@denis-golub , как раз дело в отношении. товарищи с golos.io могли бы зайти к толе в личку, но этого не сделали, пока он не обнаружил проникновение.
RE: Критическая уязвимость goldvoice.club
Вы читаете одну нить комментариев от:
Критическая уязвимость goldvoice.club
Вам может быть интересно
@litrbooh проникновение у тебя токсинов в мозгу. Выдумываешь на лету.
@azarod я так понимаю переход на оскорбления за неимением аргументов?
@t3ran13 , да я уж не стал писать, что новый продакт менеджер @azarod оказывается редкостное хамло, но это и так очевидно
@litrbooh у нас все люди воспитанные, подбираем по росту, весу и надичию бороды, поскольку вся сила интеллекта в наших делегатах - они подскажут или напишут в "правду"!)
@azarod , что ничего не было?
https://golos.cf/history?login=format-x22&stop=&keywords=&match=false&all=false&type=ALL&node=wss://ws.golos.io
@litrbooh каемся, мы переодически проводим тесты безопасности нашего сервиса.
@nickshtefan , вы молодцы, а на Голдвойсе @format-x22 чего делал?
@litrbooh Сегодня после нашего ежедневного созвона команды я занялся тестированием безопасности нашей системы. Сегодняшней задачей был поиск хранимых XSS уязвимостей в новом клиенте. Занимаясь этим была обнаружена одна не критичная уязвимость, которую я передал на исправление. После я решил посетить альтернативные клиенты т.к. подобные уязвимости у них могут негативно сказаться на всем проекте GOLOS, а не только golos.io. И сразу же обнаружил нестандартное поведение на goldvoice.club. Далее я дополнительно протестировал на уязвимости уже goldvoice, создав несколько дополнительных аккаунтов через goldvoice, а именно testxxx, testxx и testx. Уже завершая цикл проверки я узнал что владелец goldvoice уже обнаружил проблему, очевидно увидев в консоле сообщение "10", которое я выводил, находя баг. Далее владелец goldvoice сообщил что закрывает сайт на поиск уязвимостей. Ну а после был опубликован этот пост с демонстрацией т.к., судя по всему, владелец goldvoice исправит все проблемы и пользователи блокчейна GOLOS будут в безопасности.
Все действия, которые я выполнял, публично доступны в блокчейне.
@format-x22 , т.е. проникновение всё таки было - был внедрен скрипт выводящий в консоль "10"?
именно) одни отнекиваются, другие соглашаются))) более того, у них один из тестов именно серверный вариант для пхп?
@format-x22 ты лучше скажи, вы все уязвимости закрыть успели? повторно тестили?
@t3ran13 мы постоянно находимся в поиске, это не то дело, которое можно завершить
я имею ввиду после закрытию по второму кругу тесты были? помогло ли?
@litrbooh так я так и написал что тут не поста а отношение