Pull to refresh

Comments 56

ЯННП, потому что сам Егор не гений в типографике и словесности, а потом вы все это смачно перевели, а я теперь сижу и думаю, что же такое
«Можно было выпустить код для /path1/../path2»
Сидишь такой, переводишь оригинал, и думаешь какой *дак это писал. Постоянно со мной такое.
Ахахах, вот это да, смешно вышло :) Обычно всех ругают за отсутствие метки «перевод», а у вас получился перевод самого себя :)
Получилось понятнее, чем когда текст сразу на русском. Возможно, стоит иногда пользоваться таким способом =)
Как хорошо, что вы на светлой стороне силы! :)
За ссылку в комментариях меня не отправят в «Я пиарюсь» опять надеюсь? www.sakurity.com/

Я и правда пиарюсь, чего уж там.
Напишите пожалуйста потом чем в итоге закончился Ваш пиар в плане поиска работы.
На хакер ньюс хорошо ищется. На хабре никак.
В русской версии сакурити, еще остался мой twitter'овский ник.
Эх. Удалился я :(
Кстати, надо что-нибудь запилить.
Я тебе отпишусь на днях в скайпе
UFO just landed and posted this here
Стараюсь работать со стартапами интересными. Им даю скидки и бонусы разные. Для энтерпрайза нет.
У стартапов больше денег, чем у энтерпрайза? Или больше понимания?
С ними проще идти на контакт, реально помогать и улучшать архитектуру. Денег у них не много, поэтому я и даю скидки. Рейт не фиксированный для всех.
Мне всегда было интересно, ваши предыдущие статьи приводили к вам новых клиентов? А то неоднократно в ваших комментариях видел, что вы так и сидите без работы, прям не верилось.
С хабра не пришло еще ни одного клиента. Рунет такой рунет.
Егор, сколько времени ушло на раскручивание этой уязвимости, включая все составляющие?
Пора поднять на сайте рейт до $1k\час :)
Не ну я не настолько еще оуел
Ну вот, теперь наконец-то и Егор добился того, что его можно узнавать уже по заголовку статьи =)
>И вообще я доступен для работы, например.
Как показывает практика, русскоязычные HRы пока не понимают, что такое Хабр и о чём тут пишут, максимум у них хватает скила искать совпадение слов в тексте вакансии и профиле Линкедина.
Упомянуть это лишним точно не будет, тем более в оригинале практические тоже самое в конце написано. А у понимающих русских компаний немного другие механизмы поиска и ищут таких исполнителей обычно в англоязычном интернете.
Плохие парсеры у них, мне писали по Java в то время как на линкедине было JavaScript. Для них видимо одно и то же. Боюсь представить что у них выходит в остальных случаях.
Дело в том чо задача HR это набрать рабоников в штат, а не привлекать фрилансеров.
фрилансер и профснальный контрактор это небо и земля.
Хочу пожать вам руку, вроде бы все так просто и гениально, а вроде и запутано :) Сижу под огромным впечатлением :)
Довольно забавно как из мелочей можно сделать громадную дыру. Расскажите где такому учат? :)

З.Ы. Егор, хватить ломать интернеты :)
Мелковат гитхаб-то. Дуров 100000$ платил.
Слушайте, ну круто. А вы как достигли такого уровня?
Какого уровня? баги то детские. Просто Егор задавался вопросом «а что будет если», а те кто делал авторизацию в гитхабе нет.

Мне вот однажды надо было внедрить санитайзер, который уже использовался много где в яндексе. тоже дырок много понаходил, но заводил сразу баги в джире. Надо ли говорить, что никакого вознаграждения я не получил?) да, Егор, я тебе завидую. Почему то вечно узнаю об этих баунтях лишь когда все уже все нашли(
Чему завидовать тут, этот пост вершина айсберга. Есть еще куча неоплаченых/неотвеченных/wontfixеных репортов, у каждого из нас.

Баги простые, и в этом прикол всей цепочки. Ну и для меня взломать чей то oauth дело чести.
«для меня взломать чей то oauth дело чести»

Опасный вы человек =)
Ну не знаю. Я взломами не занимаюсь, поэтому для меня такой успех — признак высокого уровня.
Кстати, картинку еще можно вроде размещать по https просто, тогда она не должна проксироваться.
Нет, все картинки проксируются, как раз чтобы рефереры не утекали. У ссылок ставится noreferrer
Интересно, в ридмишках на самом гитхабе не проксируются зато. Так всякие бейджи работают.
Бейджы вайтлистятся я полагаю. Если сможете вставить крос доменную картинку — дайте знать )
Хм, вставлял из jenkins — у дженкинса даже плагин есть специальный для этого.
Ух ты, действительно, теперь включили https проксирование для картинок. Буквально пол года назад его еще не было :) Судя по механизму — используют периодическое обновление изображения с сервера или что-то вроде этого, дальше не разбирался.
Спасибо за статью! Вдохновился и перешел на gitlab :)
Тогда только на последнюю версию, пару месяцев назад там была утечка инфы примерно таким же образом :)
Отличная статья и отдельное спасибо за ссылку на блог автора. С интересом почитал и блог. Буду благодарен если кто-то скинет список похожих блогов на эту же тематику.
Не понимаю, за что ставят минусы. В низу статьи стоит ссылка на блог, где расположен оригинал статьи. Там есть масса других интересных статей о уязвимостях, о которых я прежде не слышал. Например, cookie bombing.
Возможно минусуют за невнимательность. Автор блога по ссылке и автор данной статьи — одно лицо (перевел сам себя так сказать)
Которая как мы знаем просто base64 закодированная и подписанная кука.

Нихилый такой антипаттерн.
По сути — вариант дешево и сердито. Для своей области применимости не так уж и страшно.
С чем несогласен минусующий?

Такой вариант даёт client-side сессии, практически не требующие ресурсов сервера на поддержание их жизненного цикла. Естественно, что ничего связанного с security, правами и т. п. в них хранится не должно. Но, скажем, хранить настройки сортировки или что-нибудь столь же некритичное — не страшно.
У Гитхаба просто старая Rails используется (понятное дело, что обновить фреймворк для такого приложения не просто). Сейчас куки приходять в зашифрованном виде от rails 4 (подписаны через ключ): api.rubyonrails.org/classes/ActionDispatch/Session/CookieStore.html
Немного не понял, а как эту куку можно считать? Она же на гитхабовском домене.
Sign up to leave a comment.

Articles