YAH

2021-03-03 10:27:26 https://twitter.com/egeblc/status/1366720408276389896?s=21

Налетай, разбирай.

Ссылка в комментах. Открыть/Комментировать

2021-02-28 10:40:40 Давеча посмотрел отличную презу @muodov на тему проблем и особенностей использования Cookie:





Отличная формализация того, почему cookie должны умереть;)

Определенно перечислено и формализовано не все, но этого хватит и специалистам по веб-безопасности чтобы формализовать свои знания по работе кук, и разработчикам чтобы учитывать проблемы, с которыми они могут столкнуться.

Короче, два лойса этому господину. Открыть/Комментировать

2021-02-26 12:17:16 Что делать с багами, обнаруженными в продуктах компаний без Bug Bounty

Наш эксперт случайно нашел две уязвимости и потратил два года, чтобы получить CVE. Так бывает, если компания не заморачивается с процессом рассмотрения баг-репортов.

Вот что можно сделать тем, кто оказался в похожей ситуации:

• Написать вендору и указать сроки, в течение которых от него ждут ответа.
• Если вендор молчит, проверить, подходит ли баг под критерии каких-то других программ (например, The Internet от HackerOne), и затем стучаться в MITRE.
• Если MITRE тоже игнорит, негодовать в Twitter c отметкой @CVENew.
• Когда номера в CVE выделены, подготовить статью и отправить ее MITRE и вендору.

Полная версия истории с описанием самих багов и процесса исследования вышла на русском языке на «Хабре» и на английском — на Medium. Открыть/Комментировать

2021-02-26 12:17:15 Тру инструкция как отжимать свои заслуженные CVE’хи! @Rumata888 как всегда красавчик! Открыть/Комментировать