В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

1085 membersпожаловаться на группу
2020 July 20

VV

Vladimir Vlasov in WebPwnChat
Точно, теперь понял
Для меня как-то понятия DDoS и DoS смешались, забыл уж, что отказ можно вызвать не только большим трафиком
источник
18:07пожаловаться#1

P

PM in WebPwnChat
mail.ru out of scope
источник
18:08пожаловаться#2

SB

Sergey Belov in WebPwnChat
PM
mail.ru out of scope
В клиентах можно искать )
источник
18:12пожаловаться#3

IN

Ivan N in WebPwnChat
он слишком медийный, пишет статьи, опасно для имиджа))
источник
18:38пожаловаться#4

IN

Ivan N in WebPwnChat
не думаю что много, достаточно четкий чел. Я бы не сказал что смаглинг это его идея, он просто удачно заюзал турбо интрудер, так то были статьи в 2005 году, потом другой чел проресерсчил это в 2016 году
источник
18:40пожаловаться#5

IN

Ivan N in WebPwnChat
плюс не забывай что он в ресерче бурпа, а это означает что ему бабки платят именно за ресерч)
источник
18:40пожаловаться#6

IN

Ivan N in WebPwnChat
вот ресерч с дефкона 2016 года про смаглинг и эксплуатацию
источник
18:43пожаловаться#7

IN

Ivan N in WebPwnChat
https://www.youtube.com/watch?v=dVU9i5PsMPY
YouTube
DEF CON 24 - regilero - Hiding Wookiees in HTTP: HTTP smuggling
HTTP is everywhere, everybody wants to write an HTTP server. So I wrote mine :-) But mine not fast, and come with an HTTP client which sends very bad HTTP queries. My tool is a stress tester for HTTP servers and proxies, and I wrote it because I found flaws in all HTTP agents that I have checked in the last year i.e. nodejs, golang, Apache httpd, FreeBSD http, Nginx, Varnish and even Haproxy. This presentation will try to explain how flaws in HTTP parsers can be exploited for bad things; we'll play with HTTP to inject unexpected content in the user browser, or perform actions in his name.

If you know nothing about HTTP it should be understandable, but you'll have to trust me blindly at the end. If you think you know HTTP, you have no reason to avoid this talk. Then, the short part, I will show you this new Open Source stress tool that I wrote and hope that you will remember it when you'll write your own HTTP parser for you new f** language.

Bio:
regilero is a DevOp, and this started far before this term. Twenty…
источник
18:43пожаловаться#8

AK

Anton Kirsanov 🐸 in WebPwnChat
еще и мир подстроился под проблему, цепочки фронтов в клаудах
источник
18:46пожаловаться#9

IN

Ivan N in WebPwnChat
в целом не ставлю задачу убедить тебя, но есть еще такие слова как популяризация, PR и прочее )
источник
18:46пожаловаться#10

AK

Anton Kirsanov 🐸 in WebPwnChat
это тоже сыграло свою роль
источник
18:46пожаловаться#11

自閉症のポイント... in WebPwnChat
есть 2 куска пхп кода, первый делает проверку и умирает если она не прошла, второй уже обладает нужным функционалом, можно как-то обратиться ко второму или там все строго последовательно? условно контент file.php это <?php check() ?> <?php dosmth?>
источник
18:49пожаловаться#12

AK

Anton Kirsanov 🐸 in WebPwnChat
自閉症のポイント
есть 2 куска пхп кода, первый делает проверку и умирает если она не прошла, второй уже обладает нужным функционалом, можно как-то обратиться ко второму или там все строго последовательно? условно контент file.php это <?php check() ?> <?php dosmth?>
там всё последовательно, если только искать проблемы в реализации проверки или в остановке исполнения.
Например частая проблема в говнокоде - 
if(!auth()) header("/");
dosmth;
источник
18:53пожаловаться#13

自閉症のポイント... in WebPwnChat
Anton Kirsanov 🐸
там всё последовательно, если только искать проблемы в реализации проверки или в остановке исполнения.
Например частая проблема в говнокоде - 
if(!auth()) header("/");
dosmth;
понятно, спасибо
источник
18:54пожаловаться#14

᠌᠌Sh1Yo in WebPwnChat
Мне кажется или hackerone как-то хитро поступили? За информативы сигнал не спадает в last 90 Days, но спадает в All Time
источник
19:30пожаловаться#15

S

Sviatoslav in WebPwnChat
https://medium.com/bugbountywriteup/the-1-000-worth-cookie-6cf48af08e08 - mail.ru за self-xss платит? или триажеры нашли способ установить куку?
Medium
The $1,000 worth cookie
A story of DOM XSS in Mail.ru
источник
20:47пожаловаться#16

᠌᠌Sh1Yo in WebPwnChat
Тоже кстати показалось интересным
источник
20:48пожаловаться#17

᠌᠌Sh1Yo in WebPwnChat
Думаю может defence in depth т.к это мейн домен
источник
20:49пожаловаться#18

S

Sviatoslav in WebPwnChat
мб, но в полиси вроде прописано что селф - вне скоупа
источник
20:51пожаловаться#19

S

Sviatoslav in WebPwnChat
могли просто зафиксить не заплатив
источник
20:51пожаловаться#20