Конкурс Выбираем лучшую статью финального конкурса 2019 года

В голосовании может принять участие любой юзер, зарегистрированные ДО объявления старта этого конкурса (09.12.2019). На голосование отводится 5 дней.

Вес голосов:

Участник форума	х 1
Премиальный пользователь и/или группа Happy New Year	х 1.5
Grey Team	х 2
Red Team	x 2
Gold Team	x 3
Администратор форума	х 4

Ниже список статей:

1. Тысяча и одна уязвимость. Проводим аудит безопасности GNU/Linux «на лету»
2. Как я нашёл уязвимость в хорошо защищённом web приложении
3. Получаем доступ к аккаунтам Meest Express (моя первая найденная уязвимость)
4. Создаём беспалевный web-shell и испытываем в боевых условиях
5. План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере

Результат подсчета голосов

 

[SooLFaa]

Позволю себе дать развернутый комментарий по каждой статье и обосновать свой выбор:
1) Тысяча и одна уязвимость. Проводим аудит безопасности GNU/Linux «на лету»
Очень хороший разбор возможностей работы с API Vulners разными способами. Приведены тулзы и режимы, но для первого места не хватает собственного ресерча. Например, мы в компании используем вулнерс для постоянной проверки наших компонент на уязвимости, но беда в том, что вулнерс сильно ограничен по API. Мы придумали способ как использовать вулнерс не сильно его нагружая, но при этом полуать максимально полную картину.

2) Как я нашёл уязвимость в хорошо защищённом web приложении
Сначала статья вызвала сомнения, но подтверждение баги на h1 мои сомнения развеяли. Очень прикольная бага. Я бы рекомендовал чуть углубиться в неё и написать какой то фаззер/сканер. И посмотреть варианты, как советовали в темы, на генерацию картинок, ресурсов и других артефактов. Однозначно хорошо.

3) Получаем доступ к аккаунтам Meest Express (моя первая найденная уязвимость)
Эту статью я могу выделить в рамочку и повесить на стену. Здесь все хорошо. И оформление. И сама бага достаточно непростая. Видно, что автор проявил настойчивость и упорство при её поиске. Довел дело до конца. Плюс в карму так же за то, что удалось найти достаточно нестандартную багу. Яркий пример того, какие статьи хотелось бы видеть в рамках этого конкурса.

4) Создаём беспалевный web-shell и испытываем в боевых условиях
Прекрасная работа. Автор и свой веб шелл написал (что не просто, жаль только что он гуишный) и продемонстрировал её на реальном примере уязвимости. Никаких косяков нет. Единственное, что пожалуй, сама уязвимость достаточно простая и лежит на поверхности, так же нет никаких трудностей с постэксплуатацией, все достаточно тривиально все сервисы от рута.

5) План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере
По поводу этой статьи я уже отписался в теме. Автор заявляет как CheatSheet, но сильно не дотягивает. Много очень навязчивой рекламы как активов самого форума, так и собственного имени.

Жаль я имею право только одного голоса. И долго думал думал между 3 и 4. Но решил отдать свой голос именно 3 статье. За оригинальность и упорство. Молодцы все. Особенно @explorer - ты супер.

 

[Сергей Попов]

Внимание, всем кто проголосует, выдадим по 3 дня премиум-подписки, после окончания голосования

Зарегистрированным до 09.12.2019, разумеется.

 

[mobius0707]

Это радует )). С уважением

 

[stechkinlinux]

Классно

 

[Ash1ma]

Не может не радовать) Спасибо))

 

[Сергей Попов]

Друзья, а вы читали статьи то? Давайте будем честны перед собой. Голос можно изменить. Прочтите статьи - время есть

 

[mobius0707]

Я читал конечно ))

 

[Ash1ma]

Да, конечно читали) Я новичок и многое не понимаю, не участвую в общение в комментариях. А тут ещё ограничения на просмотр появились((( как можно права повысить, чтоб можно было полноценно ознакамливаться с материалом на данной площадке?

 

[mobius0707]

Общайся )) давай советы, делись опытом

 

[Сергей Попов]

А тут ещё ограничения на просмотр появились(((

Что за ограничения? Мы ничего не меняли с лета

ак можно права повысить, чтоб можно было полноценно ознакамливаться с материалом на данной площадке?

• Как попасть в Grey Team и выше
• Как получить "Премиум-статус"

 

[Web-Link]

От души, душевно, в душу! Участвую

 

[Marlen]

Проголосовал, спасибо за напоминание.

 

[Gunn1110]

Проголосовал,спасибо. А какие возможности дает 3 дня премиум-подписки?

 

[swagcat228]

жаль нету возможности проголосовать.

 

[maclien800]

Проголосовал)

 

[Ondrik8]

+

 

[Vander]

+

 

[ghost]

+

 

[.Method]

Проголосовал)