Comments 56
ЯННП, потому что сам Егор не гений в типографике и словесности, а потом вы все это смачно перевели, а я теперь сижу и думаю, что же такое
«Можно было выпустить код для /path1/../path2»
«Можно было выпустить код для /path1/../path2»
Сидишь такой, переводишь оригинал, и думаешь какой *дак это писал. Постоянно со мной такое.
Ну вот же пример урла
github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9& redirect_uri=https%3A%2F%2Fgist.github.com%2Fauth%2Fgithub%2Fcallback/../../../homakov/8820324
github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9& redirect_uri=https%3A%2F%2Fgist.github.com%2Fauth%2Fgithub%2Fcallback/../../../homakov/8820324
И вообще я доступен для работы, например.
Хм… отличное резюме))
За ссылку в комментариях меня не отправят в «Я пиарюсь» опять надеюсь? www.sakurity.com/
Я и правда пиарюсь, чего уж там.
Я и правда пиарюсь, чего уж там.
Напишите пожалуйста потом чем в итоге закончился Ваш пиар в плане поиска работы.
UFO just landed and posted this here
Мне всегда было интересно, ваши предыдущие статьи приводили к вам новых клиентов? А то неоднократно в ваших комментариях видел, что вы так и сидите без работы, прям не верилось.
С рекомендациями от GitHub :D
Красиво и выгодно
Егор, сколько времени ушло на раскручивание этой уязвимости, включая все составляющие?
Gmail вырезает ссылки
<img src="///host.com" />
из писем.Ну вот, теперь наконец-то и Егор добился того, что его можно узнавать уже по заголовку статьи =)
>И вообще я доступен для работы, например.
Как показывает практика, русскоязычные HRы пока не понимают, что такое Хабр и о чём тут пишут, максимум у них хватает скила искать совпадение слов в тексте вакансии и профиле Линкедина.
Как показывает практика, русскоязычные HRы пока не понимают, что такое Хабр и о чём тут пишут, максимум у них хватает скила искать совпадение слов в тексте вакансии и профиле Линкедина.
Упомянуть это лишним точно не будет, тем более в оригинале практические тоже самое в конце написано. А у понимающих русских компаний немного другие механизмы поиска и ищут таких исполнителей обычно в англоязычном интернете.
Плохие парсеры у них, мне писали по Java в то время как на линкедине было JavaScript. Для них видимо одно и то же. Боюсь представить что у них выходит в остальных случаях.
Дело в том чо задача HR это набрать рабоников в штат, а не привлекать фрилансеров.
Хочу пожать вам руку, вроде бы все так просто и гениально, а вроде и запутано :) Сижу под огромным впечатлением :)
Довольно забавно как из мелочей можно сделать громадную дыру. Расскажите где такому учат? :)
З.Ы. Егор, хватить ломать интернеты :)
З.Ы. Егор, хватить ломать интернеты :)
Мелковат гитхаб-то. Дуров 100000$ платил.
Слушайте, ну круто. А вы как достигли такого уровня?
Какого уровня? баги то детские. Просто Егор задавался вопросом «а что будет если», а те кто делал авторизацию в гитхабе нет.
Мне вот однажды надо было внедрить санитайзер, который уже использовался много где в яндексе. тоже дырок много понаходил, но заводил сразу баги в джире. Надо ли говорить, что никакого вознаграждения я не получил?) да, Егор, я тебе завидую. Почему то вечно узнаю об этих баунтях лишь когда все уже все нашли(
Мне вот однажды надо было внедрить санитайзер, который уже использовался много где в яндексе. тоже дырок много понаходил, но заводил сразу баги в джире. Надо ли говорить, что никакого вознаграждения я не получил?) да, Егор, я тебе завидую. Почему то вечно узнаю об этих баунтях лишь когда все уже все нашли(
Чему завидовать тут, этот пост вершина айсберга. Есть еще куча неоплаченых/неотвеченных/wontfixеных репортов, у каждого из нас.
Баги простые, и в этом прикол всей цепочки. Ну и для меня взломать чей то oauth дело чести.
Баги простые, и в этом прикол всей цепочки. Ну и для меня взломать чей то oauth дело чести.
Ну не знаю. Я взломами не занимаюсь, поэтому для меня такой успех — признак высокого уровня.
Кстати, картинку еще можно вроде размещать по https просто, тогда она не должна проксироваться.
Нет, все картинки проксируются, как раз чтобы рефереры не утекали. У ссылок ставится noreferrer
Интересно, в ридмишках на самом гитхабе не проксируются зато. Так всякие бейджи работают.
Бейджы вайтлистятся я полагаю. Если сможете вставить крос доменную картинку — дайте знать )
Хм, вставлял из jenkins — у дженкинса даже плагин есть специальный для этого.
Ух ты, действительно, теперь включили https проксирование для картинок. Буквально пол года назад его еще не было :) Судя по механизму — используют периодическое обновление изображения с сервера или что-то вроде этого, дальше не разбирался.
Спасибо за статью! Вдохновился и перешел на gitlab :)
Отличная статья и отдельное спасибо за ссылку на блог автора. С интересом почитал и блог. Буду благодарен если кто-то скинет список похожих блогов на эту же тематику.
Не понимаю, за что ставят минусы. В низу статьи стоит ссылка на блог, где расположен оригинал статьи. Там есть масса других интересных статей о уязвимостях, о которых я прежде не слышал. Например, cookie bombing.
Которая как мы знаем просто base64 закодированная и подписанная кука.
Нихилый такой антипаттерн.
По сути — вариант дешево и сердито. Для своей области применимости не так уж и страшно.
С чем несогласен минусующий?
Такой вариант даёт client-side сессии, практически не требующие ресурсов сервера на поддержание их жизненного цикла. Естественно, что ничего связанного с security, правами и т. п. в них хранится не должно. Но, скажем, хранить настройки сортировки или что-нибудь столь же некритичное — не страшно.
Такой вариант даёт client-side сессии, практически не требующие ресурсов сервера на поддержание их жизненного цикла. Естественно, что ничего связанного с security, правами и т. п. в них хранится не должно. Но, скажем, хранить настройки сортировки или что-нибудь столь же некритичное — не страшно.
У Гитхаба просто старая Rails используется (понятное дело, что обновить фреймворк для такого приложения не просто). Сейчас куки приходять в зашифрованном виде от rails 4 (подписаны через ключ): api.rubyonrails.org/classes/ActionDispatch/Session/CookieStore.html
Немного не понял, а как эту куку можно считать? Она же на гитхабовском домене.
Sign up to leave a comment.
Как я взломал Гитхаб еще раз