Дизлайк тебе, Facebook!

В один прекрасный день, приходит смс-уведомление от Facebook, о том, что что Д.И. прокомментировал публикацию, ну и в теле сообщения короткая ссылка на комментарий. Что странно, так это то, что до этого момента Facebook подобными уведомлениями меня не радовал)).

Собвственно, в чём заключается проблема будет описано ниже, поэтапно: (далее…)

WORDPRESS.COM раскрытие пользовательских e-mail

Решил я тут как-то почекать WorpdPress.com, на котором и крутится собственно мой бложек, и каково было моё удивление на 5-ой минуте, когда я увидел в респонсах BurpSuite какие-то левые емейлы.

Сам реквест идёт к хосту public-api.wordpress.com и выглядит следующим образом: (далее…)

КАК СЛИТЬ ~500 Gb ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ У GOOGLE И ДОКАЗЫВАТЬ ИМ, ЧТО ЭТО УЯЗВИМОСТЬ!

В сентябре 2017 года, изучая пачку сервисов Google, я наткнулся на https://talkgadget.google.com/ , на котором удалось обнаружить интересную уязвимость — если вбить в форму поиска какое-нибудь слово, например — user, admin, etc, то в ответ вываливается список пользователей (далее…)

ЯНДЕКС, ТЫ СЕРЬЕЗНО?! ИЛИ КАК СЛИТЬ СВОЙ ПАРОЛЬ…

Однажды я вспомнил, что у меня на Яндексе есть почта для всякого рода нежилательных писем😉. Давно я туда не заходил, в следствии чего пароль естественно забыл, ну думаю «Сейчас восстановлю, делов-то!».
Вбив свой емейл и капчу, Яндекс предложил мне ввести номер сотового для восстановления доступа к ящику. Обычная процедура вроде бы, я уже собрался вбивать номер, как увидел ссылочку «Не получается восстановить?», хм интересно что там за ней? (далее…)

ЗЛОСТНЫЕ ТХТ-ФАЙЛЫ

Иногда, проверяя чужие свои сайты автоматическими тулзами, можно увидеть очень полезную информацию в txt-файлах, например, в readme.txt, которые могут находится в дебрях веб-приложения. Большинство админов забивают на это и не контроллируют наличие таких файлов, оставляя злоумышленнику хоть и минимальный, но шанс… (далее…)

КАКИЕ ДАННЫЕ УТЕКАЮТ ЧЕРЕЗ МОБИЛЬНОЕ ПРИЛОЖЕНИЕ VK.COM

Решил я как-то запроксировать мобильное приложение от vk.com (android) дело было в августе 2016 года, и посмотреть что и куда утекает.
Каково было моё удивление, когда я увидел как список моего установленного софта на мобильном телефоне просто взял и улетел на api.vk.com да ещё и в открытом виде по HTTP! Как я подозреваю, обладателем списка моего софта установленного на телефоне стал не только сервер api.vk.com (да здравствует MiTM) (далее…)