И РЕСПУБЛИКА ТАТАРСТАН ВНОВЬ ЗАБИРАЕТ ДИПЛОМ ПОБЕДИТЕЛЯ ВСЕРОССИЙСКОЙ ОЛИМПИАДЫ 🎉🎉🎉🎉🎉🎉

Третий диплом в моей коллекции!!!!!! ЭТО ПОБЕДА ГОСПОДА

ПОДКЛЮЧАЙТЕСЬ К СТРИМУ! ТВОРИТСЯ ИСТОРИЧЕСКОЕ

😎 Ребята из MCG (@ph4ntomsec, @mirmeweu) забирают ПОБЕДИТЕЛЯ в 9 КЛАССЕ!!!!!!

Омегакрасавцы! Горжусь, пацаны 🤝

Началось!
Поехали)

UPD: Я буду отдельно упоминать важные моменты со стрима, поэтому вы ничего не пропустите. Пока награждают другие категории

🔥 Ну что, приглашаю вас посмотреть церемонию награждения участников и закрытия олимпиады!

Посмотрим, чей прогноз был точен - опрос закрыт

https://vk.com/video-230084131_456239019?access_key=af84e4f354e0ef0e5c

Собрал коллекцию золотых перлов багбаунти. Будет интересно посмотреть, какой риск для каждого является критичнее других.

По факту нехорошие все - и к сожалению, они все еще встречаются на платформах 😖

Приглашаю всех желающих ознакомиться с трансляцией защиты проектов на Всероссийской олимпиаде школьников по ИБ

https://vk.com/video-230084131_456239036

Я участвую, поэтому можете ждать)

UPD: Ссылка пофикшена

Сегодня с удовольствием посетил церемонию награждения победителей BUG$.ZONE 4.0.

Скоуп интересный, но и ребята-хантеры, как всегда, не подкачали

Отдельное спасибо ребятам, что позвали, надеюсь, как-нибудь доберусь в качестве участника 🪲


Также сегодня официально была открыта Всероссийская олимпиада школьников по технологии (именно в этом предмете находится ИБ как профиль). Ваши ставки принимаем в комментариях 😁

🔥 Открыт прием заявок на Pentest Award 2025!

В этом году нас ожидает несколько новых номинаций, ну, и конечно же, крутые свежие кейсы от различных исследователей безопасности

Премия уже себя зарекомендовала, в прошлом году я прошел на ее финал, а в этом году я даже стал ее инфопартнером (можете найти лого канала на скрине или на сайтике 😎)

Рекомендую принять участие — и сам планирую это сделать. Подать заявку можно здесь, отдельно отмечу обилие возможных категорий ну и хорошие призы с хорошей компанией на награждении

Есть на маках такая крутая штука, как Orbstack (orbstack.dev) — это буквально швейцарский нож, включающий в себя кубер, докер и даже линуксовые ВМ-машины в один клик

Последнее заинтересовало меня больше всего, ведь оказалось, что с завода машинки настроены не совсем так, как того хотелось бы

1) От созданного пользователя в виртуалке имеется доступ до сокета /opt/orbstack-guest/run/hcontrol.sock. Если вы оказались в таком ВМ и у вас есть доступ до hcontrol.sock, вы получаете RCE на хостовой машине со всеми вытекающими

2) По дефолту почему-то ВМки не изолируются от контейнеров, из-за чего в /opt/orbstack-guest/data можно прочитать что-нибудь интересненькое.

3) RCE из первого пункта может быть достаточно шумным. Если нужно показать импакт без RCE - используйте прилинкованную pbpaste, читая в цикле вывод этой команды, вы сможете перехватывать и подменять (через pbcopy) буфер обмена пользователя.

Если же это действие (т.е. не получение шелла, а демонстрация side impact) тоже не особо легитимно в вашем конкретном случае, я бы порекомендовал через macctl notify "text" постучаться на хост через уведомления.


Напоследок, рекомендую внимательно изучить используемое вами ПО перед употреблением. К примеру, проблема №2 вовсе не проблема, если в настройках прожать галочку "Hide OrbStack volume" - но к сожалению, по дефолту она там не стоит
Ну и естественно, получая доступ к такой среде, учтите, что вы скорее всего атакуете сотрудника/разработчика, а не приложение или сервер.

@nxblog

Полигон стендоффа теперь хакбейс. Но меня заинтересовало не это, а то, что на скрине у человека 6 место и 350200 баллов. Данной аватарки нет ни у кого из топов полигона сейчас

Дополнительно в теорию о том, что скриншотящий заперт в матрице, подкидывает то, что реализовавший "Остановку прокатного стана" на Standoff попросту не зарегистрирован. Думаем.

Веселая реальная история в духе "кто кого пересоциалит"

На всякий пожарный напишу, что лучше не отправлять ваши кровные сбережения незнакомым людям, что бы вы с ними не делали :D

Кстати, попасть в вип группу можно тут (предложение строго ограничено.)

Ля, ахаха

Крч в премьере кса меня подцепил рандомный чувачок, мы с ним в стаке иногда поигрывали

На днях он написал что выиграл 500$ на csgoempire.com (сайт для лудоманов) и типа хочет вывести их, но вот незадача нужен депозит в 25 USD.... и я такой добрый самаритянин могу отдать ему один из своих скинов в обмен на возврат и типа еще сотку в придачу

Как же он не знал что в детстве я этих скамов реками жрал.... Мы договорились перенести все на след день, а пока я связался с ТП сайта и обьяснил ситуацию


Сегодня он кидает мне скрин типа вот бабки-то и сообщеньице, а я уже к тому времени обладал инфой от ТП что депозит не нужен

Я скидываю в ТП, они подтверждают нелегитимность, я начинаю ход конем и напрямую говорю ему что ты пытаешься заскамить

Он же, в свою очередь, решил напереть, что мол, вот, сколько игр мы сыграли, ты че не веришь... Ну и социалочкой я заставил его зайти на jitsi (аналог дискорда, ибо у него типа нет дс)

Мы заходим в джитси, он показывает страничку и я говорю ему нажать F5

Занавес. У чувака все резко по нулям, сообщение пропадает как и он из конференции

Сейчас он мне пишет мол через пару дней чекни инвентарь мой, но мы-то с вами уже знаем....

Багбаунти не торт, а жить как-то надо.

Теперь буду продавать аромасвечи и колонки с орущим по-китайски мужиком.

Несколько быстрых новостей вам на вечер

1) Канал @purple_medved разблокирован!

Поздравляю Вадима, можно сказать, что теперь у канала два дня рождения)

2) Команда VK Security запустилась сегодня со своим «личным кабинетом багхантера». Можно зарегистрироваться и посмотреть на бонусы Bounty Pass - вся информация уже есть там. В целом прикольно, ну и не забывайте, что сайт тоже в скоупе)

3) Я бы хотел провести какую-нибудь активность или розыгрыш для вас, в последний раз мы это делали очень давно и не совсем удачно с Telegram Premium. Буду очень рад, если вы напишете, что бы вы хотели увидеть - а я попробую заполучить и соответственно разыграть (какого-то конкретно дедлайна я не вижу, можно и на 1к, ведь он уже недалеко)

Думаю, раз нас теперь 800, уже можно обсудить такой вопрос, мы уже на финишной прямой) 🎉

🫡 Несколько достаточно известных каналов по информационной безопасности сегодня подверглись блокировке со стороны Telegram по причине нарушения ToS

Из известных случаев:
- @pt_soft
- @purple_medved

К сожалению, как минимум Андрею @Exited3n не объяснили точную причину блокировки, поэтому дальнейшая судьба данных каналов в настоящее время неизвестна..

Наш канал занял топ-1 в категории микроблогов!

Спасибо за то, что остаетесь здесь и следите за новостями
Поздравляю и вас тоже!)

Отдельно благодарю Сачка и Рому Панина за организацию такого рейтинга

Топ-108 телеграм-каналов в ИБ

Сделали с каналом «Пакет Безопасности» второй рейтинг лучших Telegram-каналов в ИБ-отрасли, расширив выборку и добавив новые категории.

Выбирать лучшие каналы нам помогали ИБ-специалисты, PR-специалисты, маркетологи и журналисты ведущих деловых СМИ. Состав экспертного совета, который голосовал за каналы, опубликуем отдельно. Главный критерий по традиции — контент.

Каналы ранжируются по количеству голосов в своих категориях.

Авторские:

1. Пакет Безопасности
2. Пост Лукацкого
3. Сицебрекс! и Sachok
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова

Offensive:

1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers

Defensive:

1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear

Mixed:

1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do

Микроблоги:

1. Ильдар Пишет
2. Омский Багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. CyberBox и NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity

Новостные/агрегаторы:

1. SecАtor
2. НеЛукацкий
3. НеКасперский
4. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. Максим Горшенин | imaxai и RUSCADASEC news: Кибербезопасность АСУ ТП

Корпоративные:

1. Kaspersky
2. Red Security
3. Positive Technologies
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, ИнфоТеКС, Инфосистемы Джет, 3side кибербезопасности и Echelon Eyes
7. CURATOR, Angara Security, InfoWatchOut

Каналы IT-журналистов:

1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС, Половников и Девочки/Перцева
7. Точксичная цифра, Первый канал, Электро⚡шок, это Жабин

OSINT:

1. Russian OSINT
2. КиберДед official
3. OSINT mindset ( https://t.me/osint_mindset )
4. Интернет-Розыск I OSINT I Киберрасследования ( https://t.me/irozysk )Schwarz_Osint ( https://t.me/Schwarz_Osint )
5. DanaScully, STEIN: ИБ, OSINT, network worm notes, BeholderIsHere Media HUB
6. Pandora’s box

Юмор/мемы:

1. Cybersecurity memes off
2. Bimbosecurity и Я у мамы SecMemOps
3. #memekatz (https://t.me/memekatz) и Information Security Memes (https://t.me/infosecmemes)
4. Спасите Нарциссо (https://t.me/savenarcisso) и Memes 365 (https://t.me/bugbountymeme)
5. OTSOSINT (https://t.me/ots0sint) и The After Times (https://t.me/theaftertimes) и Вредные советы по ИБ (https://t.me/badofis)

Специальная номинация: канал «Код ИБ»( https://t.me/codeibnews )

PR Machine https://t.me/PR_machine_Nika

@cybersachok

Отбой, не намечается

Кажется, кто-то жестко перегрел трек. Штош, ладно, значит офигенный материал достанется сюда вам, а не туда им)

Спасибо вам за поддержку! В любом случае планировал посетить мероприятие

Изучая документацию jadx наткнулся на упоминание, что его можно подключить как библиотеку в свое Java приложение. И эта идея настолько понравилась, что в итоге вылилась в небольшой комбайн, который удобно использовать для первоначальной обработки JAR/WAR/APK приложений при анализе защищенности.

https://github.com/BlackFan/BFScan

BFScan анализирует строковые константы в Java-классах и ресурсах приложения для поиска строк, похожих на URL, пути или захардкоженные секреты.
А также формирует сырые HTTP запросы и OpenAPI спецификацию на основе конфигов, аннотаций методов и классов. При этом поддерживаются как клиентские библиотеки (например, Retrofit), используемые в APK для взаимодействия с бэкендом, так и серверные технологии, такие как Spring-аннотации. Что значительно облегчает тестирование API, когда тело HTTP запроса необходимо сформировать из десятка вложенных классов.

Рассмотрим пример работы утилиты с классом, использующим Spring-аннотации.

@RestController
@RequestMapping("/api")
public class UserController {

@PostMapping("createUser")
public String create(@RequestParam Optional someParamName, @RequestBody User user) {
return "response";
}

В случае, если обрабатываемое приложение использует поддерживаемую библиотеку, утилита сгенерирует файл, содержащий все HTTP запросы, поддерживаемые приложением.
POST /api/createUser?someParamName=value HTTP/1.1
Host: localhost
Connection: close
Content-Type: application/json

{
"name": "name",
"age": 1
}

Приложение удобно использовать как для клиентских приложений, когда вы анализируете API мобильного приложения. Так и в случае, если вы получили скомпилированный JAR/WAR от серверного приложения, для поиска в нем захардкоженных секретов или дальнейшего анализа API эндпоинтов, которое оно обрабатывает.

Если приложение обфусцировано, что часто бывает с APK, утилита проанализирует все аннотации и, если они похожи на типичное объявление API эндпоинтов, построит HTTP запросы на основе них. В случае, если данная функциональность сработала неправильно, используя jadx вы можно легко сформировать mapping-файлы для переименования обфусцированных классов и корректного формирования HTTP-запросов.

🎫 Вы этого ждали: мы начали продажу билетов на международный киберфестиваль Positive Hack Days!

Традиционно у нас будет как открытая бесплатная зона для всех желающих с мощной научно-популярной программой в Кибергороде, так и закрытая часть с экспертными докладами и дискуссиями, проход в которую будет по билетам.

🫰 Получить билет можно за пожертвование в благотворительный фонд на сумму от 1500 рублей.

Для этого вам нужно зайти на наш сайт, зарегистрировать личный кабинет, выбрать один из трех фондов («Подари жизнь», «Улица Мира» или «Старость в радость») и внести пожертвование. После оплаты билет будет доступен в личном кабинете.

Приобрести билет можно и от имени юридического лица — на сайте есть подробная инструкция о том, как это сделать.

В закрытой части вас будут ждать выступления более 500 спикеров — от начинающих специалистов до именитых экспертов со всего мира, CIO и CISO крупных IT-компаний. А также кибербитва Standoff.

👀 В бесплатной части киберфестиваля будет много интерактивных инсталляций в обновленном Кибергороде, выступления на тему технологий в ваших руках на научпоп-сцене, квесты, в которых вы сможете почувствовать себя реверс-инженерами, масштабный концерт и многое-многое другое!

😏 Приобрести билет

Ждем вас в «Лужниках» 22–24 мая! 🏟

Все новости киберфестиваля — в канале @PHDays

Как-то мимо моих информационных потоков прошла новость о том, что с 31 марта доступ обычных юзеров к Censys Search будет прекращен.

Специально подмечу, что ущемят именно обычных юзеров — почему-то обладателей Enterprise-подписки приглашают остаться на "legacy" и "retired" инструменте 😁

Переход на новый Censys Platform не интуитивен и лично у меня появляется вопрос, зачем настолько резко ограничивать доступ — разве что новый инструмент будет похуже старого. Хотя, возможно энтерпрайзу сделали скидку, чтобы не тратить ресурсы на изменение уже готовых запросов к апи. Штош, время покажет

Конкуренция на рынке

Идея с рейтингом постепенно находит свое отражение у разных и независимых членов сообщества. Судя по всему, внедрение системы, способной помочь хакерам разобраться в вендорах, действительно интересно

На мой взгляд, у всех пока есть косяки, однако в целом идея не лишена потенциала

Хорошая работа, Юр!

🔥🔥🔥 Рейтинг программ запущен

https://eh.su/rating
https://eh.su/rating
https://eh.su/rating

Голосовать можно только при входе через Telegram, в перспективе будет добавлены другие социальные сети. Каждый пользователь может отдать 10 голосов в день за свои любимые программы. Можно еще оставить комментарий, если хотите. В рейтинге есть топ голосующих, благодаря которому 5 пользователей получат призы по итогам месяца (ТОП-1 получит 15000 рублей, ТОП-2 получит 10000 рублей, а ТОП-3 получит 5000 рублей прямо на карту). Еще два человека случайным образом будут выбраны из всех остальных проголосовавших хотябы раз - и тоже получат свои призы. Крутые футболки от Багхантера. Вендоры уже могут заявить права на свои программы, чтобы получать статистику переходов и голосов, а также удобно отвечать на комментарии пользователей, все заявки будут разобраны и одобрены до конца следующей недели, когда соберется статистика.

Сайт написан так, что с него даже нечему утекать. Все данные, которые пользователь передает при регистрации - они итак в открытом доступе. Сайт вообще не хранит никаких персональных данных. Но а для тех кто боится раскрывать данные своей телеги - есть анонимные аккаунты.

Приходите сегодня вечером на прямой эфир в 18:00 - там я отвечу на вопросы пользователей и подробней покажу функционал сайта, расскажу что буду делать дальше.

Если остались вопросы - пишите напрямую в личку @telegadlyasvyazi2

Всех поздравляю с запуском крутого рейтинга!)

На Standoff 365 произошла одна из самых масштабных смен коней на переправе — вендор "Кибериспытание", прописавший во все свои программы (видать, текст просто был копипастой) возможность выплаты поощрительных вознаграждений исследователям за промежуточные в достижении НС результаты, переобулся и принял решение этого не делать

Формулировка "может быть" была воспринята хантерами, как надежда, а по итогу может и не может

Надеюсь, вендор исправится в следующих программах — потому что подобное поведение является ходьбой по очень и очень тонкому льду.

Поздравляю прекрасную половину этого канальчика с их праздником ❤️

Желаю, чтобы вы были счастливы и все получалось, а там дальше уже и остальное сложится
Ну и из веселого - сегодня нехило так просело золотое яблоко, с чем поздравляю уже другую половину 😁

🥰

P.S. Говорят, там еще Ugra CTF проходит параллельно....

🔥 400K - пробито

Передаю огромный привет моим товарищам, VeeZy и Bagley, ну и, конечно же, рад замкнуть историческую пятерку!

дальше - больше 😁

Максимально горячая и приятная новость для всего коммьюнити, огромный шаг вперед!!!
Заур, брат, красавчик, безмерно уважаю, огромное спасибо за вклад!

Друзья, привет!

Хочу поделиться крутой новостью. Последний год мы работали над проектом, который, надеюсь, будет реально полезен для всего нашего комьюнити.

Запускаем @hackadvisor — платформу, где мы собрали информацию по популярным площадкам и публичным багбаунти-программам https://hackadvisor.io. Теперь каждый может поделиться своим опытом, оставить честный отзыв — будь то позитивный или негативный — и формировать независимый рейтинг на основе этих отзывов. Надеюсь, это станет толчком для компаний быть более честными и прозрачными по отношению к хакерам. Так у комьюнити будет больше понимания, какие программы адекватные, а к каким стоит присмотреться повнимательнее.

Мы также добавили возможность верификации для компаний. Это значит, что они смогут публично отвечать на отзывы, комментировать ситуации и показывать своё реальное отношение к багхантерам и безопасности в целом. Верим, что это важный шаг к открытому и честному диалогу между хакерами и компаниями.

Важно: любой хакер может оставить свой отзыв анонимно, просто указав случайный никнейм при регистрации. При этом, чтобы избежать накруток и буллинга программ, мы внедрили верификацию. Хакеру нужно будет подтвердить, что у него действительно есть учётная запись на выбранной площадке или в программе, о которой он оставляет отзыв. Хочу отдельно отметить, что эти данные остаются скрытыми и нигде не публикуются — анонимность и приватность для нас в приоритете.

И, конечно, не могу не сказать про людей, без которых этого всего бы не случилось.
Кто помогал на разных этапах — от идеи до запуска: @aosmanov @r0hack @kuduzow @bikmetle @murphyrol @lincode_x. Спасибо вам за поддержку и вклад в этот проект!

Конечно, в мире нет идеальных вещей, и мы прекрасно это понимаем. Поэтому будем активно дорабатывать платформу, внедрять новые возможности и прислушиваться к потребностям комьюнити. Ваша обратная связь и идеи помогут сделать Hackadvisor ещё полезнее для всех.

Будем рады вашей поддержке, обратной связи и, конечно, отзывам на самой платформе. Заходите, тестируйте, делитесь с друзьями — давайте вместе сделаем нашу сферу лучше!

Блин, емае. В прощенное воскресенье довел бота.

😳

P.S. В предыдущем посте была попытка prompt injection. Видать на той стороне не выдержали

Ребят, если кого-то чем-то обидел, прошу прощения! Ну и конечно, прощаю всех в ответ.

https://t.me/bughunter_circuit/592

Присоединяюсь к Юре! Макс - один из самых ярких участников сообщества, носитель известной слесарной каски и владелец пабликов с мемами бб-платформ. Максимально удивительный человек, с которым посчастливилось быть знакомым лично - имхо, Яндекс.Лавка не раскроет весь потенциал таланта этого молодого чемодана.

Думаю, его готовы порекомендовать достаточно именитые ребята.

✍️ @TheDoomPleazer

Ну что, господа, теперь я - Танос школьных олимпиад и владелец известной покерной комбинации клеш рояль

У меня есть:
- Победитель и призер ВСОШ
- Победитель и призер РСОШ 1, 2 и 3 уровня

Осталось только щелкануть 😁

Innopolis Open по ИБ слишком хорош

В 15 лет одного из членов MCG берут на работу в PT

Лайкните молодого, по-моему Рома заслуживает этого)

Компания F.A.C.C.T. сегодня была переименована в... F6

У пары каналов создалось ощущение некой секретной службы, но лично я жду, когда на рынок выйдут Ctrl, Alt и Shift

вот они все слева направо, если вас не было в канале еще)

разбирайте и с праздником!

ну вы же помните эти смачные валентинки с котиками….

Читаешь такое и сразу гордость берет. Представьте — в школе обучать основам кибербезопасности

Инностейдж, красавчики, ребят

👩‍🏫 Innostage обучит школьников Татарстана основам кибербезопасности

Академия кибербезопасности создала образовательный спецкурс по основам безопасности в интернете для учеников 7-8 классов. Программа уже одобрена Минобром РТ и начала внедряться в школах с 10 февраля в Казани, отвечая задачам национального проекта «Молодежь и дети».

📊 Современные дети и подростки активно используют интернет, что делает их уязвимыми перед киберугрозами. По статистике школьники составляют значительную долю жертв кибератак — от четверти до половины. Поэтому важно научить наших детей защищать свои персональные данные и избегать фишинга, кибербуллинга и мошенничества.

📲В курсе освещены ключевые темы кибербезопасности:

• настройка гаджетов и обновление ПО,
• защита персональных данных,
• безопасное использование соцсетей,
• создание и смена надежных паролей,
• распознавание фишинга,
• противодействие кибербуллингу и социальной инженерии.

В программе также методички для учителей, оценочные материалы, конспекты и презентаций к урокам. Запланировано создание видеороликов для школьников 7-11-х классов.

☑️Первые уроки уже прошли в казанской гимназии №94 10 и 11 февраля, где школьники узнали о современных кибератаках, принципах защиты информации и правилах цифровой гигиены.

Я уверен, что этот курс станет важным шагом в формировании у наших детей правильного понимания безопасности в сети. Мы, взрослые, обязаны приложить максимум усилий, чтобы наши дети чувствовали себя уверенно и безопасно в цифровом пространстве.

Не аншлаг, а аншлажище

Вот и думайте, кто победитель программы

Больше багхантеров в команде — больше 🍋 в кармане

Например, взгляни на багхантеров remembernamer & mimicate и AlexShev & act1on3, а также FedyaSyel с командой, которые, работая вместе, реализовали 3 недопустимых события в программах кибериспытаний. Они навыжимали на 3 млн рублей!

💡 Кстати, 6 программ уже в архиве, но чтобы было не скучно — добавили сегодня ещё 14 новых! Теперь для тебя доступно 48 программ, на которые ты можешь наброситься в одиночку, а можешь взять подмогу и багхантить вместе с товарищами.

Платформа Standoff Bug Bounty ждёт тебя. Все получится. 🔥

🔥 Случайно найденная выпускная работа одного из авторов Ugra CTF @ksixty содержит в соответствующей репе GitHub не что иное, как исходный код Kyzylborda - собственная разработка ребят из [team Team]!

До недавних пор считалось, что борда строго closed-source, но, как оказалось, уже как 3 года ее можно было пощупать. Дополнительно можно увидеть SchoolOS - это кеки с никсосом, составляющие ОС участников их соревнований.

Считаю, что репо достаточно любопытен даже с учетом давности кода, поэтому приглашаю взглянуть на святой Грааль CTF-борд 😊

—
UPD: Несколько человек утверждают, что про хоткеи до этого они не слышали. Но тут уже конкретно по памяти говорю :)
UPD2: Я получил подтверждение об отсутствии кастомных сочетаний клавиш.

Новый дизайн на Standoff 365

Как вам?

За мой любимый банковский сегмент накинули ачивочек ❤️

Не реализовал я только одну ачивку — для ее получения нужно было сдать событие "Вывод денег с клиентских счетов через систему ДБО" aka запара с сертификатами

Как вам? Я прям конкретно доволен, т.к. один из лучших сегментов и очень классные тематические ачивки с прикольным неймингом - "Друг Тети Гали", "Любитель быстрых платежей", "Старший операционист", "Друг Оушена"

Во-общем, не имей сто рублей, а имей сто отчетов

🫣 Еще одна программа «Кибериспытания» переместилась в архив.

Баунти забрал некий FedyaSyel, ставший третьим получившим вознаграждение за реализацию НС на платформе.

К программам недопустимых событий подключается такая вещь, как конкуренция. Не смог удержаться и не спросить многоуважаемого remembernamer, что он думает об этом:
«Фиксируется повышенное внимание к программам на КИ, напряжение нарастает! С такой тенденцией закрывать ипотеку становится все сложнее =)
А если серьезно, то поздравляем с успешной реализацией! 🔥»

После моего поста лендинг быстро запаролили как надо
Могли бы наоборот открыть полностью 😁

Ждем официального анонса, получается...
P.S. ну зато читают, получается... надеюсь сердечко на пост поставили

🔥 👨‍💻👨‍💻👨‍💻👨‍💻👨‍💻 15 быть

Об этом говорит как минимум нигде еще не опубликованный лендинг - https://15.standoff365.com/
Интересно, что походу лендос должен был быть закрыт на пароль, но что-то пошло не так

Еще из веселого - заявки принимают уже со следующей недели!

Новая программа: Mimicate Consulting Group

Победителем программы считается участник, который принял правила, первым успешно реализовал одно из недопустимых событий и представил соответствующий требованиям отчет, содержащий полную информацию о цепочке атаки.

В «Mimicate Consulting Group» существуют процессы, связанные с движением денег: оплата за интернет, покупка колы, выдача заработной платы спасибами и многие другие. Исследователю необходимо разобраться в том, как работают бизнес-процессы, какие системы в них участвуют, и перевести ровно сто рублей с единственного счета компании, на котором лежит рубль, на любой подконтрольный себе счет. Транзакция должна быть инициирована исследователем и пройти через банк. Перевод денег сотруднику компании не считается реализацией недопустимого события.
Нельзя нарушать указанную сумму. При нарушении условия для исследователя могут наступить негативные последствия, на которые компания не сможет повлиять.
Запрещено прямое воздействие на системы банков, обеспечивающих проведение платежей.

Скоуп

В скоуп входят ресурсы, принадлежащие «Mimicate Consulting Group», и сеть Wi-Fi «Mimicate Consulting Group», несмотря на то, что у нас даже нет роутера. Исследователям предлагается подойти к выполнению задания творчески и использовать методы OSINT для обнаружения ресурсов, принадлежащих компании. В скоуп не входят компьютерные розетки в офисах и прочие устройства для физического подключения.



—
А вообще если б не гранты, думаю, дело выглядело бы так 😁

Нашумевший DeepSeek, по-видимому, юзал на бэке для логов (ex. Yandex) Clickhouse — это видно из характерных /play и 8123 порта.

Удивительное, однако. Сейчас данные хосты выключены (по крайней мере кликхаусовые порты положили после поста от Wiz Research с эпик фейлом), но в интернетах говорят, что все капут.

пысы минио тоже положили

Затрону интересную тему для рассуждения.

Общепринятого мнения по этому вопросу не существует. Но overall интересно посмотреть, кто как размышляет — возможно, это даст какую-то почву для платформ к работе в направлении четкости можно/нельзя.

P.S. Я не могу терпеть мультивыбор из-за спам-ответов... возможно следующие опросы будут только одновыборными

Наткнулся тут на один интересный гист, в котором автор в подробностях рассказывает о почти успешной фишинговой атаке на него. Вроде баян и фишингом никого не удивить?

А что, если я скажу, что злоумышленники позвонили с одного из номеров Гугла (без подмены номера), отправляли достаточно убедительное мыло с валидными DKIM и SPF, а также использовали домен g.co, известный частотой использования американской корпорацией?)

Достаточно интересный кейс для изучения. Кстати, если что, там в комментах небольшая пометка от меня. 🤝