S
зачем делать 64бит экзешник если есть написаный 10 лет назад 32битный
Ну просто решает ведь не простые какие-то задачи и по идее должна побольше работать с RAM, т.е. х64 должна быть...
Size: a a a
2020 August 21
D
Ну просто решает ведь не простые какие-то задачи и по идее должна побольше работать с RAM, т.е. х64 должна быть...
ничего она не решает же
там есть служба 64битная которая управляет виртуалками а программа это гуй
вот если служба 32бит то это другое уже дело будет
там есть служба 64битная которая управляет виртуалками а программа это гуй
вот если служба 32бит то это другое уже дело будет
S
ничего она не решает же
там есть служба 64битная которая управляет виртуалками а программа это гуй
вот если служба 32бит то это другое уже дело будет
там есть служба 64битная которая управляет виртуалками а программа это гуй
вот если служба 32бит то это другое уже дело будет
Наверное это так
D
Наверное это так
запусти процесс хакер под админом и посмотри
S
запусти процесс хакер под админом и посмотри
Посмотрю
S
ничего она не решает же
там есть служба 64битная которая управляет виртуалками а программа это гуй
вот если служба 32бит то это другое уже дело будет
там есть служба 64битная которая управляет виртуалками а программа это гуй
вот если служба 32бит то это другое уже дело будет
Вообщем почитал на оф. сайте, всё говорит о том, что x86 это интерфейс а всё остальное дальше там будет уже корректно работать.
D
Вообщем почитал на оф. сайте, всё говорит о том, что x86 это интерфейс а всё остальное дальше там будет уже корректно работать.
ну я и говорю гуи
S
ну я и говорю гуи
Ага, оно
D
графикал юзер интерфасе
S
графикал юзер интерфасе
Ато так посмотрел — как что-то ресурсозатратное ставить, так х64, а тут работа с OS и x86, появились сомнения)...
D
Ато так посмотрел — как что-то ресурсозатратное ставить, так х64, а тут работа с OS и x86, появились сомнения)...
наверняка x86 там не просто так а изза того что в корпорациях есть свои надстройки написаные под него и ломать их никто не будет
S
наверняка x86 там не просто так а изза того что в корпорациях есть свои надстройки написаные под него и ломать их никто не будет
Тоже подумал — как модульное универсальное решение.
2020 August 23
👨n
Бот запутался в двух капчах)
2020 August 24
n
Firebase Cloud Messaging - как отправить push миллиарду пользователей
Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных (вроде) 😄
После этой статьи я стану намного пристальнее на них смотреть и на те возможности, что они дают. И обязательно добавлю такую проверку в анализ.
Если кратко - багхантер практически с помощью одного grep, детального изучения документации и функционала сервисов FCM получил возможность отправить любое push-сообщение от имени уязвимого приложения. А в их числе оказались и гугловские сервисы (Google music, Youtube Music и т.д.),то есть миллиарды пользователей 😱
В статье подробно описан процесс анализа, изучения сервиса FCM, есть алгоритм, как искать и проверять валидность таких ключей (что с их помощью действительно можно отправить push), как сделать PoC и как митигировать подобные риски.
И спасибо автору за ссылки на материалы, статьи и утилиты, которые он использовал при анализе. Помимо нескольких интересных вещей по мобильным приложениям, есть и на что посмотреть в части прикладных инструментов.
Советую прямо сегодня посмотреть ваши мобильные приложения на наличия ключей FCM и проверить, валидны ли они для отправки произвольных пушей.
Потрясная статья, конечно 😁
#Android #BugBounty #Research #FCM
Во время анализа приложений мы постоянно находим различные токены от сервисов аналитики, а иногда и от нескольких, разных сервисов геолокации, карт и многих других, не сильно критичных (вроде) 😄
После этой статьи я стану намного пристальнее на них смотреть и на те возможности, что они дают. И обязательно добавлю такую проверку в анализ.
Если кратко - багхантер практически с помощью одного grep, детального изучения документации и функционала сервисов FCM получил возможность отправить любое push-сообщение от имени уязвимого приложения. А в их числе оказались и гугловские сервисы (Google music, Youtube Music и т.д.),то есть миллиарды пользователей 😱
В статье подробно описан процесс анализа, изучения сервиса FCM, есть алгоритм, как искать и проверять валидность таких ключей (что с их помощью действительно можно отправить push), как сделать PoC и как митигировать подобные риски.
И спасибо автору за ссылки на материалы, статьи и утилиты, которые он использовал при анализе. Помимо нескольких интересных вещей по мобильным приложениям, есть и на что посмотреть в части прикладных инструментов.
Советую прямо сегодня посмотреть ваши мобильные приложения на наличия ключей FCM и проверить, валидны ли они для отправки произвольных пушей.
Потрясная статья, конечно 😁
#Android #BugBounty #Research #FCM
Не, ну долбоебы закинули приватные ключи в апку?
YS
Не, ну долбоебы закинули приватные ключи в апку?
:)
Ну многие этим грешили, в том числе и гуглы))
Ну многие этим грешили, в том числе и гуглы))
YS
Я так понимаю, что это ещё связано с очень "очевидной" настройкой и выдачей ключей в fcm и gcm
АГ
Не, ну долбоебы закинули приватные ключи в апку?
эта музыка будет вечной
n
Я так понимаю, что это ещё связано с очень "очевидной" настройкой и выдачей ключей в fcm и gcm
Да какая очевидная настройка?)
Экспортируются паблик ключи, конфиг для апки и всё.
Экспортируются паблик ключи, конфиг для апки и всё.
YS
Да какая очевидная настройка?)
Экспортируются паблик ключи, конфиг для апки и всё.
Экспортируются паблик ключи, конфиг для апки и всё.
я не имел опыта с FCM, так что не могу сказать))
Если про гугл консоль говорить (как минимум про обычную для google cloud), то там ебануться можно, пока разберешься с правами на ключи, которые выдаются) Я сильно подозреваю, что и с gcm та же херь
Но конечно, пихать серверный ключ в приложуху это жестоко)
Если про гугл консоль говорить (как минимум про обычную для google cloud), то там ебануться можно, пока разберешься с правами на ключи, которые выдаются) Я сильно подозреваю, что и с gcm та же херь
Но конечно, пихать серверный ключ в приложуху это жестоко)