Aktywne Wpisy
Pesa_elf +193
Zaczynam nitkę z najbardziej przecenianymi artystami w Polsce. Tego jegomościa traktowano jak papaja bo umiał dobrze klaskać z orkiestrą i wszędzie go zapraszali jak jakaś wyrocznię.
#glupiewykopowezabawy #takaprawda #gownowpis #muzyka
#glupiewykopowezabawy #takaprawda #gownowpis #muzyka
źródło: 0003VQ07T7HSMQT0-C122-F4
Pobierz
mirko_anonim +39
✨️ Obserwuj #mirkoanonim
Kończę wieloletni związek z facetem, któremu odwidziało się ślubu i dzieci. Mam 28 lat, czuję się bezwartościowa i mam ogromną pustkę w sercu. Przygotowywałam się od 2 lat do macierzyństwa, czekałam bo najpierw lepsza praca, mieszkanie, stabilność. I jak juz mielismy konkretne plany kilka dni temu usłyszałam, że jemu instytucja małżeństwa nie odpowiada i dzieci też mieć nie chce, bo go ograniczą. Czuję się jakby ktoś wbił mi nóż
Kończę wieloletni związek z facetem, któremu odwidziało się ślubu i dzieci. Mam 28 lat, czuję się bezwartościowa i mam ogromną pustkę w sercu. Przygotowywałam się od 2 lat do macierzyństwa, czekałam bo najpierw lepsza praca, mieszkanie, stabilność. I jak juz mielismy konkretne plany kilka dni temu usłyszałam, że jemu instytucja małżeństwa nie odpowiada i dzieci też mieć nie chce, bo go ograniczą. Czuję się jakby ktoś wbił mi nóż
Aktywne Znaleziska
W dzisiejszym odcinku #od0dopentestera pokażę Ci 4 błędy w oprogramowaniu Kallithea, które umożliwiają dostęp do cudzych danych.
Kallithea to serwer #git napisany w #python
Uprawnienia w całej aplikacji są weryfikowane przy pomocy dekoratorów.
Za każdym razem gdy chcemy sprawdzić czy użytkownik posiada dostęp do danej funkcjonalności - zamiast wywoływać funkcję
HasRepoPermission- możemy użyć dekoratorów.@HasRepoPermissionAllDecorator('repository.admin')def delete(self, repo_name):
Takie rozwiązanie poprawia czytelność kodu, ale jeżeli nie umieścimy żadnego dekoratora przed funkcją - aplikacja będzie myślała, że dany użytkownik ma pełne uprawnienia do danej funkcjonalności.
W tym wypadku programiści zapomnieli o dekoratorze w miejscu, które było odpowiedzialne za ustawianie odpowiednich uprawnień dostępu do repozytorium.
Wystarczyło więc znać nazwę cudzego repozytorium i ustawić siebie jako administratora.
Drugi błąd znajdował się w interfejsie API.
Aplikacja pozwalała na tworzenie repozytoriów na podstawie innych repozytoriów.
Standardowe użycie to podanie adresu http interesującego nas repozytorium - na przykład na Githubie.
Ale git pozwala również na klonowanie lokalnych repozytoriów - przy użyciu normalnej ścieżki do katalogu.
Jeżeli znaliśmy nazwę używaną przez innego użytkownika - mogliśmy przewidzieć w jakim katalogu Kallithea trzyma wszystkie potrzebne dane.
Następnie wystarczyło podać tą ścieżkę podczas tworzenia nowego repozytorium i kod do którego nie posiadaliśmy dostępu, nagle okazuje się być dostępny.
Więcej informacji na temat tych błędów na moim blogu.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @znow_nowy_nick @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto
@KacperSzurek: takie rozwiązanie, to najczęściej jest odpowiedź na:
#!$%@?, #!$%@?śmy coś w logice aplikacji, ale #!$%@? dekoratory tu i ówdzie, to nie trzeba będzie tego przepisywać.