Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Разработчики Slack исправили уязвимость, которая позволяла захватывать чужие учетные записи. Проблему еще в ноябре 2019 года обнаружил ИБ-исследователь Иван Кастодио (Evan Custodio).
Кастодио обнаружил уязвимость, используя атаки HTTP Request Smuggling и инструменты собственной разработки. По сути баг позволял похищать cookie-файлы сессий через HTTP Request Smuggling и устанавливать контроль над чужими учетными записями.
Исследователь пишет, что уязвимость была «чрезвычайно критичной» как для компании Slack, так и для всех клиентов и организаций, использующих платформу. Дело в том, что эксплуатация бага могли привести «к серьезной компрометации большинства данных клиентов», а злоумышленники могли бы создавать автоматизированных ботов, которые осуществляли бы непрерывные атаки, перехватывали сессии жертв и воровали все, до чего могут добраться. Схему такой атаки можно увидеть ниже.
Разработчики Slack оперативно устранили данную уязвимость, а исследователю выплатили 6500 долларов США по программе bug bounty.
Кроме того, в Slack был исправлен еще один опасный баг, найденный специалистами Detectify. Уязвимость позволяла злоумышленникам похищать токены аутентификации пользователей, которые затем могли обеспечить полный контроль над сообщениями и учетной записью жертвы. Как пишут нашедшие проблему эксперты, хакеры, по сути, могли создавать вредоносные сайты для хищения токенов XOXS. Раскрытие этой ошибки принесло специалистами Detectify 3000 долларов США по программу вознаграждения за уязвимости.
|
|