Ново-Огарёво
Light Weight
- Депозит
- $0
Данный материал был выпущен специально для форума XSS и новостного блога по информационной безопасности https://t.me/knightpentest
Мы подготовили для вас небольшую смешнявку. Эта небольшая новость будет полезна тем, кто все еще ищет себя, ищет работку. Мы вам покажем как можно ее найти, конечно, скорее всего бабок нормальных никто не заплатит, но опыт можно получить хороший. Большие дяди зарабатывают, а вы просто сдаете баги :smile10:
Кейс с международным обменником криптовалюты
Поскольку наша команда сотрудничает с comedy_club нам как партнерам интересно стало, как работают оффлайн обменники. Один из наших участников проживает заграницей и благодаря этому прекрасному человеку нам удалось "пропентестить" международный обменник валют. Все началось с рекламного билборда в центре города на котором были указаны страны в которых осуществляется обмен и юзернейм телеграма для связи. Наш товарищ (далее "G1") хотел узнать условия обмена, попробовал написать по этому юзернейму... По итогу оказалось, что он не найден)) Свободный... G1 успешно его занял и передал его нам. (пришлось подождать около 30 минут, чтобы с G1 перевязать на аккаунт менеджера баламута). Кто не знает про лимиты телеграм можете ознакомиться по ссылке: https://limits.tginfo.me/ru-RU
Так вышло, что саппорт обменника потерял юзернейм, который расположен на билдборде в центре города. Ошибка заключалась в том, что сап сделал канал частным)))) G1 словил подходящий момент и занял данный юзернейм. Поскольку обменник довольно крупный и расположен по всей стране где проживает G1, реклама даже вертится в обычных обменниках фиата, мы ничем не болеем и решили поступить честно дабы G1 не выпиздили из страны
Переписка менеджера KnightPentest (позывной баламут) с саппортом международного обменника (контакт взяли с веб сайта)
Нам стало интересно, поменяют ли ребята грязную монету) Написали с аккаунта нашей подружки, туристки, социальная инженерия в деле)))
Ребята по итогу отказались поменять монетку. Увидели, что аккаунт подозрительный с блатным номерком и девушка больно привлекательная.
Тут мы сразу зашли с козырей сообщив, что в центре города висит юзернейм обменника, который мы забрали себе и если б были злоумышленниками, то могли бы кинуть клиентов, которые напишут увидев билдборд. А недовольные клиенты придут в офис жаловаться, как бы грусть будет да))) Нам предложили встретиться в ИРЛ, обсудить все детали и начать сотрудничать.
Бизнес ущерб оценили в 20$. Мы отдали бесплатно и еще нашли ряд недостатков на сайте. Наши верстальщики и ведущие разработчики готовы были сделать ревью, помочь с безопасностью, но ребята отказались дистанционно сотрудничать, хотели пригласить нас заграницу, увы если бизнес риск оценили в 20$, то мы уже поняли, что и инфру им поднимать надо будет за 100$)) Поскольку нам не дали разрешение на проведение аудита, то мы банально от лица простого юзера нашли недостатки, даже внутрь лезть никто не стал, наши разработчики естественно не стали даже смотреть этот обменник, как бы людям нужны средства, работа должна оплачиваться.
У них на сайте "bestchange" кликаешь редиректит тупо на официальный сайт мониторинга, а обменник не листится, их не добавили еще))) https://bits.media тоже самое, перекидывает просто на новостной сайт. К чему эти ресурсы не понятно, возможно сайт еще только разрабатывается.
Непонятная форма для регистрации, скорее всего самодельная. Пароли по типу qwerty, password проходят)
Максимально странная антифлуд система, если мыло поменять, то можно запросы на сброс пароля отправлять без ограничений)))
"test@gmail.com такого рода емейлы проходят.
te(st@gmail.com такого рода емейлы уже не проходят. Скобки запрещены. Какой-то самопальный формат, который не соответствует
стандартам RFC. Вот из-за таких разработчиков, любителей создать свое происходит недоразумения в лучшем случае.
Код: Скопировать в буфер обмена
Кстати странички сайта не индексируются, возможно потому что он только в разработке. Но реклама крутится по всей стране по словам G1)))
Например вот фоточка из офиса. Наша команда замазала крипто адрес, номер анонимный поменяла и QR-код тоже.
Вот как неопытный клиент расстроится, если начнет звонить))))
К тому же если ввести в браузерной строке https://t.me/+888* то почему-то с пк открывается, а с ios устройства окошко появляется "Похоже, такого пользователя не существует". Так что эти понты пока не нужны бизнесу - это неудобство для клиента. В целом по анонимным номерам в инете есть большое интервью с китами, можете почитать на чем пацаны деньги делали, кидать линк не буду, чтобы братва тему не удалил)))
Вывод
Когда путешествуете заграницей можно найти подработку, партнеров, получить опыт. Есть страны в которых очень мало хороших специалистов и порог входа намного ниже. Благодаря обычной находке, которую мог найти любой пользователь не имея особых знаний нам предложили сотрудничество. И в целом можно было поработать, но увы наши партнеры не встречаются в ИРЛ, уж тем более заграницей, та и кушать все хотят если данный бизнес риск был оценен в 20 баксов, то какое сотрудничество)))) Было бы интересно помочь парням, но мы посмотрели какие обороты проходят по крипто адресу с рекламы и поняли, что на нас либо хотят сэкономить, либо с нами общался обычным саппорт, который потерял юзерку и чтобы не отчитываться перед руководством и не заказывать новые баннеры со своей ЗП решил дешево выйти из ситуации. Претензий не имеем, но в багбаунти больше участвовать не будем, хватило подобного))) А так в целом, если есть спортивный интерес можете предложить услуги пентеста компаниям/фрилансерам, которые только разрабатывают свои бизнес проекты, они обычно не индексируются в поисковиках, поискать можно ресурсы, которые не индексируются, либо закрытые. Большая вероятность будет, что до вас там никто ничего не смотрел.
Мы подготовили для вас небольшую смешнявку. Эта небольшая новость будет полезна тем, кто все еще ищет себя, ищет работку. Мы вам покажем как можно ее найти, конечно, скорее всего бабок нормальных никто не заплатит, но опыт можно получить хороший. Большие дяди зарабатывают, а вы просто сдаете баги :smile10:
Кейс с международным обменником криптовалюты
Поскольку наша команда сотрудничает с comedy_club нам как партнерам интересно стало, как работают оффлайн обменники. Один из наших участников проживает заграницей и благодаря этому прекрасному человеку нам удалось "пропентестить" международный обменник валют. Все началось с рекламного билборда в центре города на котором были указаны страны в которых осуществляется обмен и юзернейм телеграма для связи. Наш товарищ (далее "G1") хотел узнать условия обмена, попробовал написать по этому юзернейму... По итогу оказалось, что он не найден)) Свободный... G1 успешно его занял и передал его нам. (пришлось подождать около 30 минут, чтобы с G1 перевязать на аккаунт менеджера баламута). Кто не знает про лимиты телеграм можете ознакомиться по ссылке: https://limits.tginfo.me/ru-RU
Резервирование @username после смены (время, на которое имя пользователя доступно только для его бывшего владельца)
около 15-30 минут
Нажмите, чтобы раскрыть...
Так вышло, что саппорт обменника потерял юзернейм, который расположен на билдборде в центре города. Ошибка заключалась в том, что сап сделал канал частным)))) G1 словил подходящий момент и занял данный юзернейм. Поскольку обменник довольно крупный и расположен по всей стране где проживает G1, реклама даже вертится в обычных обменниках фиата, мы ничем не болеем и решили поступить честно дабы G1 не выпиздили из страны
Переписка менеджера KnightPentest (позывной баламут) с саппортом международного обменника (контакт взяли с веб сайта)
Нам стало интересно, поменяют ли ребята грязную монету) Написали с аккаунта нашей подружки, туристки, социальная инженерия в деле)))
Ребята по итогу отказались поменять монетку. Увидели, что аккаунт подозрительный с блатным номерком и девушка больно привлекательная.
Тут мы сразу зашли с козырей сообщив, что в центре города висит юзернейм обменника, который мы забрали себе и если б были злоумышленниками, то могли бы кинуть клиентов, которые напишут увидев билдборд. А недовольные клиенты придут в офис жаловаться, как бы грусть будет да))) Нам предложили встретиться в ИРЛ, обсудить все детали и начать сотрудничать.
Бизнес ущерб оценили в 20$. Мы отдали бесплатно и еще нашли ряд недостатков на сайте. Наши верстальщики и ведущие разработчики готовы были сделать ревью, помочь с безопасностью, но ребята отказались дистанционно сотрудничать, хотели пригласить нас заграницу, увы если бизнес риск оценили в 20$, то мы уже поняли, что и инфру им поднимать надо будет за 100$)) Поскольку нам не дали разрешение на проведение аудита, то мы банально от лица простого юзера нашли недостатки, даже внутрь лезть никто не стал, наши разработчики естественно не стали даже смотреть этот обменник, как бы людям нужны средства, работа должна оплачиваться.
У них на сайте "bestchange" кликаешь редиректит тупо на официальный сайт мониторинга, а обменник не листится, их не добавили еще))) https://bits.media тоже самое, перекидывает просто на новостной сайт. К чему эти ресурсы не понятно, возможно сайт еще только разрабатывается.
Непонятная форма для регистрации, скорее всего самодельная. Пароли по типу qwerty, password проходят)
Максимально странная антифлуд система, если мыло поменять, то можно запросы на сброс пароля отправлять без ограничений)))
"test@gmail.com такого рода емейлы проходят.
te(st@gmail.com такого рода емейлы уже не проходят. Скобки запрещены. Какой-то самопальный формат, который не соответствует
стандартам RFC. Вот из-за таких разработчиков, любителей создать свое происходит недоразумения в лучшем случае.
Код: Скопировать в буфер обмена
(?:[a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*|"(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21\x23-\x5b\x5d-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])*")@(?:(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+[a-z0-9](?:[a-z0-9-]*[a-z0-9])?|\[(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?|[a-z0-9-]*[a-z0-9]:(?:[\x01-\x08\x0b\x0c\x0e-\x1f\x21-\x5a\x53-\x7f]|\\[\x01-\x09\x0b\x0c\x0e-\x7f])+)\])
Кстати странички сайта не индексируются, возможно потому что он только в разработке. Но реклама крутится по всей стране по словам G1)))
Например вот фоточка из офиса. Наша команда замазала крипто адрес, номер анонимный поменяла и QR-код тоже.
Анонимные номера Telegram не являются мобильными номерами в функциональном смысле. С них нельзя совершать звонки или использовать для приема смс-сообщений. Их не признает ни один оператор мобильной связи.
Нажмите, чтобы раскрыть...
Вот как неопытный клиент расстроится, если начнет звонить))))
К тому же если ввести в браузерной строке https://t.me/+888* то почему-то с пк открывается, а с ios устройства окошко появляется "Похоже, такого пользователя не существует". Так что эти понты пока не нужны бизнесу - это неудобство для клиента. В целом по анонимным номерам в инете есть большое интервью с китами, можете почитать на чем пацаны деньги делали, кидать линк не буду, чтобы братва тему не удалил)))
Вывод
Когда путешествуете заграницей можно найти подработку, партнеров, получить опыт. Есть страны в которых очень мало хороших специалистов и порог входа намного ниже. Благодаря обычной находке, которую мог найти любой пользователь не имея особых знаний нам предложили сотрудничество. И в целом можно было поработать, но увы наши партнеры не встречаются в ИРЛ, уж тем более заграницей, та и кушать все хотят если данный бизнес риск был оценен в 20 баксов, то какое сотрудничество)))) Было бы интересно помочь парням, но мы посмотрели какие обороты проходят по крипто адресу с рекламы и поняли, что на нас либо хотят сэкономить, либо с нами общался обычным саппорт, который потерял юзерку и чтобы не отчитываться перед руководством и не заказывать новые баннеры со своей ЗП решил дешево выйти из ситуации. Претензий не имеем, но в багбаунти больше участвовать не будем, хватило подобного))) А так в целом, если есть спортивный интерес можете предложить услуги пентеста компаниям/фрилансерам, которые только разрабатывают свои бизнес проекты, они обычно не индексируются в поисковиках, поискать можно ресурсы, которые не индексируются, либо закрытые. Большая вероятность будет, что до вас там никто ничего не смотрел.