НС
Я, когда общался с их секьюрити командой, словил впечатление что-то я пришёл в салон мобильной связи и пытаюсь что-то объяснить техподдержке, причём это надо мне.
Size: a a a
2018 June 05
DZ
DZ
так же чел нашел закладку в материнке китайской) ему в органах неповерили)
DZ
известная старая статья на xakep
НС
Они сраную XSS-ку в маркдауне (включая комменты) на выполнение произвольного жскода (который работал без проблем, потому что CSP они не осилили) чинили два с половиной месяца.
НС
При этом слив PoC в публичный репозиторий в первый же день.
НС
Если кто не понял, таймлайн был такой:
1. Я (приватно) зарепортил битбакету XSS на выполнение произвольного жс из маркдауна (в комментах в т.ч.).
2. В тот же день они это протестировали в публичном репозитрии и там и оставили, пока я не заметил и не наругался на них везде где можно
3. Через полтора месяца они передали эту задачу разработчикам.
4. Ещё через месяц они задеплоили готовый фикс.
1. Я (приватно) зарепортил битбакету XSS на выполнение произвольного жс из маркдауна (в комментах в т.ч.).
2. В тот же день они это протестировали в публичном репозитрии и там и оставили, пока я не заметил и не наругался на них везде где можно
3. Через полтора месяца они передали эту задачу разработчикам.
4. Ещё через месяц они задеплоили готовый фикс.
НС
Я считаю, что они поехавшие там.
НС
Это не единичный случай.
НС
НС
Линки там, копипастить лень.
JD
так же чел нашел закладку в материнке китайской) ему в органах неповерили)
крис касперски
AY
Битбакет субъективно удобнее с точки зрения интерфейсов.
DZ
крис касперски
НС
Битбакет субъективно удобнее с точки зрения интерфейсов.
Но безопасность! (И субъективно не согласен).
DZ
интересненько)
UT
