на маке в темноте смотреть невыносимо, глаза просто выжигает насколько ярко светит белый... и проблема только с твоими видео (не только с этим но и с последующими) и только на маке с oled экраном UPD: да, проблема в hdr
Спасибо огромное за видео! Мне иногда не хватает терпения сидеть и разбирать код, но после просмотра таких вот разборов становится понятно, что это не так сложно, как выглядит Спасибо за понятные объяснения!
Не совсем понятен ход рассуждений 11:13. Это была угадайка? Можете пояснить как был сделан вывод, что raw_request будет по разному прочитан фласком и php?
@MaxZhukovVrn не совсем, ведь как я сказал дальше в видео, python возьмет первый параметр, а php второй и это был известный факт для меня. Поэтому когда я увидел что фласк в PHP передает все тело запроса, а не формирует его сам из тех параметров, которые получил через request.get, все стало понятно.
Есть еще похожая история с X-Forwarded-For хедером, в котором передаются айпи всех прокси/гейтвеев/лоад балансеров и тд, через которые прошел реквест. Какие то веб-серверы считывают айпи из значения хедера начиная с начала, какие то с конца.
Мы валидировали (ввод пользователя), валидировали, да не вывалидировали... Это ж надо - пробросить raw-ввод (необработанный препроцессором текущего app!) ещё куда-то. Лень было сбилдить _новое тело_ запроса?) - ну то есть где значение параметра уже имеет значение, которое текущий обработчик посчитал валидным. jk jk это же все just 4 fun.
Доброго! К сожалению, пришлось видео с прохождением HTB машин на время скрыть, так как они нарушают некоторые правила платформы. Сейчас нахожусь в разъездах, но на следующей неделе обязательно продолжу выпускать новые прохождения.
@@eeak я их скрыл по запросу HTB, и буду возвращать назад по мере того, как машины будут переходить в статус "retired". Не беспокойтесь, следующее видео будет не менее интересным!
Друзья, ютуб после загрузки усветлил мое видео почему-то. Не знаю с чем это связано..
Надеюсь, это не сильно скажется на удовольствии от просмотра.
Возможно из-за HDR, но я не уверен
на маке в темноте смотреть невыносимо, глаза просто выжигает насколько ярко светит белый... и проблема только с твоими видео (не только с этим но и с последующими) и только на маке с oled экраном
UPD: да, проблема в hdr
@@factorealrusПроблему исправил в последнем видео.
Хвала рекомендациям! Спасибо за подробные объяснения, пока мало чего понимаю, но безумно интересно; сразу подписался)
Попугай зарешал 😁 👍👍👍
Спасибо огромное за видео! Мне иногда не хватает терпения сидеть и разбирать код, но после просмотра таких вот разборов становится понятно, что это не так сложно, как выглядит
Спасибо за понятные объяснения!
Пожалуйста:)
Офигеть, такая вещь как "с какого конца считывать параметры запроса", может привести к уязвимости... Как-то даже страшно теперь писать бекэнды)
А те то что. Пизды то девопс или безопасник, если имеется
Спасибо! Наткнулся недавно на канал. Один из самых интересных, что я видел.
Здорово!
Контентище на высоте. Продолжай - буду смотреть
очень годный контент, давай еще ! с:
Отличный канал, продолжайте
контент огонь, подписка лайки
Шикарно. Спасибо
Спасибо большое, очень познавательно.
Контент кайф, картинка космос! @MrCyberSec всегда приятно смотреть на твои размышления
Всё прослушал и просмотрел. Весь видос смотрел на прекрасного попугайчика)))
:)))
Крутое видео!
Отсылка к мортал комбату зашла 😂
Спасибо. Подписался)))
Крайне интересно было смотреть
Не совсем понятен ход рассуждений 11:13. Это была угадайка? Можете пояснить как был сделан вывод, что raw_request будет по разному прочитан фласком и php?
@MaxZhukovVrn не совсем, ведь как я сказал дальше в видео, python возьмет первый параметр, а php второй и это был известный факт для меня. Поэтому когда я увидел что фласк в PHP передает все тело запроса, а не формирует его сам из тех параметров, которые получил через request.get, все стало понятно.
с праздниками, отличный канал! но хотелось бы еще телегу, потому как ютуб ненадежен.
Есть еще похожая история с X-Forwarded-For хедером, в котором передаются айпи всех прокси/гейтвеев/лоад балансеров и тд, через которые прошел реквест. Какие то веб-серверы считывают айпи из значения хедера начиная с начала, какие то с конца.
Хм, не знал об этом, спасибо!
С попугаем хорошо!
А сделай, пжл дорожную карту. Было бы отлично, подтянуться по правильному вектору
Рекомендую ознакомиться с академией веб-безопасности от портсвиггер:
portswigger.net/web-security
Пернатый подсказывал! Так не честно 😂
😂😂
Мы валидировали (ввод пользователя), валидировали, да не вывалидировали... Это ж надо - пробросить raw-ввод (необработанный препроцессором текущего app!) ещё куда-то. Лень было сбилдить _новое тело_ запроса?) - ну то есть где значение параметра уже имеет значение, которое текущий обработчик посчитал валидным. jk jk это же все just 4 fun.
Ситуация в челленже утрирована для наглядности. В реальности подобное поведение встречается, но не настолько очевидно:)
а что для того что бы быть специалистом БП нужно знать языки программирования?
Неплохо бы
Доброго времени суток! Некоторые видео удаляются, или мне показалось? Зашел пересмотреть видео прохождения Linux-машины (минут 30 было), но не нашел(
Доброго! К сожалению, пришлось видео с прохождением HTB машин на время скрыть, так как они нарушают некоторые правила платформы. Сейчас нахожусь в разъездах, но на следующей неделе обязательно продолжу выпускать новые прохождения.
@@MrCyberSec , приветствую!
Не хотите куда-то перезалить видео, которые скрыли?
Например, телеграм, или быть может бусти. Что-то в таком роде.
@@artemmarenko8555 Приветствую, возможно так и сделаю..
Поддерживаю! За такой контент, готов оформить платную подписочку 😉
Вдвойне приятно смотреть- попугай 🔥
Куда делся ролик про Surveillance? Только вчера его лайкал, сегодня уже не могу его найти.
Ютуб удалил из-за нарушения авторских прав HackTheBox. Разбираюсь с этим..
@@MrCyberSec Еще кучу роликов удалено. Где посмотреть можно ?
@@eeak я их скрыл по запросу HTB, и буду возвращать назад по мере того, как машины будут переходить в статус "retired". Не беспокойтесь, следующее видео будет не менее интересным!
Попугайчик ❤️🔥
я вот только не понял откуда взялись исходники
Перед началом задания предлагалось скачать.
Сделай винду, а то только линукс решаешь.
В винде не силен, но как закончу курс подготовку к OSCP, обязательно сделаю. Ожидайте в ближайшие месяцы.
Какая порода попугая?) и как отучил его гадить на плече?)
Пиррура! А чтобы не гадила, смотрел на нее как Ленин на буржуазию, она и не рисковала:)) А если без шуток, то как-то не было прицидентов.
Жесть. А почему пхп с конца читает, че за бред... зачем они это так сделали?
Да и не только PHP так делает. Довольно обычное явление - читать последнее дублированное значение.
За попуга отдельный респект!