Комментарии 52
Радует компетентная техподдержка. Не наказали, а поблагодарили и закрыли быстро дыру.
>> Содержание
Прямо как курсовая работа.
Прямо как курсовая работа.
Отличная работа и хорошее описание. Интересно было читать, спасибо.
Почитал с удовольствием :) т.к. сам постоянный пользователь данного ресурса))
Я бы еще проверил серверную валидацию, отсылая в vote не 1/-1 а побольше.
Но, судя по всему, уже поздно?
Но, судя по всему, уже поздно?
регистрацию закрыли, а армия-то осталась?!
НЛО прилетело и опубликовало эту надпись здесь
На работе интернет через proxy, а знаю, как curl'ом отправлять запросы через proxy, поэтому и использовал. Зарегистрировано было больше 1000 учетных записей, каждая была активирована и обработана.
НЛО прилетело и опубликовало эту надпись здесь
Не нравится — не читайте. Зачем себя мучить? :)
Не знаю что вынес для себя автор поста, но лично для меня это очередное доказательство тому, что жить надо с интересом, пускай и совершая некие не вполне полезные дела. Хотя бонусы от администрации автору, пропаганда добра и использования прекрасного (для меня) phpDesigner… это ли не смысл? :)
Не знаю что вынес для себя автор поста, но лично для меня это очередное доказательство тому, что жить надо с интересом, пускай и совершая некие не вполне полезные дела. Хотя бонусы от администрации автору, пропаганда добра и использования прекрасного (для меня) phpDesigner… это ли не смысл? :)
Если читать внимательно то можно найти следующие слова:
>>> я решил стать Суперменом, стать Бэтменом и Робином в одном лице, Джеимсом Бондом с лицензией на изменение рейтинга комментариев, борцом за справедливость, ужасом, летящим на крыльях ночи, неся возмездие во имя Луны.
>>> я решил стать Суперменом, стать Бэтменом и Робином в одном лице, Джеимсом Бондом с лицензией на изменение рейтинга комментариев, борцом за справедливость, ужасом, летящим на крыльях ночи, неся возмездие во имя Луны.
>не знать о существовании функции http_build_query
О боже! Не знать о том что curl спокойно понимает массив без всяких манипуляций? Как же вы так! (сарказм)
О боже! Не знать о том что curl спокойно понимает массив без всяких манипуляций? Как же вы так! (сарказм)
thx, отличная статья)
В последние время обожаю такие статьи :) Да и promodj для меня хорошо известный сайт. Спасибо :)
>>подарят premium-аккуант и брендирование
Брендирование доступно всем премиум аккаунтам.
Брендирование доступно всем премиум аккаунтам.
Небось все пошли проверять свои капча-генераторы :)
после чего неадекватные пользователи, не читая текста обсуждения, подхватывали эстафету и продолжали ставить минусы и безобидный комментарий уходил за -100
вам это ничего не напоминает? :)
определить алгоритм получения из хеша ответ: довольно труднореализуемо,… ведь может быть использован какой-то алгоритм хеширования
да, есть такая вероятность :)
Меня одного удивило, что на картинках с комментариями стоит одна и та же дата, время на первых двух одно и то же 16:33, а на картинке «после манипуляций скрипта» время 14:33 (т.е. меньшее). Это я что-то не понимаю, или это подделка картинок и заговор?:)
интродукция???
П.С. да-да, жмите «Плохой комментарий», мне пофиг.
П.С. да-да, жмите «Плохой комментарий», мне пофиг.
извините, но каждый второй софт на любом мелком хак- ресурсе работает именно так. (авторег+автоклик). пара гет-пост запросов. распознавалка капчи через сервис типа антигейт. ничего интересного, чесслово… вот если бы вы разобрали именно со стороны какой-либо уязвимости скрипта — тогда было б интересней
эЭй, разве я не прав? С каких пор брутфорс является крупной уязвимостью?!
А с каких пор это брутфорс?
да с тех, что действия однотипно повторяющиеся. Тупо авторег аккаунта + POST запрос на получение плюсика. это, извините, не раскрытие уязвимости. на любом сервисе без инвайтной системы такое провернуть можно. Тот же например форум. Регистрируем аккаунт, использовав сервис антикапчи для прохода защиты от ботов. и посылаем сгенерированный запрос на +1 к своему топику/комментарию. Это не уязвимость. нет :) Уязвимость — это как минимум тот же плюсик, но без аккаунтов и с помощью специально сформированного запроса. вот это уязвимость.
использовав сервис антикапчи
Слишком толсто, поэтому и использовалась уязвимость в проверке капчи.
Ололо.
Вот если бы автор перебирал хеши и пытался угадать капчу — это был бы брутфорс. Очень смешной, но брутфорс :)
Вот если бы автор перебирал хеши и пытался угадать капчу — это был бы брутфорс. Очень смешной, но брутфорс :)
Карма и рейтингдрочерство плохо в любом случае.
Инструмент «минусования» комментариев нужен только глупым леммингам, которые не в состоянии членораздельно прокомментировать реплику.
И да, уязвимость то закрыли, но антикапча осталась. Порекомендуйте им регистрацию по инвайтам, чтоб промоДЖ стал действительно илитным сборищем музыкантов и сочувствующих им.
Инструмент «минусования» комментариев нужен только глупым леммингам, которые не в состоянии членораздельно прокомментировать реплику.
И да, уязвимость то закрыли, но антикапча осталась. Порекомендуйте им регистрацию по инвайтам, чтоб промоДЖ стал действительно илитным сборищем музыкантов и сочувствующих им.
Неожиданный конец. Администрация, в лице этого самого Энди Стока, отличается особой жестокостью ко всяким «шуткам», они особо любят вытеснять неугодных из сего джейдайского сообщества.
Учштцтс!
Учштцтс!
Трудно быть Богом. А еще, благими намерениями… Но все же вот бы на Хабр таких Робин Гудов штук тыщу…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Использование уязвимости PromoDJ во имя справедливости