Трагикартинки Фэйсбука

да, популярная аббревиатура

В поиске бесплатных билетов, исследование игры Аэрофлота: Миссия 2017

С тегом действительно не хорошо вышло.

При публикации я ориентировался на отсутствие проблем автора статьи о предыдущем промо(@MadJeck)? на основании его последующих коментов. Ну и на минорсть уязвимостей и на отсутствии какого либо влияния на систему и итоговую расстановку сил.

Учитываю нынешнюю судебную практику, в дальнейшем действительно стоит быть поосторожнее. Спасибо!

В поиске бесплатных билетов, исследование игры Аэрофлота: Миссия 2017

Вы правы, я имел в виду обратный тест Тьюринга, то есть тест по результатам которого машина пытается выяснить, с человеком она говорит или нет. Сейчас поправлю.

В поиске бесплатных билетов, исследование игры Аэрофлота: Миссия 2017

Например, обучить нейросеть на основе взаимодействий между клиентом и сервером вручную размеченных разработчиками(игры людей и ботов). В дальнейшем выход нейросети использовать для определения человек или робот.

На данный момент, данных для полноценного анализа у разработчиков недостаточно.

В поиске бесплатных билетов, исследование игры Аэрофлота: Миссия 2017

Более того, меня и нет в топе. Спасибо команде модераторов :)

Стоит отдать должно разработчикам(а может быть модераторам), у них был неплохой антифрод и все сомнительные участники банились. Я не смог выяснить все параметры по которым производился анализ на фрод, но два из них мне известен: скорость и точность ответа.

Tinkoff скомпрометировал данные о балансе карт своих клиентов

Зарепортил на cso@tinkoff.ru 3 августа об уязвимости в Тинькофф Квесте, который проходил 6-го августа. Ответа не дождался, но уязвимость прикрыли. А через 8 дней публичное баг-баунти появляется, очень грустно выходит %)

P.S. Надеюсь скомпрометированные шаги квеста поменяли, иначе не хорошо получается =)

Сравниваем цены в книжных интернет магазинах c помощью python, pandas и matplotlib

bgshop.ru не хватает с их вечной 20% скидкой :)

Instagram Like Bot

Вангую скандал из за лайкнутой фотографии сломанного ногтя\каблука. Так что прикручивайте распознование образов)

Манипулирование ценами акций с помощью поддельных новостей: Как не попасться на удочку

В УК РФ это Статья 185.3. Манипулирование рынком. Учитывается ущерб гражданам, организациям и государству. Так что состав есть.

Уязвимость в Platius: доступ в любой аккаунт

Действительно, в 80% случаев можно получить полный игнор и наблюдать уязвимость годами. Иногда еще попадаются угрожающие типы, которым видимо не нравится что их ткнули лицом в их недочет или некомпетентность, и в угрозах они видят способ возвысить себя над нахалом с того конца Email. А чтобы по факту исправленной уязвимости еще и отписали, так это вообще редкий случай. Так что в данном аспекте респект ksukhonosenko.

Думаю подобные проблемы могут быть исправлены участием в багбаунти через платформы аля HackerOne. Все довольно открыто и прозрачно.

Уязвимость в Platius: доступ в любой аккаунт

Скорее «поможет», так как только скроет ошибку, но не решит ее причины.

Уязвимость в Platius: доступ в любой аккаунт

Это такой хак, который позволяет не получить от curl следующую ошибку:

$ curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | head -n 1
HTTP/1.1 200 OK
(23) Failed writing body

Дело в том, что head закрывает pipe до того, как curl запишет туда страницу полностью. Если знаете более элегантный путь, отпишите пожалуйста.

Уязвимость в Platius: доступ в любой аккаунт

Ну не совсем пофиксили… просто отключили вход. Вообще.

Скрытый текст

Уязвимость в Platius: доступ в любой аккаунт

На мой взгляд ненормально позволять вводить неверный код более 5 раз. Далее надо требовать запрос нового кода, причем позволять это делать допустим раз в 10 минут. Ну и ввести временную блокировку аккаунта допустим при 15 подряд идущих неверных вводах.
А 9 цифр — это очень ударяет по удобству для юзера.

Уязвимость в Platius: доступ в любой аккаунт

Так точно
http://www.banki.ru/news/lenta/?id=7808994