Справедливое замечание. Но в целом не сами чейны интересны, а необычные подходы, ресерчи и методики. Не интересны названия компаний и вот это все, что под NDA, многие получали аппрув на обезличенный отчет от заказчика, о чем и писали в своих репортах.
И кстати, много репортов было с багбаунти, если есть WOW-эффект, почему бы и не наградить)
А у меня в Почте России написано, что посылка передана курьером, а потом вручена. Саппорт ничем помочь не может, вручена же, говорит. А курьер не дошел)
Сначала начал писать замечания по пунктам, а потом понял, что это просто рандомная устаревшая хуета, просто автор особо не разбирается в тематике и все это бессмысленно.
ClosedTofu
Справедливое замечание. Но в целом не сами чейны интересны, а необычные подходы, ресерчи и методики. Не интересны названия компаний и вот это все, что под NDA, многие получали аппрув на обезличенный отчет от заказчика, о чем и писали в своих репортах.
И кстати, много репортов было с багбаунти, если есть WOW-эффект, почему бы и не наградить)
Добрый день!
Когда стоит ожидать замену скриншота?
Соболезную.
А у меня в Почте России написано, что посылка передана курьером, а потом вручена. Саппорт ничем помочь не может, вручена же, говорит. А курьер не дошел)
Как минимум RFI не работает с версии PHP 5.2 (без изменения конфигурации самого интерпретатора PHP), который вышел, на минуточку, в 2006 году.
Исправлению этой уязвимости как класса уже можно покупать пиво и сигареты.
Как вообще упоминание RFI до сих пор бывает в 2024 году - загадка.
Сначала начал писать замечания по пунктам, а потом понял, что это просто рандомная устаревшая хуета, просто автор особо не разбирается в тематике и все это бессмысленно.
Без негатива)
Омар, когда уже будет вторая часть?
Эльдар, когда уже замените скриншот на нормальный?
Опоздали на несколько месяцев. Уже попадало в топ уязвимостей сентября, например
Молодец!
Предполагаю, что это (ныне популярный метод) - купить логи стилеров
Лучший Incident Response за последнее время
Ну, кроме expression в IE, других подобных (и эксплуатируемых) XSS с помощью CSS я не припомню. Может кто-то знает?)
А cure53 имплементировали DOMPurify в браузеры https://wicg.github.io/sanitizer-api/#dom-element-sethtml
Ну кстати, проблемы в ней до сих пор актуальны)
Можете еще чем-нибудь дополнять)
Да видно, что вы не понимаете)
Ок, был не прав, видимо автоматически не попадает.
Поэтому есть HSTS Preload List, в который попадают домены у которых HSTS установлен на год.
>наличие заголовка HSTS не добавит ему безопасности от слова совсем
Без hsts я могу своим wifi (или прочим MITM'ом) отдать тебе свой сайтик, без https, видя твой трафик и подменяя запросы/ответы.
О, знакомая в узких кругах компания)
В чатиках много отзывов и весёлостей оттуда. А еще там платят чеканным биткойном, могут спросить за политику, и еще много-много всего :)