I
чего
Size: a a a
2020 May 18
R
Ну преобразования имеется ввиду
P
ну-да ну-да. пошел я на хрен
V
интересно кстати, у кого то вообще был позитивный опыт его применения в баунти
Мне кажеться это скорее теоретическая угроза. Большинство сайтов используют встроеные криптостойкие генераторы сессий
I
секвенсер же вообще не про подбор хешей, он показывает всякие совпадения ?
P
Мне кажеться это скорее теоретическая угроза. Большинство сайтов используют встроеные криптостойкие генераторы сессий
большинство сайтов в ББ.
но не большинство сайтов в принципе.
у некоторых сессии на куках основанные которые генерятся даже на времени посещения сайта
но не большинство сайтов в принципе.
у некоторых сессии на куках основанные которые генерятся даже на времени посещения сайта
P
секвенсер же вообще не про подбор хешей, он показывает всякие совпадения ?
ну чтобы показать совпадения он должен понять какие значения в куках и токенах хранятся. для этого отдельные его фрагменты нужно расшифровать
I
кажется это не так работает
᠌
Он же просто берет строки и сравнивает их на наличие совпадений, определяет насколько они случайные etc..
h◔
Оо чат маску надел )
BF
Пхахаха
КР
интересно кстати, у кого то вообще был позитивный опыт его применения в баунти
я как-то дрочил эндпоинт авторизации и выписывал 1000 токенов.
Потом их скормил. Но секвенсер лишь выдал то, что "хрен ты этот токен подберешь". :)
Потом их скормил. Но секвенсер лишь выдал то, что "хрен ты этот токен подберешь". :)
I
ну это тоже информация ведь)
I
что не стоит время терять и надо смотреть дальше
VP
тут недавно была история на медиуме, когда индус подобрал механизм генерации сессионного(или токена сброса пароля) у яху, сдал это в баунти, и даже не дожидаясь выплаты, запилил статью на медиуме, где подробно описал как подобрал закономерность в токенах.
История закончилась для него печально, статью удалили, индуса забанили в программе, баунти думаю он тоже не получил.
НО исходя из того что я в ней прочитал, такое sequencer мог бы подобрать
История закончилась для него печально, статью удалили, индуса забанили в программе, баунти думаю он тоже не получил.
НО исходя из того что я в ней прочитал, такое sequencer мог бы подобрать
h◔
тут недавно была история на медиуме, когда индус подобрал механизм генерации сессионного(или токена сброса пароля) у яху, сдал это в баунти, и даже не дожидаясь выплаты, запилил статью на медиуме, где подробно описал как подобрал закономерность в токенах.
История закончилась для него печально, статью удалили, индуса забанили в программе, баунти думаю он тоже не получил.
НО исходя из того что я в ней прочитал, такое sequencer мог бы подобрать
История закончилась для него печально, статью удалили, индуса забанили в программе, баунти думаю он тоже не получил.
НО исходя из того что я в ней прочитал, такое sequencer мог бы подобрать
Подобрать еще раз и слить на форумах
P
я заметил, что как не индус в ББ, то абсолютно каждый "security engineer"
IS
Подобрать еще раз и слить на форумах
Фу таким быть)
P
Фу таким быть)
информация должна быть свободной :)
BF
тут недавно была история на медиуме, когда индус подобрал механизм генерации сессионного(или токена сброса пароля) у яху, сдал это в баунти, и даже не дожидаясь выплаты, запилил статью на медиуме, где подробно описал как подобрал закономерность в токенах.
История закончилась для него печально, статью удалили, индуса забанили в программе, баунти думаю он тоже не получил.
НО исходя из того что я в ней прочитал, такое sequencer мог бы подобрать
История закончилась для него печально, статью удалили, индуса забанили в программе, баунти думаю он тоже не получил.
НО исходя из того что я в ней прочитал, такое sequencer мог бы подобрать
Десять лет назад такое поведение было нормой