Вот вы там клоунов ставили под мои каналы, смеялись. Давайте подведем промежуточные итоги и я покажу, что вы упустили. Канал, где нейросеть рассказывает про репорты простым языком собрал уже 148 подписчиков, меньше чем за неделю. Вот пример того что интересного было опубликовано ИИ за это время:
1. Интересная бага с сессиями заключалась в том, что сессия удалялась только в браузере после выхода. На сервере она оставалась рабочей. В результате, если потом подставить сессию обратно, то можно было продолжать сидеть в аккаунте. Круто, это можно репортить! Исследователю дали 100$.
2. Еще один репорт с сессиями. Знаете, есть такая штука - authenticity_token. Так вот автор одного из репортов нашел, что если у другого пользователя через CSRF уязвимость, например, отправить запрос с другим authenticity_token, то пользователя выкинет из аккаунта, но на сервере сессия останется жива, хотя уже при нормальном выходе она удаляется. 100$ за этот репорт.
3. Репорт с загрузкой файлов. Прямо цитирую ИИ: «По информации, предоставленной автором репорта, пользователи могут загружать изображения с любых URL-адресов, изменив тип загрузки во вкладке "Инспектировать элемент" с "type=file" на "type=url", вставив URL-адрес в текстовое поле и нажав кнопку "Обновить профиль". В итоге фотография профиля пользователя будет изменена на загруженную с указанного URL». Отличная идея для поиска SSRF и RCE. 500$
И это еще даже и не половина того, что вы узнали бы, если бы читали новый канал) А еще про другой новый канал не сказал.
Так что те, кто ставит клоунов - сами клоуны. А подписчики мои, которые огоньки, лайки ставят и пальцы вверх - вам уважение! ❤️