это ваше секьюрити и ai агенты. Укатил восстанавливать менталку🏄🏻♂️
Море ожидаемо холодное. Дует примерно 5-8м/с, что создает очень приятный и интересный рельеф для катания по набегающим волнам.
Впервые за пять лет заглянул в общую статистику затрэканных поездок. Сильно удивился с учетом что я не абсолютно все поездки трэкал. Top speed очевидный глюк датчика скорости. | 2 798 |
| 19 | Сосед напротив наконец-то разгреб свой бэклог.
А вы говорите AI не работает 💁🏻♂️ | 2 831 |
| 20 | Shubham Shah (shubs) закинул тут очень дельное размышление на тему проблем платформ и bug bounty индустрии в целом.
https://shubs.io/the-down-fall-of-bug-bounties/
У меня, на самом деле, схожая ситуация: достаточно годные репорты просто утонули в потоке бестолковых попыток других ребят заработать свои первые сто баксов.
Азарт поиска и отправки валидного репорта умирает, когда программа встает на паузу или вообще не может принять репорт, т.к. у них нет ресурсов разгрести входящие и правильно всё оценить. Объективности становится меньше.
Кстати, объем «новорегов» на HackerOne тоже какой-то смертоносный. Я это вижу как менеджер программы.
Хочется верить, что платформы наконец-то начнут приоритезировать репорты по метрикам профиля исследователя. Либо введут платные сабмиты, как это сделал HackenProof. В остальном теперь это больше похоже на отправку репорта на security@example.com. Где всегда есть шансы что репорт просто окажется в спаме. | 2 427 |
