GE
Там не запросы напрямую в базу. Там скрипт выполнялся на стороне админов и менеджеров, у которых есть доступ к практически всем данным бд
Что прости
Size: a a a
2020 October 07
GE
Насколько я понимаю твой посыл, ты хочешь сказать, что это будет жесть как сложно. Ну хз, учитывая, что уже два раза нас ломали (до моего прихода в эту компанию). Если ломали, значит это стоило того, верно?
Что значит ломали?
GE
Нет, если написано через жопу, то конечно могут и данные из базы получить
VP
Что прости
Что-то конкретное непонятно или в целом?)
GE
Что-то конкретное непонятно или в целом?)
Если у кого то креды админские и смог авторизоваться под ним, то у вас проблемы другого рода
VP
Если у кого то креды админские и смог авторизоваться под ним, то у вас проблемы другого рода
Я знаю. А после того, как я нашёл эту лазейку, знают и разработчики, у которых была задача с метками "срочно" и "критически".
GE
Я знаю. А после того, как я нашёл эту лазейку, знают и разработчики, у которых была задача с метками "срочно" и "критически".
Ну блин, если у чувака админские права, то как бы ему и скрипты наверное писать не надо)))
VP
Ну блин, если у чувака админские права, то как бы ему и скрипты наверное писать не надо)))
Ты не совсем правильно меня понял
VP
Ну блин, если у чувака админские права, то как бы ему и скрипты наверное писать не надо)))
Была уязвимость, где с помощью скрипта можно было получить доступ к сессии админа. А оттуда уже делать всё, что тебе хочется
GE
Была уязвимость, где с помощью скрипта можно было получить доступ к сессии админа. А оттуда уже делать всё, что тебе хочется
Я даже боюсь представить каким это образом
VP
Я даже боюсь представить каким это образом
Позволь мне не описывать уязвимость в приложении)
VP
Не приходилось)
GE
Позволь мне не описывать уязвимость в приложении)
Если в приложение есть такие возможности, то ему не безопасность нужно тестировать, а выгнать разработчиков и нанять новых
VP
Если в приложение есть такие возможности, то ему не безопасность нужно тестировать, а выгнать разработчиков и нанять новых
Этот вариант вряд ли будут обсуждать. Хотя мне хотелось бы многое поменять. Но что есть, с тем и работаю
VP
Если в приложение есть такие возможности, то ему не безопасность нужно тестировать, а выгнать разработчиков и нанять новых
+ у меня ещё нет авторитета продавливать свои решения. Приходится долго и нудно отстаивать свои замечания, что не всегда получается из-за:
CTO: ну мы всегда так делали
Co-founder: да мы давно забили на это, не хотим возиться
CTO: ну мы всегда так делали
Co-founder: да мы давно забили на это, не хотим возиться
A
А там, глядишь, на пересмотре зп мне накинут денежек за тестирование безопасности)
Молодо-зелено
VP
Молодо-зелено
Да что ж вам всем так это сообщение понравилось?) Я осознаю, что, возможно, мне за это дадут хрен и отправят дальше. Но мне главное получить опыт работы с безопасностью, а там можно будет посмотреть
VP
Весьма приятно слышать такие вещи, благодарю