1. Куча / Говнокод #24546

    0

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    https://hi-tech.mail.ru/review/ajtishniki-razoblachayut-mify-o-sebe/
    
    >>>"Айтишники разоблачают мифы о себе"
    
    >>>"Айтишники могут взломать что угодно"
    
    >>>"Можете что-нибудь взломать?"
    
    >>>"Дмитрий Иванчиков, разработчик SEO-сервиса: «Программисты могут взломать что угодно» — раз в месяц стабильно пишет умник,
    которому надо взломать ВК. Приходится отвечать, что я в душе не знаю, как это делать. Я не криптограф какой-нибудь, а разработчик ПО."
    
    >>>"Александр Буложенко, программист 1С: Это киношный миф. Для того чтобы что нибудь взломать нужно знать как оно устроено и какие
    есть уязвимости. Это интересно далеко не всем, объем информации большой и она периодически устаревает, если говорить о сложных способах
    взлома. Элементарные виды взлома есть и в интернете, с ними может справиться даже школьник."
    
    >>>"Елизавета Тишина, младший инженер: Программист — это программист, а взломщик — это взломщик. Я, например, не имею малейшего понятия
    о том, как пишут инструменты, которые взламывают лицензионные программы, генерируют ключи к ним и т.п. Не нужно забывать о том, что программисты
    как врачи имеют специализацию: один пишет код для встраиваемых систем, другой веб-приложения, третий вообще только анализом данных занимается."
    
    
    
    Они юродствуют или действительно, разрабатывая какой-либо сервис, не представляют, как примерно можно взломать нечто аналогичное? Всегда считал,
    что программист, кругозор которого не ограничен "HTML", "CSS" и "1С", имеет неплохой потенциал наебнуть что-либо, использующее технологию,
    которой он владеет; более того, я уверен, что даже среди постояльцев настоящего сайтика не найдётся ни одного, не имеющего потенциал, а то и опыт
    взлома какого-либо сайта или сервиса.

    Запостил: KOHTPArEHTTBOEuMAMKu, 27 Июля 2018

    Комментарии (72) RSS

    • > Всегда считал, что программист, кругозор которого не ограничен "HTML", "CSS" и "1С", имеет неплохой потенциал наебнуть что-либо
      Я больше скажу - даже программист, кругозор которого ограничен "HTML", "CSS" и "1С", имеет неплохой потенциал наебнуть какую-нибудь распиаренную украинскую соцсеть.[/color]
      Ответить
      • показать все, что скрытоvanished
        Ответить
        • Поспрашивай у отписавшегося ниже, я его основной аккаунт забыл.
          Ответить
      • Мой кругозор ограничен не "HTML", "CSS" и "1С", а "PHP".
        А распиаренной она оказалась чисто в моих глазах - привлечённые запахом стервятники неделю погоготали и забыли об этом говносайте. Но, блядь, каждому хакеру хочется верить в то, что его взлом - самый эпичный, вследствие чего я тогда и заёбывал здесь всех несколько суток подряд новыми подробностями взлома.
        Ответить
      • https://esvoe.co/
        да блядь
        Ответить
        • команда:

          - Контент-менеджер
          - Фронтенд-девелопер
          - Андроид-девелопер
          - Андроид-девелопер
          - Веб-дизайнер
          - UI/UX-дизайнер
          - Senior (!) ECommerce Developer (опенкарт двадцать раз что ли ставил?)
          - Два сраных бэкенда, которые отдуваются (отдуваются ли?) за всех этих бездельников

          как же я горю
          Ответить
        • И вновь за основу взят готовый движок. В письме подтверждения регистрации ссылка активации содержит вместо "esvoe.co" домен "wallet.my".
          Ответить
        • отцентрировано-то как хорошо

          https://imgur.com/nMc39wP
          Ответить
    • Какой дурак будет от своего имени признаваться журналистам, что он что-то там взламывал? Собственно и знакомых, которые просят поломать страничку в ВК, любой разумный человек пошлёт нахуй по той же самой причине.
      Ответить
    • показать все, что скрытоvanished
      Ответить
    • Тыж программист? А можешь страничку вконтакте взломать?
      Ответить
      • показать все, что скрытоvanished
        Ответить
        • Ты же программист? А у вас на работе можно iPhone купить по дешевке?
          Ответить
      • Я те так скажу - я и сам "ВКонтакте" взломал^

        https://habrastorage.org/webt/y-/fm/vh/y-fmvh_zs8f9moupqqcy2zqh7my.png
        https://habrastorage.org/webt/mu/2-/pf/mu2-pfsavg8-oyfgchv9iranjek.png
        https://habrastorage.org/webt/ki/v7/j1/kiv7j1ffu2g64v0qkjwllygl7vm.png

        Если бы я не пожелал получить вознаграждение в ущерб развлечению, "взломать страничку" вряд ли составило бы труда.
        Ответить
        • Лол, я думал XSS только у детей бывает. Ждем SQL инъекции от ВК:)

          А ты и статью про это на хабре написать успел?
          Ответить
          • Я воспользовался "Habrastorage", ибо он не насилует автора и зрителей рекламой. "Хабр" я презираю, ибо сидят там одни молокососы.
            За пять лет добровольцы нашли во "ВКонтакте" с сотню "XSS" - а всё лишь потому, что там наплодили десятки некоординирующихся промеж собою программистов (якобы "олимпиадников"), каждый из которых работает над одной кнопкой и не видит, как вся система будет работать в целом.
            Ответить
            • XSS бывает там, где принятые от пользователя данные отдаются клиенту без экскейпинга. Это значит что программист в какой-то момент не понимает заэскейпнутые у него данные, или нет. Что, в свою очередь, говорит о крайне низком качестве архитектуры.

              Ну это и не удивительно, вспоминая какой код мы тут видели.

              Наверняка у них бывает и даблэскейпинг тоже, он всегда идет бок-о-бок с XSS
              Ответить
              • >>>"XSS бывает там, где принятые от пользователя данные отдаются клиенту без экскейпинга"

                Опять, как писал "syoma", демагогия. Напомнило фразу из какого-то псевдо-документального фильма: "Есть странная особенность: если соединить на карте города Ростов-на-Дону, Таганрог, Шахты - получится треугольник".
                Возвращаясь же к основному вопросу - странен даже не "XSS", а то, что, как сейчас модно выражаться, "чувствительные" данные передаются в кодировке "Base64"; то есть, представители сайта, отгородившегося от СПАМеров SMS-верификацией и сотрудничающего с ФСБ, не считают нужным лишний раз ебать себе межушную горошину какими-то запатентованными американскими алгоритмами шифрования с ключами, а просто берут "base64_encode" и радуются жизни - мол, "вроде набор символов непонятный, значит, и так сойдёт". Одна проблема - если я в каком-то "непонятном наборе символов" вижу в качестве первых букв "eyJ", я понимаю - это закодированный "JSON", которым можно вертеть, как твоими ягодицами на хую.
                Ответить
                • показать все, что скрытоvanished
                  Ответить
                • Если ты думаешь что на стороне клиента можно что-то зашифровать, и уж тем более сравниваешь шифры с Base64 то меня пугает глубина твоего невежества.

                  И на этом фоне я даже не удивляюсь тому, что простое желание невыводить никогда в клиент незаэскейпленные данные (что умеет делать даже обычная Django по умолчанию) ты называешь "демагогией"
                  Ответить
                  • Ничего шифровать на стороне клиента не надо - просто всю предварительную информацию о файле надо сохранять на стороне сервера (в "Memcache"), а клиенту для формы окончательного сохранения файла в "Документы" выдавать только уникальный, случайный ключ-идентификатор данных файла. Но ты тупой, до тебя доходить будет долго.
                    Ответить
                    • Да, именно так и надо делать. Не понятно только зачем ты приплел сюда "алгоритмы шифрования". Выебнуться решил?)
                      Ответить
                      • Меня понесло. Впрочем, ты тоже постоянно выёбываешься с помощью спизженной из Интернетов информации; но это мы уже обсудили в теме, где я попросил тебя предоставить список выполненных тобою проектов и был послан.
                        Ответить
                        • Требовать "доказательств крутизны" ты будешь у себя во дворе, а тут люди просто общаются.

                          Впрочем, я рад что тебя понесло. Бугурт это всегда хорошо.
                          Ответить
            • Написал бы на "Habrahabr", надрочил бы себе плюсцов.
              Ответить
              • Хуле с ними делать? Лучше это время потратить на ещё один взлом - и, на этот раз, уже не с целью вознаграждения, а с целью получения злорадного удовлетворения (как в случае с поваленной украинской говносетью).
                Ответить
            • Написал бы на "Habrahabr", надрочил бы себе плюсцов.
              Ответить
        • Так сколько тебе бабла то отсыпали?
          Ответить
          • Мало. Тот огромный затёртый на третьем скриншоте комментарий как раз посвящён выклянчиванию доплаты; но они остались глухи.
            Ответить
        • показать все, что скрытоvanished
          Ответить
          • Что "лоооол"? Вознаграждение-то было; правда, его размер меня не совсем устроил.
            Ответить
    • Нихрена не понял, но все верно - не каждый прогер хакер и не каждый хакер прогер-хакер. Я вот в душе не сношаю как правильно делать реверс-нижиниринг, неинтересно. Да и не моя забота.
      Ответить

    Добавить комментарий