А, может зашел бы, если бы был в Москве

Папка .git на сайте это уязвимость или Information Gathering все же?

А почему уязвимость?

чем?

Папка .git на сайте это уязвимость или Information Gathering все же?

все зависит от настроек

Может это для того чтобы ему писали про уязвимости

Уязвимость если бекап получить можно

или он преверженец опенсоурс

если только так

Внезапно возник вопрос. Приходить в форме можно?

проорал

Если мне не врёт fb

То у @paulch инкремент

Парни, у кого нибудь есть наклейки phd, defcon?

уху

Парни, у кого нибудь есть наклейки phd, defcon?

Есть DC

Продайте за символическую оплату

Тебе много надо?

Не, штучки 3-5

Или это много?)

Приходи на 2600 я дам тебе наклеек :)

goto 2600;

Алин, за наклейуами к тебе, значит?))

А почему вы их просто не распечатаете?)

Я для этого у себя архив храню png

А когда следующий 2600?

В эту пятницу

А никто не подскажет, как с Алисой Шевченко связаться? Ее почта на esage меня в спам отправляет.

Попробуй через твиттер

@badd1e

Спасибо. Буду иметь в виду, но это крайний случай. Нет твиттера

Спасибо. Буду иметь в виду, но это крайний случай. Нет твиттера

твитер лучше для связи, быстро и точечно.

я так работу нашел

Через твиттер?

да

Но вообще Шевченко против рашн комьюнити)

вху ис Шевченко?

вху ис Шевченко?

https://www.google.ru/search?q=Алиса+Шевченко

https://meduza.io/feature/2014/12/11/kontrakt-so-vzlomom

http://www.forbes.ru/tekhnologii/internet-i-svyaz/275355-kontrakt-na-ugrozu-kak-khaker-stroit-biznes-na-zashchite-bankov

форбс, епта

Но вообще Шевченко против рашн комьюнити)

зазвизделась чтоль?=)

однако

Парни не шарят

Незашифрованное ядро бета-версии iOS 10: плюсы и минусы http://goo.gl/zhcyZW

Отсутствие шифрования ядра ускоряет его лишь на 0.3сек

Да и его можно было получить после джейла (частичного) из userland, либо если выложили ключи

Отсутствие шифрования ничего не меняет, контроль целостности все еще осуществляется благодаря SEP

А белые шляпы могли копать ядро для iPhone 5, например, ключи для которого выходят вскоре после выхода прошивки

Они еще забыли rootfs зашифровать

Только почему то об этом никто не говорит, а это не менее огонь

это может быть связано с тем инцидентом когда фбр просила инфу вскрыть?

это может быть связано с тем инцидентом когда фбр просила инфу вскрыть?

Возможно, ибо прошивки были 27 мая собраны

Все связано??

все переплетено телик и террор(С)

Ребят, подскажите xss через expression в style только в старых браузерах отрабатывает, верно?

Знакомый попросил помочь, нужно: 1) в офис без особого опыта на зп 35-40к админить 1С, чинить принтеры бухгалтерии и прочее (в мск) 2) сисадмин минимум с 4-5 годами опыта в вебе, админить около 180 серверов, в 7 ДЦ, микра, дебиан, скилы сетевика, зп 80к (в мск или рнд) Подробности в лс :)

Ребят, подскажите xss через expression в style только в старых браузерах отрабатывает, верно?

и ещо, могу сделать инжект в style, и походу если это не древнее ИЕ, то никакого js я не исполню, это верно тоже, да?

Знакомый попросил помочь, нужно: 1) в офис без особого опыта на зп 35-40к админить 1С, чинить принтеры бухгалтерии и прочее (в мск) 2) сисадмин минимум с 4-5 годами опыта в вебе, админить около 180 серверов, в 7 ДЦ, микра, дебиан, скилы сетевика, зп 80к (в мск или рнд) Подробности в лс :)

За 80к запросы чет космические

сисадмин с 4-5 годами за 80к?

вы там еденичку не забыли вначале?

*сисадмин с 40 годами опыта.

40 летний дядечка с 20 летним опытом

Ребят, подскажите xss через expression в style только в старых браузерах отрабатывает, верно?

Да в ие <8

и ещо, могу сделать инжект в style, и походу если это не древнее ИЕ, то никакого js я не исполню, это верно тоже, да?

Имеено в стайл? Выйти из атрибута не могещь?

Имеено в стайл? Выйти из атрибута не могещь?

нет, не могу

там вообще прикольный инжект

Раскажи

?

Чо вставляешь щас ?

И куда попадает

загружаю картинку, а она грузится в style вот так

<div style="background-image:url(&quot;data:data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==); xss:expression(alert('XSS')); behavior:url(&quot;);"></div>

т.е. я могу как-то так записать

но, " кавычка конечно не катит

Не это шляпка:(

т.к. на сервер с моей стороны вообще уходит json типа {mime: "text/html", base64: "данные"}

А если экранить в жсоне?

\"

А если экранить в жсоне?

там даже прикольнее на самом деле

Или \u0022

{"data": "{mime: \"text/html\", base64: \"данные\"}"}

ну так если экранируется почему в аски не перевести?

и соответсвенно эта data видимо на сервере еще раз конвертится в json

и если я туда воткну \"

Хз

то получаю error

Я так не смогу гадать

т.к. сереализация валится

Но и пример давать ненад я с мобилки

и если я туда воткну \"

Ну а если \u0022 ?

Ну а если \u0022 ?

сейчас попоробую

Редко канешно бывает что так прокатывает но бывает

Имею ввиду что \u нефтльтруется когда фильтруется плейнтекст

попробуй вместо /

<SCRIPT>alert(/message/.source)</SCRIPT>