Архив метки: VK

Awillix открыли приём заявок на Pentest Award 2024

Добавить комментарий

Awillix открыли приём заявок на Pentest Award 2024

Awillix открыли приём заявок на Pen­test Award 2024. Собирают заявки до 23 июня, награждать будут 2 августа. В этот раз будет 6 номинаций, по 3 призовых места в каждой.

3 номинации остались с прошлого года:

🔸 Hack the log­ic
🔸 Раз bypass, два bypass
🔸 Ловись рыбка

3 новых:

🔻 Пробив WEB (от BIZONE Bug Boun­ty)
🔻 Пробив инфраструктуры (от VK)
🔻 Девайс

Заявлены прикольные призы: макбуки, айфоны, смарт-часы, умные колонки и прочее.

Уютный канальчик "Управление Уязвимостями и прочее" в инфопартнёрах. 😉

Подавайтесь!

Закончилась пора ЕГЭ

2 комментария

Закончилась пора ЕГЭ. Начали задавать вопросы по поводу учёбы на безопасника в МГТУ им. Баумана (ИУ8). 🙂 Я учился в 2003–2009. Остался доволен. Ну так-то сложно быть недовольным, когда поступил довольно неожиданно и легко (собеседование для медалистов — была такая тема 😉), учился на бюджете, отсрочка от армии, военная кафедра, гос. диплом. Да ещё при этом научили чему-то полезному и дали неплохой начальный нетворкинг! Это ж просто праздник какой-то! 🤩

Нравилась ли мне программа обучения? Местами да, местами не особо. Часто говорят, что много лишних предметов. Как по мне, экология, валеология (!), философия, история это же всё чтобы мозги немного расслабились. Никаких проблем с этими предметами, естественно, не было. Основная жесть это была дискретка под разными соусами в конских количествах практически все 6 лет. Особенно Жуковы на первых курсах. 😱 До сих пор иногда снится, что мне её сдавать. 😅 Нужно ли было так много? Не знаю, возможно криптографам и нужно. Сейчас вроде появилась специализация с меньшими объемами математики и простым смертным стало чуть полегче. От предметов, которые преподавали Эшелоновцы у меня самые приятные воспоминания остались, особенно от курса ТОИБАС Валентина Цирлова и курса по выбору на основе CISSP CBK Алексея Маркова. Вот это действительно было полезно и отражало то, чем обычно безопасники в реальной жизни занимаются. Программирования можно было и побольше, а курсы по ОС и сетям были неплохие.

В целом же, что касается каких-то практических навыков, то тут мне кажется важнее найти развивающую первую работу на старших курсах или участвовать в дополнительных обучающих программах. В случае МГТУ это Образовательный центр VK или ISCRA. Конечно, было бы здорово, если бы основная программа была более полезной практически, чтобы не приходилось добирать на стороне, но тут всё упирается в образовательные стандарты. Поэтому я не сказал бы, что в Бауманке прямо идеальная программа обучения ИБшников, но сильно сомневаюсь, что где-то в России их готовят лучше.

Парень нашел "уязвимость" в VK и ему стали массово писать в личку заинтересованные девушки

Добавить комментарий

Парень нашел "уязвимость" в VK и ему стали массово писать в личку заинтересованные девушки. 🙂 Этот забавный кейс я увидел в канале Stand­off News. Технически там не очень интересно. Но как пример простой "уязвимости" для иллюстрации почему искать уязвимости это прикольно и как противостоять эксплуатации уязвимостей — вполне норм (студентам младших курсов, школьникам на профориентации т.п.).

В чем там было дело:

1. В VK пользователи могут видеть кто смотрел их сторисы (формат вертикальных публикаций, которые исчезают из ленты через 24 часа). В отличие от обычных сообщений в ленте, для которых видно только тех, кто полайкал.
2. В VK не было лимита на просмотр сторисов. Было возможно автоматически "просматривать" хоть миллионы чужих сторисов в день. (не конкретизируется как)
3. Было возможно массово получить идентификаторы пользователей из групп типа "любители котиков". (не конкретизируется как)
4. Было возможно автоматически получить сторисы для идентификаторов пользователей. (не конкретизируется как)

Некоторый Накрутчик массово получал идентификаторы пользователей из больших "женских" групп, массово получал для них сторисы, массово их "просматривал". Пользователи (в основном девушки) были заинтригованы кто ж это их сторисы регулярно смотрит, переходили на страницу Накрутчика.

Далее конверсия: миллионы просмотренных сторисов -> десятки тысяч заходов от любопытных пользователей на страницу Накрутчика -> сотни сообщений от тех, кому совсем уж любопытно. Prof­it.

Вопросы, которые можно задать аудитории:
1. Что можно было бы предусмотреть на стороне VK, чтобы так было делать нельзя? Возможный ответ: установить лимиты, при превышении таймаут или показывать капчу.
2. Что ждет Накрутчика, когда это обнаружится? Возможный ответ: как минимум забанят профиль, т.к. автоматизация действий нарушает пользовательское соглашение.
*3. Как можно подвести действия Накрутчика под УК РФ? Возможный ответ: по факту это скрэпинг, можно в теории натянуть на 272 и 273.

После этого можно поставить риторический вопрос. Что лучше: сдать уязвимость в VK и получить $100/спасибо, или пытаться эксплуатировать и подставляться? Каждый сам для себя решает.