A
2 2
просто опять таки обойти шифр 2fa
Да нет там никакого шифра
Size: a a a
2021 March 03
22
Да нет там никакого шифра
запрос то который он тыкал "Он был зашифрован, а затем отправлен на проверку"
A
2 2
запрос то который он тыкал "Он был зашифрован, а затем отправлен на проверку"
Он был «зашифрован» жабоскриптом, который работает в твоём браузере. Следовательно ничего реверсить не надо, находишь функцию которая шифрует запрос и копируешь её.
22
На сколько я понял он пробовал восстанавливать пароль через восстановление у.з. МС а там не так много js на страничке при восстановлении
22
Просто мне интересно на сколько реально с помощью этого кейса повторить такое?
Z
2 2
Просто мне интересно на сколько реально с помощью этого кейса повторить такое?
На других ресурсах? Более чем
22
А в мс тоже индусы
думаешь по братски инсайд был ? ))
A
2 2
Просто мне интересно на сколько реально с помощью этого кейса повторить такое?
Race conditions повсеместно. Но в большинстве случаев их практически не удастся применить из-за ненарочной сериализации реквесторы на стороне сервера - просто из-за того, что сайт работает на одном серваке, не рассчитан на большой трафик и ляжет как только попробуешь отправить сотню параллельных запросов.
Z
2 2
думаешь по братски инсайд был ? ))
Слона отдал
A
А вот все эти новомодные стартапы на Девопснутых микросервисах - вот это прям идеальные таргеты.
A
Ещё если используются JWT, то это прям намекает на racing.
1
Ещё если используются JWT, то это прям намекает на racing.
не подкинешь пару рублей почитать про рейсы с jwt?
A
На hackerone полно публичных отчетов
S
На hackerone полно публичных отчетов
Например?
АT
всем привет.
кто-нибудь делал аудит Adguard?
действительно ли он блокирует сбор различных данных или всё же сливает на сторону, а пользователю показывает число слитого под видом заблокированного?)
кто-нибудь делал аудит Adguard?
действительно ли он блокирует сбор различных данных или всё же сливает на сторону, а пользователю показывает число слитого под видом заблокированного?)
S
всем привет.
кто-нибудь делал аудит Adguard?
действительно ли он блокирует сбор различных данных или всё же сливает на сторону, а пользователю показывает число слитого под видом заблокированного?)
кто-нибудь делал аудит Adguard?
действительно ли он блокирует сбор различных данных или всё же сливает на сторону, а пользователю показывает число слитого под видом заблокированного?)
Чота блокирует, чота нет
АT
Чота блокирует, чота нет
ну вот хотелось бы знать, что именно не блокирует, но выдаёт под видом заблокированного (если такое имеется)
S
Ну просто не припомню я много репортов на хакер Ване про угон учёток через рейс кондишен жвт
S
ну вот хотелось бы знать, что именно не блокирует, но выдаёт под видом заблокированного (если такое имеется)
То что блокирует - блокирует, но не всё может забанить.
Есть же всякие статьи про сравнение подобного рода софта
Есть же всякие статьи про сравнение подобного рода софта
АT
прост в одном тесте на фингерпринтинг он не работает совсем. не знаю, насколько правильный тест