Про вигоду не забудь :)

прочто?

Ну это когда было?

третий инцидент был связан с золушкой, и был он, как понимаете, недавно. Эта красавица въебала на главную пост о новых фишечках. Фишечка эта привела к утечке секретного домена lepro-test.futuware.ru, т.к. часть картинок была с этого урла, и часть юзеров лепры попала в суперлепру для разработчиков. Базы там были разные, но на секретной лепре был активирован интересный инструмент - Pyramid Debug Toolbar. Этот инструмент показывал в реалтайме все гет пост запросы сервера, переменные, конфигурацию, и даже скл запросы нового движка, который теперь уже не перл, а вполне сибе питон

Я почуял неладное, и срочно начал хуячить в личку письма лепроюзерам, чьи аккаунты в реалтайме светились на секретной лепре, ну и шваркнул письмо золушке. Ей объявили выговор, баг был закрыт, лепроюзеры - спасены.

и последний инцидент был связан с третьим, но за него меня снова забанили, т.к. йован - совсем не безопасник.

тьфу пропасть. я грешным делом думал жтот чат опять можно читать. а тут кащениты за uucp болтают

Дело в том, что знание того, что существует домен lepro-test.futuware.ru не давал мне покоя. я не спал, ворочался, и думал - как же попасть в эту святаясвятых, стать пентестером лепры и войти в ранг посвященных. И тут меня озарило - ведь не все умные и знают, куда стоит вбивать пароли, и я сделал подлепру. lepro-test.leprosorium.ru На этой подлепре был размещён всего один пост, и в посте была картинка. Картинка вела на специально купленный для этого и контролируемый мною домен lepro-test.TUFUWARE.ru

тьфу пропасть. я грешным делом думал жтот чат опять можно читать. а тут кащениты за uucp болтают

Опять?

на картинку была повешена базовая авторизация 401 хттп кодом, и я лег спать.

утром, открыв логгер, я увидел заветный пароль от базовой авторизации. Только некто, имеющий доступ к lepro-test.futuware.ru вбил пароль от этого домена к моей подлепре на lepro-test.leprosorium.ru

Пароль подошел, и я попал в секретную лепру

И как там?

2016-04-23 01:17:43 5.228.134.180 Mozilla/5.0 (iPhone; CPU iPhone OS 9_3_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13E238 Safari/601.1 futurico:rqrqrq11 got password

вот собственно и доступ, который был. Но у тому моменту, как это произошло, моя подлепра попала в архив, а так, как я не собирался ломать всех и не подумал об этом, запрос на базовую авторизацию увидела вся лепра.

Тут же я был забанен, т.к. оепра объявила меня фишером

Но суть в том, что я даже не думал фишить лепру. Я разместил картинку с запросом пароля только в своей подлепре, и даже не знал о функционале архива, куда попадают подлепры.

некто, владеющий доступом к lepro-test.futuware.ru просто тупо сам взял и вбил пароль на моей подлепре. Мне даже не пришлось никому скидывать ссылку на мою подлепру. Некая комбинация тайп-фишинга вышла

после этого я был забанен лично йованом с примечанием "навсегда".

но так, как я понимал, что дело совсем не в фишинге, а в процессе ИБ внутри специалистов лепры, я стал бороться. Я нашел личный номер йована (не спрашивайте как), и позвонил ему. трубку поднял приятный сербский голос, который ахуел, когда узнал, кто ему звонил. Серб встал в позу и сказал - ты, Антон, мудила, и я тебя не разбаню никогда. Иди нахуй, я йован, ты говно.

После этого началась сложная переписка, где мне пришлось объяснять человеку, далекому от ИБ, но близкому у ИТ, суть бага. Переписка была реально долгой, йован сопротивлялся, но оказался демократом. Вопрос о баге и моем существовании был поставлен на голосование в Футурико, и демократический разум победил. Я был разбанен, секретная лепра была убрана из интернета, все остались довольны.

С тех пор я не нахожу себе места, хожу по чатикам и рассказываю выдуманные истории, как я ломал лепру. Хочу акцентировать - всё, что вы тут услышали, является чистой выдумкой и продуктом воспаленного мозга. Вот такие трудовыебудни обычного пентестера из маленькой, но очеь горной страны в Средней Азии.

а ты хорош)

Антон такой

под пиво он и не такие байки травит

выдумщик тот еще

Антон такой

когда уже пиво пить пойдем

на след выхах можно подумать

Антуан мог сценарии для кино писать

А так, как мой странный рассказ связан с информационной безопасностью, приглашаю вас всех на онлайн митап, который состоиться через 32 минуты, посмотреть его можно на ютюбе. Там мы будем говорить, как писать безопасный код, что такое процесс безопасной разработки кода, и есть ли спасение от хакеров и багов.

Не тем делом занимается

Не тем

Тут вы можете задать предварительно вопрос на тему ИБ, на который хотите услышать ответ: https://docs.google.com/forms/d/e/1FAIpQLScV-cPQYh_Cxnn8rUEUU5LbzBSEQUWSdTls_nEgdsk6h_HpNw/viewform?c=0&w=1&usp=send_form

Сам митап будет на канале @dev.kg через 29 минут. https://www.youtube.com/channel/UCagEjp1FmxY9gsVxi6_d4SQ

Ваще агонь!

Это просто бомба.

это панчлайн к митапу, поди))

Запись будет доступна?

да, конечно

все на канале :)

блин, я как-то хз что спросить. у меня вопросы для вечера и долгих диалогов, ничего для формы не подходит)

это панчлайн к митапу, поди))

спонтанно вышло, но вышло неплохо

а что за ник у тебя?

и напиши в личку что-нибудь, плз. чтоб чат создался, мне не выйдет написать.

блин, я как-то хз что спросить. у меня вопросы для вечера и долгих диалогов, ничего для формы не подходит)

А спроси все что хочешь. Хоть про хакеров, черный рынок эксплоитов, АНБ, Сноудена, про свой сервак?

А спроси все что хочешь. Хоть про хакеров, черный рынок эксплоитов, АНБ, Сноудена, про свой сервак?

ну, придумаю не «глобальную» тему - закину.

а что «мой сервак»? ты про конкретный?)

прочто?

Vigoda

а что «мой сервак»? ты про конкретный?)

эт у меня юмор такой) но в целом вопросы "а как", и "что, если" приветствуются

ну, блин, вот сколько займет ответ на вопрос про особенности реализации виртуальной машины эфириума, v8 и их сравнение?)

а я даже на такое не отвечу))

ты просто познал дзен)

ну, блин, вот сколько займет ответ на вопрос про особенности реализации виртуальной машины эфириума, v8 и их сравнение?)

был митап по эфириуму

там скорее всего подымали вопрос

точно не скажу, не помню

возможно @rkononov помнит

был митап по эфириуму

очень не уверен, но если есть запись - можно ссылку, послушаю?)

а так, не обязательно эфириума, любой среды выполнения смарт контрактов.

а так, не обязательно эфириума, любой среды выполнения смарт контрактов.

https://www.youtube.com/playlist?list=PLI-dLr3jrAaGfr5jomN394JRiU7KK8a6z

по эфириуму было для начинающих

ты просто познал дзен)

ну вот просто потому и проблемно придумать, а темы-то интересные для диалога, а мне эту задачу нужно к концу осени придумать как решить, в идеале.

А есть телеграмм группа по Mesos / Mesosphere ?

да

что то там про докер же

эх, по удаляли :(

А кто ставил jira в контейнере с офф. репа? как производительность по сравнению с "без контейнера"?

ERROR: S client not available

одинаково плохо :P

эх, по удаляли :(

выше ссылка есть

не, превью удалить попросили)

А кто ставил jira в контейнере с офф. репа? как производительность по сравнению с "без контейнера"?

офф ?

можно линк ?

одинаково плохо :P

одинакого плохо - не ответ. меня именно различия интересуют.

Онлайн по инфобезу http://youtu.be/p7alr757GiE

можно линк ?

можно, сек

можно линк ?

ну относительно офф - на него шлют с их форума - https://hub.docker.com/r/cptactionhank/atlassian-jira/

ну относительно офф - на него шлют с их форума - https://hub.docker.com/r/cptactionhank/atlassian-jira/

там в докере запускается каталина.

не вижу где там база

там в докере запускается каталина.

там нет базы, база в отдельном контейнере

а где она подсоывавется

вот эт оне вижу

а где она подсоывавется

странный вопрос... как всегда, при установке jira, спрашивает куда обращаться к базе

тоесть этот конетйнер предполагает устнавку ?

у меня сейчас в тесте вот так:

тоесть этот конетйнер предполагает устнавку ?

там все установлено, он предполагает начальную настройку.

вот и думаю, переносить продакш на docker, или нет.

переносить.

но не факт чт конкретно в этот

переносить.

хех... это не аргументированный ответ. встает вопрос дальнейшего обновления.

джира удаляет директорию усновки при апгрейде

сохрняя только home

я спросил, потому что, может кто-то здесь уже так делал, хотел вопросы позадавать. ежели нет, то тогда только самому тестить.

да я знаю что она делает при установке. я о том, чтоб можно было бы обновлять меняя версию контейнера, прсто, как, например, gitlab

вообще да

Ребят всем кому интрересны темы, связанные с Apache Mesos, Mesosphere, Marathon, Chronos и всей экосистемы. Идеи. Новости. Решения. приглашаю в @mesos_ru Несмотря на то что познокомился с Mesos совсем недавно - настолько понравилась сама идея и экосистема что захотелось найти людей которым это тоже нравится :)

https://telegram.me/mesos_ru

Пару интересных видео для тех кто только начинает с Mesos и Mesoshpere https://www.youtube.com/watch?v=gVGZHzRjvo0 https://www.youtube.com/watch?v=hZNGST2vIds