s
На впсках?
Size: a a a
2020 July 18
VP
нет канешн. Домашний провайдер
s
Ну чтобы прям интернет отваливался — не бывало такого. Вот что пропускная способность падает резко, это да
2020 July 19
GD
Ну чтобы прям интернет отваливался — не бывало такого. Вот что пропускная способность падает резко, это да
Оборудование и его состояние/организация у многих провайдеровв очень плохом состоянии зачастуюю
GD
Это мне напомнило случай, когда от объема трафика при ДоС тестировании в роутере что-то перегрелось и он вырубился. В итоге, он вроде бракованный оказался, но про это никто не знал до тестирования
A
провайдерское оборудование не в состоянии какие-то там лимиты считать, так что пролетает все с радостью, пока по швам не трещит
VP
Это мне напомнило случай, когда от объема трафика при ДоС тестировании в роутере что-то перегрелось и он вырубился. В итоге, он вроде бракованный оказался, но про это никто не знал до тестирования
вот похожая история была с хуавеями, они вроде как должны были держать опредленный обьем, а когда по ним в реале ударили таким, даже меньшим, оказались не готовы скажем так
M
Я как-то спрашивал про то, стоит ли репортить идор со сложным идентификатором , мне сказали, что за такое платит только норд впн)
Но видать гугл принимает подобное
Но видать гугл принимает подобное
᠌
Да многие примут я думаю
᠌
Ибо любая low бага/unintended фукциональность может его раскрыть
VP
Я как-то спрашивал про то, стоит ли репортить идор со сложным идентификатором , мне сказали, что за такое платит только норд впн)
Но видать гугл принимает подобное
Но видать гугл принимает подобное
почему, принимают все, спокойно, как только ты покажешь что этот сложный идентификатор можно раскрыть в одной из других ручек/функциональностей. Собственно это и есть основной сценарий
VS
Основной сценарий это если найдешь «оракул» формирующий этот самый айдишник
VS
Не обязательно иметь api. Возможно такой же принцип используется в создании имени файла или чего-то подобного
А
5к$? За неподбираемый uuid?
Сильно
Сильно
BF
Так defense in depth же
MM
5к$? За неподбираемый uuid?
Сильно
Сильно
Pizdc одним запросом удаляет чужой файл из за того что там нет проверки 🤦♂️ пойду ка я в баг баунти регнусь завтра глядишь миллионером стану
BF
Так defense in depth же
UUID нельзя подобрать, но по нему можно получить доступ? Нет какого-то флага на куке? Хсс в песочнице? Лучше пофикси. на всякий случай)
A
с каких пор UUID нельзя подобрать?
MM
с каких пор UUID нельзя подобрать?
Брутфорс