H
Когда КБшник не верит что есть новая уязвимость
Size: a a a
2021 January 05
H
Аххаха
/
а там вообще рофл
/
пуллы банили через hosts
VK
Когда КБшник не верит что есть новая уязвимость
Ну если бы она была, то я думаю о ней бы все уже орали бы в громкоговоритель, нет? Ну или какое либо описание методологии?
/
ну собственно можно их удалить в майнере + крипт на строки и поверх upx
/
снимут защиту такую?
H
Ну если бы она была, то я думаю о ней бы все уже орали бы в громкоговоритель, нет? Ну или какое либо описание методологии?
Ну тут надо либо ждать либо искать лучше
s
Когда КБшник не верит что есть новая уязвимость
"новая"
Это уже здесь обсуждалось месяц назад или больше.
Это уже здесь обсуждалось месяц назад или больше.
n
"новая"
Это уже здесь обсуждалось месяц назад или больше.
Это уже здесь обсуждалось месяц назад или больше.
Куда смотреть?
s
Куда смотреть?
Хз, далеко листать
ⓛ
камраді ли есть ктото кто участвует в разработке tor напишите в личку есть небольшой вопрос
VK
Продублирую тут своё имхо, поправьте если есть пруфы:
Смотри, тебе в телеге прилетает ссылка, ты открываешь её по апихе браузером (при этом браузер может быть любой, не просто версионность). Дальше браузер нихрена не может сделать кроме как использовать апиху телеги для вызова её функций, ибо при открытии ссылки никакие токены авторизации не передаются уж точно, более того даже твой идентификатор не передаётся, либо же телега снифает все твои сообщения и парсит ссылки которые ты открываешь локально, либо же на уровне сервака (а апи вызовы по открытию локальных аппликух не должны ходить на сервак, т.е. тоже не получается айай).
Мне тут один хороший человек написал, что да, такой вариант возможен если ты авторизируешься телегой как SSO на другой веб-аппке - и тут я полностью согласен, но дело в том что для авторизации на другой веб аппке телега спрашивает твоего подтверждения, если ты даёшь подтверждение то это уже 2 клика и совсем разные атаки, тогда да - обычная фиш линка которая потом хватает токен SSO с твоего согласия и насилует его в жопу.
Смотри, тебе в телеге прилетает ссылка, ты открываешь её по апихе браузером (при этом браузер может быть любой, не просто версионность). Дальше браузер нихрена не может сделать кроме как использовать апиху телеги для вызова её функций, ибо при открытии ссылки никакие токены авторизации не передаются уж точно, более того даже твой идентификатор не передаётся, либо же телега снифает все твои сообщения и парсит ссылки которые ты открываешь локально, либо же на уровне сервака (а апи вызовы по открытию локальных аппликух не должны ходить на сервак, т.е. тоже не получается айай).
Мне тут один хороший человек написал, что да, такой вариант возможен если ты авторизируешься телегой как SSO на другой веб-аппке - и тут я полностью согласен, но дело в том что для авторизации на другой веб аппке телега спрашивает твоего подтверждения, если ты даёшь подтверждение то это уже 2 клика и совсем разные атаки, тогда да - обычная фиш линка которая потом хватает токен SSO с твоего согласия и насилует его в жопу.
V-
а если тг не спрашивает подтверждения на другой веб-аппке?
SP
Продублирую тут своё имхо, поправьте если есть пруфы:
Смотри, тебе в телеге прилетает ссылка, ты открываешь её по апихе браузером (при этом браузер может быть любой, не просто версионность). Дальше браузер нихрена не может сделать кроме как использовать апиху телеги для вызова её функций, ибо при открытии ссылки никакие токены авторизации не передаются уж точно, более того даже твой идентификатор не передаётся, либо же телега снифает все твои сообщения и парсит ссылки которые ты открываешь локально, либо же на уровне сервака (а апи вызовы по открытию локальных аппликух не должны ходить на сервак, т.е. тоже не получается айай).
Мне тут один хороший человек написал, что да, такой вариант возможен если ты авторизируешься телегой как SSO на другой веб-аппке - и тут я полностью согласен, но дело в том что для авторизации на другой веб аппке телега спрашивает твоего подтверждения, если ты даёшь подтверждение то это уже 2 клика и совсем разные атаки, тогда да - обычная фиш линка которая потом хватает токен SSO с твоего согласия и насилует его в жопу.
Смотри, тебе в телеге прилетает ссылка, ты открываешь её по апихе браузером (при этом браузер может быть любой, не просто версионность). Дальше браузер нихрена не может сделать кроме как использовать апиху телеги для вызова её функций, ибо при открытии ссылки никакие токены авторизации не передаются уж точно, более того даже твой идентификатор не передаётся, либо же телега снифает все твои сообщения и парсит ссылки которые ты открываешь локально, либо же на уровне сервака (а апи вызовы по открытию локальных аппликух не должны ходить на сервак, т.е. тоже не получается айай).
Мне тут один хороший человек написал, что да, такой вариант возможен если ты авторизируешься телегой как SSO на другой веб-аппке - и тут я полностью согласен, но дело в том что для авторизации на другой веб аппке телега спрашивает твоего подтверждения, если ты даёшь подтверждение то это уже 2 клика и совсем разные атаки, тогда да - обычная фиш линка которая потом хватает токен SSO с твоего согласия и насилует его в жопу.
Ребята не стоит вскрывать этот код. Вы молодые, хакеры, вам все легко. Это не то. Это не Stuxnet и даже не шпионские программы ЦРУ. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте компилятор и забудьте что там писалось. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.
M
Ребята не стоит вскрывать этот код. Вы молодые, хакеры, вам все легко. Это не то. Это не Stuxnet и даже не шпионские программы ЦРУ. Сюда лучше не лезть. Серьезно, любой из вас будет жалеть. Лучше закройте компилятор и забудьте что там писалось. Я вполне понимаю что данным сообщением вызову дополнительный интерес, но хочу сразу предостеречь пытливых - стоп. Остальные просто не найдут.
Гыыы, не хватает фотки из бумера
V-
полностью та же ситуация, видимо
VK
а если тг не спрашивает подтверждения на другой веб-аппке?
То это чудеса по моему мнению. минимум зиродей нахуй: заэскейпить из браузера и потом спиздить токен из телеги это оч круто, либо же найти где при открытии ссылки телега передаёт хоть какие-то данные кроме самой ссылки браузеру
M
То это чудеса по моему мнению. минимум зиродей нахуй: заэскейпить из браузера и потом спиздить токен из телеги это оч круто, либо же найти где при открытии ссылки телега передаёт хоть какие-то данные кроме самой ссылки браузеру
Что мешает поднять свой вебсервер и посмотреть что вам прилетает
VK
Что мешает поднять свой вебсервер и посмотреть что вам прилетает
Мне - дичайшая лень)))