Про хакерские конфы
Расскажу про одну штуку, которую я бы исправил во всех хакерских конфах.
Ты типикал хацкер, приходишь на типикал хакерскую конфу OFFZONE, Standoff, ZeroNights (когда-то). Конфа крутая: куча движа, квесты, CTFы. Все збс, и естественно ты участвуешь во всех активностях для хака.
Но есть одно но!
НАХУЯ делать турнир на самой конфе, а мне сидеть все два дня и лупить в моник, пока вокруг тусуются тысячи людей, которые собрались ради движа?! Зачем собирать тонну хакеров, чтобы рассадить их по углам конфы, где они всю дорогу гнули спину и пообщались только на афтерпати.
На конфе здорового человека (тот же ZeroNights) можно за неделю или за несколько дней отфигачить даже не один турнир и прийти на тусовку, чтобы обмениваться опытом, нетворчиться, слушать выступления, общаться со спикерами. Как раз будет что обсудить на конфе, все уже все порешали и всю дорогу обсуждают как это было.
Охуенная идея для оргов которую уже подхватили в Standoff начитать турнир за два дня до конфы, собирать всех хакеров в оффлайн и кормить вкусняшками. А на конфу уже выносить все результаты, с разборами, с видеомонтажем всех горбатых пацанов сидящих за экраном монитора и пр.
В итоге можно было и на турнирной табличке выебнуться, и не потратить на сидение в неудобном людном месте пару дней, пропустив конфу.
Расскажу про одну штуку, которую я бы исправил во всех хакерских конфах.
Ты типикал хацкер, приходишь на типикал хакерскую конфу OFFZONE, Standoff, ZeroNights (когда-то). Конфа крутая: куча движа, квесты, CTFы. Все збс, и естественно ты участвуешь во всех активностях для хака.
Но есть одно но!
НАХУЯ делать турнир на самой конфе, а мне сидеть все два дня и лупить в моник, пока вокруг тусуются тысячи людей, которые собрались ради движа?! Зачем собирать тонну хакеров, чтобы рассадить их по углам конфы, где они всю дорогу гнули спину и пообщались только на афтерпати.
На конфе здорового человека (тот же ZeroNights) можно за неделю или за несколько дней отфигачить даже не один турнир и прийти на тусовку, чтобы обмениваться опытом, нетворчиться, слушать выступления, общаться со спикерами. Как раз будет что обсудить на конфе, все уже все порешали и всю дорогу обсуждают как это было.
Охуенная идея для оргов
В итоге можно было и на турнирной табличке выебнуться, и не потратить на сидение в неудобном людном месте пару дней, пропустив конфу.
2👍74💯25🔥18🤡4❤1👏1🗿1
Через 40 минут, буду в эфире!
Веду дискуссию на тему Импостеров в инфраструктуре.
Ссылка для тех, кто любит AmongUs: https://revolutionconf.ru
Веду дискуссию на тему Импостеров в инфраструктуре.
Ссылка для тех, кто любит AmongUs: https://revolutionconf.ru
R-EVOlution Conference
Конференция, посвящённая ИБ и ИТ-технологиям, где обсуждаются актуальные вопросы, демонстрируются решения и запускаются продукты, меняющие правила игры
👍13❤1🤡1
Какие уязвимости мы чаще всего находим в веб-приложениях
Мой коллега, специалист по анализу защищённости приложений @DikiDart собрал самые попсовые уязвимости веб-приложений на основе нашей практики в Singleton Security.
Если коротко — да, 2025 год, а набор популярных болячек максимально прост. На сотнях проектов — от банков до госов — повторяются одни и те же истории. Вот 6 уязвимостей, которые мы ловим чаще всего:
1. Client Side баги
Clickjacking, Form Hijacking, XSS, CSP дырявый или вообще отсутствует. Хочешь атаковать? Просто вставь payload — и смотри, где он отобразился.
2. IDOR
Подставляешь ID — и получаешь чужие данные — просто подарок пентестеру.
3. Атаки на пароли
Разный ответ на неверный логин и пароль — уже полдела. Дальше — Password Spraying, брутфорс, сбор почт через восстановление пароля.
4. Проблемы в загрузке файлов
Картинка с <script> в названии превращается в XSS. А если файлы не изолированы и плохо проверяются — можно дорасти и до RCE.
5. Race Condition
Отправляешь пачку запросов — и у тебя 99999 бонусов, три бесплатные покупки и чужой аккаунт. Если нет блокировок и контроля состояний — ждём логических уязвимостей.
6. Исходники на GitHub
Разработчик что-то выложил, а ты нашёл ключи, конфиги, логины. Да, такое до сих пор бывает. И пусть будет, а то деньги на еду кончатся.
Мой коллега, специалист по анализу защищённости приложений @DikiDart собрал самые попсовые уязвимости веб-приложений на основе нашей практики в Singleton Security.
Если коротко — да, 2025 год, а набор популярных болячек максимально прост. На сотнях проектов — от банков до госов — повторяются одни и те же истории. Вот 6 уязвимостей, которые мы ловим чаще всего:
1. Client Side баги
Clickjacking, Form Hijacking, XSS, CSP дырявый или вообще отсутствует. Хочешь атаковать? Просто вставь payload — и смотри, где он отобразился.
2. IDOR
Подставляешь ID — и получаешь чужие данные — просто подарок пентестеру.
3. Атаки на пароли
Разный ответ на неверный логин и пароль — уже полдела. Дальше — Password Spraying, брутфорс, сбор почт через восстановление пароля.
4. Проблемы в загрузке файлов
Картинка с <script> в названии превращается в XSS. А если файлы не изолированы и плохо проверяются — можно дорасти и до RCE.
5. Race Condition
Отправляешь пачку запросов — и у тебя 99999 бонусов, три бесплатные покупки и чужой аккаунт. Если нет блокировок и контроля состояний — ждём логических уязвимостей.
6. Исходники на GitHub
Разработчик что-то выложил, а ты нашёл ключи, конфиги, логины. Да, такое до сих пор бывает. И пусть будет, а то деньги на еду кончатся.
🔥31❤6👍4🤡2😴1
Про навыки, которые я притащил из пентеста в предпринимательство
Мало кого интересует этот вопрос, но мне кажется реально крутым, что хакерская практика, может прокачать бизнес скиллс. Делюсь наблюдением. Упорный хеккинг помогает:
1. Не бояться ошибаться.
Такая прям толерантность к факапам, которая вроде как приписывается предпринимателям, но на самом деле она из хакинга идёт ещё лучше. Потому что когда ты решаешь какие-то задачи, турниры, делаешь ресёрчи — у тебя всё постоянно не получается, ты по 10 раз что-то пробуешь, жопа горит из-за того, что все смогли, а ты один ковыряешься ещё. И ты живёшь в этой среде, где все кроме первого места лажают. А побеждают только те, кто постоянно пытаются. Это же в чистом виде тренировка предпринимательских начинаний.
2. Прокачать тех. эрудицию.
Теперь ты понимаешь, насколько сложно что-то сделать. Сколько стоит фича, сколько времени на неё уйдёт, как накостылить быстро MVP. И это супер помогает на ранних стадиях бизнеса, когда у тебя нет команды или она маленькая, и ты всё руками делаешь. Потому что пока ты сам не сделаешь, ничего не поедет.
3. Прокачать навык быстро учиться.
Просто садиться и разбираться в новой теме. В хакинге ты привыкаешь рыть мануалы, разбираться в каких-то ебаных фреймворках, JVM-ках, десериализациях, чужом говнокоде... И потом, когда ты лезешь в продажи, в маркетинг, в рынок — тебя уже ничем не удивить. Ты такой: ну типа, изи таска за 50…
Короче, хакер - это почти прирождённый предприниматель. По сути это он и есть, только в виртуальном мире, остаётся только научиться под свои больные идеи ещё и людей подтягивать.
Мало кого интересует этот вопрос, но мне кажется реально крутым, что хакерская практика, может прокачать бизнес скиллс. Делюсь наблюдением. Упорный хеккинг помогает:
1. Не бояться ошибаться.
Такая прям толерантность к факапам, которая вроде как приписывается предпринимателям, но на самом деле она из хакинга идёт ещё лучше. Потому что когда ты решаешь какие-то задачи, турниры, делаешь ресёрчи — у тебя всё постоянно не получается, ты по 10 раз что-то пробуешь, жопа горит из-за того, что все смогли, а ты один ковыряешься ещё. И ты живёшь в этой среде, где все кроме первого места лажают. А побеждают только те, кто постоянно пытаются. Это же в чистом виде тренировка предпринимательских начинаний.
2. Прокачать тех. эрудицию.
Теперь ты понимаешь, насколько сложно что-то сделать. Сколько стоит фича, сколько времени на неё уйдёт, как накостылить быстро MVP. И это супер помогает на ранних стадиях бизнеса, когда у тебя нет команды или она маленькая, и ты всё руками делаешь. Потому что пока ты сам не сделаешь, ничего не поедет.
3. Прокачать навык быстро учиться.
Просто садиться и разбираться в новой теме. В хакинге ты привыкаешь рыть мануалы, разбираться в каких-то ебаных фреймворках, JVM-ках, десериализациях, чужом говнокоде... И потом, когда ты лезешь в продажи, в маркетинг, в рынок — тебя уже ничем не удивить. Ты такой: ну типа, изи таска за 50…
Короче, хакер - это почти прирождённый предприниматель. По сути это он и есть, только в виртуальном мире, остаётся только научиться под свои больные идеи ещё и людей подтягивать.
❤33🥴17❤🔥10😁8🔥4🤡2👍1🤮1💩1
Всем привет с полей крупнейшей cybersecurity конференции в заливе!
В ближайшие пару дней набросаю вам моих мыслей про тренды в мировой сайберсекьюрити и подготовке спецов во все той же родимой, а пока вот вам пачечка давно забытых вашим глазом любимчиков.
В ближайшие пару дней набросаю вам моих мыслей про тренды в мировой сайберсекьюрити и подготовке спецов во все той же родимой, а пока вот вам пачечка давно забытых вашим глазом любимчиков.
🔥31👍5🤡2
Начнем с легеньких инсайтов
О конференции GISEC
Конференция сугубо о продуктах и маркетинговом питче своих последних концепций. Цель каждого стоящего - выцепить в толпе зеваку, дернуть его за грудки, пока он не очухался пичнуть свою AI Power Cyber Resilient Security Platform за 3 минут, отсканить бейдж и забрать лид в KPI.
Абсолютно не Community driven.
- 1 мутнейший и печальный аналог Standoff'a
- 1 страннейший турнир, на котором 5 печальных команд набрали 500 очков
- 0 чего-либо хардового
- 0 CTF'фов для тру пацанов
- 0 каких либо технарей у стендов, сплошь BDM и аккаунты.
В трети случаев чуваки на стендах вообще ничего не знают о своем продукте и не могут ответить ни на один вопрос, о том, как работает их продукт.
Такой, знаете, SOC FORUM world wide, но даже на СОК форуме ребята за стендом готовы держать удар.
Судя по отзывам местных "стоятелей", клиентов тоже не так уж много: тонны "партнеров", интеграторов или дистриков из MENA.
НО, Что я тогда вообще отсюда вынес, спросите вы? А вот пара тем, о которых еще додумаю и допишу свои мысли уже вскоре:
- Почему русские не продаются за рубежом с таким же задором, как это делают в РФ?
- Как AI поменял рынок секьюрити решений?
- Какие новшества предлагают крупнейшие образовательные компании в сайберсеке?
- Когда уже компании поменяют юзер интерфейс своей поделки на что-то кроме левого трея и окошек с графом узлов и картой мира?
А также:
- Сколько EASM'ов запущено в мире, если в одной России их уже 20?
- Как питчится любая уважающая себя иностранная саберсекьюирити балалайка? Что общего?
- Стоит ли ехать сюда еще раз?
Если у вас уже есть ответы, прошу, не стесняйтесь забивать ими комментарии!
О конференции GISEC
Конференция сугубо о продуктах и маркетинговом питче своих последних концепций. Цель каждого стоящего - выцепить в толпе зеваку, дернуть его за грудки, пока он не очухался пичнуть свою AI Power Cyber Resilient Security Platform за 3 минут, отсканить бейдж и забрать лид в KPI.
Абсолютно не Community driven.
- 1 мутнейший и печальный аналог Standoff'a
- 1 страннейший турнир, на котором 5 печальных команд набрали 500 очков
- 0 чего-либо хардового
- 0 CTF'фов для тру пацанов
- 0 каких либо технарей у стендов, сплошь BDM и аккаунты.
В трети случаев чуваки на стендах вообще ничего не знают о своем продукте и не могут ответить ни на один вопрос, о том, как работает их продукт.
Такой, знаете, SOC FORUM world wide, но даже на СОК форуме ребята за стендом готовы держать удар.
Судя по отзывам местных "стоятелей", клиентов тоже не так уж много: тонны "партнеров", интеграторов или дистриков из MENA.
НО, Что я тогда вообще отсюда вынес, спросите вы? А вот пара тем, о которых еще додумаю и допишу свои мысли уже вскоре:
- Почему русские не продаются за рубежом с таким же задором, как это делают в РФ?
- Как AI поменял рынок секьюрити решений?
- Какие новшества предлагают крупнейшие образовательные компании в сайберсеке?
- Когда уже компании поменяют юзер интерфейс своей поделки на что-то кроме левого трея и окошек с графом узлов и картой мира?
А также:
- Сколько EASM'ов запущено в мире, если в одной России их уже 20?
- Как питчится любая уважающая себя иностранная саберсекьюирити балалайка? Что общего?
- Стоит ли ехать сюда еще раз?
Если у вас уже есть ответы, прошу, не стесняйтесь забивать ими комментарии!
🔥17👍10🤡9❤4👏1💩1