Ты прав, можно было бы поступить по-другому, сработать с ситуацией более аккуратно. Это был не самый лучший подход с моральной точки зрения, и я могла бы выбрать более доброжелательное решение, но... Что касается вопроса, должны ли умные люди быть добрыми, думаю, это зависит от контекста. Умные и добрые - это идеальное сочетание, но бывает, что приходится выбирать между целями и средствами. Рада, что техническая часть была интересной :)
Ты прав, принципиальность - это важно, и я понимаю, как может восприниматься такой подход. В этом случае я не пыталась кого-то «кидать», деньги он мне предложил сам и перевел после своей первой проверки, его изначально все устроило, поэтому я решила использовать ситуацию для демонстрации того, как легко люди могут попасть в ловушку из-за незнания. Я не прикрепляю скриншоты не из-за того, что боюсь чего-то, а потому что для меня это вопрос личной этики. Конечно, можно было бы поступить по-другому, но цель была не обмануть, а показать, как легко можно попасть в заблуждение. Спасибо за твои замечания, они заставляют меня задуматься! Рада, что статья оказалась интересной :)
Понимаю твою точку зрения, но цель статьи не в том, чтобы похвастаться обманом, а показать важность различия между реальными угрозами и симуляциями. Я не обманула заказчика на деньги, он сам их мне предложил, после свой первой проверки кода, а продемонстрировала, как легко можно быть введённым в заблуждение, если не подходить к анализу с критикой. Статья - это образовательный трюк, который помогает понять, как важно отличать настоящий эксплойт от фейка и как это знание помогает защищаться от реальных угроз.
Ты правильно уловил суть: он действительно думал, что покупает реальный рабочий эксплойт с RCE. Цель — встроить его в веб-проект (по его словам) и использовать как бэкдор, чтобы при желании получать доступ к клиентским машинам через браузер. Я же отправила ему fake exploit — код, который имитирует всё, что он ожидал: heap leak через DataView, OOB write, подмену объектов, запуск shellcode (с alert("RCE triggered 0_0") как визуальным триггером). По логам и структуре выглядит как настоящий эксплойт. Он проверил, поверил и сам предложил оплату. В кратце его суть заказа можно описать так: “Дай мне RCE, как в статьях, чтобы я мог запускать команды на стороне клиента.”
Ты прав, можно было бы поступить по-другому, сработать с ситуацией более аккуратно. Это был не самый лучший подход с моральной точки зрения, и я могла бы выбрать более доброжелательное решение, но... Что касается вопроса, должны ли умные люди быть добрыми, думаю, это зависит от контекста. Умные и добрые - это идеальное сочетание, но бывает, что приходится выбирать между целями и средствами. Рада, что техническая часть была интересной :)
Ты прав, принципиальность - это важно, и я понимаю, как может восприниматься такой подход. В этом случае я не пыталась кого-то «кидать», деньги он мне предложил сам и перевел после своей первой проверки, его изначально все устроило, поэтому я решила использовать ситуацию для демонстрации того, как легко люди могут попасть в ловушку из-за незнания. Я не прикрепляю скриншоты не из-за того, что боюсь чего-то, а потому что для меня это вопрос личной этики. Конечно, можно было бы поступить по-другому, но цель была не обмануть, а показать, как легко можно попасть в заблуждение. Спасибо за твои замечания, они заставляют меня задуматься! Рада, что статья оказалась интересной :)
Понимаю твою точку зрения, но цель статьи не в том, чтобы похвастаться обманом, а показать важность различия между реальными угрозами и симуляциями. Я не обманула заказчика на деньги, он сам их мне предложил, после свой первой проверки кода, а продемонстрировала, как легко можно быть введённым в заблуждение, если не подходить к анализу с критикой. Статья - это образовательный трюк, который помогает понять, как важно отличать настоящий эксплойт от фейка и как это знание помогает защищаться от реальных угроз.
Ты правильно уловил суть: он действительно думал, что покупает реальный рабочий эксплойт с RCE. Цель — встроить его в веб-проект (по его словам) и использовать как бэкдор, чтобы при желании получать доступ к клиентским машинам через браузер. Я же отправила ему fake exploit — код, который имитирует всё, что он ожидал: heap leak через DataView, OOB write, подмену объектов, запуск shellcode (с alert("RCE triggered 0_0") как визуальным триггером). По логам и структуре выглядит как настоящий эксплойт. Он проверил, поверил и сам предложил оплату. В кратце его суть заказа можно описать так: “Дай мне RCE, как в статьях, чтобы я мог запускать команды на стороне клиента.”