Комментарии 18
получил вознаграждение
мне одному интересно какое?)
Кроме всего прочего — удовлетворение от своей работы и на удивление быстрой реакции со стороны разработчиков движка.
А то в последнее время слишком много статей о том, как месяцами игнорируют репорты о реальных уязвимостях.
А то в последнее время слишком много статей о том, как месяцами игнорируют репорты о реальных уязвимостях.
10 000 рублей.
Вообще я не ожидал какого-либо вознаграждения за это всё, официальной bug bounty программы, насколько я понимаю, у этой компании нет. Так что это оказалось приятным бонусом.
Вообще я не ожидал какого-либо вознаграждения за это всё, официальной bug bounty программы, насколько я понимаю, у этой компании нет. Так что это оказалось приятным бонусом.
Комментариев почти нет, видимо люди пошли проверять)
Вообще странно, что спустя такой короткий промежуток времени было дано добро на публикацию. Вряд ли все сколько угодно тысяч сайтов успели обновиться.
Вообще странно, что спустя такой короткий промежуток времени было дано добро на публикацию. Вряд ли все сколько угодно тысяч сайтов успели обновиться.
Автор все правильно сделал, молодец, просто интересно, может кто знает, сколько бы стоила такая уязвимость в даркнете? )
8 августа, 22:30 – купил футболкуФутболку — то на память забрал? Или отменил заказ?)
Функция save($data, $validate) — осторожно, много кода!
Security through obscurity :)
мне кажется что это не security а это обычный пхп-быдлокодинг
Можно подумать, что на java или c++ быдлокода нет! Не от языка это зависит, а от рук
тем не менее править уязвимость вот так — github.com/webasyst/webasyst-framework/commit/c6b96ab96720361f6144df7bf26b943a808e3e98#diff-9c82398fff497625f33c25f8a9445de3R774 — точно не признак хорошего кода
Благородно, а можно было скупить весь интернет.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как взломать более 17 000 сайтов за одну ночь