хероку уж точно решето. я в них находил CSRF вида aaa.heroku.com?rename=bbb надо было просто заставить владельца аппа посетить и его приложение переименуется
и вот вчера была статья на ХН про баг в востановлении пароля(можно любому юзеру восстановить)
heroku stuff? и даже никакого баунти? а вот деньги нанимать матза у них есть значит
может в том что не все читают хакер ньюс и даже 50 процентов эппов сейчас не обновились? Я думаю кроме топовых рельс ресурсов никто особо не пошевелился
там что то типа 1.2.1 непомню. Уязвимость появилась 6 лет назад )
Браво? Я теперь отвожу глаза когда люди говорят про rails security. хотя еще пару недель назад я бы начал доказывать что XSS защита, CSRF защита блабла(
почти уверен что до 2013 о ней никто не знал. там эпичная цепочка генераторов и мы всем твиттером залезли в psych/params parser только когда искали очередной обход предыдущей CVE. И нашли МИФРИЛ В ГЛУБИНАХ МОРИИ АХАХА
и вот вчера была статья на ХН про баг в востановлении пароля(можно любому юзеру восстановить)
heroku stuff? и даже никакого баунти? а вот деньги нанимать матза у них есть значит
и наконец мой друган и пендосии тоже секурянт по рельсам нашел интересную уязвимсть
titanous.com/posts/vulnerabilities-in-heroku-build-system
Браво? Я теперь отвожу глаза когда люди говорят про rails security. хотя еще пару недель назад я бы начал доказывать что XSS защита, CSRF защита блабла(
петька ивановcharliesome первый начал. асерега беловben murphy вообще под все платформы написалunchainedрешит уж точнону нихрена себе нет проблем!
«пацаны у нас тут базу украли и таблицы дропнули!»
«ща из бекапов востановим и нет проблем»