Даже не ожидал, что запишите райтап CTF. Спасибо за разбор! Лучший русскоязычный контент по безопасности!!! Желаю успеха в продвижении и сил на новые видео!!

Спасибо большое за ваш труд. Редко пишу комментарии, но в данном случае я просто не мог пройти мимо. Я думаю, что большинству начинающим специалистам и тем, кто сочувствует им, будет гораздо проще увидеть эксплуатацию уязвимости глазами, нежели описанием в тексте.

Спасибо!

Спасибо за контент! Ждём ещё разборы

Крутяк спасибо тебе большое, за видео, я хоть и дата инженер, но благодаря твоему каналу, стал более серьёзно относится к направлению информационная безопасность.

@MrCyberSec

25 күн бұрын

Очень круто!

Спасибо ❤

Спасибо большое!

Это была самая демотивирующая таска

спасибо!

Сейчас понимаю, что если бы участвовал в этой цтфке, то это задание мне как раз под силу 😄 Тем более твой разбор очень понятный! Продолжай в том же духе)

@user-tf3vl6pn2g

Ай бұрын

Я участвовал в этом цтф, люди решали это день-два) Не видели логику и взаимосвязь конечного ответа

Мистер CyberSec вы однозначно знаете свое дело 🕵️

👍🔥

Простите конечно, но чем отличается в таком случае sha256 от Unicode если есть прямое соответствие? Есть какие-то стандартные ключи к алгоритму , которые надо менять при использовании? Вроде "Соли". Или что-то другое?

Нереальная имба!

Я, как программист- Hello World по бумажке. Мне интересно ) Спасибо ✊

Спасибо! Как раз ломал голову над этим, а оказалось так просто... Интересно, как связаны описание и название с самим таском? Как то не вижу особой логики

@MrCyberSec

28 күн бұрын

Я тоже связи не понял, если она там была..

интересно, что будет, если попытаться потянуть ресурс с id = max(int) + 1 или max(uint) + 1... не валяются ли там еще другие уязвимости, связанные с переполнением...

@MrCyberSec

26 күн бұрын

Идея мне понравилась:)

Отлично! Теперь знаю как делать не надо

@andd3dfx

Ай бұрын

Не факт, что знание того, "как делать надо" не будет тоже вскрыто Меканом)

Что то я не понял в чем было задание и какое по итогу получилось решение ?

@MrCyberSec

Ай бұрын

Задание - найти флаг, а решение это эксплуатация IDOR

@twnty5

Ай бұрын

демотиватор демотивировал

ну так это сервис который находит ключ к кешу находит лишь примитивны ключ? если там будет что по взрослому и соль и перец, это анриал будет сопоставить и получить такой же хэш?

@uuugen3426

Ай бұрын

Если Вы рассуждаете в рамках CTF, то можно было бы реализовать уязвимость хэша к коллизиям, выбрать такой алгоритм, что с солью, с перцем(хоть соусом его польете), можно было бы подобрать такой же хэш другой фразой. А это, к сожалению, уже другая категория (криптография) . Все зависит не от компонентов , которые Вы суете в функцию, а, в первую очередь, коллизионная стойкость этой функции. В рамках безопасности, все упирается в роль той или иной хэш функции(для чего она нужна) и что Вы ожидаете получить от перебора("взлома").

@MrCyberSec

Ай бұрын

Верно, сервяис который я использовал в видео не сможет показать изначальное значение, к которому была применена функция sha256, если оно будет куда более сложнее чем просто набор из 6 цифр. В целом, какую бы вы мат функцию не применили к набору из 6 цифр, это будет не секурно и легко переберется атакой брутфорс.

Кей энд би)

@MrCyberSec

28 күн бұрын

У нас такого нет, я позже узнал что оно означает:)

Чувак, проходи все HTB машины, выкладывай видео в закрытой группе, доступ давай по подписке Patreon. Лично подпишусь

@MrCyberSec

26 күн бұрын

Спасибо конечно, но увы, риск не оправдан. Один стук и я в бане:)

@groove8512

26 күн бұрын

@@MrCyberSec Нужно подумать над реализацией) по идее, риск должен быть минимальный или вообще отсутствовать, если видео будет в привате. Для внешнего наблюдателя это может быть оформлено, как обучающие видео для начинающих. Думаю, что для "стука" необходимо будет не только скинуть видео, но и предоставить на него ссылку) а если оно будет в закрытой группе телеграм, например? У тебя большой потенциал для монетизации: и контекст, и подача, всё на уровне. Не теряй шанс) Успехов тебе!

Думал лечь спать под видео. Даже зубы не успел дочистить как видео закончилось)

@MrCyberSec

26 күн бұрын

Сорян:)) Уже снимаю продолжение)

А где большие планы при удачном действии?😁

@MrCyberSec

Ай бұрын

Их отсутствие - это временно:))

горшочек пройди

тиньков в простоте ничего не скажет... тред... 😁 дред Ариадны 😁 Есть же русское название: нить Ариадны. или тогда уже пусть инглиш термин используют: "Ariadna's Thread", заодно и весь сайт на инглиш переведут, интеллектуалы фиговы 😑

Зачем таки заморочки, если можно сделать /static/dd.mm.yy/uuid4.jpg, положить в БД путь и просто на Nginx раздавать? Как это могло бы быть не секурно?

@MrCyberSec

Ай бұрын

О чем вы, о чем видео?

@user-kg5sg6rx6e

Ай бұрын

@@MrCyberSec Просто спрашиваю ваше мнение. Непонятно, зачем такая логика с изображениями была на видео. Но может моя еще хуже?)

@uuugen3426

Ай бұрын

​@@user-kg5sg6rx6e привет! Суть CTF -соревнования разделить таски на категории (web, crypto, forensic и тд) , и в каждой категории разделить их по сложности решения. Цель- найти флаг. Никто не задумывается "о заморочках", ибо в каждом таске подразумевается некая уязвимость, то есть, любой сервис изначально написан с ошибкой, с тупой логикой, с лишними действиями. "Безопасность" в данном таске реализована таким образом, чтобы подходила под уязвимость idor, Ваш вариант с БД мог бы претендовать (в рамках ctf) на sql инъекцию какую-нибудь. В любом случае, в рамках любых CTF задач, не стоит думать "что за нелогичный сервис", так как его смысл- быть уязвимым, показать новичку уязвимость, а профи- легко достать флаг))

@MrCyberSec

Ай бұрын

​@@user-kg5sg6rx6e Нет, ваша логика не хуже. Цель данной CTF задачи - это продемонстрировать уязвимость IDOR. Разработчики задания могли сделать это как угодно, но решили почему-то таким вот путем пойти. В общем, коментарий ниже от пользователя @uuugen3426 дополняет и хорошо отвечает на ваш вопрос.

@user-kg5sg6rx6e

Ай бұрын

@@MrCyberSec Понял. Спасибо!