Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был проверить соответствующую версию приложения на уязвимости. Я не видел в этом острой необходимости из-за репутации мессенджера как «самого защищенного». Я думал, что зря потрачу своё время и ничего не найду. Но недавно, тестируя один сайт, который взаимодействовал с доменом t.me, мне довелось усомниться в безопасности Тelegram, и решимость проверить его на уязвимости быстро возросла.Читать полностью »
Рубрика «disclosure information»
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
2018-03-29 в 14:08, admin, рубрики: csrf, disclosure information, telegram, telegram api, telegram bots, Telegraph, информационная безопасность, Программирование, Разработка веб-сайтов, Тестирование IT-систем, Тестирование веб-сервисов, уязвимостиКак я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
2017-12-21 в 15:24, admin, рубрики: bitcoin, blind xss, csrf, disclosure information, Ethereum, idor, okex, poloniex, xss, биткоин, доверительное управление, ефир, инвестирование, инвестиции, информационная безопасность, криптовалюта, Программирование, Тестирование IT-систем, Тестирование веб-сервисов, уязвимость, финансы в ITБиткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир. Для того, чтобы вы могли понять, какой профит я получил, скажу, что на момент написания статьи биткоин стоит $18 100, а эфир $830 и продолжает выходить на орбиту вместе с остальными криптовалютами. Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление.
Читать полностью »
Как уязвимость платежной системы раскрывала данные кредитных карт
2017-07-27 в 16:53, admin, рубрики: account takeover, cvv2 bruteforce, disclosure information, md5 encrypt, pay2me, plategka, информационная безопасность, платежные системы, Разработка веб-сайтов, Тестирование IT-систем, Тестирование веб-сервисов, уязвимостьНедавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили (maxkassa.ru).
Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом.Читать полностью »