КОНКУРС СТАТЕЙ #5 - "XSS Halloween Party". Призовой фонд - 15.000$

[Haunt]

Ну мне была бы интересна, но здесь мне кажется мало людей занимается поиском уязвимостей в софте.

Я хотел бы изучить потенциально эту сферу. Но у меня все упирается в тестовые примеры в обучалках. В их искусственность/оторванность от ирл кейсов. Типичный пример:
1) сегодня мы изучим технику буфер оверфлоу
2) вырубим DEP, ASLR для этого примера...
3) ясно понятно, несите следующий туториал.
А брать какие то реальные экспы с IE например, так без 100 грамм не разберёшься, ибо огромная пропасть между туториалами из п1 и реальным примером.

 

[dedication]

Ну типов уязвимостей и мест где их искать достаточно.
Под каждый тип уязвимости и место нужно углубляться.
Так что в первую очередь важна спецификация и определение области для изучения.
В случае с ie сейчас в основном фазят его js движок. Раньше activex компоненты.
По фазингу js у гугла например крутые наработки в гитхабе.

 

[DildoFagins]

В случае с ie сейчас в основном фазят его js движок.

Воу-воу, забудьте про IE в принципе, сейчас процент использования IE порядка 2 процентов, а с тех пор, как мелкомягкие решили некоторые сайты принудительно открывать в Едге, будет еще серьезно меньше.

 

[dedication]

И все таки, если говорить за обучение, понимание концепций браузерных вулн, ie наиболее проходящий вариант, потому как найти что-то в движке хрома или фф практически нереально.. (хотя https://xakep.ru/2020/10/30/windows-0day/)

 

[blacksert]

Весьма вероятно кстати.
Ещё и курс бтц под 14к.
По идее ещё одно призовое место из за разницы может появиться.

Кстати по фазингу интересны будут статьи? Тема достаточно узкая и ей могут интересоваться ограниченное число пользователей.

тема интересная будет если sandbox какой простой показан будет.
Развернул, впихнул софт, популярный конфиг, расставил инпуты, аутпуты, генератор пейлоадов какой-нибудь простой и запустил вместе с полу-автомат анализатором.

Типа некст левел для брутфорс-кидис.

Ну там postfix фазить, может че посовременней взять, я не знаю, докер? Или попрактичей, в мечтах хотелось бы конечно находить вредоносные вложения в мессенджерах по типу инстаграм, вотсап, сигнал, телеграм.

Находили же такие пикчи, которые автоматом сохраняются при получении на флеш память и выполняют RCE https://github.com/TinToSer/whatsapp_rce
А помнишь индийскую букву, которая крашила iMessage?
Вот это вот все очень интересно.

 

[doggi]

, а выкатывать ли свою прошлую обновленную статью про реальный фишинг в Telegram или нет... Ради 100$ не охота, да и тема не особо для данного форума. Я уже понял, что народ интересуется в основном ransomware индустрией.

конечно выкатывать)

 

[izobretatel]

конечно выкатывать)

С вашей легкой подачи!
admin Админ, строчу статью, может немного позднее полуночи будет, просьба пропустить.

 

[KONUNG]

admin, разве уже не время начать голосование? Или мы ещё кого-то ждем

 

[admin]

Прием статей окончен. Методика проведения голосования будет точно такой же, как и на прошлом конкурсе - https://xss.pro/threads/39227/
Через несколько дней начнем голосование. Чего "несколько дней" - во-первых, мне нужно все подготовить и провести первый тур отбора. Во-вторых, многие участники выложили статьи в последний день приема. Субъективно мое мнение - очень зря. Заодно дадим хоть какое-то время людям почитать статьи и прикинуть своих личных фаворитов.
Всем спасибо за статьи!

 

[DildoFagins]

admin, а авторы статей могут голосовать? Ну всмысле за другие статьи, если я хочу поддержать других авторов. Наверное, голосовать за свои статьи же является неэтичным.

 

[admin]

admin, а авторы статей могут голосовать? Ну всмысле за другие статьи, если я хочу поддержать других авторов. Наверное, голосовать за свои статьи же является неэтичным.

Да, можно. И за свои, и за чужие.

 

[wade1337]

Пора делать конкурс софтов для xss.pro, статьи уже не интересно)

 

[DildoFagins]

Пора делать конкурс софтов для xss.pro, статьи уже не интересно)

Хороший софт можно продавать годами и заработать больше призовых с конкурса, смысл его на конкурс писать? Как ты это видишь?

 

[wade1337]

Хороший софт можно продавать годами и заработать больше призовых с конкурса, смысл его на конкурс писать? Как ты это видишь?

думаю 5к$ не плохой призовой, не каждый может написать норм софт и поддерживать его постоянно, что бы окупить тоже время надо, сразу ему с куста не упадут 5 кусков

 

[KONUNG]

думаю 5к$ не плохой призовой, не каждый может написать норм софт и поддерживать его постоянно, что бы окупить тоже время надо, сразу ему с куста не упадут 5 кусков

Смотря что за софт, все софты разные, только начал обкатывать и уже профит поимел, а есть такие которые очень тяжело окупить, тут все от случая зависи

 

[DildoFagins]

думаю 5к$ не плохой призовой

Ну если ты готов вложить теже самые условные 15к призовых в такой конкурс, то тебе, я думаю, никто препятствовать не станет. Как минимум проведем эксперимент и посмотрим, как такой конкурс пройдет.

 

[X-Shar]

А в текущем формате многие выложили софт.

Кому нужен качественный софт, проще разместить тему в комерсе...

 

[DildoFagins]

А в текущем формате многие выложили софт

Ну вот я выложил готовый софт для исследования аверов, но за него все равно мало голосов. Хотя софт рабочий, решающий вроде бы актуальную в сфере местных людей проблему. Но как показывает практика, он особо никому не нужен. Я думаю, что на конкурсе софта мало что бы изменилось.

 

[X-Shar]

Потому-что мало кто понял зачем он нужен...

Мало кто в принципе будет заморачиваться сисколами и обходом проактивок....)

А кто заморачивается, про это и-так скорей-всего знает в целом.

Тут в основном всем нужно готовое решение, применимое в комерсе.

Короче прочитал статью, нажал кнопку взломать, это нужно всем, ну или почти всем...

Я не говорю, что это плохо, но специфика такая, если цель победить, то должны-быть такого типа статьи...

Ну либо нужно продумывать и менять формат конкурсов, но важно четко прописать правила и все продумать, иначе тоже могут обжаться участники...)

 

[DildoFagins]

Ну я о том, что на конкурсе софта победит большая красная кнопка "хакнуть и вывести бабки", а такой софт можно и без конкурса продавать и заработать больше, чем призовые за первое место. Всякие другие софты нужны очень ограниченному числу людей, и их писать не имеет много смысла, тк заведомо не выиграешь ничего.

Возможно, есть смысл проводить конкурс именно технических или программерских статей, например, то есть помимо 7000к символов требовать еще и определенный объем кода или рабочую тулзу.

Если говорить о каких-то изменениях в формате конкурсов, я бы может ввел бы разный вес голосов. Например участники с 0-99 лайков голосуют одним голосом, участники с 100-199 лайков голосуют двумя голосами и тд.

Вообще еще одна забавная ремарка, люди писали на конкурс статьи и 20к+ знаковых, но находились те, которые в статье на образные 7к знаков, где в тексте было раза три сказано, что они считают лимит в 7к знаков минимум - дерьмом. Почему то некоторые люди просто никак не умеют принимать правила игры))