Open-source проекты, которые мы проверили с помощью PVS-Studio

Ну и?

Facebook пытается блокировать консоль разработчика в браузере Chrome

кстати да, сам над этой проблемой работал.

Я хотел разработать защиту от кликджекинга на уровне JS — считывать opacity и z-index, отсылать их фрейму через постмессаж + nonce спрятанная внутри моего замыкания. Пришел к выводу что придется постоянно сверять toString+'' и нет гарантий что енвайромент не изменен

Триста девяносто четыре доллара

Тогда норм. 10к это даже много. Надо почекать их )

Триста девяносто четыре доллара

о, надо больше инфы! я тоже так буду

Триста девяносто четыре доллара

$394 общая награда? Спасибо за описание, теперь буду знать с чьими баунтями не связываться. А вот уж SQLi в finance особенно подозрительно закрылся. Даже если кто то другой зарепортил, можно было бы принять такое.

1% всех сайтов рунета держит свой memcached открытым для мира. Немного статистики

Ну хотя бы warning выводить для особо упертых

Откровенность API Telegram

Эти ребята настолько самоуверенные что похоже не заказывали пентестов у меня ни у кого. В whitebox аудите этот баг был бы просто очевиден.

Самая большая проблема в веб-разработке

Все виджеты работают через айфрейм. Иначем компраметация сервера виджетов ведет к хсс на всех сайтах

1% всех сайтов рунета держит свой memcached открытым для мира. Немного статистики

А почему они в мемекшд не запретят по умолчанию такую конфигурацию? Зачем быть insecure by default

Откровенность API Telegram

Если бы я писал секюрный месенжер и ку меня нашлась закладка в крипто плюс такой баг в апи я бы поджав хвост убрал весь бред про супер безопасность с сайта. Ну и во вторых я не разработчик, и как пользователь доверия к телеграму уже не осталось.

Откровенность API Telegram

Баг был в АПИ. Штрилиц, это провал.

Откровенность API Telegram

Уязвимы были только те кто пользовались этим кривым веб клиентом (почему то я сразу подумал что веб клиент телеграма будет таким же кривым как и сам вк) или вообще любые пользователи телеграма? Если второе то за сим закапываем сей прекрасный месенджер.

Как я взломал Гитхаб еще раз

фрилансер и профснальный контрактор это небо и земля.

Уязвимость в Paperclip (XSS/RCE)

Я имел ввиду стиль валидации. Он пользуется листом extension-ов, а не контент тайпов

Уязвимость в Paperclip (XSS/RCE)

Да, именно. Так работают аналоги (Carrierwave). Изначально сохранять с оригинальным именем это плохая идея.

Ну и более того я считаю адаптеры надо подключать мануально.

Уязвимость в Paperclip (XSS/RCE)

Хабр съел все буковки 'x'. Уэ тэ эф?

Как я взломал Гитхаб еще раз

Тогда только на последнюю версию, пару месяцев назад там была утечка инфы примерно таким же образом :)

Как я взломал Гитхаб еще раз

С хабра не пришло еще ни одного клиента. Рунет такой рунет.

Как я взломал Гитхаб еще раз

Бейджы вайтлистятся я полагаю. Если сможете вставить крос доменную картинку — дайте знать )

Как я взломал Гитхаб еще раз

Чему завидовать тут, этот пост вершина айсберга. Есть еще куча неоплаченых/неотвеченных/wontfixеных репортов, у каждого из нас.

Баги простые, и в этом прикол всей цепочки. Ну и для меня взломать чей то oauth дело чести.