Pull to refresh
4
0
bimcom @bimcom

User

Send message

Эксплуатация cookie-based XSS | $2300 Bug Bounty story

Reading time 7 min
Views 15K


Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уязвимость, которая и станет главной героиней этой статьи. Данный тип уязвимости возникает, когда значение параметра cookie рефлектится на страницу. По умолчанию они считаются self-XSS, если мы, в свою очередь, не докажем их опасность. Собственно, сегодня я расскажу, как эксплуатировать cookie-based XSS уязвимости, а также приведу пример из тестирования одной компании, от которой я получил $7300 в целом за исследование.
Читать дальше →
Total votes 38: ↑37 and ↓1 +36
Comments 10

Вентиляция санузла с умом

Reading time 3 min
Views 75K
Заходя в свой квартирный санузел, в очередной раз с досадой замечаю гул включившейся вентиляции, в самом факте вентиляции не вижу ничего плохого, но вот вопрос удобности и функциональности работы вентиляции в санузле мне не нравится. Дело в том что вентилятор принудительной вентиляции у меня в квартире (наверное у многих так) подключен параллельно с выключателем света и работает только тогда когда включен свет. В связи со сложившимися обстоятельствами и наличием возможности — решил изменить сиё положение вещей, и создать автоматизированную систему вентиляции санузла. Так как вентиляция должна работать, но мешать не должна, решил делать так.

Предварительная идея


Когда из санузла вышли и выключили свет вентилятор включается, работает какое-то время, потом сам выключается. Для реализации этой идеи нужен датчик света, реле — для коммутации 220 В и контроллер который будет все это связывать.

В качестве контроллера взял Ардуино Нано, самый простой датчик света и реле — все это добро можно с легкостью купить на сумму до 500 рублей у китайцев на Али или прочих сайтах по электронике. Так же нужен блока питания.


Читать дальше →
Total votes 47: ↑40 and ↓7 +33
Comments 268

Как сниффить HTTPS-трафик iOS-устройства

Reading time 5 min
Views 75K


Привет, меня зовут Андрей Батутин, я Senior iOS Developer в DataArt, и сегодня мы будем сниффить HTTPS-трафик твоего «Айфона».
Читать дальше →
Total votes 24: ↑20 and ↓4 +16
Comments 17

Продуктивность — моя методика оценки ecommerce-сайта

Reading time 4 min
Views 5.3K
В своей работе интернет-траблшутера часто оцениваю сайты и пользуюсь различными методиками для этой оценки. Но еще не встречал совокупного цифрового показателя самого главного — насколько хорошо сайт выполняет свою функцию и как вообще называется такой показатель. И решил его сделать сам.

Применительно к сайтам я взял термин «продуктивность» и наполнил его следующим содержанием: эффективность сайта с точки зрения достижения его целей. В частности, для интернет-магазина такой целью можно считать продажи. Таким образом, продуктивность показывает насколько сайт хорош как продающий инструмент.

Суть методики


Методика включает в себя 22 показателя, напрямую влияющий на продажи. Каждый имеет свой вес (балл), в итоге они дают количество баллов, где максимум 100. Факторы включены только те, что можно оценить снаружи сайта без изучения внутренних данных. Оценка происходит визуально человеком, в данном случае мной. Методика создана как универсальная, подходит для интернет-магазина товаров (не услуг), вне зависимости от его тематики, ассортимента и объема продаж.
Читать дальше →
Total votes 9: ↑6 and ↓3 +3
Comments 18

Как написать чат-бота на PHP для сообщества ВКонтакте

Reading time 11 min
Views 64K
На текущий момент большинство крупных сообществ ВКонтакте уже имеют ботов, актуальность этой темы обуславливается огромным спросом на круглосуточную работу приложения, оповещение при вступлении в сообщество и выходе из него, рассылку информационных сообщений, именно бот сообщества ВКонтакте может решить эти задачи. В статье мы рассмотрим решение основных задач, которые часто возникают в любом крупном сообществе.
Читать дальше →
Total votes 19: ↑10 and ↓9 +1
Comments 15

Хочу отказаться от услуг РосКомНадзора по защите меня от информации (в сети). Как это сделать?

Reading time 3 min
Views 94K

"Какая форма заявления должна быть? Куда подавать?"


Я задал (кеш гугла) такой вопрос на Тостере. Его удалили через некоторое время, так как он "вне тематики ресурса". Далее я попросил у модератора разъяснить поподробней и он ответил: "Это вопрос дискуссионный и на него не существует однозначного ответа".


За время пока вопрос существовал я получил несколько ответов:


1 Обратиться в Конституционный суд.
2 Оформить визу и выехать из юрисдикции полномочий РосКомНадзора.


Задав такой же вопрос интернету, оказалось, что не я один задался этим вопросом. Пользователь zakabum сайта RuTracker.org выложил на форуме образец заявления (зеркало) которое необходимо подать провайдеру. А также выкладывает новые свои заявления в ходе переписки со своим провайдером.

Читать дальше →
Total votes 168: ↑126 and ↓42 +84
Comments 686

Nobelic: как сделать камеру умной, домашней, долговечной

Reading time 8 min
Views 22K

Nobelic и когда-то хорошая погода

Раньше мы сами никогда не делали обзоры на камеры наблюдения. Для Ivideon все делилось на обычные IP-камеры (без встроенного сервиса), камеры с интегрированным сервисом и аналоговые (боль и ужас). Из всех моделей одну или две для обзора не возьмешь: для домашнего наблюдения модели слишком похожи, а для бизнеса все зависит от конкретных задач, решаемых на объекте.

Но сегодня мы решились на пост-обзор, потому что появилось устройство, с которым не захочется расстаться через год или два — это камера Nobelic (читается как «но́белик»). Сейчас мы уверены, что для определенных задач Nobelic прослужит так долго, как вы сами того захотите.

Кроме самого обзора ради обзора (это слишком скучно), мы расскажем и несколько фишек сервиса Ivideon, о которых раньше не говорили.

(осторожно, трафик)
Total votes 14: ↑13 and ↓1 +12
Comments 6

Шесть стадий игрока в социальные f2p-игры

Reading time 6 min
Views 14K
image
Candy Crush — одна из тех игр, которые лучше всего понимают своих игроков

Перед разработчиками социальных игр стоит трудная задача: попытаться, чтобы игроки возвращались к игре как можно дольше. Но ни одна стратегия не сможет охватить всех, и в этом вам хочет помочь Optimove.
Читать дальше →
Total votes 19: ↑15 and ↓4 +11
Comments 23

Я полюбил верстку после этого: Zeplin в бою

Reading time 5 min
Views 164K
Иногда я спрашивал себя и Гугл: «Почему мне бывает стыдно быть верстальщиком». Ну, знаете, когда не мог на глазок определить, какой передо мной шрифт: open sans с font-weight: bold, или open sans bold с font-weight: normal — либо случайно узнавал, что «ой, забыли тебе сказать, масштаб был не 1920x1080, а 2560x1440».

Обычно ж как — скидывают .psd и крутись как хочешь.



Весной 2015-го, придя в uKit, я узнал о Sketch — и увидел, как шаблоны стали появляться с красивыми и одинаковыми метками размеров относительно друг друга и очень подробным описанием.

Тогда мне захотелось большего. И буквально через несколько месяцев вышел Zeplin 1.0. Это приложение изменило мое представление о верстке в целом — потому что оно по-настоящему делает жизнь верстальщика счастливой.

Total votes 36: ↑33 and ↓3 +30
Comments 51

Добавляем места на диске для Linux–сервера в облаке Azure Pack Infrastructure, а заодно и разбираемся с LVM

Reading time 6 min
Views 12K
В этой статье будет рассмотрен процесс увеличения места на диске Linux–сервера в облаке Azure Pack Infrastructure от InfoboxCloud. Это стандартная процедура, выполняемая с помощью LVM, которая есть в любом Linux–образе в нашем облаке.

Данная инструкция полезна не только для увеличения размера на едином диске, но и для создания общего пространства из подключенных виртуальных дисков, что позволяет преодолеть максимальный размер виртуального диска (для VHD – 2048 гб) и создать единое большое пространство для данных.


Если вы не хотите разбираться в этом, просто напишите нам тикет в техническую поддержку и мы сделаем все за вас.

Что такое LVM?


LVM — система управления логическими дисками в Linux, высокоуровневое представление подсистемы хранения данных на сервере (более высокоуровневое чем диски и разделы). Эта технология дает системным администраторам гибкие возможности в выделении дискового пространства для приложений и пользователей, включая возможность изменения размера логического тома.
Читать дальше →
Total votes 16: ↑14 and ↓2 +12
Comments 17

Терапии против Старения

Reading time 12 min
Views 29K
image
Голый землекоп

Старение самый большой убийца на земле- каждый день умирают сотни тысяч человек. Большинство людей не хотят умирать, и были бы счастливы прожить еще пару лет, или еще 10-15 лет. На самом краю смерти, люди понимают как они любят жизнь. Люди меняют свои привычное питание, бросают курить, худеют, бросают пить как только становится очевидным вред здоровью. Медицина лечит в основном пожилых людей. А если бы продлить здоровое долголетие миллионов людей экономический эффект был бы впечатляющий.
Читать дальше →
Total votes 24: ↑21 and ↓3 +18
Comments 25

Проект за пару дней: большой дисплей из светодиодных лент

Reading time 6 min
Views 75K


Полгода назад мы дополнили наш почти традиционный офисный каток 7,6 тыс. светодиодами, чтобы транслировать изображения и видео прямо на поверхность льда. На гиктаймсе был опубликован пост, в котором рассказывалось о том, что подо льдом скрывается самый настоящий гигантский дисплей разрешением 120х63 «пикселей», на который можно выводить достаточно сложные и яркие изображения.

Часто нам задавали вопрос: можно ли своими руками сделать нечто подобное дома? Можно, почему нет? Про лед был подробный рассказ (вот история о первом катке — захватывающее чтиво в июльскую жару), а вот о способах превращения светодиодов в большой дисплей практически не упоминали. Так как наши мейкеры люди занятые и предпочитают говорить о чем-то новом, а не пережевывать прошлое, публикация этой статьи откладывалась снова и снова. В конечном счете мы решили перевести для вас понятный и наглядный туториал, после которого можно будет взять и повесить дисплей себе на стену.
Читать дальше →
Total votes 27: ↑25 and ↓2 +23
Comments 27

Работа мечты и бесплатный кластер на 1 миллион мета-данных

Reading time 4 min
Views 12K
Доброго времени суток!

Мы решили дать публичный доступ к архиву 1 млн насыщенных мета-данными сообщений соцмедиа (несколько сотен источников, включая посты и комментарии соцсетей, блогов, форумов, СМИ и т.п.).
Предлагаем попробовать свои силы в создании различных эвристик, закладываемых в классические SMA-системы (Social Media Analytics). Чем больше эвристик вы придумаете и сможете реализовать, тем выше ваш класс в Data Scientist. Возможно в вас живет настоящий профи: Data Scientist — одна из крутых профессий ближайшего будущего!

Для состоявшихся фанатов-профи — это возможность проверить и показать свои способности, а также, при обоюдном желании и радости, получить годовой контракт на $30.000 — $50.000.



Подробнее под катом
Читать дальше →
Total votes 19: ↑14 and ↓5 +9
Comments 18

Система распознавания отображаемых данных объекта

Reading time 11 min
Views 23K
СИСТЕМА РАСПОЗНАВАНИЯ ОТОБРАЖАЕМЫХ ДАННЫХ ОБЪЕКТА

ВВЕДЕНИЕ
Разработанная система предназначена для бесконтактного распознавания данных объекта выводимых на его дисплей. Система является частью средств для тестирования объекта по данным диалога между объектом и пользователем.
Тестирование систем, имеющих доступ к программным или аппаратным каналам вывода информации пользователя не требует распознавания данных. Однако, когда такое подключение к данным объекта отсутствует, его можно выполнить при помощи бесконтактной системы распознавания, которая может обеспечить длительное наблюдение за состоянием объекта в автоматическом режиме.
В этой работе обсуждаются средства распознавания МатЛАБ без использования нейронных сетей, эффективность которых, в значительной мере, зависит от результатов обучения.
Особенности разработанной системы показаны на примере распознавания данных дайв-компьютера компании Open Safety Equipment Ltd.
Статья содержит следующие разделы.
• Библиотечные функции обработки изображений МатЛАБ
• Характеристики используемой веб камеры, подключение камеры к среде МатЛАБ, настройка режимов камеры.
• Распознавание символов с использованием корреляционных функций.
• Интерфейс пользователя системы распознавания и результаты распознавания

БИБЛИОТЕЧНЫЕ ФУНКЦИИ ОБРАБОТКИ ИЗОБРАЖЕНИЙ МАТЛАБ
MatLAB имеет библиотеки функций для работы с графическими файлами и видеосигналами. Ниже даны используемые варианты библиотечных функций.
Считывание изображения графического файла
>> pct = imread('DC_OS.jpg');


Рис. 1. RGB изображение [1] JPG файла в формате <196x259x3 uint8>
Читать дальше →
Total votes 11: ↑9 and ↓2 +7
Comments 5

Интернет. Теперь на даче

Reading time 4 min
Views 43K
Заметка ни на что не претендует, просто еще один опыт.

image

Так замечательно оторваться от городских будней и насладиться единением с природой. Но даже в такие счастливые минуты, когда гаджеты и интернет вещей уходят на второй и третий план, приходится иметь план «Б», если позвонят и попросят куда-нибудь подключиться и что-нибудь посмотреть. Естественно, через интернет. Хорошо, если мобильный оператор развернул в твоем населенном пункте современную сеть передачи данных, которая удовлетворяет по качеству и по скорости.
Читать дальше →
Total votes 38: ↑37 and ↓1 +36
Comments 91

Сервер приложений 1С на Linux

Reading time 13 min
Views 223K
Двигатель прогрессаВ последнее время, всё чаще и чаще меня начинает душить жаба.
Большая, зелёная, она угнездилась где-то внутри и формирует категорическое нежелание платить за что либо, даже если это не мои личные деньги! Не платить вообще, или же по максимуму минимизировать затраты там, где это возможно.
И если ко всему прочему, необходимо организовать работу с 1С в малой или средней компании, при ограниченном бюджете, то напрашивается желание собрать сервер из того что есть и накатить на него что-нибудь бесплатное.
Это всё к тому, что совсем необязательно покупать для 1С-сервера, лицензии от MS Windows Server+Terminal Cals и MS SQL сервер. Также необязательно рассматривать различные утилиты бэкапа и прочего софта реализующего все фишки работы терминального сервера 1С.

Сравнение платного и бесплатного софта (без учета железа) взято по большей части отсюда, по примеру данной статьи и на данный момент выглядит так:
Наименование Стандартное лицензирование (руб.) Вариант Linux + Postgres SQL (руб.)
Лицензии Windows
Windows Server 2012 Std. 45012 0
MS Windows Terminal Services Client Access License 2012 Single Language 1-device NoLevel OLP 102960 (20x78) 0
Лицензии 1С
1С: Предприятие 8.3.Лицензия на сервер (x86-64) 86400 86400
1С: Предприятие 8.3 Клиентская лицензия на 20 рабочих мест 78000 78000
Лицензии SQL
Лицензия на сервер MS SQL Server Standard 2012 Runtime для пользователей 1С: Предприятие 8 13381 0
Клиентский доступ на 20 рабочих мест к MS SQL Server 2012 Runtime для 1С: Предприятие 8 117748 0
Итого 443501 164400
Экономия 0 279101

Читать дальше →
Total votes 41: ↑33 and ↓8 +25
Comments 175

Управляем вентиляцией с помощью детектора углекислого газа MT8057

Reading time 3 min
Views 22K


Многие пользователи популярного детектора углекислого газа (CO2) MT8057 задают нам вопросы о том, как реализовать с помощью данного детектора управление приточной или вытяжной вентиляцией. Просмотрев наш ассортимент, мы нашли устройство, с помощью которого и хотим предложить решение данной задачи.
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Comments 29

«Сверхзвуковой» фен от Dyson за 399 долларов

Reading time 2 min
Views 35K
image

Английская компания-производитель бытовых электроприборов Dyson, наиболее известная своими пылесосами и сушилками для рук, обратила внимание на обычный фен.

«Мы поняли, что использование обычного фена может приводить к повреждению волос», сказал миллиардер-предприниматель и основатель компании Джеймс Дайсон. «Так что я бросил вызов инженерам Dyson, чтобы действительно понять науку о волосах и создать нашу версию фена, который, как мы думаем, решит эти проблемы».

В Dyson утверждают, что инвестировали 71 миллион долларов и потратили четыре года на исследования и разработку новых технологий, чтобы сделать фен более тихим и менее вредным для волос. В результате устройство имеет двигатель, который в восемь раз быстрее и намного меньше, чем те, которые используются в самых популярных моделях, сообщает arstechnica.
Читать дальше →
Total votes 23: ↑19 and ↓4 +15
Comments 119

Let's Encrypt закончил бета-тестирование и выдал уже 2 миллиона сертификатов

Reading time 1 min
Views 10K
image

Количество HTTPS-сертификатов, выданных сервисом бесплатного автоматического получения Let's Encrypt, будто бы растёт экспоненциально: ещё в начале марта он выдал миллион регистраций, а 21 апреля их число уже достигло двух миллионов. Кроме того, сервис вышел из фазы бета-тестирования и доступен в рабочем режиме.

Руководство проекта также сообщило, что главные его спонсоры, Cisco и Akamai, продлили свою поддержку ещё на 3 года, а среди новых спонсоров — компании Gemalto, HP Enterprise, Fastly, Duda и ReliableSite.net.
Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Comments 10

8 ошибок при разработке мобильного приложения

Reading time 6 min
Views 14K
В этой статье мы хотим поделиться своим опытом с другими командами начинающих разработчиков. Наша команда прошла большой путь и столкнулась с множеством неправильных решений, от которых мы вас любезно избавим. Итак, давайте приступим:



Ошибка № 1 — Заблуждение


У вас есть идея мобильного приложения? И, конечно же, она просто “гениальна” и принесет вам сотни миллионов долларов. У меня в голове появилась именно такая идея и я решил действовать. До этого у нас в компании никто не занимался мобильными приложениями. Мы разрабатывали сайты и ничего не знали о мобильной разработке и рынке мобильных приложений. Все наши знания ограничивались одной информацией — Facebook купил WhatsApp за 18 миллиардов долларов. И на основании этого мы сделали вывод, что мобильная разработка — это круто.
Total votes 26: ↑15 and ↓11 +4
Comments 19

Information

Rating
Does not participate
Registered
Activity