{"id":11170,"title":"\u041a\u0430\u043a \u0437\u0430\u043c\u043e\u0442\u0438\u0432\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438\u0433\u0440\u043e\u043a\u043e\u0432 \u0442\u0440\u0430\u0442\u0438\u0442\u044c \u0434\u0435\u043d\u044c\u0433\u0438","url":"\/redirect?component=advertising&id=11170&url=https:\/\/vc.ru\/promo\/341559-korotko-uvelichit-prodazhi-cherez-sobstvennoe-prilozhenie&placeBit=1&hash=7a5df0ef2aad1850664a44a9e406536cb9a26738c002b57db0ec8a963322865f","isPaidAndBannersEnabled":false}

Чем занимается «белый хакер», как им стать и сколько можно заработать Статьи редакции

Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.

Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.

Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что такое предложение казалось странным и неприемлемым.

Но я продолжал лазить по интернету и подмечать разные незащищённые места. В 2009 году нашёл в одном из офлайн-магазинов известной торговой сети веб-камеры, к которым мог подключиться любой и перехватить видеосигнал. Мне тогда было 15 лет.

Я сообщил об этом владельцам, они сказали спасибо и закрыли уязвимость. Я предложил им свои услуги в сфере безопасности, но они отказались. А потом их взломали, и они почему-то подумали на меня, хотя это было не так.

Время от времени я продолжал искать уязвимости вроде открытых баз данных интернет-магазинов, в которых были информация о заказах и персональные данные клиентов, — и связывался с владельцами, чтобы они закрыли дыры.

В 2015 году я узнал про bug bounty (вознаграждение за найденные уязвимости, которое выплачивают ИТ-компании — vc.ru) и зарегистрировался в сервисе HackerOne, глобальной платформе, где создатели различных приложений и сервисов разрешают взламывать свои продукты.

Там зарегистрированы «ВКонтакте», Mail.ru Group, Sony, Adobe и много других известных организаций, включая Министерство обороны США. Они либо платят за найденные «дыры», либо благодарят иначе: могут выслать фирменную футболку или кружку или просто сказать спасибо.

Иногда они устраивают публичные мероприятия: предлагают всем желающим проверить силы во взломе своих сервисов. Иногда — закрытые, для нескольких хакеров.

Вне зависимости от программы, через 90 дней после сообщения владельцу ресурса об уязвимости, взломщики рассказывают о своих находках сообществу: что именно нашли и как им это удалось. Первые $100 я заработал взломав один сервис и получив доступ к файлу readme.txt.

Это было очень просто, и я не рассчитывал, что мне заплатят. Но на HackerOne есть диапазон выплат, который разделён по уровню критичности обнаруженной уязвимости.

Опыта для поиска критичных уязвимостей у меня было маловато, профильного образования тоже не было. Я самоучка: читал разные статьи, сидел на форумах, применял знания на практике.

Есть чаты, в которых сидят хакеры, — спрашивал советы там. Иногда мне помогали просто так, иногда — за процент от вознаграждения.

Кроме того, в то время я читал много открытых отчётов на HackerOne, в которых хакеры описывали, как они обнаружили ту или иную уязвимость.

Чтобы компания приняла отчёт, хакеру нужно доказать, что он действительно нашёл уязвимость, которая может причинить ущерб. Не получится сказать: «Шёл мимо гаража, увидел дырку в стене» — подобный отчёт просто не примут и попросят обосновать, в чём заключается дыра, и какую угрозу она несёт, пусть даже в малой степени.

Хороший отчёт выглядит так: «Я проходил мимо гаража, увидел, что хозяин забыл вытащить ключ из замка, открыл его, зашёл внутрь, ничего не трогал, а потом привёл владельца и показал, как можно попасть в гараж».

В этих отчётах было много полезных данных. Ещё я практиковался на тренажёрах — сервисах вроде Hack The Box, в которых разработчики сознательно оставили дыры.

На HackerOne я занимаю 37 место в мировом рейтинге лучших специалистов по поиску уязвимостей

Деньги и выплаты

Я не считаю, сколько времени трачу на работу. Всё зависит от настроения и объёма задач. Если есть важные дела, занимаюсь ими, если есть свободное время, «охочусь» ради интереса. В месяц я зарабатываю от $2000 до $8000, в среднем — около $5000.

Самые высокие выплаты за уязвимости среди российских компаний — у Mail.ru Group, от $2000 до $4000.

Adobe обычно ничего не платит, просто благодарит. А Sony высылает майки. Но я так ни одной не получил благодаря нашей доблестной таможне.

Свой самый крупный гонорар я получил за взлом для PayPal: за три месяца работы они заплатили мне около $70 тысяч. Но я не гонюсь за деньгами — иногда участвую в бесплатных проектах, чтобы повысить свой уровень.

Какие уязвимости удаётся обнаружить чаще всего

Они всегда разные, их сложно отсортировать по «популярности». Но чаще всего я нахожу SQL-инъекции, SSRF и RCE.

С помощью SSRF потенциальный злоумышленник может обращаться ко внутренней инфраструктуре компании, иногда недоступной даже из глобальной сети.

Для этого достаточно найти уязвимый сервис, обращающийся ко внутренней сети. Этот тип уязвимости может привести к полной компрометации инфраструктуры компании.

SQL-инъекция позволяет получить доступ к базе данных сайта или сервиса, в которой могут храниться логины, пароли и прочие сведения о пользователях, включая данные администратора.

RCE — уязвимость, которая позволяет завладеть сервером и выполнять команды от имени его администратора.

Сложнее всего взламывать сервисы крупных компаний: они тщательнее следят за своей инфраструктурой, плюс сама инфраструктура более сложная и базируется на микросервисах.

Недавно стало известно об утечке пользовательских данных в «Сбербанке». Насколько я знаю, у них всё хорошо с защитой. Злоумышленники обычно ищут заведомо уязвимых жертв.

Некоторые компании знают об уязвимостях, но ничего с ними не делают. Несколько лет назад я случайно обнаружил возможность SQL-инъекции у одного из крупнейших в России продавцов электроники. Уязвимость до сих пор не исправили.

Большинство брешей связаны либо с разгильдяйством программистов и системных администраторов, либо с недостатком у них опыта.

Иногда и очень опытные специалисты пропускают или попросту не успевают залатать дыры в системе безопасности. Против zero day — уязвимостей далеко не все могут бороться. Так что на 100% безопасными могут быть только выключенная система или система, о которой никто не знает.

Кто-то может случайно сделать публичной базу с пользовательскими данными или панель администратора с базой данных. Иногда такие ошибки происходят по невнимательности, когда разработчики забывают отключить некоторые настройки (debug mode) перед публикацией сервиса или обновления.

То есть в «нормальном» режиме доступ к этим сведениям могут получить только сотрудники организации, а доступ оказывается открытым всем пользователям интернета. Другие бреши связаны с техническими нюансами: когда что-то ломается при обновлении системы.

Как искать уязвимости

Если объяснять «на пальцах», поиск уязвимостей выглядит так. Сперва я изучаю инфраструктуру сети — либо вручную, перебирая поддомены, либо с помощью сервисов Shodan и Censys.

Так я получаю информацию об узлах, которые образуют сеть. Глядя на них, я понимаю, где могут скрываться потенциальные проблемы. Использую сканеры уязвимостей — они обращаются к узлу и по ответам находят его слабые места. Затем мне остаётся проверить, действительно ли там есть уязвимость.

Мне регулярно предлагают заняться «чёрной» работой. Чаще всего обращаются знакомые знакомых, которые хотят больших и лёгких денег и при этом не задумываются о рисках.

Самый популярный запрос: «Давай взломаем банк». Они думают, что я могу подчинить себе банкомат, и он будет выплёвывать деньги. Либо предлагают считывать данные о банковских картах.

На втором месте — просьба взломать тот или иной интернет-магазин. Некоторые товарищи хотят взломать сайты букмекерских контор и сервисы бинарных опционов или биткоин-кошельки. Иногда просят взломать страницу во «ВКонтакте», но эта просьба, на удивление, лишь на шестом-седьмом месте по популярности.

Я никогда не соглашался: все подобные предложения незаконны и противоречат моим внутренним принципам.

Команда

В 2018 году я познакомился с Андреем Леоновым, который годом ранее нашёл уязвимость в Facebook и заработал $40 тысяч. До знакомства мы много переписывались, а однажды встретились на Zero Nights (крупная российская конференция в сфере информационной безопасности — vc.ru).

Мы пообщались и договорились вместе искать баги: нам хотелось развиваться. Решили повышать уровень сообща. Постепенно команда выросла до шести человек.

Благодаря командной работе получается достаточно быстро справляться со сложными уязвимостями и выполнять более сложные проекты, которые в одиночку я бы вряд ли взялся делать. Например, аудит систем на наличие уязвимостей.

Я либо искал парней специально, либо находил благодаря случаю. Однажды я нашёл дыру в одной компании и стал искать способ сообщить о ней их разработчикам.

Почти всегда это непростая задача: в техподдержке часто не понимают, о чём идёт речь.

Она консультирует клиентов и обычно отвечает что-то вроде: «Извините, вакансий программистов у нас нет».

В лучшем случае предлагают прогуляться до ближайшего магазина, если речь об офлайн-сети, и показать находку администратору. Так было и в тот раз: я на LinkedIn увидел, что один парень работает в той компании, мы разговорились.

Оказалось, что он там больше не работает, но пообещал рассказать об уязвимости ответственным людям. В итоге проблему решили, и я даже получил небольшое денежное вознаграждение, что для российских компаний скорее редкость.

Слово за слово мы договорились работать вместе — было необходимо автоматизировать часть задач.

Этика «белых хакеров»

Чаще всего мы не раскрываем данные об уязвимостях, если компания, в которой мы их нашли, не желает этого. То есть мы не можем сказать, что, где и как обнаружили: эта информация только для представителей компании.

Кроме того, я использую принцип «не навреди»: для меня недопустимо «положить» сервер или украсть данные. Это считается нарушением этики, преследуется и по закону, и по правилам HackerOne.

Моя цель — помогать компаниям быть безопаснее для пользователей.

И мне интересно развиваться самому, узнавать о новых технологиях. И лучше «ломать» сервисы для пользы, а не во вред: так не только не накажут, но и расскажут об интересных нюансах, связанных с безопасностью, о которых иначе ты бы и не узнал.

#безопасность #взлом #хакеры #профессии

0
70 комментариев
Популярные
По порядку
Написать комментарий...
Julia Likhacheva

Всегда приятно читать истории увлекающихся людей с адекватными принципами в голове, это вдохновляет. Автор молодец, ставлю +.

Ответить
105
Развернуть ветку
Камаз Узбеков

Когда делаешь добро, главное - успеть сьебаться

Ответить
88
Развернуть ветку
Мавлет Юлмухаметов

В 2017 меня из 2-х компаний так уволили. 

 Буквально через неделю после устройства на работу, я нашел способ как простому админу получить уровень доступа начальника отдела. Показал начальнице, она сказала: "Ты ничего не видел и не знаешь" и все. Через месяц я нашел дыру через которую можно было слить базу всех сотрудников, работников и клиентов, с номерами, адресами, фотографиями и сканами документов. 1,5 года я стучался во все двери и говорил что проблему нужно решить, тем более что в то время нас постоянно дедосили и сервис падал (а мои доки тоже в базе лежали). В итоге я заскринил, как можно сломать сервис тестирования сотрудников, чтобы тест был пройден на 100% и скинул коллегам (раз дырки не баг, значит фича). Началась буча. Но вместо того, чтобы дать по башке тем кто отвечает за ИБ, всех собак повесили на меня, простого администратора (звонилку), под шумок и все дедосы тоже на меня повесили и весело уволили.

Во второй конторе я был уже не звонилкой, а занимался контролем качества информации в БД. Устроился, я на момент, когда вводили новую вебморду для сервиса. Очень сырую. Часто бывало, что она сбоила и мы откатывались на 2 дня назад, или просто то, что было проверено, некорректно отображалось и т.д. Из-за этого естественно мы не выполняли планы, лишались премий и просто получали по башке. Начальник отдела который админил всю эту шляпу, отчитывался перед вышестоящим руководством, что у них все норм, и это мы козлы, и ему почему-то верили. Наш начальник как не бился оставался крайним. В итоге начальник админов совсем офигев, сказал что-то типа "если все так плохо работает, то скриньте, снимайте видео и шлите репорты". Большинство ошибок же было в стиле, то есть, то нет и фиг знает почему она появлялась, т.е. не зная заранее не заскринить. Ну ок. Я нон-стопом запустил у себя запись экрана, а вечером дома уже нарезал моменты, иногда выяснял из-за чего проблемы и описывал их в отдельном файлике. Короче за 2 месяца стало ясно кто тут горбатый. А начальник админов, которому видимо похваставшись меня сдал наш начальник, затаил на меня обиду. Слили меня через месяц при первых же проблемах в конторе. В один прекрасный день меня вызвал начальник и сказал, что сверху пришло распоряжение уволить меня и еще одного энтузиаста. Предложили уйти самим или найдут за что уволить по статье. Начальник объяснил, что все с подачи начальника админов. 

Вот так.

Ответить
38
Развернуть ветку

Комментарий удален

Развернуть ветку
Положительный Валера

Комментарий удален по просьбе пользователя

Ответить
3
Развернуть ветку
O'Neil

Кому, по-твоему, заниматься этой, как ты выразился, хуйнёй, если ей не занимаются даже те, кто отвечает за инфобезопасность?

Ответить
1
Развернуть ветку
Andriy Yuzov

"Недавно стало известно об утечке пользовательских данных в «Сбербанке». Насколько я знаю, у них всё хорошо с защитой." — а не нативочка ли Сбера подъехала? нужно жн после скандала восстанавливать репу)

Ответить
–26
Развернуть ветку
Павел Андрейчук

А ещё нативка фейсбука, пайпала, мейл групп, линкедина.
А проспонсировали конкуренты Адоба.

Ответить
49
Развернуть ветку
Sergei Timofeyev

А чего там утекать? Система безопасности и мониторинга.... На НГ хотел купить билеты в театр. Платить хотел картой. Что вы думаете? Меня с сайта выбросило на незащищённую страницу Сбербанка. Специально даже посмотрел код и домен. Нет, это был Сбер, но передача данных по незащищённому протоколу. От оплаты отказался.

Ответить
3
Развернуть ветку
Johnny Vorony

Да даже если «нативочка», то автор рассказал про кучу других примеров его работы. И сколько человек по-твоему прочитают эту статью и увидят здесь восхваление системы безопасности Сбербанка?

Ответить
1
Развернуть ветку
Konstantin Ivanov

это как раз пример хорошей нативочки, когда большая статья появляется только ради одного предложения

Ответить
2
Развернуть ветку
Константин Панфилов

Развею сомнения — это не «нативочка» :)

Но, к слову, если бы рекламодатели были готовы к такому формату, мы бы жили в совсем другом мире.

Ответить
6
Развернуть ветку
Slava Asturyan

…которое запомнит один из всех прочитавших. Гениально. Да, так и работаем

Ответить
0
Развернуть ветку
Konstantin Ivanov

ты видимо не в курсе целей нативочки 

Ответить
0
Развернуть ветку
Никита Гончаров

Почему-то вспомнилось: «Когда палец показывает на небо, дурак смотрит на палец»

Ответить
2
Развернуть ветку
Прочел это-потратил время зря

а может произойти как в голливудском фильме?
чувак на крузаке из уфы переехал тебе дорогу и ты начал мстить - положил все сервера его интернет-магазина и вычистил все базы под ноль, оставив одно сообщение: "Жри тварь"
???

Ответить
7
Развернуть ветку
Иной бинокль

Потом его находит ФСБ, угрозами вербует в хакерскую группировку «Шатай-Болтай» и отправляет в Ольгу влиять на выборы в США, а в свободное время на информационную повестку на VC.RU.

Ответить
15
Развернуть ветку
Oleg Nazaruk

За определеную сумму всяко 

Ответить
0
Развернуть ветку
Yulay Mambetov

Серверы завода ЖБИ, надо полагать? 

Ответить
0
Развернуть ветку
Василий Водокачкин

крупная российская конференция в сфере информационной безопасности
сразу представил
https://www.youtube.com/watch?v=5CTEyufLvPE

Ответить
8
Развернуть ветку
bastardos_no_pasaran

Мегахакер, а почта на мейл.ру

Меня терзают смутные сомненья...

Ответить
1
Развернуть ветку
Виталий Воробьев

У настоящего хакера была бы почта l1nk@h4ck3rm4n.io

Ответить
16
Развернуть ветку
Alexandr Simonov
Ответить
6
Развернуть ветку
Sakari Sauso

Protonmail можно

Ответить
4
Развернуть ветку
Серж Заяц

в свете последних событий, уже не можно :)

Ответить
1
Развернуть ветку
Вальдемар

Когда читаю, сколько зарабатывают люди, увлечённые IT, начинаю заниматься самокопанием и думать, что где-то в этой жизни я свернул не туда, ибо сейчас я учусь на врача...

Ответить
6
Развернуть ветку
Олег Нечаев

Врачи зарабатывают и больше.

Ответить
1
Развернуть ветку
Роман Романов

Стоматологи-то?

Ответить
2
Развернуть ветку
Александр Ефремов

Почему нет?

Ответить
1
Развернуть ветку
Олег Нечаев

И не только

Ответить
0
Развернуть ветку
Олег Нечаев

И не только

Ответить
0
Развернуть ветку
Егор Щапов

Да, особенно стоматологи. Даже в регионах.

Ответить
–1
Развернуть ветку
Аня Новикова

Дело даже не в деньгах мне кажется. Задумайтесь, намного приятнее копаться в коде, чем в человеческих органах и анализах. Хотя это мое личное восприятие человеческого тела влияет) а заработать можно на чем угодно, главное поймать волну и «гореть» (как автор статьи, например)

Ответить
1
Развернуть ветку
Роман Романов

А до этого были востребованы бухгалтеры и юристы, а до - инженеры... Всё со временем сменяется.

Ответить
0
Развернуть ветку
Александр Ефремов

Труд бухгалтеров автоматизируется. А вот труд юристов, программистов, а тем более инженеров - нет. И "востребованы раньше" это где? В СССР? Сейчас и юристы и инженеры востребованнее некуда. Только в других странах.

Ответить
–2
Развернуть ветку
Роман Романов

Программистов тоже рано или поздно автоматизируют. Например, я этим занимаюсь. Инженера (изобретателя) сложнее, да, но не невозможно.

Ответить
1
Развернуть ветку
Ales Sharaev

Сравним зарплату инженера и сеньора програмиста?

Ответить
1
Развернуть ветку
Haones

Всегда интересно почитать истории от коллег по "охоте за ошибками". Но здесь есть несколько несостыковычек. Я очень сомневаюсь, что их добавил сюда автор, скорее всего редакторы, которые мало знакомы с этой темой. Одна из них:
Самые высокие выплаты за уязвимости у Mail.ru Group — от $2000 до $4000.

Но сам автор говорит об участии в PayPal программе, у которой максимальные выплаты за всю историю программы были до 30.000$, это с легкостью можно проверить, открыв их публичную страницу: https://hackerone.com/paypal
Следовательно, утверждение про "самые высокие выплаты" является здесь ложным.

Вторая про:

Какие уязвимости удаётся обнаружить чаще всего

В этой сфере каждый ищет по своему. В моем же случае наиболее встречаемые уязвимости - это слепой межсайтовый скриптинг (это когда JavaScript код, контролируемый атакующим, выполняется на закрытом портале, как правило, с административными привелегиями).

Находить часто SSRF, RCE, SQLi - это надо быть крайне везучим. В наше время SQLi встречаются все меньше и меньше, так как новые приложения создаются с другими подходами к безопасности. Даже взять историю Московского (https://habr.com/ru/post/421215/) - SQLi, которую он нашел, не так уж и просто обнаружить, учитывая, что она находилась на партнерском портале, доступ к которому получить возможно только при наличии существующего проекта в Steam. Не у многих "охотников за ошибками" есть такие возможности.

Построить бизнес на этом в принципе можно, но это скорее будет выполнение аудитов по контрактам (что в этой статье приведено в разделе "Команда"). На мой взгляд, охота за ошибками уже навсегда останется неким видом фриланса, так как "белые хакеры" часто ищут только определенный тип уязвимостей, когда как аудит может быть комплексным и по его условиям могут быть проверены вообще все уровни корпоративной безопасности, чего не скажешь о поиске ошибок по публичным программам.

Ответить
5
Развернуть ветку
Никита Евдокимов

Про самые высокие выплаты я изначально спрашивал о российских компаниях. Добавлю это уточнение, чтобы не вводить в заблуждение. Спасибо!  

Ответить
3
Развернуть ветку
Haones

Да, я тоже сначала подумал, наверное, речь про российские компании, но посмотрев статью снова, решил, что это не причина в этом случае, учитывая, что речь шла и про другие компании, поэтому решил написать об этом. Спасибо.

Ответить
0
Развернуть ветку
Konstantin Ivanov

ага, перечисленные уязвимости это самые жирные баунти, и самые редкие кейсы.

самые частые это всякий xss/csrf мусор

Ответить
2
Развернуть ветку
Кирилл Фомин

Как-то от нечего делать тоже увлекался поиском уязвимостей, смотрел курсы, читал статьи. Позже решил попробовать полученные знания на деле. Мучая гугл, нашел интернет-магазин у которого была уязвимость загрузки файла (это когда на сайте есть кнопка для загрузки фото, но вместо фото можно загрузить, например, php-файл и выполнить его на сервере, пройдя по его url. Т.е. нету проверки на то что загружаемый файл является картинкой, загрузить можно что угодно). В общем получил я таким образом доступ к файловой структуре сервера, при чем на этом сервере был не только этот самый интернет-магазин но еще куча других сайтов - т.е. через дыру на одном сайте я получил доступ ко всем сайтам которые хостились на том же сервере) Сообщил об этом в тех поддержку сайта, мне сказали cпасибо и пообещали разобраться) Через пару недель проверил сайт опять. И конечно же уязвимость была на месте, никто ничего не исправил)) Причем к тому времени на сайте уже прописалось куча других php-веб-шеллов от разных хакерских групп. Повторно писать я им уже не стал т.к. это уже было чревато учитывая что другие хакеры тоже сломали сайт раз и наверняка слили все интересные данные.

Ответить
4
Развернуть ветку
Alexandr Simonov

"Несколько лет назад я случайно обнаружил уязвимость у одного из крупнейших в России продавцов электроники" 

 "Как искать уязвимости. Если объяснять «на пальцах», поиск уязвимостей выглядит так. Сперва я изучаю инфраструктуру сети — либо вручную, перебирая поддомены, либо с помощью сервисов Shodan и Censys.

Так я получаю информацию об узлах, которые образуют сеть. Глядя на них, я понимаю, где могут скрываться потенциальные проблемы. Использую сканеры уязвимостей — они обращаются к узлу и по ответам находят его слабые места. Затем мне остаётся проверить, действительно ли там есть уязвимость."

Ничего себе случайность..

Ответить
3
Развернуть ветку
O'Neil

Этим наречием ('случайно') хантеры так себя пытаются обелить перед представителями компаний, в сервисах которых копаются в поисках дыр, сняв серые шляпы и надев белые. Типичный психологический приём.

Ответить
0
Развернуть ветку
Haones

Вероятно, серых раньше было больше из-за малой популярности площадок — они тогда только набирали популярность и мало кто знал о них. Многие тогда неосознанно становились "серыми" шляпками. Сейчас же многие серые шляпки остаются таковыми по своему желанию.

Ответить
0
Развернуть ветку
Haones

Мне кажется, по началу оно так и происходит у всех. Где-то прочитал статью что там кто-то что-то нашел и пошел попробовать тоже. Вспомнить тот же бум с SQLi. Вставьте в имя пользователя a' OR a=a-- и вы великолепны. Многие не понимают что происходит, но когда у них получается, начинают углубляться в эту тему и подходить к поиску уязвимостей более комплексно.

У меня почти так же вышло - начал с OBB (OpenBugBounty) и тупо вставлял пейлоад с XSS в строку поиска и отправлял отчет на OBB платформу, чтобы они сообщили владельцу сайта. Как эта XSS работала я тогда не понимал, зато сейчас нахожу обходы популярных файерволлов веб-приложений.

Ответить
0
Развернуть ветку
Ночной Кошмар

Знаю что есть баг в фб. Отливание с рк и бм. Без снятия средств с билинга. Уязвимость критическая. Но не знаю на сколько актуальна сейчас. Полгода назад была актуальна. так что. Дерзайте. 

Ответить
0
Развернуть ветку
Yaroslav Rybiak

Большое тебе сп за то что держишь нас вк.

Ответить
3
Развернуть ветку
Timur Mukhtarov

Классная статья, насладился. Спасибо!

Ответить
1
Развернуть ветку
Timur Mukhtarov

По принципу догнать и причинить добро?)

Ответить
1
Развернуть ветку

Комментарий удален

Развернуть ветку
Nikita Yakubovskiy

Перепутал автора, почему нельзя удалить пост? :-)

Ответить
0
Развернуть ветку
Константин Панфилов

Но у вас нет ни одного поста, в чём вопрос?

Ответить
2
Развернуть ветку
Agata Verbakh

Приятно читать статьи успешных людей с благими намерениями. Редкость! Автору спасибо ;)

Ответить
0
Развернуть ветку
Макс Лысюк

+1 к карме за статью автора если что-то пойдет не так

Ответить
0
Развернуть ветку
Саша Миронюк

кто шарит - Битрикс дырявый или более менее спокойно все?

Ответить
0
Развернуть ветку
Serge Tikhonenko

Автор крут! Отлично, когда челрвек на своем месте

Ответить
0
Развернуть ветку
$ergio

в заголовке написано "как им стать". В самой статье это не раскрывается. Автор только рассказывает свою историю, что он в 15 лет что-то начал делать. Какие знания, навыки для этого нужны - особо непонятно

Ответить
0
Развернуть ветку
Parango

может вам еще и ключ от квартиры? Как минимум разберитесь в веб-технологиях и чекайте трэк развития автора, который он подробно расписал.

Ответить
–1
Развернуть ветку
$ergio

то, что он работал на разные компании никак не раскрывает заголовка статьи. 
"Как минимум разберитесь в веб-технологиях". В каких? В том то и дело, что статья не раскрывает ничего, кроме как просто историю автора.
Обычно, если в заголовках "Как [кем-то] стать" описывается как действительно стать. Например: "Backend разработчик. Как им стать": в университете я решил узучить программирование. На то время .Net был самым популярным фреймворком. Потому мой путь начался с изучение языка C#.... Разницу чувствуете?
Автор начинает с того, что он уже просит проверять сайты на безопасность

Ответить
0
Развернуть ветку
Alex Vinogradov

Привет. Напишите в личку плз

Ответить
0
Развернуть ветку
Серёга -

...я вообще не хакер ...но обнаружил дырищу в платежной системе Сбербанка ...сообщил им и пох@ю ...и никто мне ничего не даст ни рубля а не то чтобы там  - тысяч долларов ... наоборот как было так и есть ..по сей день

Ответить
0
Развернуть ветку
Pavel Starozhuk

Очень крутая история о сфере, про которую особо и не думал никогда. Спасибо!

Ответить
0
Развернуть ветку
Welt Rogg

"SQL-инъекция позволяет получить доступ к базе данных сайта или сервиса, в которой могут храниться логины, пароли и прочие сведения о пользователях, включая данные администратора. " SQL-инъекции на крупных ресурсах уже давно не работают, а на относительно мелких все еще 10 лет назад было пофиксено. Кроме того пароли уже давно хранятся в захэшированом виде, так что просто получить доступ к sql не решил эту проблему."SQL-инъекция позволяет получить доступ к базе данных сайта или сервиса, в которой могут храниться логины, пароли и прочие сведения о пользователях, включая данные администратора. " SQL-инъекции на крупных ресурсах уже давно не работают, а на относительно мелких все еще 10 лет назад было пофиксено. Кроме того пароли уже давно хранятся в захэшированом виде, так что просто получить доступ к sql не решил эту проблему.

Ответить
0
Развернуть ветку
Сергей Гагулин

Интересная статья

Ответить
0
Развернуть ветку
Денис Голдрунков

А как платятся налоги с таких выплат? Они считаются доходом (13%) или подарком (30%)?

Ответить
0
Развернуть ветку
Michael Korshun

Кайф, статья лучше чем кофе)

Ответить
0
Развернуть ветку
Rainbow Spike

А я против искателей SQL-уязвимостей в 2014 поставил редиректик на самый популярный адрес. использую файловый вики-движок, огороженный обыкновенным .htaccess, а в доступных извне файлах стоит простенькое <?php exit; ?> в заглавии, и хоть лбом бейся. до этого 4 года развлекался с редирекцией всего зоопарка на страницу Каганова, потом на Натрибу, и даже на сайт ЦРУ...

Ответить
0
Развернуть ветку
Rainbow Spike

и вот эта ёнкома стоит на редиректе, после неё снифферы замолкают. наверное, Владимира Вольфовича боятся

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
inroll.ru

Интересная темка. Нечастая в нетах. Странно, что с такими способностями возникают сложности найти любого стейкхолдера любой компании.

Ответить
0
Развернуть ветку
xaker online

Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com
Взлом любых соц сетей любой сложности БЕЗ ПРЕДОПЛАТ . заказ тут xaker.online24.7@gmail.com

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку
Посторонний

 Чаще всего мы не раскрываем данные об уязвимостях, если компания, в которой мы их нашли, не желает этого.
Можно сообщить о типе уязвимости, не раскрывая, где она найдена.

Ответить
–1
Развернуть ветку
Читать все 70 комментариев
«Альфа-Банк» выдает кредиты онлайн-мошенникам без должной идентификации клиентов и отказывается аннулировать договор
Я запарился перебирать онлайн-кинотеатры и создал агрегатор «Кино.Вино»

Есть такая проблема в век официальных/модных/современных (нужное подчеркнуть) онлайн-кинотеатров — их стало много, а выбрать где смотреть, да ещё и по более выгодной цене когда контент платный, занятие утомляющее.

Концепт: как выглядели бы логотипы известных компаний в стиле Средневековья Статьи редакции

Burger King, Audi, Twitter, Starbucks и другие.

Как и почему люди сбегают с работы в первый день — опыт сообщества vc.ru Статьи редакции

Но иногда работодатели и сами ведут себя некорректно.

«Эталон» требует доплаты в 300 тысяч после оформления ДДУ и выдачи ипотеки из-за ошибки в их калькуляторе

Добрый день!

Возникла неприятная ситуация с застройщиком «Эталон». В ноябре 2021 года было принято решение приобрести квартиру в жилом комплекте от застройщика «Эталон», обратилась напрямую в отдел продаж, без агентов и риэлторов. Процесс выбора несколько затянулся т.к. предложенные изначально варианты не устраивали по планировке или цене, к концу…
Кейс: запустить шрифт для дислексиков и увеличить количество скачиваний приложения на 70%

Зачем — рассказывают дизайнер, логопед и агентство.

Как снизить стоимость за установку приложения с помощью тестирования креатива: кейс Joom и Aitarget Tech

Может ли цвет креатива или расположение цены влиять на стоимость установки приложения? Эти и другие гипотезы платформа Aitarget Tech позволяет тестировать для Joom, одного из крупнейших маркетплейсов в Европе и Азии. Делимся результатами тестирования гипотез и рассказываем о подходе, который позволяет автоматизировать процесс.

Московский акселератор – короткий путь к мечте!

У нас отличная новость: стартовала постакселерационная программа для участников треков AI Factory, T&M, Digital health, ArchTech. И он отличается от тех постакселераторов, какие были до этого. Чем? Сейчас расскажем.

Почему отключение SWIFT не разрушит российскую банковскую систему, и чего действительно стоит бояться

С 2014 года мы слышим о возможном отключении России от системы SWIFT. В последние недели эти разговоры все чаще звучат в медиа и серьезно влияют на настроения в банковской среде. CBDO Банка 131 Анна Кузьмина рассказала, почему блокировка SWIFT в России не смертельный сценарий, и какие санкции против банков на самом деле вызывают беспокойство.

ЦБ выступил против предложений Минфина о регулировании криптовалют Статьи редакции

Подход Минфина угрожает появлением «параллельной финансовой системы», считает регулятор.

Как оценивать дизайн: Метод 3К, ч. 1

Раскладываем процесс оценки разрабатываемого дизайна на систему вопросов.

null