Никогда не понимал людей которые настраивают системы аналитики и сбора метрик и сопоставляют это с PII данными прям в сторонней системе. Вот вам это для чего иметь в системе сбора аналитики? Чтоб в один прекрасный день определить сколько Васянов из города Example пользуются вашим продуктом?
Лично со мной бывало такое не раз, когда просто за руку останавливал людей/команды от сбора избыточных данных и просил оставлять только айдишники. Ну вот угонят айдишники с кликстрим данными из стороннего сервиса - что они с этим сделают?!
На удивление в OpenAI считали иначе и плевали они на принципы минимизации данных. И про нарушение этого прицнипа они почему-то умолчали в своем письме про взломанный Mixpanel и слитые данные формата Name + Email + geolocation.
PS: можете теперь своим UX специалистам и маркетологам приводить пример как собирать данные не надо.
Лично со мной бывало такое не раз, когда просто за руку останавливал людей/команды от сбора избыточных данных и просил оставлять только айдишники. Ну вот угонят айдишники с кликстрим данными из стороннего сервиса - что они с этим сделают?!
На удивление в OpenAI считали иначе и плевали они на принципы минимизации данных. И про нарушение этого прицнипа они почему-то умолчали в своем письме про взломанный Mixpanel и слитые данные формата Name + Email + geolocation.
PS: можете теперь своим UX специалистам и маркетологам приводить пример как собирать данные не надо.
Причина почему снова прилёг клаудфлэр
Пацаны просто хотели помочь всем спастись от React RCE 💁♂️
Если ничего не работает - то нечего и атаковать!
PS: это не "шутка", а реальное заявление CTO Cloudflare
We are aware of the issue impacting the availability of Cloudflare’s network. It was not an attack; root cause was disabling some logging to help mitigate this week’s React CVE.
Пацаны просто хотели помочь всем спастись от React RCE 💁♂️
Если ничего не работает - то нечего и атаковать!
PS: это не "шутка", а реальное заявление CTO Cloudflare
😁23🤔4❤1👏1
Кажется ребятам в Microsoft стало страшно от количества Critical issues которые просто игнорируются рисёрчерами из-за их тупых правил Bounty Program и out of scope rules. Теперь якобы правила поменяли, и я надеюсь менеджеров программы тоже.
Пока сам не проверял. Но теперь очень интересно копнуть какой-то крит и кинуть им на оценку.
Our goal is to incentivize research on the highest risk areas, especially the areas that threat actors are most likely to exploit.
Считаю что каждый менеджер программы должен прочитать это предложение и подумать зачем он работает в компании и что он защищает. Если его цель - защита бюджета команды. То он играет не в те ворота 💁♂️
Пока сам не проверял. Но теперь очень интересно копнуть какой-то крит и кинуть им на оценку.
Our goal is to incentivize research on the highest risk areas, especially the areas that threat actors are most likely to exploit.
Считаю что каждый менеджер программы должен прочитать это предложение и подумать зачем он работает в компании и что он защищает. Если его цель - защита бюджета команды. То он играет не в те ворота 💁♂️
😁9👍5❤2👏1
This media is not supported in your browser
VIEW IN TELEGRAM
Кажется в следующем году в мои финансовые расходы на "ведение бизнеса" войдет лицензия на Caido 🤑
Все больше и больше вижу решений и возможностей от комьюнити. И все меньше вижу подобного со стороны PortSwigger. Только Джеймс периодически рассказывает об очередной desync attacks схемке или об очередном обновлении Turbo Intruder.
Вот отличный пример по использованию Strix. И по мотивам этого примера даже был доклад на последнем NahamCon от Джастина Гарднера.
Все больше и больше вижу решений и возможностей от комьюнити. И все меньше вижу подобного со стороны PortSwigger. Только Джеймс периодически рассказывает об очередной desync attacks схемке или об очередном обновлении Turbo Intruder.
Вот отличный пример по использованию Strix. И по мотивам этого примера даже был доклад на последнем NahamCon от Джастина Гарднера.
Читатели порой жалуются что в ru-Bug-Bounty сидят скупые менеджеры и плохие триажеры.
Пора вам напомнить что и на международном рынке порой встречаются скупердяи и "эффективные менеджеры".
На этот раз программа Indeed на Bugcrowd внезапно решила что раз они смогли поймать рисёрчера с RCE, значит и заплатить можно меньше. Даже сформулировать такую причину смогли.
Мне кажется в следующий раз, когда к ним заглянет APT или ransomware, у них даже шанса не будет купить багу "по скидке" 💁♂️
PS: причем весьма смелый ход играть в такие игры с топовым рисёрчером.
Пора вам напомнить что и на международном рынке порой встречаются скупердяи и "эффективные менеджеры".
На этот раз программа Indeed на Bugcrowd внезапно решила что раз они смогли поймать рисёрчера с RCE, значит и заплатить можно меньше. Даже сформулировать такую причину смогли.
Мне кажется в следующий раз, когда к ним заглянет APT или ransomware, у них даже шанса не будет купить багу "по скидке" 💁♂️
PS: причем весьма смелый ход играть в такие игры с топовым рисёрчером.
😁25❤4
Заключительная часть, которую все никак не мог сесть дописать.
За полгода удалось вникнуть не только в процесс оформления вторичного жилья и нюансы, на которые надо обращать внимание при покупке. Но и получилось фактически поработать проджект-менеджером собственного ремонта и поделать его самому.
Было интересно, но повторять в ближайшее время всё это, пожалуй, пока не планирую. Приятного чтения 😉
Вопросы и комментарии приветствуются!
PS: Багхантинг был на паузе какое-то время. Надеюсь вы для меня оставили немного багов 😇
https://telegra.ph/Ipoteka-v2-cherez-bol-i-stradaniya-chast-2-12-21
За полгода удалось вникнуть не только в процесс оформления вторичного жилья и нюансы, на которые надо обращать внимание при покупке. Но и получилось фактически поработать проджект-менеджером собственного ремонта и поделать его самому.
Было интересно, но повторять в ближайшее время всё это, пожалуй, пока не планирую. Приятного чтения 😉
Вопросы и комментарии приветствуются!
PS: Багхантинг был на паузе какое-то время. Надеюсь вы для меня оставили немного багов 😇
https://telegra.ph/Ipoteka-v2-cherez-bol-i-stradaniya-chast-2-12-21
Telegraph
Ипотека v2, сделка, ремонт и переезд (часть 2)
Пока добрался написать продолжение, то понял, что эмоций уже нет. Впечатления сгладились. И кажется, что ничего интересного дальше не происходило. Но если пролистать фотоленту на сотни фотографий квартиры и стройматериалов, то реальность оказывается совсем…
❤25👍10🔥7
Полезная обучательная цель на этот год нашла меня сама.
Кажется, ZwinK с Bugcrowd победил свою депрессию, хейтеров и нашёл в себе силы организовать туториал про хакинг через IDOR.
Не ожидаю чего-то сакрально нового. В конце концов, курс стоит 200 баксов.
Но вот такая насмотренность очень часто оказывается полезной и позволяет придумывать свои «крутые идеи», в основе которых, возможно, лежал чужой опыт.
И если чел после 2.5M$ на Bugcrowd завернул кусочек своего опыта в 200-баксовый курс — то самое время закрыть TikTok’и и Instagram Reels и посмотреть что-то более полезное.
Кажется, ZwinK с Bugcrowd победил свою депрессию, хейтеров и нашёл в себе силы организовать туториал про хакинг через IDOR.
Не ожидаю чего-то сакрально нового. В конце концов, курс стоит 200 баксов.
Но вот такая насмотренность очень часто оказывается полезной и позволяет придумывать свои «крутые идеи», в основе которых, возможно, лежал чужой опыт.
И если чел после 2.5M$ на Bugcrowd завернул кусочек своего опыта в 200-баксовый курс — то самое время закрыть TikTok’и и Instagram Reels и посмотреть что-то более полезное.
👍24🔥5❤1🤔1
Ребята из Hacktron.ai нагнули последний челендж от Vercel WAF и забрали много валидных репортов по обходу WAF. За каждый WAF bypass выдавали почётные 50к$ (Hacktron унёс 200k)
А помог им в этом следующий learning loop
Вообще не удивлен что дроч в RFC форматы привела к многочисленным байпасам. Ну и очевидно что человеческие ручки и навыки не смогли бы противостоять скорости принятия решений. Как итог - AI унизил уверенных в себе ребят из Vercel.
А помог им в этом следующий learning loop
Analyze → Hypothesize → Test → Get Feedback → Iterate → Solve
Вообще не удивлен что дроч в RFC форматы привела к многочисленным байпасам. Ну и очевидно что человеческие ручки и навыки не смогли бы противостоять скорости принятия решений. Как итог - AI унизил уверенных в себе ребят из Vercel.
🔥22🤯2❤1
(1/2) Интересный год получился.
И понял это только сейчас. Больше всего горжусь тем, что начал заниматься немецким с «некоторой» регулярностью. И этот процесс мне даже понравился. Постараюсь в году грядущем закрепить свои результаты.
В начале года скатался пару раз в Австрию. Сперва с сыном. Потом с друзьями.
Потом был жуткий процесс поиска квартиры на переезд. И весь год тянулась квартирно-ремонтная история.
Получилось осуществить мечту и сгонять на Defcon. Зацепив при этом небольшим road trip несколько штатов.
Получилось побывать на концертах, которые теперь навсегда со мной в памяти — Linkin Park, Limp Bizkit, The Offspring, Worakls. Иногда думаю что это сон.
Получилось скататься на Балтику, пофойлить и в Грецию отдохнуть.
И понял это только сейчас. Больше всего горжусь тем, что начал заниматься немецким с «некоторой» регулярностью. И этот процесс мне даже понравился. Постараюсь в году грядущем закрепить свои результаты.
В начале года скатался пару раз в Австрию. Сперва с сыном. Потом с друзьями.
Потом был жуткий процесс поиска квартиры на переезд. И весь год тянулась квартирно-ремонтная история.
Получилось осуществить мечту и сгонять на Defcon. Зацепив при этом небольшим road trip несколько штатов.
Получилось побывать на концертах, которые теперь навсегда со мной в памяти — Linkin Park, Limp Bizkit, The Offspring, Worakls. Иногда думаю что это сон.
Получилось скататься на Балтику, пофойлить и в Грецию отдохнуть.
❤27🔥8👍4
(2/2) Удалось также неплохо побагхантить на одном таргете. Программа даже закрылась на какое-то время из-за моих активностей. Правда, под конец года изменения политики платформы и проблемы со здоровьем вывели меня из багхантерства. Никогда такого не было за последние лет 5. Надеюсь эти два фактора не повлияют на полный уход с багбаунти сцены. Не спешите отписываться 😁
Желаю в году грядущм не отвлекаться на ерунду. Не тратить время и силы на то, на что вы не можете повлиять. Заниматься здоровьем. Ну и фокусироваться на критах 🦾 Спасибо всем кто подписан! 🫶
На ближайший год в планах улучшить немецкий и наслаждаться жизнью.
«Когда вот будет возможность ещё пожить?»(с) 😉
Желаю в году грядущм не отвлекаться на ерунду. Не тратить время и силы на то, на что вы не можете повлиять. Заниматься здоровьем. Ну и фокусироваться на критах 🦾 Спасибо всем кто подписан! 🫶
На ближайший год в планах улучшить немецкий и наслаждаться жизнью.
«Когда вот будет возможность ещё пожить?»(с) 😉
1❤26🔥11👍7