A&D trainings

29 Jan 2021 11:51

Уязвимость не в куки

A&D trainings

29 Jan 2021 11:49

если злоумышленник угнал куки, то это так и работает

A&D trainings

29 Jan 2021 11:48

так и работают куки. Это стандартное поведение

A&D trainings

29 Jan 2021 11:39

И полчуть ту же страницу

A&D trainings

29 Jan 2021 11:37

Ну если у тебя в куках передается урл без подписи, то возможно это ssrf. Если в куках нет опции SameSite и нет другой митигации CSRF, то скорее всего csrf

A&D trainings

29 Jan 2021 11:33

Суть вопроса не меняется

A&D trainings

29 Jan 2021 11:26

Уязвимые куки это cssrf?

A&D trainings

26 Jan 2021 22:34

@pomo_mondreganto предлагаю скинуться и закупить битков , главное чтобы кеков не удалил

A&D trainings

24 Jan 2021 18:48

cc @alagunto

A&D trainings

16 Jan 2021 18:42

Альтруизм мне не чужд

A&D trainings

16 Jan 2021 18:38

когда-нибудь цтф коммьюнити создаст антиспам бота с вероятностью валидных блоков > 99%

A&D trainings

16 Jan 2021 18:33

думаю другим начнут пользоваться

A&D trainings

16 Jan 2021 18:29

Сделайте фильтр на короткие ссылки. делов то

Количество сообщений < N && коэф. схожести с одной из ссылок > ~0.75

A&D trainings

14 Jan 2021 19:20

Выше писал, что вернул кнопку удаления

A&D trainings

14 Jan 2021 19:19

И ещё одно, удалять сервисы как-нибудь можно? Без перезапуска

A&D trainings

29 Jan 2021 11:51

Ну если сделать bonk битой по голове юзеру, скопировать его куки и зайти у себя то злоумышленник залогинится

A&D trainings

29 Jan 2021 11:48

Просто злоумышленник получает уже залогиненого пользователя если так сделает ц себя на машине

A&D trainings

29 Jan 2021 11:39

так и работают куки. Это стандартное поведение

A&D trainings

29 Jan 2021 11:39

У меня есть куки который можно просто скопировать и вставить

A&D trainings

29 Jan 2021 11:34

Что значит во-первых уязвимые куки?

A&D trainings

29 Jan 2021 11:32

Я знаю ssrf и csrf, но cssrf вижу впервые

A&D trainings

26 Jan 2021 22:41

@kekov когда-нибудь ты не успеешь удалить сообщение, я скуплю битки и стану миллионером )))

A&D trainings

26 Jan 2021 22:33

@kekov битки

A&D trainings

24 Jan 2021 18:46

Comrades! Только сейчас и только сегодня (на самом деле без разницы) вы можете помочь с вкладом в A/D.

Если кто-то писал сплоит на Guzzer в сервисе 7kek (https://github.com/C4T-BuT-S4D/training-02-02-20/tree/master/services/7kek) - пинганите меня в лс, есть пару вопросов

A&D trainings

16 Jan 2021 18:38

Займись тогда чем-нибудь полезным :)

A&D trainings

16 Jan 2021 18:33

Обновить один массив в коде проще, чем армию ботов, поэтому мы заведомо победили

A&D trainings

16 Jan 2021 18:32

Кажется, можно просто bit.ly забанить

A&D trainings

16 Jan 2021 18:29

@pomo_mondreganto а как вашего бота триггерить?

A&D trainings

14 Jan 2021 19:19

Не делал, но вспоминаю, что раньше больше всего времени занимала работа с бд

A&D trainings

14 Jan 2021 19:18

Кстати, профилирование уже делал? Имеет смысл делать client и server?