Mastodawn

Реверс-инжиниринг TamTam: как мы искали админов канала, обходя проверку привилегий

Всем привет! На связи TeamKomet. Недавно мы решили из любопытства заняться реверс-инжинирингом не безызвестного мессенджера TamTam. До нас дошли слухи о возможной уязвимости, позволяющей получить список создателей и администраторов любого канала. Что ж, выше признать. ⚙️ Начало раскопок: WebSocket и Opcode Мы принялись за работу и в первую очередь сосредоточились на проверке Opcode'ов в WebSocket. Первым делом нашли некий список с номерами от 10, 100, 123 — сервер тестово отвечал, но это тупик — с ним ничего не получилось. Тогда мы сменили тактику: что, если попробовать добавить в запрос параметры, которых изначально нет? Погрузившись в JavaScript, мы обнаружили интересный объект, который централизованно отправлял через opcode для обмена информацией. Мы начали методично изучать его методы, и не зря.

https://habr.com/ru/articles/964054/

#национальный_мессенджер #max #сетевые_протоколы

Реверс-инжиниринг TamTam: как мы искали админов канала, обходя проверку привилегий

Всем привет! На связи TeamKomet. Недавно мы решили из любопытства заняться реверс-инжинирингом не безызвестного мессенджера TamTam. До нас дошли слухи о возможной уязвимости, позволяющей получить...

Хабр

Habr Oct 24

Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

Кейс новичка о «пробах» в роли бахгхантера на примере MAX + Bug bounty платформы Standoff365 Статья о личном опыте и выявленных системных проблемах взаимодействия исследователя с вендором и арбитражем в российской bug bounty‑экосистеме: как игнорируются критические уязвимости в «национальном мессенджере», отчёты закрываются как «дубликаты» без доказательств, а правила меняются постфактум. Что остаётся делать этичному хакеру, когда внутренние каналы арбитража исчерпаны и нет внешних, и почему в России у белого хакера — нет прав.

https://habr.com/ru/articles/960024/

#bug_bounty #max #vk #standoff_365 #уязвимости #арбитраж #фз152 #персональные_данные #национальный_мессенджер #багхантинг

Bug bounty в РФ: когда вендор молчит, а платформа подыгрывает

Привет, Хабр! Не так давно я влился в компанию «белых хакеров», и несмотря на то, что считаю себя в данной области «новичком» — за определённый период всё же...

Хабр

Habr 25+Sep 22

Какие запросы и куда отправляет MAX

Моя вторая статья - анализ сетевых запросов MAX и почему этот анализ - моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

https://habr.com/ru/articles/939550/

#max #мессенджеры #запросы #сетевые_протоколы #национальный_мессенджер #adguard #proxy #трафик #трекер

Какие запросы и куда отправляет MAX

Интро Всем привет! Первая моя статья про MAX стала очень популярной — более 220 тыс. просмотров, более 300 комментариев. Многие ссылались на неё в своих обзорах,...

Хабр

Habr Sep 21

Какие запросы и куда отправляет MAX

Моя вторая статья - анализ сетевых запросов MAX и почему этот анализ - моё самое большое разочарование! Не ожидал я такого конечно, но описал все как есть.

https://habr.com/ru/articles/939550/

#max #мессенджеры #запросы #сетевые_протоколы #национальный_мессенджер #adguard #proxy #трафик #трекер

Какие запросы и куда отправляет MAX

Интро Всем привет! Первая моя статья про MAX стала очень популярной — более 220 тыс. просмотров, более 300 комментариев. Многие ссылались на неё в своих обзорах,...

Хабр

Habr Sep 19

UPDATE: Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

В своей первой статье "Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*" я сравнил резрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp. 18 сентября вышла новая версия MAX - 25.11.0 и вы знаете, произошло то, чего я не ожидал. MAX стал запрашивать 50 разрешений, вместо 59, т.е. на 9 меньше! Давайте посмотрим, какие же разрешения убрали разработчики.

https://habr.com/ru/articles/948728/

#max #мессенджер #android #национальный_мессенджер #тестирование #пользовательский_опыт #разрешения #telegram #whatsapp #аналитика

UPDATE: Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

В своей первой статье "Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*" я сравнил резрешения, которые запрашивает приложение MAX для Android с разрешениями, которые...

Хабр

Habr 25+Aug 22

Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

Всем привет! Я, на свой страх и риск , решил установить себе MAX и посмотреть, а что же происходит после установки? По итогам моего исследования будет минимум 2 статьи. Это - первая статья. В ней я сравню разрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp.

https://habr.com/ru/articles/939006/

#max #мессенджер #android #национальный_мессенджер #тестирование #пользовательский_опыт #разрешения #telegram #whatsapp #аналитика

Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

Интро Всем привет! Тема национального мессенджера уже хайпит не первый месяц. Практически каждый день появляются новости, связанные с MAX. Если бы меня кто‑то спросил, как я...

Хабр

Habr Aug 22

Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

Всем привет! Я, на свой страх и риск , решил установить себе MAX и посмотреть, а что же происходит после установки? По итогам моего исследования будет минимум 2 статьи. Это - первая статья. В ней я сравню разрешения, которые запрашивает приложение MAX для Android с разрешениями, которые запрашивают Telegram и WhatsApp.

https://habr.com/ru/articles/939006/

#max #мессенджер #android #национальный_мессенджер #тестирование #пользовательский_опыт #разрешения #telegram #whatsapp #аналитика

Разрешения MAX для Android. Cравниваем с Telegram и WhatsApp*

Интро Всем привет! Тема национального мессенджера уже хайпит не первый месяц. Практически каждый день появляются новости, связанные с MAX. Если бы меня кто‑то спросил, как я...

Хабр