A Bash-based web file browser. Allowing you to browse, view and transfer files via your web browser.
https://github.com/victrixsoft/bashbro

Открытка @dereference_pointer_there 🌝

ЗЫ

Как жы это красиво

function urldecode() { [ "${1%/}" = "" ] && echo "/" ||  echo -e "$(sed 's/%\([[:xdigit:]]\{2\}\)/\\\x\1/g' <<< "${1%/}")"; } 

            if [[ ! -z "${2}" ]]; then 
              if [[ ! "${2}" =~ ^- ]] && [[ ! -z "${2//[[:space:]]}" ]]; then 
               { [[ -n "${2#=}" ]] && [[ "${2#=}" =~ ^[0-9]+$ ]] && \
                LISTEN_PORT=${2#=}; } || error_missing_port
              else

https://freetrumpknife.com/.env

APP_NAME=Trump
APP_ENV=local
APP_DEBUG=false
APP_URL=https://freetrumpknife.com

API_USER=gunnergear.api
API_PASS=v95E*JfVEq1^aiY!

За наводку спасибо @ld_anarchy

> Примечательно, что новый владелец удаляет из GitHub любые жалобы, указывающие на подозрительную активность или смену владельца, и, видимо, рассчитывает на то, что пользователи посчитают автоматический переход инициативой авторов изначально открываемых сайтов.

Ну это охуенно

Более 110 тысяч сайтов, использующих открытую JavaScript-библиотеку Polyfill для обеспечения совместимости со старыми версиями браузеров, стали жертвой вредоносных изменений, внесённых в код библиотеки новым владельцем проекта. В библиотеку, загружаемую на сайты через домен cdn.polyfill.io, был встроен вредоносный код, перенаправляющий пользователя на мошеннические сайты (например, googie-anaiytics.com), букмекерские конторы и online-казино.

Проект Polyfill в феврале был продан компании Funnull из Китая, которая получила доступ к учётной записи на GitHub и сайту polyfill.io. Спустя несколько месяцев после приобретения новый владелец организовал жульническую схему монетизации, связанную с перенаправлением части пользователей на сомнительные сайты. Перенаправление срабатывало с некоторой вероятностью, в определённые часы и при соблюдении условий, таких как открытие сайта с мобильного телефона и отсутствие Cookie, сигнализирующих, что страницу открыл администратор сайта. При выявлении на сайте систем web-аналитики, редирект задерживался на несколько секунд, чтобы не засветиться в статистике таких систем.

Смена владельца библиотеки Polyfill привела к подстановке вредоносного кода на 110 тысяч сайтов
https://www.opennet.ru/opennews/art.shtml?num=61440

Я пропал на месяц и наверное многим будет интересно что происходило:

На прошедшей конференции PHD2 я сделал доклад, в котором осветил уязвимости в C# и сервисах Microsoft. Многих заинтересовал вопрос, почему я не связался с Microsoft по этому поводу. Отвечаю: я связывался, но, к сожалению, они просто закрыли мои тикеты без объяснения причин.

Уже после доклада на PHD2 я обнаружил новую технику, позволяющую отправлять письма от любого user@domain. И снова мои попытки связаться с Microsoft оказались безуспешными.

Тогда я написал об этом в X(запрещенная на территории Российской Федерации социальная сеть). Пост набрал уже 120 тысяч просмотров и привлёк внимание таких изданий, как Forbes и TechCrunch и многих других. Западные СМИ начали публиковать статьи о том, как Microsoft проигнорировали мои обращения.

После этого Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#, которая оставалась нерешённой с апреля.

Вышел замечательный прецедент, как общественное давление, сопровождаемое освещением в СМИ, смогло победить некомпетентность крупного вендора.

Наша постоянная рубрика

Обновляем гитлабчики 💅💅💅

Run pipelines as any user
An issue was discovered in GitLab CE/EE affecting all versions starting from 15.8 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which could allow an attacker to trigger a pipeline as another user under certain circumstances. This is a critical severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6). It is now resolved in the latest release and is assigned CVE-2024-5655.

GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5
https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/

*Инструмент для проведения собесов*

Решил, что в целом уже можно поделиться своим инструментом который я сделал для проведения собесов. Я обкатал его на порядка 50 собесах и кажется что он готов для публики. Этот гугл таблица, в которой можно натыкать вопросы разных категорий, разных уровней сложности и содержащие несколько ключевых точек.

Главные фишки документа - решить следующие задачи:
1) получить одинаковый результат оценивания кандидатов, при проведении собеседования разными людьми. вопросы унифицированы, разбиты на ключевые точки, которые показывают глубину знаний человека.
2) наличие артифакта, который уменьшает субъективное мнение рекрутёра, ведь при наличии ключевых точек видно что именно кандидат знает про тот или иной вопрос. т.е. можно после собеса посоветоваться с коллегами
3) приведение субъективного мнения к математическому. Документ автоматически рассчитывает баллы и говорит какой уровень у кандидата - жун\мид\сеньёр. Чаще всего математически подсчитанный результат совпадает с моим субъективным мнением.
4) Разные вопросы под разные вакансии. Можно сформировать вопросы под конкретную вакансию в зависимости от необходимостей конкретного отдела. Так, вы можете определить core технологии, без которых существование инженера невозможно в команде. Добавить опциональные знания и знания расширенного кругозора.
5) Добавление баллов на лету. если человек раскрывает вопрос очень круто можно накинуть баллов на каждый вопрос в отдельности (или отнять)

Более подробно - в ридми документа. (Точка входа - где собес проводить - страничка Sheet1 - исторически сложилось, лень переименовывать)

З.Ы. Вопросы и ключевые точки - моё субъективное мнение. Вы можете писать в доку свои вопросы, если хотите использовать док для себя. Но холиварить о вопросах и ключевых точках я не очень готов. Документ не идеален, некоторые ключевые точки плохо прописаны, я уже это не меняю - в любом случае и вопросы и ключевые точки - помогаторы при оценке человека, а не идеальный "тест"
З.З.Ы. "математика" сделана немного кривовато, т.к. не все можно сделать "чисто" с функционалом гугл таблиц. Если будете что-то менять в своей копии -делайте аккуратно.
З.З.З.Ы - дополнения и улучшения принимаются. лучше через ЛС.

https://docs.google.com/spreadsheets/d/1D2B6Xzse3fYtrTD0RcbNAeK9N7ORPHzhMGTOvaEtbCA/edit?usp=sharing

> We are now seeing a massive contraction of the Infrastructure space. Teams are increasingly looking for simple, less platform specific tooling. In my own personal circles it feels like a real return to basics, as small and medium organizations abandon technology like Kubernetes and adopt much more simple and easy-to-troubleshoot workflows like "a bash script that pulls a new container".

Я лично такого не наблюдаю и, по моим ощущениям, Кубер тянут так или иначе все подряд уже.

A Eulogy for DevOps
https://matduggan.com/a-eulogy-for-devops/

JetBrains запретил срать скачивать свои продукты

https://www.jetbrains.com/idea/download/ при нажатии кнопки Download для версии, например, Ultimate

You may be familiar with Version 1, which is written in Rust. So, why re-write it in Go?

Ultimately, treefmt is spending most of it's time shelling out calls to the underlying formatters. This process is just as fast/performant in Go as it is in Rust.

The remaining tasks are processing some cli args and parsing a config file. Do we really need something as heavy duty as Rust for that?

Despite all this, you can make good, sane arguments for continuing with Version 1 in Rust instead of a re-write. So here's a bad argument.

Brian wanted to improve performance by moving away from a Toml cache file, introduce pipelines for applying multiple formatters against the same file set, and add an extensible approach for how treefmt walks file systems. He knows Go much better than Rust.

zimbatm thought it was a good idea too.

So here we are 🤷.

https://github.com/numtide/treefmt

По наводке из @itpgchannel

Потерпевший — мой брат, узнал о том, что он должен банку ВТБ 1.7 млн за автокредит только вчера. В почтовом ящике обнаружил письмо от банка с требованием начать вносить платежи по договору на автокредит от апреля этого года. Этим банком он года с 2015 не пользовался, в офисы не ходил, по счетам движений не было, да и счет был тоже открыт под теоретическую ипотеку, которая с этим банком так и не состоялась.

Пришел в отделение узнать, что за хуйня, точно ли ваше письмо? Да, говорят, вот тебе твой договор, вот график платежей, пора начинать платить. В банке им пишется претензия, т.к. пока вообще не в курсе что и как, о том, что нихуя, я не оформлял, номер, на который оформлен договор, давно не мой. Прошу кредит с меня снять, ебитесь с мошенником сами. Пока банком принято, ответа от него еще нет.

Дальше идет в салон МТС узнать, что вообще с этим номером, которым уже года с 2019 не пользовался. МТС говорит, с августа 2023 этот номер больше не ваш. А в апреле 2024 его оформили на новое лицо. Никаких выписок по нему не дадим, даже за тот период, когда он был ваш, обращайтесь в головной офис, у нас лапки.
. . .
У ВТБ недавно была очередная утечка персональных данных, ходили даже скрины на пикабушках в начале года, что в тг–каналах продают данные. Пока не видел, что там за данные были, но предположение, по ним можно было сделать выборку о неактивных клиентах и их номеров телефонов.

Затем ищется на сайтах операторов, можно ли купить этот номер.
. . .
А дальше, заполучив нужный номер клиента, который в кабинет ВТБ сто лет даже не заходил, начинается самое охуенное, такого пиздеца похуизма со стороны ИБ я не встречал даже в мелких региональных банках.

Давайте вначале представим, что в таком случае делает, например, Тинькофф или Сбер, сталкивался с заменой симки, поэтому на личном опыте. После замены сим–карты войти в приложение не могу, Сбер заставил зайти в офис по причине противодействия мошенничеству, ок, зашел, паспорт показал, подтвердил, что сим–карту менял — разблокировали. Тинькофф поебал на поддержке, кодовое слово, какие–то еще вопросы — разблокировали.

Теперь случай курильщика ВТБ. Как зайти в онлайн–банк, если для этого нужен логин? Наверное, нужны связи с подкупленным сотрудником банка? Нет. Может быть, эти данные были в той утечке? Нет. Возможно, достаточно знать номер телефона и зайти по нему как логину? Снова нет. 

Звоним на номер 1000 с привязанного к банку номера и говорим роботу одно слово — "Ты пидор!", а нет, это два слова. Тогда "Логин". Вуаля, записывайте, ваш логин — ebat_ty_loh_777, спасибо за ваш звонок. 

Далее все просто, вот логин, забыл пароль, восстановить, введите номер из смс, добро пожаловать в наш банк.

Свежая схема мошенничества ВТБ
https://telegra.ph/Svezhaya-shema-moshennichestva-VTB-06-30

Тред на Банки.ру
https://www.banki.ru/services/responses/bank/response/11514382/

Демонстрация "дыры" в прикреплённом видео.

Будьте бдительны. Пост для того, что бы предупредить нормальных людей, ведь мошенники и так всё это уже знают.

Ну и тут скорей не про ВТБ, а в целом совет: актуализируйте номера на всех ресурсах, которыми пользуетесь.

Выложили доклады с DevConf.CZ 2024

Плейлист
https://www.youtube.com/playlist?list=PLU1vS0speL2aQkUwVfSruQz-K-4tzMIKW

Программа
https://www.devconf.info/cz/schedule/

Андрей Белевцев: Сбер создаёт собственную среду разработки и исполнения Java-приложений SberJDK
http://www.sberbank.ru/ru/sberpress/tekhnologii/article?newsID=64b3d035-f8ba-479a-adfa-c5a16d9ba2b8&blockID=69b149cd-6db4-45aa-ade1-b6920d771b11&regionID=61&lang=ru&type=NEWS

> создаёт

Прям создаёт. Понимаю.

Если подытожить, первое разочарование от Flipper Zero продлилось недолго. Это устройство быстро развивается как платформа, и, пожалуй, сейчас я был бы готов заплатить за него даже больше, чем пару лет назад.

Не скажу, что этот гаджет нужен всем и каждому. Я так и не нашел ему достойного применения в повседневной жизни. Да и специалистам, которые ломают веб, он вряд ли пригодится. Но для физического проникновения на объекты клиентов это инструмент из серии must have. Только не воспринимайте Flipper как панацею: нужно трезво оценивать его возможности и ограничения.

Flipper Zero — мнение пентестера после двух лет «полевой» эксплуатации
https://habr.com/ru/companies/bastion/articles/820279/

ЗЫ

> так как она позволяет запаролить девайс. Это важно с точки зрения безопасности клиентов, пропусками которых я временно пользуюсь

Ну такое. Если твой Flipper уплывёт в чужие руки, то ничто не помешает посмотреть, что там на SD-карточке лежит просто с компьютера или другого устройства.