CSRF на выключателе клубнички
Включение без ведома пользователя:
https://jsfiddle.net/andv/hpkssqh3/
Выключение без ведома пользователя:
akaluth
8889
рейтинг
27 подписчиков
7 подписок
8 постов
5 в горячем
Награды:
Очень придирчивый дедушка
Показать полностью
1
Немного статистики Пикабу за неделю
Ранее я уже собирал статистику пикабу. Но в этот раз я решил подойти чуть масштабнее и зайти с другой стороны.
Публикую здесь только карточки. Предысторию, технические детали и те же самые картинки, но побольше, можете прочитать у меня в Medium :)
Здесь представлена только информация о постах с 06.07.16 по 12.07.16 включительно
Показать полностью
13
Искусственный интеллект на службе у поддержки МТС
Служба поддержки МТС настолько сурова, что вообще не читает сообщения, на которые отвечает
Показать полностью
2
Еще раз о новом мобильном приложении Пикабу и безопасности пользователей
В ответ на:
Вставлю свои пять копеек как программист и человек, который занимается поиском уязвимостей НЕ ТОЛЬКО на сайтах.
Прежде чем обвинять кого-то в массовом складировании логинов и паролей от аккаунтов, для начала стоит подучить матчасть.
Отсутствие API пикабу совершенно не означает, что всё взаимодействие мобильного приложения с сайтом завернуто на сторонний сервер. Единственный код, который взаимодействует НЕ с pikabu.ru - это код, который обращается к удаленному парсеру постов (ибо это весьма затратное дело для мобильного устройства).
Рассмотрим то, как это приложение авторизуется на Пикабу.
Вот код сего метода:
Вкратце поясню происходящее:
1. Мобильное приложение получает специальный токен для защиты от межсайтовых запросов (CSRF) с pikabu.ru (не с чужого сервера, а именно с pikabu.ru!), без него сервер не примет ни один запрос.
2. Мобильное приложение делает запрос авторизации к pikabu.ru, максимально копируя запрос браузера (такой же вы можете увидеть в отладчике браузера при авторизации), заметьте, снова только pikabu.ru и никаких сторонних ресурсов!
3. Приложение сохраняет полученный идентификатор сессии и все дальнейшие запросы делает ИСКЛЮЧИТЕЛЬНО к pikabu.ru
Так вот, не подскажете-ли вы, уважаемый , на каком из данных этапов приложение ворует логины и пароли и злостно передает их негодяям-разработчикам? Быть может вы воспользуетесь всем известным ПО (например, dex2jar+jad), получите код приложения и вернетесь с аргументами?
Возникает другой вопрос: быть может это не разработчики неквалифицированные, а ?
Вставлю свои пять копеек как программист и человек, который занимается поиском уязвимостей НЕ ТОЛЬКО на сайтах.
Прежде чем обвинять кого-то в массовом складировании логинов и паролей от аккаунтов, для начала стоит подучить матчасть.
Отсутствие API пикабу совершенно не означает, что всё взаимодействие мобильного приложения с сайтом завернуто на сторонний сервер. Единственный код, который взаимодействует НЕ с pikabu.ru - это код, который обращается к удаленному парсеру постов (ибо это весьма затратное дело для мобильного устройства).
Рассмотрим то, как это приложение авторизуется на Пикабу.
Вот код сего метода:
Вкратце поясню происходящее:
1. Мобильное приложение получает специальный токен для защиты от межсайтовых запросов (CSRF) с pikabu.ru (не с чужого сервера, а именно с pikabu.ru!), без него сервер не примет ни один запрос.
2. Мобильное приложение делает запрос авторизации к pikabu.ru, максимально копируя запрос браузера (такой же вы можете увидеть в отладчике браузера при авторизации), заметьте, снова только pikabu.ru и никаких сторонних ресурсов!
3. Приложение сохраняет полученный идентификатор сессии и все дальнейшие запросы делает ИСКЛЮЧИТЕЛЬНО к pikabu.ru
Так вот, не подскажете-ли вы, уважаемый , на каком из данных этапов приложение ворует логины и пароли и злостно передает их негодяям-разработчикам? Быть может вы воспользуетесь всем известным ПО (например, dex2jar+jad), получите код приложения и вернетесь с аргументами?
Возникает другой вопрос: быть может это не разработчики неквалифицированные, а ?
Собираем статистику pikabu!
Статистика Pikabu
