Все началось с попытки получить инвайт на хабр белыми методами, но, увы получилось иначе и инвайт достался совсем нечестным способом, об этой истории я и хотел бы поведать храброчитателям.
Читать полностью »
Рубрика «взлом хабры»
Уязвимость на Habrahabr или как украсть инвайт
2013-04-12 в 10:54, admin, рубрики: взлом хабры, информационная безопасность, уязвимость, метки: взлом хабры, уязвимостьКак я (ускоренно) прошёл курс ускоренного комментирования на Хабре
2012-09-12 в 14:09, admin, рубрики: валидация html-форм, взлом хабры, Песочница, хабрахабр, метки: валидация html-форм, взлом хабрыНе знаю, почему, но Хабр уже второй раз предлагает мне пройти специальный курс, тут же совмещённый с тестом. Предполагается, наверное, что это отучит меня оставлять комментарии, начинающиеся с маленькой буквы и содержащие смайлики (остальные правила русского языка я соблюдаю).
Когда рассеянно листаешь страницы, задумываться над ответами теста не хочется, поэтому я сразу полез в исходник страницы и увидел вот такой код: Читать полностью »
Защищаем сайт от атак на примере ХабраХабра
2012-03-14 в 11:13, admin, рубрики: безопасность, взлом хабры, защита, информационная безопасность, метки: безопасность, взлом хабры, защита
Рано утром Хабр «выкатил» своё новое обновление, и я с чистой совестью достаю эту статью из черновиков.
Вчера у меня случился epic fail и этот топик частично, включая строчку об апдейте выше, попал в паблик на пару секунд. За эти секунды топик успело плюсануть несколько человек.
Ещё раз, теперь публично, прошу прощения у администрации!
Совет остальным — НИКОГДА не храните в черновиках информацию вроде этой.
В последнее время в сети Интернет можно найти очень много пособий для «Начинающих хакеров», в которых подробно описываются все основные методы взлома сайтов. Думаете, веб-разработчики стали от этого умнее и предприняли все возможные методы для защиты? Я так не думаю.
В настоящей статье я хочу ещё раз поведать разработчикам о том, как ломают сайты, а чтобы вам не было скучно, я попутно буду ломать Хабр и подробно описывать, как я это делал. Мы рассмотрим такие интересные штучки, как «Активная XSS в профиле», «Бесконечное обнуление кармы», «Публикация топиков со значком 'Из песочницы'», «CSRF через Flash и дыру в Internet Explorer 6» и многое другое.
Все уязвимости уже исправлены. Ну или почти все. Поэтому, если вы найдёте очередную дыру, то пишите на support@habrahabr.ru — миф о том, что эту почту никто не читает всего лишь миф.
Читать полностью »