<script> дописывается на страницу через innerHTML. Согласно спеке он не будет исполнятся, однако event-handler в <img> будет. Трудно сказать, в чем причины такого поведения, но не думаю, что это как-то связано с заботой о безопасности.
Если бы он добавлялся на страницу не динамически во время загрузки, а статически, он бы прекрасно исполнился браузером.
А на pixel 7 подтверждение отпечатком работает на Mir Pay? У меня при покупке без подтверждения все тоже работает идеально, но как только терминал требует подтверждение — отпечаток никогда не срабатывает, только пин-код.
Вам не нужно там хранить никакие параметры, в стейте хранится референс на объект на бэкенде, который может, например, содержать информацию о том, с какого адреса изначально произошел редирект на авторизацию.
Вы в вопросах авторизации городите не очень стандартную историю, передавая чувствительный код авторизации через postMessage. Ну ок, надеюсь, вы позаботились о том, чтобы он как минимум не утекал на чужие origin'ы.
Думаю, дело в том, что десктопное приложение написано на электроне. А XSS в электроне волшебным образом превращается в RCE благодаря доступу к nodejs API.
Ситуация с iOS немного сложнее: там эту логику придется реализовывать вручную, встроенного механизма по пиннингу в AppTransport Security еще не завезли.
Судя по количеству статей про хэширование, шифрование и криптоанализ за вчера-сегодня от новых пользователей (раз, два, три, четыре, пять, тысячиих), это очередной преподаватель обещал автомат по курсу «Основы криптографии», если доклад студента пройдет песочницу Хабра.
А в сторону computer-based тренингов не смотрели? hackedu.com, avatao.com, securecodewarrior.com вот это все? Хорошо скейлится, прикладной опыт, минимум организации.
Получает так же, как и любой другой специалист в ИТ — от 20к в каком-нибудь ГБУ или МУП до нескольких сотен тысяч работая in-house в какой-нибудь крупной российской ИТ-компании или забугорной компании любого масшатаба (всякие форекс-торгаши с Кипра, в том числе). Все зависит от амбициозности и прикладных знаний + английского. В текущих реалиях с забугорными даже попроще, многие стали согласны на удаленку.
Сразу после универа, если говорить про Питер, в 2013 можно было рассчитывать на 50-60к, сейчас, наверное, больше.
Интеграторы это те, кто занимаются ИБ на аутсорс, то есть продают время специалиста своим клиентам. Условно, получают миллион за проект по внедрению SIEM или DLP в РосСтройГазИнжиниринг и дают копеечку своему наемному ИБшнику, который этим проектом занимается.
Имел в виду, что в оригинале автор говорит, что MacBook Air на M1 по производительности в multi-core режиме превосходит все другие модели MacBook, а в одноядерном — вообще все Mac.
Есть мнение, что в России так мало людей с CISSP не из-за того, что он супер-сложный, а потому что практической пользы от него чуть больше нуля (как Вы заметили, разве что расширение кругозора и плашечка в подпись для email), а в местных организациях (как государственных, так и частных) никто, в отличие о штатов, обязательным условием для приема на работу его не устанавливает.
На одной из прошлых работ был начальник охраны (не IT Security, а именно охраны) с CISSP, так тоже все в подпись себе гордо его ставил, умиляло прям.
https://play.google.com/store/apps/details?id=com.vk.vkvideo
Ребята утверждают, что сами они никогда не пользовались панелью, то есть красть креды было бы неоткуда.
<script>дописывается на страницу через innerHTML. Согласно спеке он не будет исполнятся, однако event-handler в<img>будет. Трудно сказать, в чем причины такого поведения, но не думаю, что это как-то связано с заботой о безопасности.Если бы он добавлялся на страницу не динамически во время загрузки, а статически, он бы прекрасно исполнился браузером.
А на pixel 7 подтверждение отпечатком работает на Mir Pay? У меня при покупке без подтверждения все тоже работает идеально, но как только терминал требует подтверждение — отпечаток никогда не срабатывает, только пин-код.
Вам не нужно там хранить никакие параметры, в стейте хранится референс на объект на бэкенде, который может, например, содержать информацию о том, с какого адреса изначально произошел редирект на авторизацию.
Вы в вопросах авторизации городите не очень стандартную историю, передавая чувствительный код авторизации через postMessage. Ну ок, надеюсь, вы позаботились о том, чтобы он как минимум не утекал на чужие origin'ы.
OAuth2/OpenID Connect поддерживает параметр state, который, в том числе, можно использовать для хранения состояния сессии - https://auth0.com/docs/secure/attack-protection/state-parameters#redirect-users
Кто-то уже заюзал refresh_token со скриншота?
Разве?
Не очень понятно, к чему все эти фишинг киты, если есть evilginx.
CEH вряд ли ценность повышает, а OWASP это вообще не сертификация.
Сразу после универа, если говорить про Питер, в 2013 можно было рассчитывать на 50-60к, сейчас, наверное, больше.
Интеграторы это те, кто занимаются ИБ на аутсорс, то есть продают время специалиста своим клиентам. Условно, получают миллион за проект по внедрению SIEM или DLP в РосСтройГазИнжиниринг и дают копеечку своему наемному ИБшнику, который этим проектом занимается.
s/Mac/MacBook/
На одной из прошлых работ был начальник охраны (не IT Security, а именно охраны) с CISSP, так тоже все в подпись себе гордо его ставил, умиляло прям.