R(
Под каким ты там впгом не знаю
У меня их было недавно три. В какой из них удастся вообще зайти завтра я сам не знал. Я даже набросил термин "ВПН-лотерея".
Size: a a a
2020 October 07
GE
Окей, приложение находится в изолированной среде. Посылает пост-запрос на логин, а там sql инъекция, что дальше?
Блин, у каждого фреймворка есть защита от инъекций )
VP
Блин, у каждого фреймворка есть защита от инъекций )
Окей, XSS
GE
У меня их было недавно три. В какой из них удастся вообще зайти завтра я сам не знал. Я даже набросил термин "ВПН-лотерея".
Блин, ну чувак, я не не об этом
P
У меня их было недавно три. В какой из них удастся вообще зайти завтра я сам не знал. Я даже набросил термин "ВПН-лотерея".
а если заходит во все, то ты собирал впн-бинго?
VP
Блин, у каждого фреймворка есть защита от инъекций )
Буквально вчера нашёл два места, где можно применить XSS. Не думаю, что впн защитит от этого
R(
Блин, ну чувак, я не не об этом
А о чём? :) Сам сервер может медленнее и не станет, а передача данных может.
GE
Буквально вчера нашёл два места, где можно применить XSS. Не думаю, что впн защитит от этого
И что ты с помощью этого смог получить?)
GE
А о чём? :) Сам сервер может медленнее и не станет, а передача данных может.
Если настроено не рукожопом- не станет
VP
И что ты с помощью этого смог получить?)
Технически, я мог оттуда получить всё, что угодно. Скрипт выполнялся на стороне сервака, где можно было спокойно забрать себе доступ админа
GE
Технически, я мог оттуда получить всё, что угодно. Скрипт выполнялся на стороне сервака, где можно было спокойно забрать себе доступ админа
Ты попробуй сначала )
GE
Как правило усилия затраченные на получение сколько то бы ни было полезных данных - не стоят этих данных
R(
Если настроено не рукожопом- не станет
До всеобщей удалёнки была одна нагрузка, в удалёнку стала другая. Даже без ВПНа качество связи вполне зависит от нагрузки и возможностей каналов на той стороне вообще.
GE
До всеобщей удалёнки была одна нагрузка, в удалёнку стала другая. Даже без ВПНа качество связи вполне зависит от нагрузки и возможностей каналов на той стороне вообще.
Поэтому я и сказал про «рукожопов»
VP
Как правило усилия затраченные на получение сколько то бы ни было полезных данных - не стоят этих данных
Получить бд пользователей с помощью несложного скрипта на получение куки или ещё чего-либо? С нашей бд оно того явно стоит
GE
Получить бд пользователей с помощью несложного скрипта на получение куки или ещё чего-либо? С нашей бд оно того явно стоит
Ну ты получи сначала)))
GE
Не знаю что у вас за приложение
GE
Но я не видел ни одного приложения в проде, где напрямую запросы в базу
VP
Ну ты получи сначала)))
Насколько я понимаю твой посыл, ты хочешь сказать, что это будет жесть как сложно. Ну хз, учитывая, что уже два раза нас ломали (до моего прихода в эту компанию). Если ломали, значит это стоило того, верно?
VP
Но я не видел ни одного приложения в проде, где напрямую запросы в базу
Там не запросы напрямую в базу. Там скрипт выполнялся на стороне админов и менеджеров, у которых есть доступ к практически всем данным бд