Ни истории разработки, ни туториала. Для размещения готового кода с инструкцией "python app.py” есть GitHub.
Хаб “Карьера в it”? Тег “hr”? Сложность «средняя» это потому что надо самому зависимости поставить что ли. Сложность «высокая» будет если скрипт потребует аргумент для запуска.
Блин вот правда, мне иногда кажется что часть статей это прикол, в который я не посвящен.
То есть достаточно ранее воспользоваться сканером отпечатка в любом месте!!
Пробовал открывать заблокированные заметки, заблокированные приложения, и туда и туда входил по Face ID, после этого приложение тинькофф все так же запрашивает Face ID. Почему-то у меня не получилось воспроизвести такое поведение, чтобы при любой разблокировке с тинькофф тоже снимался блок. Вы уверены что блокировка с тинькофф снималась именно из-за разблокировки чего-то другого? Может просто таймер в 5 минут с разблокировки телефона не вышел?
На самом деле вполне себе удобная опция: разблокировал телефон и можно спокойно зайти в приложение без дополнительной аутентификации. Насколько это безопасная / полезная фича каждый решает сам для себя. Лично я пользуюсь, и о том, что ее можно трактовать как-то по-другому, задумался только после этого поста.
Ну а кейсы "дал родственнику телефон, а он может посмотреть баланс", как будто высосаны из пальца. Ваш баланс можно узнать так же:
1. В истории СМС от банка 2. В личном кабинете в браузере, если авторизованы 3. Отправив СМС на 2273 с текстом "Баланс XXXX", где XXXX - последние цифры карты
Почитали господа из VDSina данный пост и решили поднять тариф до 16 рублей в день, на ту машину, которая изначально стоила 7 (6.6) рублей в день.
Причем сейчас можно создать новую машину, которая будет по характеристикам такая же, как и старая за 7 рублей, но при этом в новой будет 2 Гб памяти вместо 1 Гб на старой, и тариф будет 15 рублей, а не 16.
На самом деле почему нет, всё зависит от ситуации.
Представим self-xss которая находится где нибудь в био профиля пользователя, при этом другие пользователи не могут открыть любой другой профиль, кроме своего. Связав такую self-xss и csrf login/logout, можем получить следующий вектор:
Атакующий делает self-xss в профиле -> жертва переходит на сайт с эксплоитом -> csrf logout -> csrf login в аккаунт атакующего -> перенаправляем жертву по URL с профилем -> т.к. жертва в аккаунте атакующего, срабатывает XSS. Дальше можно допустим слать запросы на другой домен данной компании, на какой нибудь путь с sensetive информацией, и т.к. домен доверенный и если он добавлен в CORS, прилетят интересующие нас данные, а дальше уже шлем их атакующему. Ну на крайний случай да хоть фейк логин форму сделать.
Ладно, для интересующихся. Сайт из шапки предлагает отправлять им BTC и ETH.
Адреса кошельков 1JxDgpW3wtEkwyCrTJwWJnxamAGaNNoZ4R и 0xFfC7eE98018A5e0377f845697e929E7781fb7b58 соответственно.
На BTC кошелек всего переведено 0.00125696 BTC ($77.86 на текущий курс) двумя транзакциями. ETH пустой
Не густо, однако можно предположить что кошельки менялись, но на BTC кошельке две транзакции с разницей в час, так что возможно он статичен (да и зачем менять, люди, верящие в такое, вряд ли умеют в обозреватели блокчейнов). Да и суммы переводов не круглые, так что вот так.
«Как я делал», «туториал»
Ни истории разработки, ни туториала. Для размещения готового кода с инструкцией "python app.py” есть GitHub.
Хаб “Карьера в it”? Тег “hr”? Сложность «средняя» это потому что надо самому зависимости поставить что ли. Сложность «высокая» будет если скрипт потребует аргумент для запуска.
Блин вот правда, мне иногда кажется что часть статей это прикол, в который я не посвящен.
Кстати говоря, протестировал
Пробовал открывать заблокированные заметки, заблокированные приложения, и туда и туда входил по Face ID, после этого приложение тинькофф все так же запрашивает Face ID. Почему-то у меня не получилось воспроизвести такое поведение, чтобы при любой разблокировке с тинькофф тоже снимался блок. Вы уверены что блокировка с тинькофф снималась именно из-за разблокировки чего-то другого? Может просто таймер в 5 минут с разблокировки телефона не вышел?
На самом деле вполне себе удобная опция: разблокировал телефон и можно спокойно зайти в приложение без дополнительной аутентификации. Насколько это безопасная / полезная фича каждый решает сам для себя. Лично я пользуюсь, и о том, что ее можно трактовать как-то по-другому, задумался только после этого поста.
Ну а кейсы "дал родственнику телефон, а он может посмотреть баланс", как будто высосаны из пальца. Ваш баланс можно узнать так же:
1. В истории СМС от банка
2. В личном кабинете в браузере, если авторизованы
3. Отправив СМС на 2273 с текстом "Баланс XXXX", где XXXX - последние цифры карты
Отключаем функцию и засыпаем спокойно
Почитали господа из VDSina данный пост и решили поднять тариф до 16 рублей в день, на ту машину, которая изначально стоила 7 (6.6) рублей в день.
Причем сейчас можно создать новую машину, которая будет по характеристикам такая же, как и старая за 7 рублей, но при этом в новой будет 2 Гб памяти вместо 1 Гб на старой, и тариф будет 15 рублей, а не 16.
Короче, всё для вас, дорогие старые пользователи.
На самом деле почему нет, всё зависит от ситуации.
Представим self-xss которая находится где нибудь в био профиля пользователя, при этом другие пользователи не могут открыть любой другой профиль, кроме своего. Связав такую self-xss и csrf login/logout, можем получить следующий вектор:
Атакующий делает self-xss в профиле -> жертва переходит на сайт с эксплоитом -> csrf logout -> csrf login в аккаунт атакующего -> перенаправляем жертву по URL с профилем -> т.к. жертва в аккаунте атакующего, срабатывает XSS. Дальше можно допустим слать запросы на другой домен данной компании, на какой нибудь путь с sensetive информацией, и т.к. домен доверенный и если он добавлен в CORS, прилетят интересующие нас данные, а дальше уже шлем их атакующему. Ну на крайний случай да хоть фейк логин форму сделать.
В целом, это считается self-xss
Ладно, для интересующихся. Сайт из шапки предлагает отправлять им BTC и ETH.
Адреса кошельков
1JxDgpW3wtEkwyCrTJwWJnxamAGaNNoZ4Rи0xFfC7eE98018A5e0377f845697e929E7781fb7b58соответственно.На BTC кошелек всего переведено 0.00125696 BTC ($77.86 на текущий курс) двумя транзакциями.
ETH пустой
Не густо, однако можно предположить что кошельки менялись, но на BTC кошельке две транзакции с разницей в час, так что возможно он статичен (да и зачем менять, люди, верящие в такое, вряд ли умеют в обозреватели блокчейнов). Да и суммы переводов не круглые, так что вот так.
upd: ещё $100 упало на BTC
Теперь все отлично