Content Security Policy, для зла

А я уже думал это я такой глупый, что перечитываю предложения по три раза.

LoveQA. Первая мини-конференция Badoo для тестировщиков

free. Главное чтобы ваша профессия подходила под формат :)

Подборка трюков при анализе защищенности веб приложений

Видимо ваш мускул собран без --enable-local-infile.

После прочтения сжечь

Секьюрно, так до конца — нужен csrf токен в форму сабмита + anti-clickjacking хидер :)

Лаборатории тестирования на проникновение «Test.lab»

простите, а как вы фильтруете инты в запросе если:

profit2013.samag.ru/main/part/(4)and(true)/*
profit2013.samag.ru/main/part/(4)and(false)/*

?)))

Анонимный Дед Мороз 2014. Пост хвастовства новогодними подарками

Это… Просто… Леген… (подожди-подожди)… дарно! Заставка из Fallout вселяет счастье :)

Chaos Communication Congress: Диснейленд для хакера, безопасность SCADA и не только

Лабиринт был действительно классный, говорю как занявший первое место! :D

Единственное — первое задание было TOO EASY с точки зрения инъекции в монге и совсем не сравнимо по времени с другим вариантом прохождения)

Что бывает, если открыто сообщать об уязвимостях государственных сайтов

Вот мне интересно, а если я подставлю в запрос «and 1» и «and 1=2» и проверю разницу ответов, из которой пойму о уязвимости — будет считаться за неправомерный доступ?)

Анонимный Дед Мороз 2014. Пост хвастовства новогодними подарками

гиковская игрушка :)

Анонимный Дед Мороз 2014. Пост хвастовства новогодними подарками

и как оно?)

Анонимный Дед Мороз 2014. Пост хвастовства новогодними подарками

За 2 года ни разу не получил подарков ни с одного АДМ (лепра, хабр, дёрти). Видимо карма такая...)

Всех с прошедшим! :)

Fallout 1, 2 и Tactics бесплатно

Круче «Левой корпорации» 2ую части никто не перевел :)

GitPHP в Badoo

Подскажите ваш аккаунт (в пм) — посмотрим кого вы репортили и почему с ним ничего не сделали.

20 лет техподдержки: как мир менялся вокруг нас

Они в офисе сидят у вас? Всегда на вызовах? А если нет, то чем занимаются пока бездействуют?

Вот почему нельзя прерывать программиста

Хм, по идее же картинки теперь автоматически перезаливаются на хабрасторадж, даже когда в черновиках.

Почему Открытые данные — это культура работы с информацией на примере Росздравнадзора

deleted

Почему Открытые данные — это культура работы с информацией на примере Росздравнадзора

Вообще там верстка божественно прекрасна! :)

PS казалось бы, причем тут турбомилк?



PS2
в 11ом IE девственно пустая страница, видимо надо пользоваться 6ой версией

Chrome и Firefox забанили php.net

Cэр, Вы зануда! :D Если точнее, то из ссылки, опубликованной в твиттере.

Chrome и Firefox забанили php.net

В твиттере у Расмуса все написано

On 2013-10-24 11:50, Rasmus Lerdorf wrote:
The Google Webmaster Tools point to userprefs.js as being the culprit saying there is “code injection”

That file contains this block:

if (searchEnabled && document.getElementsByTagName && document.createElement) {
var elems = document.getElementsByTagName("*");
for (var i = 0; i < elems.length; i++) {
if (elems[i].tagName.toLowerCase() == 'head') {
var scriptElem = document.createElement('script');
scriptElem.setAttribute('type', 'text/javascript');
scriptElem.setAttribute('src', '/functions.js');
elems[i].appendChild(scriptElem);
break;
}
}
}

which is definitely “code injection” but it is deliberate code injection. And the file we are injecting looks very suspicious:

static.php.net/www.php.net/functions.js

Because of some weird minify thing someone used years ago on it. The md5sum of the file on static.php.net <static.php.net> matches the checksum of the version in git and it hasn’t changed since 2009. I have no idea why exactly it suddenly triggered now unless Google expanded their js checks or something.

Either way, we’ll remove this suspicious-looking file and hopefully this will clear up.

-Rasmus

Как я победил в олимпиаде по программированию, не умея программировать

Значит у вас всегда был запас.