посему употребления с моей стороны будут исключительно "этот CWE", "другой CWE", "идентичный CWE" и т.п.
Аргументация так сказать, больше в минус, чем в плюс.
статья не предполагает "технический" разбор
Как раз-таки наоборот. Завуалировать можно как угодно. Достаточно написать - "я никогда не находил рце в Максе и вряд ли найду". Этого будет достаточно для понимания критичности, а с юридической стороны вам не стоит опасаться.
Из вашего комментария ещё выше:
Здесь, касательно угрозы - я дал вам возможные сценарии. И не согласен с вашем мнением исходя из значимости MAX и в принципе отсутствия данных фич в других мессенджерах
Из этого косвенно можно предположить, что логаут не убивает куки, позволяя проделать нечто на ГУ, к примеру. Но тогда не срабатывает ваше:
во избежание раскрытия деталей (даже косвенных).
Возможно я заблуждаюсь в своём умозаключении, но вы опубликовали пост в открытом пространстве и вероятно ждали поддержки. А как человек, отправлявший репорты в баг баунти ВК, интересуюсь темой взаимодействия багхантеров и вендоров.
Как выше уже отметили - не хватает технических данных абсолютно. Опишите хоть импакт. В особенности интересно про критического уровня багу. SQL-inj/RCE/IDOR/ ещё что серверное, намекните хоть.
Встретил как-то знакомую, разговорились, не виделись давно, рассказывает всякое. А я вот стою и думаю, как бы приплести сюда MAX. И не в здании мы, соответственно лифт не рядом, да и парковка не видна. Что же делать-то? Ииии БИНГО! Вспоминаю, муж-то у неё лифтёр вроде. Меня как прорвало.
Это видимо уже выработанная реакция на подобный текст, что в первой строке комментария :) Если пост о том, как что-то обойти и т.п, а в комменте нечто такое, противоречивое идёт вроде, дочитывать его не надо - сразу минус и подготовленный текстовый шаблон вывалить.
За Макс заплатили наверное потому, что он из устройств второго приоритета, соответственно и выплаты понижены. :)
На ББ Яндекса есть пункт в исключениях на оплату вознаграждений, может он и повлиял на ничего от Яндекс?:
любые атаки на железо, которые требуют изменения конфигурации платы, удаление чипов с печатной платы, ее перепрограммирования или использования дорогостоящих специфичных устройств и атак. Нам интересны атаки, которые позволяют через подключение к JTAG, USB и другим физическим интерфейсам устройства получить высокопривелигированный доступ;
Интересно DeepSeek реагирует на 04.06.1989, сбрасывает некоторые запросы моментально, а на некоторые ещё пытается ответить и следом сброс. Попытался немного, вот что вышло:
Скрытый текст
Успел заскринить, а надо было видео с экрана, т.к он стирает то, что выдал ранее. Раскрутить всё же его можно :)
так этим вы и подтверждаете легитимность РКН - не пущать заразу, вот и пригодились ТСПУ.
Если точно, их tri
Аргументация так сказать, больше в минус, чем в плюс.
Как раз-таки наоборот. Завуалировать можно как угодно. Достаточно написать - "я никогда не находил рце в Максе и вряд ли найду". Этого будет достаточно для понимания критичности, а с юридической стороны вам не стоит опасаться.
Из вашего комментария ещё выше:
Из этого косвенно можно предположить, что логаут не убивает куки, позволяя проделать нечто на ГУ, к примеру. Но тогда не срабатывает ваше:
Возможно я заблуждаюсь в своём умозаключении, но вы опубликовали пост в открытом пространстве и вероятно ждали поддержки. А как человек, отправлявший репорты в баг баунти ВК, интересуюсь темой взаимодействия багхантеров и вендоров.
Как выше уже отметили - не хватает технических данных абсолютно. Опишите хоть импакт. В особенности интересно про критического уровня багу. SQL-inj/RCE/IDOR/ ещё что серверное, намекните хоть.
Поспешили :)
Спасибо, было интересно почитать. Удачи вам в следующих соревнованиях!
Встретил как-то знакомую, разговорились, не виделись давно, рассказывает всякое. А я вот стою и думаю, как бы приплести сюда MAX. И не в здании мы, соответственно лифт не рядом, да и парковка не видна. Что же делать-то? Ииии БИНГО! Вспоминаю, муж-то у неё лифтёр вроде. Меня как прорвало.
Возможно они вычитывают, но видят мир всё же как ИИ.
Вы же адресуете свой вопрос автору поста, который совершенно точно имеет отношение к МАХ?
А если Pejjo, то и для сабжа место найдётся :)
Особенно нельзя, если это дверь директора Лиги безопасного интернета.
Это видимо уже выработанная реакция на подобный текст, что в первой строке комментария :) Если пост о том, как что-то обойти и т.п, а в комменте нечто такое, противоречивое идёт вроде, дочитывать его не надо - сразу минус и подготовленный текстовый шаблон вывалить.
100 плюсов вам в карму :)
Спасибо! Изучаю Python, как раз интересно посмотреть код. На Linux всё работает отлично.
Удачи Вам в дальнейших исследованиях, будет интересно почитать :)
Как участник ББ-программ скажу, что вознаграждение всё же мотивирует достаточно, а также показывает отношение компании к исследователям.
За Макс заплатили наверное потому, что он из устройств второго приоритета, соответственно и выплаты понижены. :)
На ББ Яндекса есть пункт в исключениях на оплату вознаграждений, может он и повлиял на ничего от Яндекс?:
Спасибо за очередную статью!
Интересно DeepSeek реагирует на 04.06.1989, сбрасывает некоторые запросы моментально, а на некоторые ещё пытается ответить и следом сброс. Попытался немного, вот что вышло:
Скрытый текст
Успел заскринить, а надо было видео с экрана, т.к он стирает то, что выдал ранее. Раскрутить всё же его можно :)
Перекладывают ответственность, что-то отдалённо напоминающее https://ru.wikipedia.org/wiki/Эксперимент_Милгрэма
Ещё 5 февраля пришла смс-ка от Билайна, что 26.02 изменится плата за тариф, совпадение, наверное :)
В данном случае "чёрный пиар - тоже пиар" явно не сработал им на пользу, зато сработал для площадок BugBounty.
.
Что-то из области фантастики. Техподдержка выдала пароль от почты? В плейнтексте наверное хранятся там у них?