Pull to refresh

Comments 24

Молодцы!
А в чём суть последнего хака?
он показывает, что Google Forms активно используются и из них можно вытащить много интересного (персданные, блаблабла)
Перс-данные. Кроме шуток, но много какие формы их собирают, а через эту багу их можно(было) угнать… Последний скриншот как раз об этом… 8)
Оригинальный баг :) Поздравляю с Залом Славы!
Как же все-таки дыра в итоге была закрыта?
backspace — %08 перестал работать 8)
Каким образом в абстрактную ячейку А1 помещаются какие-то секретные данные? Поиск этих ячеек с конфиденциальной информацией вручную происходит?
Перебором — от а1 до z10 можно собрать всю таблицу, в принципе. Да, может не самый эффективный способ.
Данные в таблицу вносятся из формы, которую заполняют люди. В том числе и конфиденциальные.
Искать можно и не вручную — никто не запрещает запихнуть в url множество ячеек.
как то так a href="%20http://twitter.com/_chipik" rel=«nofollow»
А тут же рядом — нормальные.
Молодцы! А вот гугл расстроил! Совсем ребята жадными стали! За такие премии ни кто им в скором времени дыры нести не будет!
У них вроде есть еще премия в 31337 USD. За самые-самые.
не, норм ) мне такую же манибукерсы дали (1к евро)
А за что, если не секрет?
Тоже пользую MB/Skrill.
За дырки в Chromium двоим дали по $60 тыс.
В статье опущен интересный момент:
Каким образом гугл выплачивает вознаграждение? Как быстро? Облагается ли налогом?
Об этом мы говорили на одной из встреч Russian Defcon Group. Собственно, презенташку по этому поводу можно посмотреть тут: defcon-russia.ru/sixth/ZDI_google2.ppt
Раз уж разговор пошел про Google Docs — поделюсь интересным решением проверки сайта на работоспособность при помощи Google Spreadsheet.
UFO just landed and posted this here
очень любопытный хак! чуваки вы крутые )
*уже который месяц пытаюсь обойти песочницу googleusercontent.com, google sites и csrf который у них очень странный. а вот на такие хитрости не догадался
Only those users with full accounts are able to leave comments. Log in, please.