Конкурс Выбираем лучшую статью финального конкурса 2019 года

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
36
Позволю себе дать развернутый комментарий по каждой статье и обосновать свой выбор:
1) Тысяча и одна уязвимость. Проводим аудит безопасности GNU/Linux «на лету»
Очень хороший разбор возможностей работы с API Vulners разными способами. Приведены тулзы и режимы, но для первого места не хватает собственного ресерча. Например, мы в компании используем вулнерс для постоянной проверки наших компонент на уязвимости, но беда в том, что вулнерс сильно ограничен по API. Мы придумали способ как использовать вулнерс не сильно его нагружая, но при этом полуать максимально полную картину.

2) Как я нашёл уязвимость в хорошо защищённом web приложении
Сначала статья вызвала сомнения, но подтверждение баги на h1 мои сомнения развеяли. Очень прикольная бага. Я бы рекомендовал чуть углубиться в неё и написать какой то фаззер/сканер. И посмотреть варианты, как советовали в темы, на генерацию картинок, ресурсов и других артефактов. Однозначно хорошо.

3) Получаем доступ к аккаунтам Meest Express (моя первая найденная уязвимость)
Эту статью я могу выделить в рамочку и повесить на стену. Здесь все хорошо. И оформление. И сама бага достаточно непростая. Видно, что автор проявил настойчивость и упорство при её поиске. Довел дело до конца. Плюс в карму так же за то, что удалось найти достаточно нестандартную багу. Яркий пример того, какие статьи хотелось бы видеть в рамках этого конкурса.

4) Создаём беспалевный web-shell и испытываем в боевых условиях
Прекрасная работа. Автор и свой веб шелл написал (что не просто, жаль только что он гуишный) и продемонстрировал её на реальном примере уязвимости. Никаких косяков нет. Единственное, что пожалуй, сама уязвимость достаточно простая и лежит на поверхности, так же нет никаких трудностей с постэксплуатацией, все достаточно тривиально все сервисы от рута.

5) План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере
По поводу этой статьи я уже отписался в теме. Автор заявляет как CheatSheet, но сильно не дотягивает. Много очень навязчивой рекламы как активов самого форума, так и собственного имени.

Жаль я имею право только одного голоса. И долго думал думал между 3 и 4. Но решил отдать свой голос именно 3 статье. За оригинальность и упорство. Молодцы все. Особенно @explorer - ты супер.
 

Ash1ma

New member
07.12.2019
2
0
BIT
0
Да, конечно читали) Я новичок и многое не понимаю, не участвую в общение в комментариях. А тут ещё ограничения на просмотр появились((( как можно права повысить, чтоб можно было полноценно ознакамливаться с материалом на данной площадке?
 

Сергей Попов

Кодебай
30.12.2015
4 718
6 705
BIT
369
А тут ещё ограничения на просмотр появились(((
Что за ограничения? Мы ничего не меняли с лета

ак можно права повысить, чтоб можно было полноценно ознакамливаться с материалом на данной площадке?
 

Gunn1110

Green Team
01.03.2017
25
1
BIT
3
Проголосовал,спасибо. А какие возможности дает 3 дня премиум-подписки?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!