M
лучше уж перехватывать и редиректить запросы в обход бёрпа используя iptables (если ж мы говорим про извращения ))
а какой-нить фоксипрокси? там паттернами можно все запретить в прокси заворачивать
Size: a a a
2020 March 05
GD
а какой-нить фоксипрокси? там паттернами можно все запретить в прокси заворачивать
это уже не про извращения )
M
Ты прокси бюрпа в браузере настраиваешь?
Там есть поле с исключениями, сайты для которых прокси не включать. Типа localhost. Туда добавь .google.com и другие
Там есть поле с исключениями, сайты для которых прокси не включать. Типа localhost. Туда добавь .google.com и другие
Понял тебя. Что-то типо этого
AB
Вы реально извращенцы))
А
и ты гуглопоиск не юзаешь
В другом браузере, где нет бурпа можно юзать спокойно( и да - дакдакго )
J
Есть плагин для того чтобы вырезать статистику в браузере. Просто она не отправляется. Privacy badger
КР
иногда слов нет - только маты)
J
Он даже обучаться умеет
GD
как настроишь, так и поедет
J
Примерно так удобно блочить
VP
всякую статистику не всегда стоит блочить при ханте, иногда там может быть валид бага, типа отправки в нее авторизационного токена
J
всякую статистику не всегда стоит блочить при ханте, иногда там может быть валид бага, типа отправки в нее авторизационного токена
Да, встречал in the wild такое, но думаю что репортить это бы не стал)
J
в ББ
VP
Да, встречал in the wild такое, но думаю что репортить это бы не стал)
надо смотреть по ситуации, кейсы могут быть разные. Сходу не найду, но точно были примеры в баунти, когда за такое платили
J
Даж не верится)
VS
было недавно у всеми любимого nordvpn подобное.
https://hackerone.com/reports/752402
https://hackerone.com/reports/752402
J
GET requests for API keys,
J
там видимо в get чет летело. Может это не про метрики. Но да, такое возможно
VP
было недавно у всеми любимого nordvpn подобное.
https://hackerone.com/reports/752402
https://hackerone.com/reports/752402
да, спасибо, как раз его искал.
Большой практики по этим багам нету, по мне так непаханное поле.
Да, ты обычно при использовании любого сервиса соглашаешься на то что какие то твои данные могут быть переданы third party.
Но не твой авторизационный токен, с помощью которого можно пользоваться твоей сессией/аккаунтом
Большой практики по этим багам нету, по мне так непаханное поле.
Да, ты обычно при использовании любого сервиса соглашаешься на то что какие то твои данные могут быть переданы third party.
Но не твой авторизационный токен, с помощью которого можно пользоваться твоей сессией/аккаунтом