Jump to content
¯\_( ツ)_/¯
  • TAD GROUP are currently hiring penetration testers. Please read the topic in Career Central subforum.
  • Sponsored Ad

Cvetomirg

Потребители
  • Мнения

    23
  • Присъединил/а се

  • Последно посещение

  • Days Won

    3

Всичко публикувано от Cvetomirg

  1. http://pwndb2am4tzkvold.onion Ето я и hardcore версията на haveibeenpwned
  2. Cvetomirg

    Help

    Да пише на съпорта да си върне профила? Най-вероятно са му гепили мейла, и оттам профила, затова се слага 2FA, да е по-сигурно? Ако от фейсбуук не ти съдействат, няма как да стане.
  3. Според мен няма да се промени кой знае какво, винаги ще има хора, които се регистрират за да пуснат някаква тема без да четат каквото и да било. Има и друг вариант - рестрикция за публикуване на тема, като например някакъв брой минимални постове, но пък това ще доведе до безсмислен bump на стари теми и спам за бройка мнения.
  4. Ще ти обясня, след като каза че приемаш критика. Видеото започва със странна индийска музика, notepad-a е fine, щом не ти се говори, но в него липсват обясненията. В този ред на мисли, не смятам, че начинаещ човек би разбрал какво се случва след 50-тата секунда. Първо видеото го спрях, заради музиката ( ужасна е, и прекалено силна ), след като написах мнението, реших да се върна да погледна за да видя дали някъде по-късно няма обяснения - нямаше, затова оставих долните редове. Похвално, че правиш видеа, но ако искаш наистина да достигаш до newbie friendly аудитория - ще трябва да обясняваш нещата и стъпките, имаше една методология за писане на articles и подобни tutorials ( WWWH) - да има обяснения на въпроси - Why / When /What/ How.
  5. След 50-та секунда какво общо има с XSS? Също във видеото няма никакво обяснение за каквото и да е било. На който не му е ясно, понеже обяснения липсват - накратко за XSS stores xss / persistant - XSS, който остава на сървъра по някакъв начин. За пример регистрирате се някъде с malicious payload -> записвате данните, сървъра връща окей и данните са на сървъра, и евентуално ще се execute-нат някъде от админ панела например или пък някоя страница от фронт енда на потребителите. reflected XSS - рефлектед, защото като се прати request към сървъра, сървъра обработва по някакъв начин requesta-a и като праща response -> закача към него и xss-a. Могат да се правят евентуално XSRF / clickjacking / фишинг простотии и т.н.. . self xss/ dom - тук е ясно, влизам в кода, правя квот си искам едит: Опа, сега изгледах докрая, игнорирай ми първия ред.
  6. Този блог няма значение, защото е личен блог, да си видял да представям услуги на него? За такъв сайт трябват няколко неща - pixel perfect и клиенти / неща, които си вършил преди това. Нали не мислиш, че някой ще поръча сайт от теб, като има това: https://themeforest.net/category/site-templates Продавам няколко неща там и мога да те уверя, че са pixel perfect и mobile first. Оправи си сайта, събери портфолио пък тогава представи нещо, така е много несериозно. Аз преди 8-9 години като започвах си мислех същото - ще направя сайта, ще завалят поръчки. Намери си някакви домейни, да кажем .info са по 1 долар, измисли и направи 5-6 сайта, колкото да напълниш някакво портфолио. И измисли накъде ще се насочваш, дали бек енд или фронт енд - и двете неща са коренно различни и имат съвсем други концепции. пс: пусни си обявата тук: http://predpriemach.com -
  7. Сайта, съдържанието, представянето, услугите, дизайна.
  8. Cvetomirg

    PhP task

    https://pastebin.com/0xq8aAun <?php function calculate($units) { $finalprice = 0; for ($step = 1; $step <= $units; $step++) { $currentprice = 0.10; if($step > 50 && $step <= 150) { $currentprice = 0.15; } if($step > 150 && $step <= 250) { $currentprice = 0.25; } if($step > 250) { $currentprice = 0.35; } $finalprice += $currentprice; } return $finalprice; } function calculateVat($price,$percent) { $vat = ($price / 100) * $percent; return $price + $vat; } $withoutVat = calculate(302); $finalresult = calculateVat($withoutVat,20); echo number_format($finalresult,2,',','') . ' лева'; Давай друг път това което си писал, че да може да погледнем и евентуално да се даде решение подобно на твоето. Имаш доста варианти да подходиш, ето ти примерен for loop, но в real ситуация нещата са малко по-абстрактни и би желал да пазиш въпросния currentPrice като хората, отделно не би искал и да повтаряш такива безсмислени for loops, дори може да започнеш да въртиш от 50+, цената преди това ти е фиксирана, същото важи и за следващите стъпки, можеш и без цикъл, но не се чете. Имаш и друг вариант, може да проверяваш само ако числото е по-голямо, тогава всички назад ще са ти в максимума, както 50 е винаги 5 лева и оттам можеш да си структурираш някакъв израз, но не се чете особенно.
  9. Cvetomirg

    Комуникация

    Аз ще "approach"- на :D темата с моите 5 "цента". Лично аз прекарвам изключително много време в EN сайтове, дори мисля, че освен predpriemach.com, и да прегледам в седмицата 2-3 пъти dnevnik.bg друго не чета. Може да се каже, че съм заклет redditor и по-голямата ми част от свободното време на компютъра, прекарвам като "браузвам" различни "субредити". За чуждиците, някои неща не се превеждат окей на други езици и е най-добре да се използват английските думи, а относно това дали са на място или не, зависи от човека.
  10. От скоро си играя със Samsung TV Smart APP, който се distribute-ва с телевизорите им и все повече се убеждавам, че това недоразумение е писано от interns/ idiots. https://developer.samsung.com/tv/develop/api-references/tizen-web-device-api-references/ ако имате свободно време и ви се занимава, може да разгледате, имат и емулатор, който едва работи, но пък върши някаква работа за тестване. Самсунг имат що годе адекватна bug bounty програма, та може да се изкара някой лев от това недоразумение https://www.theregister.co.uk/2017/07/12/samsungs_tizen_no_longer_worst_ever/ https://www.digitaltrends.com/mobile/tizen-security-multiple-exploits-os/
  11. Малко update - последно време се заиграх в разни custom ecommerce решения - предимно stored XSS и cache poisoning / uploads и резултата е следния. Повечето магазини не плащат bug bounty но пък са окей да дадът по някой ваучер. Посъбрах доста ваучери за пазаруване: - 2 ваучера от 2 различни сайта за електроника и аксесоари ( мишки / клавиатури ) - един 100лв, друг 50лв - ваучер за 70 лева в магазин за обувки - 2 ваучера един 100 лева, друг 50 в два магазина за дрехи - bug bounty от 300лева от голяма медийна група ( не са идиотите от netinfo )
  12. Най-много да го привикат до полицията и то само ако има основания. Ако ти се занимава и наистина смяташ, че е злоупотребил отиваш до полицията и искаш да напишеш жалба. Най-отгоре вляво пишеш До Главна Дирекция Борба с Организираната Престъпност и на вниманието на директора на сектор Киберпретъпления, [ОПИСВАШ СИ В С СВОБОДЕН ТЕКСТ ПРОБЛЕМА, И евентуално ще имаш отговор до 30 дни, но дори и да го привикат, изобщо не означава, че ще ти дадът информация кой е.
  13. Едно време преди около 12-тина години се занимавах като бях келеш. Но тогава нямаше 2FA auth, mobile protection и т.н.. защити, които обезсмислят много нещата, ако таргетваш популярни сайтове като фейсбуук и т.н.. Дори и тобстера сигурно ще може да направи един фишинг сайт. Теглиш страницата локално, формата за login води към youraction.php , и там save-ваш детайлите с един timestamp и това е цялата работа. Не се занимавай.
  14. А ти защо не си направи труда от Октомври до сега да качиш допотопното нещо на live сървър, за да видим как се държи в истинска среда. localhost не значи почти нищо. Плюс това ако наистина ползва mysql вместо mysqli - нещата са трагични, още повече че това нещо ползва paypal gateway. Въпросът е как са те скамнали да купиш подобно нещо и колко пари даде?
  15. Не бих свалил, камо ли да тествам на localhost нещо, което дори не е обяснено какво представлява и каква работа върши. Блог платформа ли е, ecommerce, music portal, video? porn cms? От прочитането на поста на @freeman987 разбирам, че става дума за допотопна система, която използва mysql вместо pdo/ mysqli, тоест навярно си се върнал с машина на времето и си купил това чудо през 2000-та година.
  16. https://www.riskiq.com/blog/labs/magecart-british-airways-breach/ Е това също е интересно, как бяха хакнали british airways
  17. По-добре го качи някъде, за да можем да го огледаме как стои live.
  18. http://cvetomir.info/articles/10/kritichna-xss-uqzvimost-v-pochti-vsichki-bulgarski-platformi-za-ecommerce Май повечето неща съм ги описал в статийката. Enjoy, добавил съм и инфо как е протекла комуникацията с отделните компании.
×
×
  • Създай нов...

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.