https://www.meetup.com/OWASP-Moscow/events/269006532/

У нас было предварительное обьявление про  OWASP митап, и набор заявок на доклады. Доклады набраны (хотя там есть место еще под один), мероприятие состоится.

На всякий случай уточняю еще раз: вход свободный, мероприятие бесплатное.

Все подробности и запись по ссылке:

Программа (обновляется):

18:30 Регистрация.
19:00 «Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON. Недавно состоялся долгожданный выпуск новой версии фреймворка для построения и оценки эффективности программы безопасности. Поговорим про что там нового и что это за проект вообще.
19:15 «Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT. Многие онлайн-сервисы используют SMS в качестве механизма аутентификации пользователей. Но допускаются маленькие ошибки, которые введут к крупным проблемам. Некоторые рекомендации для снижения уровня риска приложений. Именно об этом пойдет речь в этом выступлении.
19:30 «OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Баранов. Как в мире микро-сервисов иметь актуальную информацию о каждом из них с точки зрения безопасности? Попробуем найти решение этой проблемы и презентуем новую памятку в рамках проекта "OWASP Сheat Sheet Series"
19:55 Перерыв.
20:10 «Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин. В рамках всё более ускоряющегося процесса разработки не обойтись без автоматизации максимального количества контролей безопасности. Но что, если сами сервисы и автоматизированные контроли безопасности окажутся уязвимыми и могут быть использованы для атаки?
20:35 TBA
21:00 Окончание встречи

Сложный осинт, я такое не умею

да, я это заметил.
Например в том кейсе, когда можно было

1. Прочитать просто по ссылке  maps_me, что:

Information is provided and moderated by members of the community. Accuracy has not been validated by HackerOne. This page is not affiliated with Maps.me.

что означает: кто угодно может создать страничку-плейсхолдер, и написать туда любой сайт/компанию.

2. Поискать по hacktivity, и найти вот этот репорт: https://hackerone.com/reports/98512 (за это не платили в момент сдачи репорта 4 года назад, но теперь это в скоупе как other projects)

3. Посмотреть айпи рейнджи, и понять что оно расположено в инфраструктуре мейлру.

1. Не сделал
2. Сделал
3. Не сделал
4. Спросил Заразу

спросить Заразу-это уже не osint)

Соц инженерия?)

Почему maps.me External Program https://hackerone.com/maps_me, хоть и принадлежит mail.ru? Судя по всему пометят как out of scope, если в Мэйл зарепортить

там же в проге прям написано, что входит в скоуп )

вроде maps.me я там не видел, но там кучи всего нет что входит в скоуп

ы, в декабре убрали оказывается

maps.me - Ext B, чекни смс аутентификацию)

кто нибудь делал take over на readymag?

@i_bo0om Hello, do you know if this great finding is patched?

вроде maps.me я там не видел, но там кучи всего нет что входит в скоуп

Уберём скоро страничку maps me
Баги там репортить в /mailru

ты имеешь ввиду тот плейсхолдер?
да, hackerone хитрые, куча людей не понимает что это не официальная страничка