BF
Вот это кринж, за который я ненавижу свою работу
Size: a a a
2020 May 17
BF
Когда какая-нибудь контора пишет о том, что они не будут фиксить уязвимости, которые для них "acceptible risk", под словами acceptible risk млжет подразумеваться что угодно: от говно-впн, который криптографически ненадёжен, но иначе как через митм его не поатакуешь, до обхода фиксов старых уязвимостей полугодовых давностей
BF
Все помнят историю, как Вульв заплатили чуваку за повышение привилегий через Steam на Шиндовс, что он создал об этом тред на Реддите, рискуя вообще бан на платформе за разглашение схлопотать?
I
Порой исправление какого-нибудь легаси дерьма и правда может стоить дороже, чем потенциальная эксплуатация злыми парнями.
Тем более если в неких планах есть переезды/изменение архитектуры
Тем более если в неких планах есть переезды/изменение архитектуры
V
Все помнят историю, как Вульв заплатили чуваку за повышение привилегий через Steam на Шиндовс, что он создал об этом тред на Реддите, рискуя вообще бан на платформе за разглашение схлопотать?
Честно говоря, не слышал
BF
Честно говоря, не слышал
Гугли Valve steam privilege escalation Hackerone
V
Гугли Valve steam privilege escalation Hackerone
Ну я так быстро прочитал, понял что человек обиделся, что его забанили и совершил disclose зеродая
BF
Ну короче парень нашёл способ повысить привилегии из-за ошибки конфигурации Стима в дефолтной установке, а его отшили и сказали типа нахер иди, он создал тред на Реддите, его поддержали, компания извинилась и дала денег, и даже условия бб программы подкорректировала ради него
V
Ну короче парень нашёл способ повысить привилегии из-за ошибки конфигурации Стима в дефолтной установке, а его отшили и сказали типа нахер иди, он создал тред на Реддите, его поддержали, компания извинилась и дала денег, и даже условия бб программы подкорректировала ради него
а, даже так
BF
Пацаны, совет. Прежде чем тестить rest API, найдите эндпойнт, описывающий, какие есть привилегии у вашего пользователя. У Джиры он, например, /rest/api/2/mypermissions
BF
Потому что можно кучу времени убить шастая по всему апи (а в джировском там около 170 эндпойнтов, доступных анонимному юзеру!), аккуратно составляя карту своих привилегий
BF
А потом наткнуться на то что оказывается апи САМО предоставляет такую возможность
BF
И у вас сгорит жопа от негодования, я убил только что полчаса на эту хуйню
VP
ну доки читайте, ничего нового. Это просто частный кейс, и не думаю что так уж часто апи выдаст тебе все полномочия твоего акка
BF
ну доки читайте, ничего нового. Это просто частный кейс, и не думаю что так уж часто апи выдаст тебе все полномочия твоего акка
Я перечитал половину документации к апи...
2020 May 18
h
ахах зацените репорт на h1 oт школоло-кулхацкера https://hackerone.com/reports/316946
ща бы легенд не знать
h
бля 1005 мемберов, заработался совсем и проебал
h
произошло переполнение... увольняюсь
А
произошло переполнение... увольняюсь
Ураа, можно отмечать
BF
произошло переполнение... увольняюсь
Переполнение терпения)