Комментарии 8
Кидать тоже не хорошо, даже через "я этим больше не занимаюсь". Часть профессионализма это принципиальность. Как так - в вашей этике укладывается "не прикреплять скриншоты", но обманывать, пусть и чрезмерно настойчивых персонажей - норма? либо пора что то менять, либо не надо прикрываться этикой, и стоит прямо написать, что скриншотов не будет для собственной безопасности
а за содержание - благодарю, интересно
Ты прав, принципиальность - это важно, и я понимаю, как может восприниматься такой подход. В этом случае я не пыталась кого-то «кидать», деньги он мне предложил сам и перевел после своей первой проверки, его изначально все устроило, поэтому я решила использовать ситуацию для демонстрации того, как легко люди могут попасть в ловушку из-за незнания. Я не прикрепляю скриншоты не из-за того, что боюсь чего-то, а потому что для меня это вопрос личной этики. Конечно, можно было бы поступить по-другому, но цель была не обмануть, а показать, как легко можно попасть в заблуждение. Спасибо за твои замечания, они заставляют меня задуматься! Рада, что статья оказалась интересной :)
То есть автор гордится тем что обманул глупенького заказчика на деньги и решил ещё и статью про это написать какой он хитрый и умный, прикрывшись тем что 'так уж и быть, сделаю заказ, а потом отмажусь, ведь я и не хотел делать'. Такие вещи обычно делаются через платформы и промежуточную валидацию, не понимаю что тут полезного, с таким же успехом можно писать как службы безопастности разводят людей переводами на счета фсб
Понимаю твою точку зрения, но цель статьи не в том, чтобы похвастаться обманом, а показать важность различия между реальными угрозами и симуляциями. Я не обманула заказчика на деньги, он сам их мне предложил, после свой первой проверки кода, а продемонстрировала, как легко можно быть введённым в заблуждение, если не подходить к анализу с критикой. Статья - это образовательный трюк, который помогает понять, как важно отличать настоящий эксплойт от фейка и как это знание помогает защищаться от реальных угроз.
Так и не понял, что конкретно было сделано. Ок, примеры кода — а для чего они? Заказчик планировал внедрить этот код в какие-то проекты и потом эксплуатировать эксплойт? Этот код нужно выполнить в каком-то окружении, чтобы был эффект, похожий на «я запустил shell code, я кулхацкер»? Или это часть целого проекта с закладками-бэкдорами? В чём, блин, заключался заказ?
Ты правильно уловил суть: он действительно думал, что покупает реальный рабочий эксплойт с RCE. Цель — встроить его в веб-проект (по его словам) и использовать как бэкдор, чтобы при желании получать доступ к клиентским машинам через браузер. Я же отправила ему fake exploit — код, который имитирует всё, что он ожидал: heap leak через DataView, OOB write, подмену объектов, запуск shellcode (с alert("RCE triggered 0_0") как визуальным триггером). По логам и структуре выглядит как настоящий эксплойт. Он проверил, поверил и сам предложил оплату. В кратце его суть заказа можно описать так: “Дай мне RCE, как в статьях, чтобы я мог запускать команды на стороне клиента.”
Двойственные чувства от Вашей статьи. Вроде и есть попытка донести что то полезное, но ведь к Вам обратился явно психически больной человек, мне кажется правильней его было бы отшить в его же духе сказав что Вы под наблюдением ФБР или ФСБ, а можно и того и другого, и пока не можете ему помочь. А так получается что Вы такая умная (а это действительно так), с дурачка деньги взяли, ну и по делом ему, сам дурак. Как Вы думаете умные должны быть добрыми или не обязательно?
А техническая часть интересная, спасибо, пишите еще.
Ты прав, можно было бы поступить по-другому, сработать с ситуацией более аккуратно. Это был не самый лучший подход с моральной точки зрения, и я могла бы выбрать более доброжелательное решение, но... Что касается вопроса, должны ли умные люди быть добрыми, думаю, это зависит от контекста. Умные и добрые - это идеальное сочетание, но бывает, что приходится выбирать между целями и средствами. Рада, что техническая часть была интересной :)
Тень уязвимости: fake exploit как зеркало реальных техник