Кавычка

Есть такая штука, называется SSRF. Про нее написано немало, но все же, я расскажу тебе вкратце. Допустим, ты заходишь на сайт, заполняешь профиль и доходишь до пункта “загрузить аватарку”. А у тебя выбор — загрузить файл или указать ссылку. В данном случае, нас интересует второй пункт. Если мы укажем ссылку на ресурс, который содержит изображение, то веб-приложение: Так вот. Если сайт не проверяет, откуда он пытается скачивать изображение — это уязвимость (как правило). Причем векторы атак, на...

Как-то раз я взломал один из серверов telegram. Не то чтобы это было нечто интересное, да и сами уязвимости стандартные. Удивление скорее вызывает факт того, как телеграм относится к безопасности и почему на протяжении многих лет уязвимостями так никто и не воспользовался. Но, не ошибается тот, кто ничего не делает! Ещё в мае 2017 года @kyprizel обратил внимание на то, что telegram desktop может загружать ZIP-архивы к себе на сервер https://tdesktop.com. Как позже выяснилось, не только ZIP, а внутри...

Вася хочет перевести 100 долларов, которые есть у него на счету, Пете. Он переходит на вкладку переводов, вбивает Петин ник и в поле с количеством средств, которые необходимо перевести — цифру 100. Далее, нажимает на кнопку перевода. Данные кому и сколько отправляются на веб-приложение. Что может происходить внутри? Что необходимо сделать программисту, чтобы все работало корректно? Нужно убедиться, что сумма доступна Васе для перевода. Необходимо получить значение текущего баланса пользователя, если оно меньше чем сумма, которую он хочет перевести — сказать ему об этом...