3
CSRF на выключателе клубнички
6 Комментариев в Багрепорты  

Включение без ведома пользователя:

https://jsfiddle.net/andv/hpkssqh3/


Выключение без ведома пользователя:

https://jsfiddle.net/andv/2fw0q9kw/

13
Очень придирчивый дедушка
9 Комментариев  
Очень придирчивый дедушка coca-cola, мат, длиннопост, ВКонтакте, дедушка ало
Показать полностью 1
1268
Немного статистики Пикабу за неделю
84 Комментария  

Ранее я уже собирал статистику пикабу. Но в этот раз я решил подойти чуть масштабнее и зайти с другой стороны.

Публикую здесь только карточки. Предысторию, технические детали и те же самые картинки, но побольше, можете прочитать у меня в Medium :)

Здесь представлена только информация о постах с 06.07.16 по 12.07.16 включительно

Немного статистики Пикабу за неделю пикабу, статистика, инфографика, длиннопост
Немного статистики Пикабу за неделю пикабу, статистика, инфографика, длиннопост
Показать полностью 12
3072
Искусственный интеллект на службе у поддержки МТС
178 Комментариев  

Служба поддержки МТС настолько сурова, что вообще не читает сообщения, на которые отвечает

Искусственный интеллект на службе у поддержки МТС МТС, искусственный интеллект, будущее наступило, поддержка, техподдержка
Искусственный интеллект на службе у поддержки МТС МТС, искусственный интеллект, будущее наступило, поддержка, техподдержка
66
Еще раз о новом мобильном приложении Пикабу и безопасности пользователей
26 Комментариев  
Показать полностью 1 В ответ на: Этот пост от @dinikin

Вставлю свои пять копеек как программист и человек, который занимается поиском уязвимостей НЕ ТОЛЬКО на сайтах.

Прежде чем обвинять кого-то в массовом складировании логинов и паролей от аккаунтов, для начала стоит подучить матчасть.

Отсутствие API пикабу совершенно не означает, что всё взаимодействие мобильного приложения с сайтом завернуто на сторонний сервер. Единственный код, который взаимодействует НЕ с pikabu.ru - это код, который обращается к удаленному парсеру постов (ибо это весьма затратное дело для мобильного устройства).

Рассмотрим то, как это приложение авторизуется на Пикабу.
Вот код сего метода: Pastebin

Вкратце поясню происходящее:

1. Мобильное приложение получает специальный токен для защиты от межсайтовых запросов (CSRF) с pikabu.ru (не с чужого сервера, а именно с pikabu.ru!), без него сервер не примет ни один запрос.
2. Мобильное приложение делает запрос авторизации к pikabu.ru, максимально копируя запрос браузера (такой же вы можете увидеть в отладчике браузера при авторизации), заметьте, снова только pikabu.ru и никаких сторонних ресурсов!
3. Приложение сохраняет полученный идентификатор сессии и все дальнейшие запросы делает ИСКЛЮЧИТЕЛЬНО к pikabu.ru

Так вот, не подскажете-ли вы, уважаемый @dinikin, на каком из данных этапов приложение ворует логины и пароли и злостно передает их негодяям-разработчикам? Быть может вы воспользуетесь всем известным ПО (например, dex2jar+jad), получите код приложения и вернетесь с аргументами?

Возникает другой вопрос: быть может это не разработчики неквалифицированные, а @dinikin?
16
Собираем статистику pikabu!
19 Комментариев  
Показать полностью 1 Собираем статистику pikabu!
2673
Статистика Pikabu
257 Комментариев  
Показать полностью 1 Статистика Pikabu


Пожалуйста, войдите в аккаунт или зарегистрируйтесь