c
В смысле как это в коде имплеменится
Да
Size: a a a
2019 March 05
c
Ты не заходишь в приложение вообще
Я про обычный вход спрашиваю, притаком механизме
R
А при чем тут обычный вход? Речь шла о том, что приложение способно само сходить на сервер
c
Я и спрашиваю, если приложение само может, то на входе оно так же делает получается?
R
Кто знает. Я не реверсил альфу. Понимаю к чему ты спрашиваешь: там де должна быть какая-то авторизация по пинкоду завязанная на сервер и вот это все.
c
Да, я к этому
c
Будет смешно, если пин сравнивается локально
R
Ну вот обычно, что решения задачи “сходить на сервер по пушу” заводится токен по которому это можно сделать
c
Тогда не понятно откуда столько прав у токена для пушей;(
c
Мутная история крч
R
Тогда не понятно откуда столько прав у токена для пушей;(
Отож
R
История мутная и наверняка правды нам не скажут где пролюбились. А жаль =) Было бы интересно.
А
Тогда не понятно откуда столько прав у токена для пушей;(
поднятие привилегий когда он потом зашёл?
2019 March 06
R
поднятие привилегий когда он потом зашёл?
Каким образом? Какой вектор атаки?
А
типо сессия осталась та же, но ей навесили доп роли
R
Так вот речь о том, что при грамотной реализации такой токен имеет очень маленькие права. На один запрос например.
c
типо сессия осталась та же, но ей навесили доп роли
Session Fixation?
Интересненько
Интересненько
c
Но звучит как маловероятно
R
Ребята, у этого чела (пострадавшего) Android труба)
c
Ребята, у этого чела (пострадавшего) Android труба)
Капитан?.,)