RamCode
Я - @Ramzan, владелец канала Полезные боты, один из первых разработчиков ботов в Telegram, пишу их с момента запуска Telegram Bot API, с середины 2015 года и по сей день.
Запустил десятки полезных ботов и собрал в них более миллиона пользователей — без единой рекламы.
Разрабатываю свой конструктор ботов: @gobot
Запустил десятки полезных ботов и собрал в них более миллиона пользователей — без единой рекламы.
Разрабатываю свой конструктор ботов: @gobot
RamCode
Иногда превращаюсь в белого хакера, участвую в разных Bug Bounty, ищу уязвимости и получаю вознаграждения. Немного hacktivity в моем профиле на HackerOne.
В этом канале буду писать о найденных мной уязвимостях, как я их находил и что с ними делал, а также, возможно, буду писать о том, как вам тоже искать их и зарабатывать на этом 🤫
В этом канале буду писать о найденных мной уязвимостях, как я их находил и что с ними делал, а также, возможно, буду писать о том, как вам тоже искать их и зарабатывать на этом 🤫
RamCode
В моем конструкторе @gobot уже можно запускать полноценные боты для обратной связи.
Все безопасно, сообщения нигде не хранятся, а просто пересылаются между пользователями и админом бота.
Никакой рекламы, ни в конструкторе, ни в вашем боте.
Все безопасно, сообщения нигде не хранятся, а просто пересылаются между пользователями и админом бота.
Никакой рекламы, ни в конструкторе, ни в вашем боте.
RamCode
Ограничение в 1 000 000
Мало кто знает, но у Telegram есть небольшой секретик — он пока не умеет хранить больше 1 млн сообщений в личных чатах на одном аккаунте, постов на канале или сообщений в группе.
Как только количество сообщений достигает 1000000 — старые сообщения просто удаляются, т.е. каждое новое сообщение сверх миллиона = минус одно старое сообщение.
А не поэтому ли @durov отключил комментарии к постам на своём канале? 🤔
Мало кто знает, но у Telegram есть небольшой секретик — он пока не умеет хранить больше 1 млн сообщений в личных чатах на одном аккаунте, постов на канале или сообщений в группе.
Как только количество сообщений достигает 1000000 — старые сообщения просто удаляются, т.е. каждое новое сообщение сверх миллиона = минус одно старое сообщение.
А не поэтому ли @durov отключил комментарии к постам на своём канале? 🤔
RamCode
Сбербанк Онлайн на iOS
Сбер выпустил в App Store копию оригинального приложения для iOS.
Можно скачать по ссылке:
https://apps.apple.com/ru/app/сбол/id1631810724
Сбер выпустил в App Store копию оригинального приложения для iOS.
Можно скачать по ссылке:
https://apps.apple.com/ru/app/сбол/id1631810724
RamCode
Охота на юзернеймы
Телеграм начал настоящую охоту за юзернеймами, за последние дни уже успели отобрать более 8000 юзернеймов.
Вслед за этим, Дуров анонсировал запуск маркетплейса для продажи юзернеймов.
Когда-то хотел запустить свой мини-аукцион, даже занимал подходящий ник для этого @auction, да и продавать было много чего в то время. Но телеграм разрушил мои планы, отобрав у меня почти все топовые юзернеймы.
Хорошо, что хотя бы @money успел вовремя продать :)
Телеграм начал настоящую охоту за юзернеймами, за последние дни уже успели отобрать более 8000 юзернеймов.
Вслед за этим, Дуров анонсировал запуск маркетплейса для продажи юзернеймов.
Когда-то хотел запустить свой мини-аукцион, даже занимал подходящий ник для этого @auction, да и продавать было много чего в то время. Но телеграм разрушил мои планы, отобрав у меня почти все топовые юзернеймы.
Хорошо, что хотя бы @money успел вовремя продать :)
RamCode
В поисках багов
Сегодня на досуге решил немного заняться поиском уязвимостей, в качестве жертвы выбрал социальную сеть для работы и бизнеса — TenChat (русский LinkedIn), которая в последнее время активно рекламируется на просторах рунета и имеет уже порядка 1.6 млн пользователей.
Немного ранее находил там баг, позволявший выявить номер телефона, на который зарегистрирован аккаунт любого пользователя. За баг ничего не заплатили, но аккуратно исправили.
Сегодня нашел еще пару некритичных багов и одну довольно интересную уязвимость — XSS (межсайтовый скриптинг). На первый взгляд казалось, что присутствует хорошая защита и скрипт не хотел выполняться, но после некоторых махинаций все же получилось обойти защиту.
Результат: https://tenchat.ru/post/649208
Сегодня на досуге решил немного заняться поиском уязвимостей, в качестве жертвы выбрал социальную сеть для работы и бизнеса — TenChat (русский LinkedIn), которая в последнее время активно рекламируется на просторах рунета и имеет уже порядка 1.6 млн пользователей.
Немного ранее находил там баг, позволявший выявить номер телефона, на который зарегистрирован аккаунт любого пользователя. За баг ничего не заплатили, но аккуратно исправили.
Сегодня нашел еще пару некритичных багов и одну довольно интересную уязвимость — XSS (межсайтовый скриптинг). На первый взгляд казалось, что присутствует хорошая защита и скрипт не хотел выполняться, но после некоторых махинаций все же получилось обойти защиту.
Результат: https://tenchat.ru/post/649208
RamCode
Наблюдаю за тем, как эффективно разлетелось видео по десяткам крупнейших телеграм каналов, что было крайне неожиданно для меня.
Собрал небольшой список:
• Код Дурова
• Илон Маск | Elon Musk
• НЕ МОРГЕНШТЕРН
• Эксплойт
• Рифмы и Панчи
• Трансформатор
• Креатив со звездочкой
В общем насчитал более 50 каналов.
Собрал небольшой список:
• Код Дурова
• Илон Маск | Elon Musk
• НЕ МОРГЕНШТЕРН
• Эксплойт
• Рифмы и Панчи
• Трансформатор
• Креатив со звездочкой
В общем насчитал более 50 каналов.
RamCode
⚡️ Выпускаю бота для всех!
Теперь любой владелец Tesla может за 30 секунд подключить свою машину и управлять дистанционно прямо через Телеграм.
Бот: @GoTeslaBot
Теперь любой владелец Tesla может за 30 секунд подключить свою машину и управлять дистанционно прямо через Телеграм.
Бот: @GoTeslaBot
RamCode
Недавно наткнулся на Bug Bounty от социальной сети love ru, в которой вроде как зарегистрировано ~40 млн пользователей.
Стало интересно👨💻 . Скачал моб. приложение на iOS и начал перехватывать трафик. Почти сразу выявил довольно интересный баг — API для моб. приложений сливает координаты (широту и долготу) всех пользователей, а значит, можно узнать точное местоположение любого пользователя.
К примеру, за аналогичный баг, американская соцсеть Bumble выплатила $2000.
Отправил отчет о баге в поддержку, как положено. Наличие такой уязвимости их совсем не удивило, сказали, что когда-то это исправят, а платить мне вообще не стали🙄
Стало интересно
К примеру, за аналогичный баг, американская соцсеть Bumble выплатила $2000.
Отправил отчет о баге в поддержку, как положено. Наличие такой уязвимости их совсем не удивило, сказали, что когда-то это исправят, а платить мне вообще не стали
Please open Telegram to view this post
VIEW IN TELEGRAM
RamCode
Please open Telegram to view this post
VIEW IN TELEGRAM
RamCode
Please open Telegram to view this post
VIEW IN TELEGRAM
RamCode
Пока можно только покупать, но через несколько дней обещают предоставить возможность для пользователей — продавать свои юзернеймы.
На моем старом юзернейме @auction запустили канал для информирования пользователей.
Придется наблюдать за тем, как отжатые у меня юзернеймы будут продаваться на аукционе
Please open Telegram to view this post
VIEW IN TELEGRAM
RamCode
Школьники нашли баг, позволяющий бесплатно дарить подписку Telegram Premium 🌟
По их словам, за 2 месяца сумели продать уже более 100 тыс. подписок и заработать на этом более $500 000.
Оказывается, что при покупке премиума через App Store — недостаточно проверяется оплата на серверной стороне Telegram.
Кстати, баг все еще активен🤫
Загляни в комментарии
По их словам, за 2 месяца сумели продать уже более 100 тыс. подписок и заработать на этом более $500 000.
Оказывается, что при покупке премиума через App Store — недостаточно проверяется оплата на серверной стороне Telegram.
Кстати, баг все еще активен
Please open Telegram to view this post
VIEW IN TELEGRAM
RamCode
RamCode
Школьники нашли баг, позволяющий бесплатно дарить подписку Telegram Premium 🌟 По их словам, за 2 месяца сумели продать уже более 100 тыс. подписок и заработать на этом более $500 000. Оказывается, что при покупке премиума через App Store — недостаточно…
Пока школьники в течение нескольких месяцев продавали премиум подписки — Телеграм потерял потенциальные несколько миллионов долларов.
Но почему не фиксили раньше?
Вся команда Телеграма была занята все это время, они занимались отжатием юзернеймов у своих пользователей.
Please open Telegram to view this post
VIEW IN TELEGRAM
RamCode
Решил продлить подписку через @PremiumBot и заодно проверить, каким образом проходит там оплата.
Платежи обрабатываются через smart-glocal.com, который принадлежит знакомому Дурова.
Но сервис какой-то странный, при формировании ссылки на оплату, когда отсутствует один параметр — происходит циклическое перенаправление.
Там же присутствует и баг Open Redirect, но думаю, что найду и что-то поинтереснее.
Ну и сгенерировал правильную ссылку, которая ведет куда надо:
https://tgpb.smart-glocal.com/redirect/form?u=Ly90Lm1lL3JhbWNvZGU=
Платежи обрабатываются через smart-glocal.com, который принадлежит знакомому Дурова.
Но сервис какой-то странный, при формировании ссылки на оплату, когда отсутствует один параметр — происходит циклическое перенаправление.
Там же присутствует и баг Open Redirect, но думаю, что найду и что-то поинтереснее.
Ну и сгенерировал правильную ссылку, которая ведет куда надо:
https://tgpb.smart-glocal.com/redirect/form?u=Ly90Lm1lL3JhbWNvZGU=
RamCode
На аукционе был продан первый юзернейм — за 900 000 TON.
Столько заплатили за @auto
87 миллионов рублей — по текущему курсу..
Столько заплатили за @auto
87 миллионов рублей — по текущему курсу..