🥷🏿 От Android-хука до RCE: вознаграждение в размере $5000
Багхантер делится историей реверса известного Android-приложения MyIrancell, который привел к RCE. И вот несколько причин, по которым вам стоит прочитать его заметки:
✔️ Автор рассматривает необычный случай RCE, который вы могли не видеть раньше (он заставил headless браузер выполнить произвольный JavaScript-код на стороне сервера) ✔️ Чтобы перехватить сетевой трафик, автор должен был открыть два уровня шифрования: обычный уровень TLS, который используется в широко распространенных приложениях, и дополнительная реализация AES со случайным ключом для каждого пользователя. ✔️ Уязвимость RCE была слепой, а у удалённого сервера не было подключения к интернету, поэтому пришлось создать DNS-туннель для передачи данных 🤯.
🥷🏿 От Android-хука до RCE: вознаграждение в размере $5000
Багхантер делится историей реверса известного Android-приложения MyIrancell, который привел к RCE. И вот несколько причин, по которым вам стоит прочитать его заметки:
✔️ Автор рассматривает необычный случай RCE, который вы могли не видеть раньше (он заставил headless браузер выполнить произвольный JavaScript-код на стороне сервера) ✔️ Чтобы перехватить сетевой трафик, автор должен был открыть два уровня шифрования: обычный уровень TLS, который используется в широко распространенных приложениях, и дополнительная реализация AES со случайным ключом для каждого пользователя. ✔️ Уязвимость RCE была слепой, а у удалённого сервера не было подключения к интернету, поэтому пришлось создать DNS-туннель для передачи данных 🤯.
“Hey degen, are you stressed? Just let it all out,” he wrote, along with a link to join the group. With the sharp downturn in the crypto market, yelling has become a coping mechanism for many crypto traders. This screaming therapy became popular after the surge of Goblintown Ethereum NFTs at the end of May or early June. Here, holders made incoherent groaning sounds in late-night Twitter spaces. They also role-played as urine-loving Goblin creatures. Users are more open to new information on workdays rather than weekends. The SUCK Channel on Telegram, with a message saying some content has been removed by the police. Photo: Telegram screenshot. How to create a business channel on Telegram? (Tutorial)
from us
