Pull to refresh

Comments 21

UFO just landed and posted this here
UFO just landed and posted this here
Так а золото-то при чём? Или золотом оплату брали?
UFO just landed and posted this here
В WoW точно нет механики покупки старкрафта и апгрэйда новых аккаунтов до последних дополнений :)

Уже почти два года как есть — купленный за игровое золото жетон WoW можно либо потратить на 30 дней подписки, либо конвертировать в средства кошелька Battle.net (в кошелёк добавляется сумма, равная стоимости 30 дней подписки в стране игрока), а уже с кошелька Battle.net можно купить всё, что продаётся в магазине Battle.net (в том числе и другие доступные там игры).

UFO just landed and posted this here
Да и у Valve в Steam какое-то время платежи через Webmoney не валидировались корректно, success-ссылка магазина была доступна публично. Можно было перейти на страницу платежа через Webmoney, отменить платеж, вручную ввести идентификатор платежа в success-ссылку, и этот платеж считали зачисленным.
Подождите, но разве XSS это не тогда, когда своими действиями я повлиял на что-то у другого пользователя сайта?
Как сейчас помню, взгляд зацепился за параметры даты в запросе на получение статистики. Несколько изящных движений пальцами рук, и в окне браузера появляется модальное окно — это была XSS.
Это называется non-persistent XSS. Основная схема эксплуатации: вынудить пользователя каким-то образом перейти по ссылке злоумышленника (со стороннего сайта, например).
Еще раньше называли пассивной XSS.
Если ты выбираешь публичную программу на Х1, которая уже несколько лет платит за баги, то не стоит надеяться на XSS в поле поиска.

Литература — чтение отчетов с X1.

Что такое Х1?
Площадка для white-hat и компаний говых платить баунти за уязвимости. hackerone.com
Если в момент взятия интервью интервьюер не бухал с интервьюируемым, то использование термина «нахер» в вопросах выглядит странно.
Я бы после этого на вопросы уже отвечать не стал :)

Если бухали — то вопросов нет, это нормально в дружеском общении. Но тогда это в статье стоило бы уточнить.
Возникают проблемы когда пытаешься объяснить людям не из IT, чем занимаешься. Для них ближе всего слово «хакер». Мне не комфортно говорить так, потому что, в моем сознании, это слово опошлили школьники, которые грозились взломать твой ВК или вычислить по ip. Поэтому мой обычный ответ «Ну типа хакер» сопровождается неловким взглядом в пол

Почему не говорить "пентестер"? Это и относительно понятно, и, в целом отражает деятельность и ее белошляпность. Кто не знает этого термина, и других не знает, объяснять в любом случае.

UFO just landed and posted this here
UFO just landed and posted this here
Спасибо, что напомнили. Пришлось удалить на время разбирательства, а потом забыл обновить.
UFO just landed and posted this here
Ты используешь какую-либо метологию для баг хантинга? Слышал про всякие bug bounty hunting methology v3, насколько они реально нужны?
Sign up to leave a comment.

Articles