Comments 76
Решето…
>>вот вам приятный бонус в виде $10 за найденные уязвимости
Даааа, вот это я понимаю бонус, гугл курит в сторонке.
Даааа, вот это я понимаю бонус, гугл курит в сторонке.
Некоторые крупные компании даже спасибо за такое не говорят или чего ещё хуже — вообще не фиксят баги… А бонус этот — просто небольшая благодарность за то, что я не стал их юзать, а сообщил им.
Интересно, сколько бы они потеряли, если бы какие-нибудь злоумышленники использовали эти уязвимости в корыстных целях.
С одной стороны, согласен, EbayToday мог бы быть щедрее. Но, с другой стороны, если автор им пользуется, то в некотором роде старался для себя.
Мне вот интересно, это мне только кажется, что ссылка реферальная?
Так и есть.
Да. И я считаю, что в этом ничего плохого нет. Кому надо, тот не будет регистрироваться, кто захочет — это для него ничего не изменит, а мне небольшой плюс будет за старания (глядишь и ipad 3 закажу когда-нибудь :) ).
К вам никаких претензий, просто думал, что у меня мания преследования. Бывает :)
Просто обычно так делают при черном пиаре, хотя конечно, в данном случае даже подозрение неуместно.
Ничего страшного нет, но писать, что ссылка реферальная — просто хороший тон. Ненавязчиво так, в скобках.
Это если ссылка, как ссылка. Было бы нормально.
В топике же ссылка скрытая через
В топике же ссылка скрытая через
<img/>, которая заодно создает паразитную нагрузку. Так там же есть и обычная реферальная ссылка
Совсем наглеть я не стал и решил ничего не смотреть (еле сдержал любопытство).
Совсем не верится. Особенно глядя на это:
Автор, вы считаете здесь всех идиотами? Странно что еще с 20-ток реф. ссылок в виде картинки не попытались вставить. Скрыли бы свое свинство через style='width:1px;height:1px' )
Хотел вставить сам код, а вставилась картинка еще раз.
<img src=«goo.gl/zWcMu»>
<img src=«goo.gl/zWcMu»>
На многих сервисах-сокращалках добавление в конце адреса знака + вместо редиректа отображает информацию об этой ссылке, в том числе адрес назначения: goo.gl/pRGHT+
Извините, если кого-то это задело…
Я убрал все рефссылки из данного топика. Отношение других людей ко мне дороже, чем какой-то там реферал.
Я убрал все рефссылки из данного топика. Отношение других людей ко мне дороже, чем какой-то там реферал.
UFO just landed and posted this here
Простите, зачем было вставлять вот это:
UFO just landed and posted this here
Дык поэтому и спрашиваю, радует статистика goo.gl/zWcMu+
надеюсь автор накопит на скидку к iPad3
надеюсь автор накопит на скидку к iPad3
Извините, если кого-то это задело…
Я убрал все рефссылки из данного топика. Отношение других людей ко мне дороже, чем какой-то там реферал.
Я убрал все рефссылки из данного топика. Отношение других людей ко мне дороже, чем какой-то там реферал.
Да, скуповаты конечно товарищи с eBayToday. У меня была похожая ситуация, тоже на одном достаточно крупном сервисе, правда китайском. Отослал им кучу скриншотов информации, которую я ни как не должен был видеть, при чем баги были достаточно серьезными (можно было прочитать переписку со службой поддержки, просмотреть заказы, адреса доставки, изменить их). Китайцы благодарили, но баги оставались на месте. В конце концов я провел доскональный анализ и выслал им подробнейший багрепорт, как закрыть данный баг.
В знак благодарности получил купон на 80 баксов, что в объем-то не плохо, хотя надеялся на большее. Правда после прочтения топика понимаю, что не так у плохо меня вознаградили. :)
В данном случае лично меня деньги совершенно не интересуют, багрепорты шлю из чуства солидарности, в надежде, что когда-то такой репорт придет и моему ресурсу вместо слитой базы. Ни кто не застрахован от такого.
Правда когда после бесчисленных багрепортов все продолжает оставаться на своих местах, возникает желание сделать какую-то пакость, дабы впредь были более внимательными. Хотя, наверное, в данной ситуации лучше попытаться достучаться до руководства ресурса с просьбой образумить своих балбесов. Ну или поднять им з/п что ли. :) Разные причины беспечности бывают, часто бывает по принципу как платят, так и работаем.
В знак благодарности получил купон на 80 баксов, что в объем-то не плохо, хотя надеялся на большее. Правда после прочтения топика понимаю, что не так у плохо меня вознаградили. :)
В данном случае лично меня деньги совершенно не интересуют, багрепорты шлю из чуства солидарности, в надежде, что когда-то такой репорт придет и моему ресурсу вместо слитой базы. Ни кто не застрахован от такого.
Правда когда после бесчисленных багрепортов все продолжает оставаться на своих местах, возникает желание сделать какую-то пакость, дабы впредь были более внимательными. Хотя, наверное, в данной ситуации лучше попытаться достучаться до руководства ресурса с просьбой образумить своих балбесов. Ну или поднять им з/п что ли. :) Разные причины беспечности бывают, часто бывает по принципу как платят, так и работаем.
Забавно
ebaytoday.ru/phpinfo.php
ebaytoday.ru/phpinfo.php
А вот это не смешно:
ebaytoday.ru/.htaccess
ebaytoday.ru/.htaccess
Продолжаем дальше: static.ebaytoday.ru/ebay/uploads/
Ну и неграмотные (тут было другое слово) их админы. В дефолтном же конфиге апача стоит Deny для файлов, начинающихся с .ht, нет, они это отключили.
Да и программисты не лучше, написали 20 реврайтов в htaccess, вот не лень-то было. И потом такие PHP-разработчики идут на Хабр ругать Яву, паттерны проектирования, ООП, MVC и прочие достойные вещи.
Да и программисты не лучше, написали 20 реврайтов в htaccess, вот не лень-то было. И потом такие PHP-разработчики идут на Хабр ругать Яву, паттерны проектирования, ООП, MVC и прочие достойные вещи.
Чем больше полей ввода, тем больше возможности ошибится, и наплодить XSS. ©Кэп
Точнее лень проводить проверки ))) банально лень разрабов
Правильно спроектированная ORM на порядок упростит такие проверки. Где от разраба требуется только выставить флаги для полей, что и как валидировать. Ну и не работать напрямую с пост и гет параметрами а использовать класс обертку, внутри которого все проходит через стриппалку xss.
Опять же: столько тело движений)))
Эмм… это надо сделать «ровно один раз», а если использовать готовый фреймворк например yii, cимфони, рельсы или джангу — то все это идет из коробки.
Это все равно что:
-Ловить руками рыбу трудно и долго, а еще можно руки о чешую порезать
-Возьми бамбуковую палку, длинную тонкую леску, сооруди поплавок, накопай червей и лови рыбу
-Опять же: столько телодвижений)))
Это все равно что:
-Ловить руками рыбу трудно и долго, а еще можно руки о чешую порезать
-Возьми бамбуковую палку, длинную тонкую леску, сооруди поплавок, накопай червей и лови рыбу
-Опять же: столько телодвижений)))
Я догадываюсь, почему они заплатили лишь 10$ — они даже не поняли чем им всё это грозит
Да уж лучше просто выразить благодарность, чем позориться такой суммой…
Хотя если предположить что такого рода суммы они платят своим разрабам все становится на свои места, и дырки и косолапость и разгневанные клиенты
П.С. странно только как они уложились в сутки с такими «руками»
Хотя если предположить что такого рода суммы они платят своим разрабам все становится на свои места, и дырки и косолапость и разгневанные клиенты
П.С. странно только как они уложились в сутки с такими «руками»
Менеджер и разработчик.
— Ну как? Ты пофиксил эту уязвимость?
— Да там делов-то на 10 минут. Ерунда.
— Ну как? Ты пофиксил эту уязвимость?
— Да там делов-то на 10 минут. Ерунда.
а я пользуюсь мало известным, но проскочившим где-то в комментах на хабре сервисом ebay-express.ru</a (не рефссылка), похоже что фирма небольшая, сайт простеньких, зато цены радуют, а после 3 доставки цены снижаются еще ниже :)
ссылка не там закрылась :(
ваша реклама тут совсем не к месту. пост не об этом.
пост о крупной компании, которая делает деньги…
1. во-первых, если пост о крупной компании, зачем вы дали ссылку на сайт своей компании? она ни разу не крупная :D и денег не делает. и не будет делать. так что это дешёвый пиар. видимо у вас даже нет бюджета на маркетинг, раз вы рекламируете себя в комментариях к статьям о проблемах конкурентов.
2. во-первых, здесь не обсуждается какой посредник лучше, и нужны ли эти посредники вообще. так что ваша реклама, я повторюсь, совсем не к месту.
3. если хотите, можете зайти на этот ваш сайт, найти там ошибки и уязвимости (вы не поверите, сколько их там) и написать об этом здесь. Хотя вы вряд ли в этом что-то понимаете, иначе не писали бы всякую чушь тут в комментариях.
4. для рекламы своих компаний существует раздел «я пиарюсь»
2. во-первых, здесь не обсуждается какой посредник лучше, и нужны ли эти посредники вообще. так что ваша реклама, я повторюсь, совсем не к месту.
3. если хотите, можете зайти на этот ваш сайт, найти там ошибки и уязвимости (вы не поверите, сколько их там) и написать об этом здесь. Хотя вы вряд ли в этом что-то понимаете, иначе не писали бы всякую чушь тут в комментариях.
4. для рекламы своих компаний существует раздел «я пиарюсь»
Воронеж такой Воронеж
Почему Воронеж?
Офис их, находится у нас) Причём не плохой такой офис, я бы даже сказал не обычный.
Я только о складах в Штатах слышал :( Вот бы узнать какой у них офис! Я люблю эту тему, интереснее всего смотреть какие они у гугла :)
Офис… Мммм. Как бы это сказать. Он находится в котедже. Нифиговом таком котедже. Вроде 2 этажа у них. Очень сильная система охраны, камеры кругом, пропусковая система. Не знающий человек, даже и не поймёт, что в этом здании находится офис ебей-тодэй. На удивление в штате у них очень много людей. Более сказать не могу.
У них и сама компания в штатах зарегистрирована, сам недавно заметил :) А там типа филиал что ли.
Вокруг люди с автоматами, вышки стоят со снайперами )
Вход в офис только по сканеру сетчатки глаза. В линзах не удобно ходить.
Все в масках работают, что бы не видели никого. Сотрудники от семьи скрывают где работают.
Все в масках работают, что бы не видели никого. Сотрудники от семьи скрывают где работают.
Помнится про дыру в тикетах я им писал уже. Они даже вроде как исправляли. И даже сумма не поменялась — тоже 10 долларов дали :)
А я вот написал Мавроди о пассивной XSS на его сайте, он даже не ответил.
И не исправил наверное (
Не то что там что-то заплатить ))
И не исправил наверное (
Не то что там что-то заплатить ))
Sign up to leave a comment.
Полностью никто никогда не защищён. Уязвимости на eBayToday