Пришла беда откуда не ждали, уязвимость XSS в сервисе Яндекс.Метрика

Стоп серьезно такую очевидную XSS тотально из юзер инпута заметили в метрике только сейчас? Может регрессия какая.

Угнать за 9 символов

Прикольно, ключевой баг в том что банк вообще не валидировал параметр «go». Там наверно и header injection можно было откопать.
С Гитхабом очень похожая история была, тоже угон токена и последующий вход (http://habrahabr.ru/post/211845/)

Угнать за 9 символов

Весьма бесполезно, IP меняются — может и юзеру создать неудобства.

Двухфакторная аутентификация для всех

Просто передавать юзер инпут через path всегда неудобно, может другой человек сконфигурирует сервер по другому?

Двухфакторная аутентификация для всех

Ради интереса глянул github.com/IlyaDonskikh/pincode_account/blob/master/app/services/pin/check.rb#L31
sakurity.com/blog/2015/03/15/authy_bypass.html

Взлом сайта и его последствия

Единственное лечение все снести и поставить с нуля, всякие «сканы» и удаления бесполезны, я прав?

Немного о защите идентификаторов веб-сессий

Обычно все эти «двух токенные» костыли имеют еще больше изъянов чем проверенные временем схемы. Почему не используют подписи? Потому что ее легко подделать, единственное чему более менее можно доверять это ip адрес. Ну и если кто то нашел XSS у него нет задачи украсть сессию, они просто делают что им нужно в том же контексте.

Реализация Single Sign On в Symfony2 приложении

Проще реализовать все через свой OAuth2 IdP типа fb connect.

Расследование одного взлома или как быстро и просто потратить миллиард

В пейнте рисовать на подобие)

Расследование одного взлома или как быстро и просто потратить миллиард

Чувак понял что выкладывать и скачивать(?) кучу приватной инфы — серьезно преступление — за такое даже в РФ могут по шапке надавать, и разыграл драму мол мопед не мой?

BSON инъекция в MongoDB адаптере для Ruby

Абсолютно другая уязвимость и последствия, если вы про баг с JSNO.parse

BSON инъекция в MongoDB адаптере для Ruby

Доктор сказал что у меня зависимость.

«ВКонтакте» не платит пользователям за найденные уязвимости

Это как сравнить яндекс с газпромом. Есть технологич. компании а есть обычные, им можно.

«ВКонтакте» не платит пользователям за найденные уязвимости

Кстати в мобильной версии под iOS везде <> видно как &-lt &-gt. Фейййл

Читаем переписку клиентов Ubank с саппортом

if об этом уже написали на хабре?
исправляем
else
да ну чот лень
end

Как я однажды взломал онлайн-казино

Все так.

Как я взломал Starbucks для безлимитного кофе

FYI где то читал 40 или 60 процентов ВСЕХ денег в системе вращаются через гифт карты.

Уязвимость в Xamarin для Android: подменяем dll и едим бесплатно

В одной камере сидеть будем.

Как я взломал Starbucks для безлимитного кофе

Я по другую сторону баррикад ;)

Как я взломал Starbucks для безлимитного кофе

Не пью кофе. Единственная вещь интересующая меня в старбаксе это бутылка воды и бананы