Какой рейтинг вас больше интересует?
|
Главная / Главные темы / Тэг «бага»
[Из песочницы] Mozilla Firefox. Проблемы адаптивной вёрстки (баг, который чуть не рассорил компанию) 2017-02-16 13:29:23
... браузера по ширине. Баг выявлен в Firefox ...
+ развернуть текст сохранённая копия
Рекомендуется к прочтению верстальщикам, а так же их руководителям. Не является руководством к какому-либо действию.
Сегодня 13 февраля 17-ого. История началась 3 дня назад. Собственно проблема появилась следующая. Есть каруселька (это тип слайдера), верстальщику компании «R&K» пришёл запрос, о том что каруселька не адаптивная, т.е. не сжимается как положено, при сжатии окна браузера по ширине. Баг выявлен в Firefox v50.1.0 32-bit, Win7 32-bit. При этом, на следующий день, появился странный телефонный звонок от заказчика, с сообщением о том, что всё работает, и благодарность за быстрое реагирование. Т.к. вёрстку вообще никто не смотрел, то люди почесали в недоумении репы и разошлись. Через два дня снова позвонил заказчик, и уже яростно/истошно/дико/люто начал орать, что вёрстка снова не адаптивная, и не ужимается в окно браузера при сжатии браузера. Вот тут-то люди призадумались и начали крутить вёрстку.
Читать дальше →
Тэги: firefox, адаптивная, баг, веб-сайтов, верстальщика, вёрстка, разработка, сайтов, ужас
Частичный обход аутентификации vk.com [BugBounty] 2017-01-26 22:35:40
Поставил перед собой задачу — обойти аутентификацию Вконтакте. Когда ip адрес человека, который ...
+ развернуть текст сохранённая копия
Поставил перед собой задачу — обойти аутентификацию Вконтакте. Когда ip адрес человека, который входит на аккаунт vk меняется, нужно ввести полный номер телефона. Если злоумышленник входил через телефон; пароль, то он сможет совершать действия на аккаунте. Но если он входил через email; пароль или через подмену cookies, то он не сможет совершать какие либо действия на аккаунте. Читать дальше →
Тэги: api, authentication, bypass, vk.com, аутентификации, баг, безопасность, веб-сайтов, веб-сервисов, вконтакте, информационная, обход, программирование, разработка, тестирование, уязвимость, фича
Как использовать SELF XSS в формах входа/восстановления пароля/регистрации 2017-01-11 16:15:15
... неё деньги в баг баунти или взломать ...
+ развернуть текст сохранённая копия
Добрый день. В этой статье я расскажу, как правильно эксплуатировать SELF XSS, чтобы получить за неё деньги в баг баунти или взломать пользователя/админа.
Я писал эту статью полгода назад в своём блоге на wordpress для англоязычных пользователей, решил её написать на русском здесь. Уверен, что это тема актуальная сейчас с быстрым появлением различных bug bounty программ и будет многим интересна.
Итак, у нас есть хранимая или отраженная XSS в форме восстановления пароля.
Но мы не можем осуществить атаку на пользователя, так как это не XSS в учетной записи. И если мы не можем прислать юзабельный PoC, то эта уязвимость класифицируется как SELF XSS, она не опасная и не может претендовать на большую награду в Bug Bounty!
Читать дальше →
Тэги: account, bounty, bug, cookies, hacked, html, injection, it-систем, privatbank, qiece, securityz, self, vulnerability, xss, баг, баунти, безопасность, веб-сайтов, веб-сервисов, взлом, информационная, приватбанк, программирование, разработка, тестирование, уязвимость
[Из песочницы] Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RU 2017-01-11 15:02:23
Я независимый исследователь безопасности securityz.net, первое место в bug bounty ПриватБанка.
...
+ развернуть текст сохранённая копия
Я независимый исследователь безопасности securityz.net, первое место в bug bounty ПриватБанка.
Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/), обратил внимание на тех.поддержку.
Читать дальше →
Тэги: alexarank, bounty, bug, drugvokrug.ru, fl.ru, iframe, injection, ivi.ru, privatbank, qiece, securityz, userecho, xss, баг, баунти, безопасность, веб-сайтов, веб-сервисов, информационная, платежные, приватбанк, программирование, разработка, системы, тестирование, уязвимость
Как мы запускали Хабр для гуманитариев 2016-11-10 15:03:55
«В следующие два года нужно не пытаться изобразить из себя что-то особенное, а просто ...
+ развернуть текст сохранённая копия
«В следующие два года нужно не пытаться изобразить из себя что-то особенное, а просто быть достаточно умным, чтобы компоновать то, что человечество уже создало» (с) bobuk
Год назад на внутреннем хакатоне наши ростовские ребята за ночь скрестили визуальный текстовый редактор, «Типограф Муравьева» и антиплагиат-сервис. Получилась штука, которая помогала быстро подготовить и отправить публикацию в блог.
Одно время штука жила как сайд-проект, затем нам дали немного ресурсов — ну, как внутреннему стартапу. В итоге получилось удобное коллективное медиа без редакции.
Старик Гутенберг был бы доволен
Оно позволяет людям читать занятные истории, как дядька-водолаз 40 лет поднимает затонувшие корабли в Баренцевом море, а писателям на популярные нетехнические темы — немного зарабатывать на текстах.
Давайте посмотрим, что учитывать при разработке подобного сервиса, и что выбрать, чтобы без костылей.
Истории четырех людей и нескольких капризных подсистем
Тэги: api, docker, github, google, javascript, medium, mongodb, node.js, python, uteam, wysiwyg-редактор, антиплагиат, багов, блог, веб-сайтов, исправление, компании, полезные, разработка, сайта, тексты, типографика, утилиты, яндекс.танк
Главная / Главные темы / Тэг «бага»
|
Взлеты Топ 5
Падения Топ 5
|
