Whitelist что это такое
Что такое вайтлист в IDO?
Что такое WhiteList и где применяется?
Вайтлист (WhiteList) это список адресов кошельков, которые допущены к первичной продаже токенов (IDO).
Обычно вайтлисты публикуются в обычном гугл документе. Это список из 100-200-500 и т.д. адресов кошельков.
Каждый кто участвовал в розыгрыше мест в вайтлисте должен найти себя в этом списке, и если вам повезло, и вы нашли свой адрес в вайтлисте, вам нужно в указанную дату/время проведения IDO зайти на специальную страницу и купить токены.
Редко когда сообщается индивидуально по почте или другим способом о том, что вы попали в вайтлист! Этот процесс нужно контролировать самостоятельно!
Что гарантирует присутсвие в вайтлисте?
Почти всегда вы ограничены суммой, на которую можете купить токены по цене IDO.
Но, важно учесть, что попадание в вайтлист не всегда гарантирует Вам покупку токенов. Вы можете зайти в установленное время и обнаружить сообщение о том, что продажа окончена.
Связано это с тем, что в некоторых IDO нет фиксированной аллокации (точной суммы на которую вы можете приобрести токены).
Может быть указано, что например ваша аллокация в диапазоне от 0.1 до 1 BNB (примерно от 50 до 500$).
А общее предложение в данном IDO составляет равно 100 тыс.$.
Таким образом, если из 500 победителей, первые 200 купят токенов по максимуму (на 500$), то другим просто ничего не останется, так как 500 * 200 = 100 тыс.$.
WhiteList vs BlackList: как реализовать проверку расширений файлов и не стать жертвой хакеров
Нередко, во время анализа защищенности веб-приложений мы сталкиваемся с загрузкой каких-либо файлов на сервер – это могут быть и фотографии учетной записи, и какие-то текстовые документы, и что угодно другое. Существуют расширения файлов, с которыми многие работали и знают, почему нужно запретить их загрузку на сервер (например, при использовании веб-сервера apache в связке с PHP, наверное, лучше избегать загрузку файлов с расширением «.php» от пользователей). Однако, мне показалось, что остались еще некоторые малоизвестные форматы, которые по-разному воспринимаются различными веб-серверами.
При написании кода, который отвечает за загрузку файлов, разработчики веб-приложений, могут прибегнуть к проверке расширения загружаемого файла либо по WhiteList (и тогда можно загружать только файлы с определенным расширением), либо по BlackList (и тогда можно загружать любые файлы, которые не описаны в списке). Если все-таки используется второй вариант, то это нередко может выливаться в уязвимость (например, XSS или даже RCE).
Как правило, программисты вносят в BlackList уже известные и очевидные расширения. В статье же будут рассмотрены не самые распространенные типы файлов.
Для демонстрации PoC использовались следующие пейлоады:
Далее я покажу результаты этого небольшого исследования.
По умолчанию IIS отдает файлы, приведенные в списке ниже с content-type: text/html.
Расширения, которые позволяют использовать Basic-вектор:
Таким образом, есть возможность внедрить XSS-вектор в загружаемый файл. При обращении к файлу, браузер успешно исполнит javascript.
Следующую группу расширений IIS отдаёт с таким content-type, который позволяет выполнить XSS через XML-вектор.
Расширения, которые позволяют использовать XML-based вектор:
IIS по умолчанию поддерживает SSI, однако секция exec запрещена в целях безопасности. При стандартном конфигурировании мы не сможем добиться произвольного выполнения команд, но будет возможность читать локальные файлы. Ниже приведены расширения, при использовании которых, IIS позволяет использовать SSI директивы.
Расширения для эксплуатации SSI:
Детальнее про использование SSI описано в твите @ldionmarcil.
Дополнение:
Asmx-расширение
1. Если есть возможность загрузки файлов с расширением «.asmx», то это может привести к исполнению произвольного кода. Для примера возьмем файл со следующим содержимым и загрузим на сервер:
2. Далее отправляем следующий POST запрос к файлу, который удалось загрузить:
3. В результате IIS запустит процесс «calc.exe»
Soap-расширение:
1. Содержимое файла, которое загружается с расширением «.soap»:
Apache (httpd или Tomcat)
Расширения, которые позволяют использовать Basic-вектор:
Расширения, где можно использовать XML-based вектор:
Дополнение:
Nginx
Расширения, которые позволяют использовать Basic-вектор:
Расширения, где можно использовать XML-based вектор:
Заключение
Проанализировав взаимодействие веб-серверов с различными расширениями, были найдены форматы файлов, загрузка которых может привести к эксплуатации уязвимостей. Так, из-за загрузки определенных файлов, злоумышленник может эксплуатировать такие уязвимости, как XSS или даже RCE.
Данное исследование может служить еще одним подтверждением того, что использование черных списков может негативно отразиться на безопасности разрабатываемого веб-приложения. Поэтому лучше сформировать белый список, по которому будет осуществляться проверка расширения загружаемого файла.
Автор: Михаил Ключников, Positive Technologies
Гайд по заполнению Whitelist
Этот материал подготовлен нашим другом с канала Whitelist в рамках рубрики «community based контент». Автор делает очень хороший и авторский контент на тему различных сейлов, дропов и ваитлистов.
С чего начать и какой депозит нужен?
Я рекомендую заполнять ВСЕ whitelist, а ближе к началу сейла, еще раз изучить проект, потому что многие команды анонсируют новые партнерства, метрики и тд в последний момент, а это может повлиять на ваше решение.
Все результаты я публикую на канале, поэтому вам не стоит тратить время и следить за десятками проектов.
Так же вы можете найти все актуальные whitelist в этом посте, а airdrop в этом посте, посты регулярно обновляются.
• Аллокации в проекты бывают совершенно разными от 50$ до 10.000$.
• Если у вас маленький депозит, то вы можете продавать свои кошельки с выигранной аллокацией у нас в чате или на ОТС рынке.
Рекомендую создать Metamask. Подробная видео инструкция по ссылке.
Далее нам необходимо добавить различные сети: Binance, Matic, Heco, Fantom, KCC и тд. Автоматически добавить каждую сеть можно на сайте
Рассмотрим каждую сеть отдельно:
Ethereum
Binance Smart Chain
Matic
Heco Chain
Fantom
Так же есть сети, которые не поддерживает Metamask.
Поэтому нам необходимо создать отдельный кошельки под каждую сеть:
Solana
Polkadot, Kusama и тд
Как успеть быстро слить токены?
Необходимо сделать ранний апрув, подробная видео-инструкция по ссылке
Поставить Slippage (проскальзывание) — это настройка, которая позволяет вам задать процент допустимого расхождения цены в момент обработки вашей транзакции. Если монета сильно волатильна и вы понимаете, что если не успеете продать на старте, то цена может упасть ниже сейла, то рекомендую ставить максимальный слипейдж 49%. Но, если вы продаете на сети Ethereum, то больше 10-15% ставить не рекомендую, иначе вас обработает арбитражный бот.
Также необходимо выбрать оптимальное количество gwei, от этого зависит как быстро пройдет ваша транзакция. Когда нужно быстро успеть купить/продать токены, я ставлю х3 от максимальных значений. Текущий газ на эфире проверяем тут.
На BSC ставим газ 50. Если вы отправляете токены на контракт, необходимо ставить лимит газа не меньше 100 000.
Как защитить свой аккаунт Twitter от бана?
Создаем аккаунт, подписываемся на наш Twitter, ждем 1-2 дня, не совершая каких-либо действий. Ставим аватарку, минимально заполняем профиль.
Присылаем ссылку своего аккаунта в группу по взаимным подпискам, набиваем себе 20-30 фолловеров. Периодически создаем свои твиты, можно написать просто 1-2 слова. Из моего личного опыта, 20-25% новых аккаунтов уходит в бан, остальные живут долгие месяцы.
Как сделать ретвит поста в Twitter?
Необходимо выбрать «цитировать твит». Написать необходимые хештеги и отметить друзей.
Не забывайте про риск-менеджмент. Проводите свой собственный ресерч.
Если вам первым пишет бот и предлагает поучаствовать в сейле — это 100% скам.
Если вам на кошелек прислали рандомные токены, не стоит их докупать, сначала проверьте можно ли их продать. 99,9% это скам токены, которые нельзя продать.
Государство и общество
ТОП 3 роста за 24 часа
ТОП 3 падения за 24 часа
По вопросам сотрудничества и предложений обращайтесь на почту [email protected]
Весь контент, предоставляемый сайтом, гиперссылки, связанные приложения, форумы, блоги, социальные сети и другая информация взята из сторонних источников и предназначена только для ознакомления. Мы не даем никаких гарантий в отношении нашего контента, включая, но не ограничиваясь точностью и актуальностью. Никакая часть предоставляемого нами контента не является финансовой консультацией, юридической консультацией или любой другой формой консультации, предназначенной для какой-либо вашей личной цели. Любое использование нашего контента осуществляется исключительно на ваш страх и риск. Вы должны провести свои собственные исследования, обзор, анализ и проверку нашего контента, прежде чем полагаться на них. Торговля-очень рискованная деятельность, которая может привести к крупным потерям, поэтому проконсультируйтесь с вашим финансовым консультантом перед принятием любого решения. Никакой контент на нашем сайте не является публичной офертой или приглашением к действию.
Настоящий ресурс может содержать материалы 18+
Белая магия: как работает технология белых списков
Принято считать, что работа антивируса — блокировать все опасные программы. На самом деле его задача состоит в том, чтобы определить, какие программы безопасны
Большинство людей считают, что защита от вредоносного ПО основана на поиске сигнатур вредоносных программ, но это всего лишь одна сторона медали. На самом деле составление списков запрещенных программ на основе поиска сигнатур — это не основная часть работы, которую выполняет антивирус. Вторая часть — это составление списка разрешенных, то есть выявление и утверждение списка тех приложений, которые не представляют угрозы.
Что такое список запрещенных программ?
Отвечу на этот вопрос в терминах технологии «Лаборатории Касперского» — Kaspersky Security Network (KSN). Когда пользователь устанавливает какой-либо продукт «Касперского», ему предлагают возможность добровольно присоединиться к KSN. В случае согласия компьютер данного пользователя становится частью сети, которая занимается тем, что обрабатывает информацию, связанную с обеспечением кибербезопасности.
Вот как это работает: если ПК, например, из Индии заражается новым типом вируса, «Лаборатория Касперского» создает соответствующую сигнатуру для обнаружения зловреда, а затем добавляет ее в базу данных, чтобы другие пользователи «Касперского» не столкнулись с вредоносом снова.
Если говорить совсем упрощенно, то технология списков запрещенных работает так: мы создаем список программ, которые могут навредить вашему компьютеру, и не подпускаем их к вашим системам. Это помогает предупредить 99,9% случаев заражения. И это отлично работало, пока нам приходилось иметь дело, скажем, с 10 000 вирусов. Но когда их число переваливает за 10 000 000, приходится придумывать что-то еще.
Что такое список разрешенных программ?
Снова используем для объяснения технологии терминологию «Касперского». У нас есть такая процедура, как «Отказ по умолчанию» (Default Deny). При таком подходе антивирус блокирует все приложения, пока программы не получат явного разрешения от администратора системы. Из этих разрешений и формируется список доверенных, получивших одобрение приложений.
Проблема вот в чем. Такой способ составления списков разрешенных программ прекрасно подходит крупным компаниям, в которых IT-инфраструктура централизована. В них всегда есть лицо, принимающее решение, а список используемых приложений, как правило, хорошо известен, сравнительно короток и редко меняется. В таких условиях нетрудно утвердить круг программ, необходимых для работы, и блокировать все остальные.
Если же речь идет о домашнем пользователе, то все становится сложнее: невозможно точно предсказать, какое приложение потребуется пользователю и в какой момент.
«Отказ по умолчанию» и список доверенных приложений
Наши друзья-исследователи из «Лаборатории Касперского» нашли способ, как предложить домашним пользователям все преимущества корпоративных списков разрешенных программ и принципа «отказ по умолчанию». Для этого они создали технологию «Доверенные приложения» — это динамически обновляемый список разрешенных приложений. Программы попадают в него после отбора по результатам тестирования данных, полученных через сеть KSN.
Другими словами, наш список доверенных пользовательских программ — это огромная и постоянно обновляемая база знаний существующих приложений. Она содержит информацию более чем о миллиарде уникальных файлов абсолютного большинства популярных программ, в том числе офисных пакетов, браузеров, программ просмотра изображений, — в базе есть все, что только можно представить.
Для того чтобы минимизировать количество случаев ложного срабатывания, мы используем данные от 450 партнеров. Главным образом это разработчики приложений, которые заранее предупреждают нас о грядущих обновлениях их программных продуктов.
Цепочка доверия
Но как насчет приложений, о которых мы пока не знаем? Некоторые приложения и процессы могут создавать для своих нужд новые программы, о которых пока ничего не известно, и это затрудняет их попадание в список разрешенных. Например, чтобы скачать обновление, какое-либо программное обеспечение запускает отдельный модуль, который служит для соединения с сервером поставщика ПО и скачивания файлов обновления. Фактически этот модуль является новым приложением, и в списке разрешенных его еще нет. Тем не менее, раз приложение было создано доверенной программой, ему также будет присвоен статус доверенного. Такой механизм называется «цепочка доверия» (Trust Chain).
Если обновление загружается автоматически, но существенно отличается от оригинального приложения и не входит в список разрешенных, присвоить ему статус доверенного можно другими способами, к примеру проведя верификацию цифровой подписи или сертификата. Третий уровень утверждения доверенного приложения используется, если приложение неожиданно модифицируется и не имеет цифровой подписи. В таком случае, в соответствии с принципом цепочки доверия, можно сверить домен, с которого загружается ПО, со списком доверенных доменов. Если домен находится в списке доверенных, то приложение автоматически получает этот статус. Если домен когда-либо использовался для распространения вредоносного ПО, приложение исключается из цепочки доверия.
И напоследок
Как вам известно, хакеры пристально следят за тем, как идут дела в сфере защиты от угроз. Отчасти поэтому они стремятся найти уязвимости в популярных программах и использовать их для того, чтобы обойти описанные выше меры безопасности. То есть использовать доверенные приложения для вредоносной деятельности.
Чтобы бороться с этой угрозой, наши специалисты создали систему под названием «коридор безопасности» (Security Corridor). «Коридор безопасности» использует список разрешенных, чтобы удостовериться, что доверенные приложения и ПО осуществляют исключительно действия, которые должны. То есть, если ваш графический редактор внезапно попытается включить микрофон, система об этом узнает и отметит данное приложение как опасное.
Чьи компьютеры защищены?
Технология динамического списка разрешенных приложений листа доступна не для всех наших клиентов: она имеется только у пользователей Kaspersky Internet Security и Kaspersky Total Security.
Whitelist и AirDrop криптовалют: что это, где искать и как участвовать?
В статье подробно разбираем все вопросы связанные с участием в криптовалютных Airdrop (айрдропах) и рассказываем о заполнении Whitelist (вайтлистов). Что это такое, где искать криптовалютные Airdrop и Whitelist, и как участвовать?
Для удобства перехода к разбору конкретного вопроса, воспользуйтесь оглавлением.
Содержание:
Предисловие
— Аирдропы, Вайтлисты — ничего не понятно, объясните пожалуйста!
новички в криптовалютах
В данном материале мы подробно затронем такие способы заработка, как вайтлисты и аирдропы.
Что такое аирдропы и вайтлисты?
Аирдроп (англ. airdrop) — это раздача токенов (криптовалют) за выполнение различных заданий.
Вайтлист (англ. whitelist) — это список людей, допущенных к продаже (покупке) монет на ранней стадии развития того или иного проекта. В этот список попадают случайные люди, выполнившие задания.
Откуда здесь деньги?
Криптовалюты — совершенно новый рынок, который небольшими шагами выходит в массы. Создаются тысячи различных криптопроектов: бОльшая часть — для извлечения выгоды из них, но среди всех можно найти и истинных криптоэнтузиастов, которые искренне верят в свои проекты и в то, что они способны изменить мир. И для этих, и для других так или иначе нужна огласка — без поддержки криптосообщества и в целом людей, проектам сложно набрать обороты, поэтому создаются различные социальные кампании, целью которых является максимальное распространение информации о тех или иных проектах.
Есть огромное множество социальных заданий, но в данной статье мы поговорим именно об аирдропах (airdrop) и вайтлистах (whitelist).
Схема работы у Airdrop и Whitelist практически одна и та же:
• Схема обмена в аирдропах:
Человек отдаёт соц. ресурсы (лайки, подписки, ретвиты) = Проект отдаёт свои монеты
• Схема обмена в вайтлистах:
Человек отдаёт соц. ресурсы (лайки, подписки, ретвиты) = Проект отдаёт возможность купить монеты по низкой цене
Почему стоит этим заниматься?
Оба варианта, и аирдроп и вайтлисты, одни из самых легких вариантов получения токенов по заниженной цене.Что соотвественно в бОльшей степени гарантирует шанс на получение дохода при росте токенов.
Что такое аирдропы?
Аирдропы (airdrop) — раздача (не продажа!) токенов за выполнение определённых заданий.
Допустим, есть проект CRYP COIN, они объявили о раздаче своих токенов за подписку на их телеграм-каналы.
Вася подписался, ввёл адрес своего кошелька и через 10 дней получил 10 CRYP COIN, но он их продать не может, так как этот токен ещё нигде не продаётся.
Прошло 200 дней и CRYP COIN объявили о том, что они листятся на биржу BINACE, Вася успешно завёл свои коины на баланс биржи и продал на бирже по цене 10 долларов. Вася заработал 100 долларов за подписку на телеграм-канал проекта, который проводил Airdrop.
Звучит как-то очень сказачно: 100 баксов за подписку. Но это лишь цветочки, бывали и будут аирдропы гораздо профитнее!
Примеры профита с аирдропов
Приведу в пример 2 показательных аидропа:
Для начала покажу пример аирдропа, в котором заработал токенов с вложениями не больше 500 рублей.
Был один сайт, где за регистрацию и приглашение рефералов давали где-то по 1 баксу (точно не помню), казалось бы, 1 бакс = мало, НО! Сайт выплачивал и выплачивал всем. Всего я наабузил где-то 100 баксов и успешно их вывел. +Токен уже торговался на известной бирже KuCoin.
И да, это было во время медвежьего рынка, когда особо и не было каких-либо возможностей для заработка, но все равно нашлась такая вот тема.
Скрины, которые я нашёл. (2 скрина в карусели)
2. TrustWallet
Я кину лишь 2 скрина и 1 предложение текста
Можно было создать тысячи аккаунтов :3
3. WazirX
Как продавать токены с аирдропов
Сейчас разберемся, в каком % соотношении лучше продавать токены, если вам их насыпали бесплатно:
Как вы поняли, обычно нам выдают фантики, которые никому не нужны, поэтому вся работа происходит на перспективу.
Как же всё-таки продать эти фантики? Ответ — ждать листингов на биржах.
Допустим, cryp coin нам выдали, но они нигде не продаются, наши действия на данном этапе — активно следим за их соцсетями и ждём анонсов в стиле «Our token lists on Banance tomorrow at10 PM UTC» и мы сможем продать свои фантики только завтра и только после 10 часов утра по UTC (+3 к МСК)
Что такое вайтлисты?
Вайтлист — некий список, участники которого имеют право купить токены проекта по низкой цене и продать их в моменте листинга. Профит идёт за счёт разницы между ценой покупки на IDO (что это) и ценой продажи на бирже.
Как происходит весь процесс участия в вайтлистах:
5 июля CRYP COIN открыли вайтлист с следующими условиями: подписаться на их твиттер, телеграм и сделать ретвит
10 000 людей выполнили задания для попадания в вайтлист CRYP COIN
8 июля Администраторы CRYP COIN выбрали их этих 10 000 людей всего 100 и закинули их в вайтлист
10 июля только эти 100 людей могут купить CRYP COIN, и больше никто другой! Только они. Допустим, им продали токены по 1 доллару. А на листинге уже участники токенсейла продали эти токены за 10 долларов на бирже. Профит — 9 баксов с одного токена
Примеры дохода с вайтлистов
Ради справедливости стоит сказать, что сейчас рынок не в самом лучшем состоянии, и это очень сильно влияет на доходность IDO, но всё же стоит вам показать, какой потенциал несут такие проекты.
Цена на IDO — 0.05$
Цена, по которой можно было продать — 6$
Аллокация — 200$ (на сколько баксов можно было купить по цене 0.05$)
Профит — 24000$
2. TrustPad (попал лично я и купил)
Цена на IDO — 0.1$
Цена, по которой можно было продать — 0.5$
Аллокация — 500$
Профит — 2000$
3. BSCLaunch (попал лично я, но не смог купить из-за ряда причин, не связанных со мной)
Цена на IDO — 0.08$
Цена, по которой можно было продать — 10$
Аллокация — 400$
Профит — 50000$
График цены (здесь цена только с 5 июля, старых данных нет, но поверьте на слово или чекните пост)
Риски и нюансы, при участии в вайтлистах
Как вы могли заметить из примеров дохода, во многих выигранных вайтлистах я всё равно проигрывал (антитеза получается) 🙁
Да, бывает и такое, с этим ничего не поделаешь. Крипта всё ещё сырая, и вместе с бешеными, очень бешеными деньгами приходят недоработки многих платформ, и очень часто происходят какие-либо баги, лаги и т.д и т.п., которые не дают нормально купить и продать токены. С этим никак не получится бороться — каждый проект индивидуален, и с каждым может произойти разные ошибки, к которым просто надо быть готовым. Поэтому в этом деле сильно решает опыт.
Это всё обобщённый текст, но я написал его не зря — всегда стоит быть на чеку и ждать какой-то неожиданности от крипты.
Что нужно для старта в Аирдропах и Whitelist?
Так как все завязано на социальной активности, то нам понадобятся:
Если не шарите, что за BSC и ERC20, то особо не парьтесь насчёт этого, с опытом придёт понимание, сейчас стоит осознать лишь одного: BSC, BEP20, Binance Smart Chain = это одна сеть (только разные названия), ETH, ERC20 = это уже другая сеть (только разные названия). Внутри кошелька TrustWallet они имеют одинаковые адреса, поэтому, если вас в аирдропе просят ввести BEP20 адрес, а вы ввели ERC20, то ничего страшного не произойдёт, и ваши монетки всё равно придут. Помимо этих двух сетей, есть ещё другие, но именно, в основном, эти используются для Вайтлистов и Аирдропов.
Аккаунты нужно регистрировать на свои данные и симки, если не хотите в один день потерять доступ к ним и «возможным» деньгам, соответственно.
5 пунктов выше достаточно для старта в заработке на крипте, остальные штуки-дрюки вы будете добавлять сами по мере надобности
Где искать проекты?
Лично я подписан на около сотни различных телеграмм каналов, связанных с криптой и постингом новых темок, также частенько сижу на различных агрегаторах аля DropsEarn (очень крутой сайт, между прочим)
Как масштабировать деятельность по Аирдропам и Вайтлистам?
Ответ = абузить.
Что это такое? Не буду мучать сложными терминами, покажу на примере.
Вася выполнил задания какого-либо проекта. Допустим, поставил лайк, подписался на твиттер и заполнил форму. Но он решил увеличить свои шансы, поэтому:
Выполнил все задания и заполнил форму ещё раз, но уже с другими данные на новые аккаунты! Это и есть абузинг, конечно, не самый экологичный тип увеличения шансов, ну а что поделать?
Подробнее о масштабировании и абузе аирдропов/вайтлистов в следующей статье.
Есть что добавить на тему криптовалютных Аирдропов и Вайтлистов?Обязательно напишите свой комментарий, обратная связь очень важна для меня.