P
и самое интересное что к этим файлам нет доступа без логина моего пользователя
Size: a a a
2020 June 11
P
как rce замутить?
ЗТ
много вариантов
ЗТ
да и даже если я угадаю это будет не так интересно
P
ну хоть намекни
ЗТ
я хз, много способ, прогугли
ЗТ
ok google
P
пока всё что читается это xss причём xss этот только для моей песочницы
P
но PHP то не срабатывает)))
2020 June 12
NK
Недисциплинированный из меня блогер...
К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.
Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.
Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.
В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.
Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).
Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.
Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.
Журналу Phrack хватало ASCII art.
К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.
Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.
Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.
В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.
Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).
Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.
Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.
Журналу Phrack хватало ASCII art.
AL
ID:0
Недисциплинированный из меня блогер...
К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.
Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.
Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.
В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.
Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).
Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.
Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.
Журналу Phrack хватало ASCII art.
К слову о хакерской культуре и этике: одним из ключевых принципов хакеров является открытость информации.
Между тем, с развитием хакерских сегментов индустрии ИБ исследовательская деятельность частично перешла в разряд коммерческих.
На практике это означает, что большинство "исследований" (в кавычках, потому что обычно это достаточно тривиальные вещи в сравнении с хорошими академическими исследованиями) делаются для пиара конкретного человека или для пиара компании.
Да, автору исследования его предмет может быть очень интересен, и он действительно хочет этим поделиться, но коммерционализированность выражается в том, что информацию удерживают от публикации до поры до времени.
Иногда публикацию задерживают, потому что ожидают исправления каких-то уязвимостей вендорами, но обычно всё-таки потому что хотят достичь максимального хайпа в СМИ или потому что хотят рассказать всё на конференции, и почему-то до самой конференции публиковать ничего нельзя.
В нашем русском сообществе это началось с появлением большого количества вакансий для хакеров: все исследования стали корпоративными, и на них либо распространяется NDA, либо они публикуются в маркетинговых материалах ради упоминаний. Раньше же их публиковали на форумах, где информация, правда, тоже могла быть закрыта от общего доступа в приватных разделах.
Из последних примеров проявления мышления корпоративных исследователей — только что наткнулся на твит, пожалуй, самого известного сейчас исследователя веб-уязвимостей Джеймса Кеттла из авторитетной компании Portswigger (которая платит ему зарплату за то, чтобы он фуллтайм искал какие-нибудь интересные штуки для публикаций и выступлений для пиара их флагманского продукта).
Чувак выложил ссылку на материал 2005 года про проблемы безопасности UTF-8. На вопрос, является ли это предметом его исследования, ответил, что "хаха нет, в таком случае я бы не выкладывал ссылку на материал!".
Вот так! Не стал бы делиться ссылкой на чужой материал 2005 года, чтобы побольше оттуда вытащить ценного для собственной публикации и хайпа.
Хорошо ли это, плохо ли? Да чёрт его знает... Цель любой компании — генерация прибыли, и если при этом побочно генерируется какое-то знание, это уже полезно.
Но это точно идеологически не хакерский подход к исследованиям. Наверное, это же иллюстрирует и тренд последних ~5 лет на создание названий, логотипов и лендингов для уязвимостей.
Журналу Phrack хватало ASCII art.
Вот что правда то правда. Раньше все охотнее делились инфой
P
Это плохо
P
Давайте исправлять ситуацию
NK
Друзья, завтра выступаю с небольшим докладом на конференции https://webdevsummit.info
Приходите, участие бесплатное
Приходите, участие бесплатное
M
Кто то сделает запись с экрана? завтра реально некогда🙁
DB
ID:0
Друзья, завтра выступаю с небольшим докладом на конференции https://webdevsummit.info
Приходите, участие бесплатное
Приходите, участие бесплатное
😍👍
S
ID:0
Друзья, завтра выступаю с небольшим докладом на конференции https://webdevsummit.info
Приходите, участие бесплатное
Приходите, участие бесплатное
Время МСК или наше местное?🤔
АК
А какого формата будет? Можно ли будет задавать вопросы и по средствам чего? Заранее спасибо за ответ
P
Кто то сделает запись с экрана? завтра реально некогда🙁
👍🏻