Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec и как хобби занимаюсь багбаунти. Хочу рассказать историю, когда сочетание простых багов, которые может найти каждый приводило к высокому импакту.В одном сервисе, где можно было создавать и оплачивать заказы были найдены IDOR CRUD счета на оплату (далее инвойс) и особенности связи инвойса с созданным заказом. Читать далее
Анализ теоретическо-практических векторов атаки при утечке корневых и промежуточных сертификатов в модели угроз направленного взлома.В практике тестирования на проникновение (penetration testing) традиционно большое внимание уделяется эксплуатации уязвимостей…
Небольшие фрагменты породы могут раскрыть многое, когда их анализируют с помощью мощных лабораторных инструментов. Новое исследование крошечных фрагментов астероида Рюгу, собранных миссией «Хаябуса-2» (JAXA), показало, что вода протекала по нему более чем через миллиард лет…
В первой части публикации рассказывается о том, как Кристофер Аллен задумал создать новый децентраизованный безопасный интернет, придумал название Self-Sovereign Identity (SSI) и в 2016 году начертал на скрижалях десять заповедей SSI. Что же было дальше…Дальше Аллен организовал упомянутые в…
ПредуведомлениеЭта публикация разбита на две части для удобства чтения. Если это оказалось неудобно именно вам, приношу свои извинения за доставленные неудобства.Волны модернизацииГорек хлеб того исследователя, который берется исследовать, и того писателя, который ради…
В некоторых случаях необходимо исследовать большие объемы информации и затрачивать на это минимум времени. Например, когда мы не хотим читать большой документ целиком, а нам нужно найти ответы на некоторые вопросы. Конечно, это звучит странно. Ведь, чтобы задать вопрос, нужно…
Однажды я поставил перед собой цель: найти идеальный агрегатор — «сборник» нейросетей. Программу для Windows 11. Тот, который станет единым окном в мир ИИ. Потому что это удобнее, чем переключаться между десятком вкладок.Я протестировал девять различных программ…
"Запахи" в тестах — это полезные сигналы, которые важно уметь распознавать, чтобы писать удобные и легко поддерживаемые тесты. Мы уже писали про "запахи" в E2E-тестах; сейчас же рассмотрим распространённые ошибки, которые возникают при написании модульных тестов.Хоть написание…
В идеальных условиях именно роль "бизнес-аналитик" в производственном ИТ-процессе должна быть "входной точкой" для бизнес-заказчика, формализующей, как правило, неструктурированные требования в структурированные. Через эту же роль должна производиться обратная связь ИТ-команды бизнес-заказчику. Узнать больше
Да, да, это мой маленький секрет - я посредственный программист. Определение слова «хакер», с которым я больше всего себя ассоциирую, звучит больше как «человек, который делает мебель топором». Я - именно такой, я пишу простой, прямолинейный, в основном, императивный код, потому что