Судя по фразам из интервью — это какой-то недоразвитый школьник. Лох — не мамонт. Вообще это не «лох», а Человечность. Недоразвитому школьнику это не понять.
>>В офис пускают только после прочтения двух книг по психологии.
Я не смогу сдержать свой смех)). Школьник мнит себя умником и психологом. А по его диалогу видно, что даже книги ему не помогли. Прочитать историю переписки и немного включить мозг — это уже повод для гордости?:D
А вообще файлы они кидают, например xls и при открытии срабатывают макросы.
Я так понимаю пароль может быть взломан с помощью этой уязвимости, только если на моей машине есть сниффер или иной вирус, который мониторит траффик? Либо на одном из серверов, через который идет мой ssl траффик внедрен сниффер?
Также я должен был в момент эксплуатации уязвимости пытаться авторизоваться на одном из серверов яндекса?
1) 3 королевства 2 — «японская версия старкрафта». 3 рассы — маги, корейцы какие-то и механическая расса
2) IT (АйТи) — логическая игра в которой нужно соединить мониторы с системными блоками:)
3) Меч и Магия VIII
4) Футбол! — по моему созданная нашими разработчиками игра, Простая, но интересная
А смысл от signed_body — если пользовательский траффик проходит незашифрованным через Ваш роутер?
Там же все видно…
Или надо было signed_body генерировать на основе постоянных данных + случайной строки, которую нужно хранить только на сервере и привязывать к session_id? Даже если так сделать — то все равно вы можете повторить любой запрос, который перехватит ваш снифер
Допустим создана идеальная система для голосования.
Тогда просто появятся различные более хитрые средства для формирования определенного мнения у избирателя ( а значит и определенного выбора ) — а отсюда следует, что выбранная власть все равно не будет отражать справедливость
>>В офис пускают только после прочтения двух книг по психологии.
Я не смогу сдержать свой смех)). Школьник мнит себя умником и психологом. А по его диалогу видно, что даже книги ему не помогли. Прочитать историю переписки и немного включить мозг — это уже повод для гордости?:D
А вообще файлы они кидают, например xls и при открытии срабатывают макросы.
Вот еще подробности и переписка: www.fl.ru/commune/drugoe/5000/blogi/8999568/vzloman-skayp.html?bp=3
Также я должен был в момент эксплуатации уязвимости пытаться авторизоваться на одном из серверов яндекса?
1) 3 королевства 2 — «японская версия старкрафта». 3 рассы — маги, корейцы какие-то и механическая расса
2) IT (АйТи) — логическая игра в которой нужно соединить мониторы с системными блоками:)
3) Меч и Магия VIII
4) Футбол! — по моему созданная нашими разработчиками игра, Простая, но интересная
Я имею ввиду, что хеш функция — генерируется на сервере и ею подписываются запросы от пользователя.
Для каждого session_id — своя хеш функция
Просто я исхожу из условия, что траффик не шифруется и все заголовки, и в том числе куки — перехвачены.
Как быть тогда?
У вас же в куки которые вы перехватываете — session_id хранится. Смысл привязывать к сессии signed_body, если можно перехватить session_id через куки?
А смысл от signed_body — если пользовательский траффик проходит незашифрованным через Ваш роутер?
Там же все видно…
Или надо было signed_body генерировать на основе постоянных данных + случайной строки, которую нужно хранить только на сервере и привязывать к session_id? Даже если так сделать — то все равно вы можете повторить любой запрос, который перехватит ваш снифер
Тогда просто появятся различные более хитрые средства для формирования определенного мнения у избирателя ( а значит и определенного выбора ) — а отсюда следует, что выбранная власть все равно не будет отражать справедливость
А вы не подскажете — прохождение тестов — там важно? Я пока 2 прошел — но по идее могу пройти еще штук 10
Стоит ли оно того?
можно например — попросить заказчика зайти на фтп — а туда закинуть readme
Интересно, а если я всё-таки смогу в личке отправить контакты свои работодателю? То при ручной проверке — меня забанят на фрилансе?