r0hack

Continuous Technologies (бренд DeteAct) — растущая компания, предоставляющая сервисы и разрабатывающая продукты в сфере кибербезопасности. Мы — одни из лидеров на рынке услуг по оценке защищённости в России. Мы помогаем клиентам обнаруживать уязвимости и действовать для их устранения, опередив...

Всем Салам! Давно не появлялся на форуме, да и вообще нигде не писал и не выступал. Решил больше времени уделить на прокачивание хард и софт скиллов. Но теперь я решил возобновить свою активность в сети по мере возможности буду писать. Также у меня появился канал в телеграм, где я публикую...

🔥 Друзья, представляем нашего гостя 🔥 Рамазан @r0hack Воскресенье, 27.06.2021 18:00 Bug hunter HackerOne profile - r0hack Участник команды Codeby Ресерчи Roma Ramazanoff, Author at Deteact - Тестирование на проникновение. Информационная безопасность А так же выступал спикером на многих...

Всем Салам. Эта статья является неким дополнением и продолжением этой статьи BruteForce, как недооцененный вид атаки (Account TakeOver) Предисловие Здесь разберем уязвимости, с которыми можно столкнуться при реализации SMS-аутентификации. Все описанные уязвимости не просто в теории, а со всеми...

Всем Салам. Много времени прошло с начала первой части. В последнее время не было желания вообще что-либо написать. И за этот период накопилось очень много, разных и интересных кейсов из Bug Bounty. Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А...

Всем Салам. Поздней ночью начну писать свой блог, надеюсь он будет бесконечным)). Суть блога в том, что я буду тут описывать баги, которые я находил на HackerOne, возможно и на других платформах. Такой формат думаю многим будет интересен. Особенно тем кто хочет начать этим заниматься или уже...

Конкурс: Встречаем 2020 статьями по инфобезу Всем Салам. Недавно в одном из инфосековских чатов натолкнулся на документ - “План вкатывания в Infosec”, в котором были какие-то общие советы, ссылки на полезные ресурсы и т.д. Данный мануал сподвиг меня написать данную статью, но тут будут не общие...

Всем Салам. Снова хочу поделиться с вами случаем, с которым столкнулся во время пентеста и его дальнейшего исследования. В целях обработки большого количества данных в Яндекс.Метрике, Яндексом была создана колоночная СУБД ClickHouse. В рамках проектов по анализу защищённости мы встречали...

Всем Салам. Решил поднять тему BruteForce атак, хотя многие, с пеной во рту, очень часто кричат, что это никогда не прокатывает, зачем об этом писать, ужасный вид атаки и т.д. Но не буду сейчас кому-то пытаться доказывать, что bruteforce имеет место быть, что это очень эффективный вид атаки...

Всем Салам. В ходе пентестов, уже несколько раз сталкивались с ORM-Doctrine и наличием там возможности эксплуатации инъекций, а в сети про DQL инъекции ничего нет. В связи с этим был сделан этот небольшой ресерч. В дальнейшем будет изучено еще глубже и другие ORM и их диалекты, например...

Всем Салам. Remote code execution in Atlassian Jira(CVE-2019–11581) through template engine FreeMaker. В апреле месяце была обнаружена RCE в продукте Atlassian Confluence, а если быть точнее в плагине, который почти всегда там используется. И вот через 4 месяца еще одна RCE, но теперь уже в...

Всем Салам. Очень давно не писал, но недавно во время пентеста столкнулся с одной интересной уязвимостью, которую пофиксили только в этом месяце и очень многие компании, которые используют данный продукт уязвимы к RCE (удаленному выполнению кода). Говорим мы про, всем известный, Jenkins. Нашел...

Всем Салам. Сегодня хотел бы поговорить о фрилансе и как работать без потерь для себя. А именно мы будем защищаться от плохих заказчиков, которые захотят нас кинуть после выполненной работы. Вы скажете, ну чтобы не кидал, бери половину суммы наперед или все сразу. Такое условие, если и прокатит...

Всем Салам. Все чаще в работе сталкиваюсь с интернет-магазинами на Битрикс и учитывая, что эта CMS система набирает сильную популярность в странах СНГ, особенно часто используют для создания интернет-магазинов, хотел бы поделится одним полезным лайфхаком. [0] - Немного теории Так как уже во...

Всем салам. Сегодня хотелось бы поговорить о такой уязвимости, как Local File Inclusion (LFI). Наличие данной уязвимости очень опасно. Но давайте обо всем оп порядку. [0] - Немного теории Как я уже говорил выше, наличие данной уязвимости очень опасно, ведь мы можем получать доступ к каким-либо...

Приветствую вас на CodeBy. Сегодня, в этот замечательный день, мы устраиваем еще один крутой конкурс статей с огромным количеством призов! Регистрация участников на конкурс открыта до 16 февраля Публикации статьи до этого числа, является фактом регистрации. Вы можете опубликовать сколько...

Всем Салам. Сегодня решил поделится с вами довольно таки интересной темой. Когда мы получаем доступ к серваку, то делать руками гадать, что где находится довольно таки сложно и все это может затянуться. Поэтому, самым оптимальным решением является залить веб-шелл, через бекдор. Сегодня я не буду...

Всем Салам. Сегодня я хочу рассказать вам о самом крупном и крутом форуме по информационной безопасности в России, которая организовывается уже на протяжении 8 лет. Мероприятие PHDays или форум по практической безопасности пройдет 15 и 16 мая 2018 года, как всегда, в московском Центре...

Статья только для образовательных целей. Часть 1 Часть 2 Всем Салам. Вот уже 3я часть серии статей про подмену DNS в роутере. Мы уже разобрали, как настроить все, грабить сайт и похищать пароли. Сегодня, мы будем разбирать подстановку рекламы в браузер. Я давно еще искал информацию про такую...

Статья написана только для образовательных целей. Все делайте на свой страх и риск. Всем Салам и Доброй ночи. Люблю сидеть ночью и писать статьи, вообще такое желание возникла в далеком 2012 году, когда еще учился в школе, создал компьютерный блог и писал много статей и в то время блог был...