По моему скромному мнению, баги из разряда банальных SQL инъекций в GET параметрах и выполнение команд через пайп уходят в далёкое прошлое. Различные фреймворки разрабатывающиеся десятками и сотнями людей, автоматизированное тестирование и лучшие практики программирования практически не оставляют шансов на то, что в начале двухтысячных являлось обыденностью. На мой взгляд, текущее время это пора гонок условий, логических багов, мисконфигураций и конечно же XSS. Которые приводят к различным серьёзным последствиям.
Не отрицая факт наличия простых критический уязвимостей и по сей день, что подтверждается на практике, хотел бы рассказать об одном интересном и в тоже время простом логическом баге в социальной сети VK.com.
Наверняка всем, кому это хоть как-то интересно, давно известно, что ВКонтакте запустила свою программу вознаграждения за уязвимости на базе Hackerone. Торжественно объявив об этом на хабре, социальная сеть по всей видимости получила то, о чём все знают, но по каким-то причинам забывают. Имею в виду хабраэффект. Иначе не могу объяснить неприлично долгого ожидания ответа по моему репорту. Если быть более или менее точным, то время ожидания на текущий момент составляет больше полугода. Являясь терпеливым по натуре человеком, я особо не доставал команду VK, как это делают многие нетерпеливые ресёрчеры. Предоставляю таймлайн для наглядности:
31.05.15 Отправлен репорт.
9.06.15 Присвоен статус «Triaged».
21.07.15 Спрашиваю как обстоят дела.
8.09.15 Интересуюсь о времени рассмотрения.
30.09.15 Посылаю ping.
6.11.15 Еще раз напоминаю о последствиях баги. Заявляю о снятии с себя ответственности.
17.12.15 Ещё один ping.
23.12.15 Извещаю о написании статьи на хабр.
Как можно заметить, кроме изменения статуса репорта с сообщением «Спасибо. Мы исследуем проблему и напишем вам.» никаких действий со стороны ВКонтакте не последовало. Несомненно, приватность фоток, XSS и любые другие виды атак на пользователей, важнее багов затрагивающий бюджет социальной сети. Поэтому я терпеливо ждал своей очереди. Но переодически наблюдая за открытой активностью в программе VK.com, я понял, что на мой репорт забили по каким-то причинам и ответа я так и не дождусь. Поэтому, выждав адекватное количество времени для реагирования на инцидент, решил поделиться с вами своей интересной находкой.
Описание бага, стоит начать с того, что он, по моим предположениям, существует с момента появления таргетированной рекламы по модели CPC в vkontakte.ru. Неизвесто сколько денег ВКонтакте потерял «благодаря» этой оплошности. Так вот, решив как-то раз стать крутым арбитражником, довольно длительное врямя проводил в рекламном разделе, что и столкнуло меня с этим упущением программистов ВК.
Выяснилось, что при совокупности некоторых действий, существует возможность не платить за клик по рекламе. Означает это то, что вы можете сливать неограниченные бюджеты заплатив при этом 100 рублей, и те нужны только для того, чтобы войти в минимальные пороги системы. Теперь, к подробностям, привожу содержание своего репорта отправленного 31 мая:
На текущее время 28.12.15 18:15 по Москве, фишка полностью функциональна и доступна для использования. Скриншотов и видео пояснений публиковать не буду, так как не сохранял ничего и считаю, что ответственный человек сразу поймёт о чём идёт речь. И воспроизвести последовательность по описанию не составит труда.
Возможно, я в каком-то роде преувеличил значимость этой ошибки и это не так важно. Но я всё ещё надеюсь, что репорт будет полезен для них. И это прочтут люди ответственные не за вопросы безопасности, которые не придали накакого, хотя бы малейшего, интереса, а те кто заведует материальными делами компании.
Для меня же, эта статья служит лишним поводом напомнить людям начинающим, коим являюсь, и тем кто планирует заниматся ресёрчем багов. Что не обязательно уметь находить сложные цепочки для выполнения кода при десериализации объектов. Не всегда нужно изучать тонны спеков и мануалов. Многие интересные, а зачастую критические баги лежат на поверхности, стоит лишь попробовать использовать предоставленный функционал немного не стандартно.
Спасибо, что уделили время на прочтение этого небольшого крика души. Всем благ и вкусных багов!
P.S. Ни в коем случае не пытайтесь повторить описанные действия. Использование этого материала в личных целях может преследоваться по закону!
P.P.S. На следующий день после публикации (29.12.15), баг закрыли со статусом «Duplicate». Никаких разъяснений не последовало.
Не отрицая факт наличия простых критический уязвимостей и по сей день, что подтверждается на практике, хотел бы рассказать об одном интересном и в тоже время простом логическом баге в социальной сети VK.com.
Наверняка всем, кому это хоть как-то интересно, давно известно, что ВКонтакте запустила свою программу вознаграждения за уязвимости на базе Hackerone. Торжественно объявив об этом на хабре, социальная сеть по всей видимости получила то, о чём все знают, но по каким-то причинам забывают. Имею в виду хабраэффект. Иначе не могу объяснить неприлично долгого ожидания ответа по моему репорту. Если быть более или менее точным, то время ожидания на текущий момент составляет больше полугода. Являясь терпеливым по натуре человеком, я особо не доставал команду VK, как это делают многие нетерпеливые ресёрчеры. Предоставляю таймлайн для наглядности:
31.05.15 Отправлен репорт.
9.06.15 Присвоен статус «Triaged».
21.07.15 Спрашиваю как обстоят дела.
8.09.15 Интересуюсь о времени рассмотрения.
30.09.15 Посылаю ping.
6.11.15 Еще раз напоминаю о последствиях баги. Заявляю о снятии с себя ответственности.
17.12.15 Ещё один ping.
23.12.15 Извещаю о написании статьи на хабр.
Как можно заметить, кроме изменения статуса репорта с сообщением «Спасибо. Мы исследуем проблему и напишем вам.» никаких действий со стороны ВКонтакте не последовало. Несомненно, приватность фоток, XSS и любые другие виды атак на пользователей, важнее багов затрагивающий бюджет социальной сети. Поэтому я терпеливо ждал своей очереди. Но переодически наблюдая за открытой активностью в программе VK.com, я понял, что на мой репорт забили по каким-то причинам и ответа я так и не дождусь. Поэтому, выждав адекватное количество времени для реагирования на инцидент, решил поделиться с вами своей интересной находкой.
Описание бага, стоит начать с того, что он, по моим предположениям, существует с момента появления таргетированной рекламы по модели CPC в vkontakte.ru. Неизвесто сколько денег ВКонтакте потерял «благодаря» этой оплошности. Так вот, решив как-то раз стать крутым арбитражником, довольно длительное врямя проводил в рекламном разделе, что и столкнуло меня с этим упущением программистов ВК.
Выяснилось, что при совокупности некоторых действий, существует возможность не платить за клик по рекламе. Означает это то, что вы можете сливать неограниченные бюджеты заплатив при этом 100 рублей, и те нужны только для того, чтобы войти в минимальные пороги системы. Теперь, к подробностям, привожу содержание своего репорта отправленного 31 мая:
Здравствуйте. В Таргетинге по модели CPC имеется, на мой взгляд, серьёзный баг позволяющий крутить рекламу, с любой стоимостью клика, безлимитно и почти бесплатно. Для POC понадобится:
— Создать любую рекламную кампанию с оплатой CPC.
— Установить для неё лимит в 100 рублей, т.к. меньше нельзя.
— Потратить в ней 100 р., для достижения минимального лимита.
— Теперь можно выставить любую стоимость клика от 0,5 до 100. Возьмём, к примеру — 10 руб.
— Установить лимит в 110 р.
— Запустить кампанию.
— Обновлять страницу кампании до изменения статуса с «Запускается» на «Запущено».
— Уменьшить лимит до 100 р.
Далее, в статистике, будут отображаться показы и охват, всё как обычно. После того как произойдёт клик, кампания остановится и этот клик не отобразится в статистике. Деньги при этом не спишутся! Хотя пользователь будет успешно перенаправлен на рекламируемую страницу. Это можно наблюдать в логах сервера, куда будет перенаправлен пользователь.
В итоге безлимитный таргетинг обходится — 100 рублей на кампанию. При всём этом, в несколько строк кода, процесс можно успешно автоматизировать и распараллелить на нескольких аккаунтах.
Не берусь оценивать, так как понятия не имею об архитектуре системы, но очень похоже на логический баг. О серьёзности судить вам :)
Надеюсь, репорт был полезен для вас.
На текущее время 28.12.15 18:15 по Москве, фишка полностью функциональна и доступна для использования. Скриншотов и видео пояснений публиковать не буду, так как не сохранял ничего и считаю, что ответственный человек сразу поймёт о чём идёт речь. И воспроизвести последовательность по описанию не составит труда.
Возможно, я в каком-то роде преувеличил значимость этой ошибки и это не так важно. Но я всё ещё надеюсь, что репорт будет полезен для них. И это прочтут люди ответственные не за вопросы безопасности, которые не придали накакого, хотя бы малейшего, интереса, а те кто заведует материальными делами компании.
Для меня же, эта статья служит лишним поводом напомнить людям начинающим, коим являюсь, и тем кто планирует заниматся ресёрчем багов. Что не обязательно уметь находить сложные цепочки для выполнения кода при десериализации объектов. Не всегда нужно изучать тонны спеков и мануалов. Многие интересные, а зачастую критические баги лежат на поверхности, стоит лишь попробовать использовать предоставленный функционал немного не стандартно.
Спасибо, что уделили время на прочтение этого небольшого крика души. Всем благ и вкусных багов!
P.S. Ни в коем случае не пытайтесь повторить описанные действия. Использование этого материала в личных целях может преследоваться по закону!
P.P.S. На следующий день после публикации (29.12.15), баг закрыли со статусом «Duplicate». Никаких разъяснений не последовало.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
dennis777
НУ ЗАЧЕЕЕЕМ ВЫ ЭТО СЮДА НАПИСАЛИ?)))))
Удалите статью, умоляю. 10к баксов за 2 месяца, что же вы делаете, мой совестливый друг?!
Evgeny42
Уверен автору все равно заплатят, ибо репутация компании в лице профессионального сообщества намного дороже 10к долларов.
dennis777
вроде пофиксили уже. Такое впечатление, что списалось задним числом с задержкой в пару минут. Хотя может прозевал обновление где-то
dennis777
Ан нет, судя по всему показалось. Полет нормальный. Интересно, сколько все-таки времени уйдет на фикс.
P.S. 3 завистливых минусатора, которые отнесли привет в карму — спасибо за потраченное время, и полностью с вами согласен. Такое поведение аморально, у меня нет никакой совести, но кто виноват, что порой получается наступать на сочные баги, которые приносят золото?)
ApeCoder
Я так понял, что баги приносят золото от кого-то? ;)
dennis777
не, узко мыслите. Золото можно добывать и самостояльно, вполне себе.
Вообще, из ВК можно лихо качать по трем направлениям:
1. спам — долго, муторно, противно, но очень хорошо работает (но мне, увы, не интересно)
2. настройка рекламы для других бизнесов (настройка кампании от 10 тыс рублей за 3-4 часа работы, плюс ведение), или перепродажа подписчиков другим пабликам (многие региональные сети готовы покупать подписчиков от 8 до 15 рублей в зависимости от региона. Ваша задача делать рекламу так, чтобы подписчик обходился дешевле, разница ваша).
Первые два пункта для этого бага не применимы. Спам он и в Африке спам, а по поводу п.2 — рекламодатель всегда проверяют статистику, а в данном случае, клики в статистике не отображаются, так что профита ноль.
А вот если вы хотите поарбитражничать, попродавать какой-то продукт или разрекламировать свой сервис — то очень даже хороший баг.
ApeCoder
Я так понял, что вы получаете больше показов платя меньше, но, так как внимание пользователя ограничено, кто-то получает меньше показов платя больше — не так ли?
dennis777
Вы все не правильно поняли. При ставке за клик — пофик сколько показов, деньги списываются только за клик. По наблюдениям, конкуренция по разным ставкам не очень то уж и взаимосвязана.
Кстати, если вы вдруг когда-нибудь будете делать рекламу в ВК — в 95% случаев выгоднее использовать ставку за показы, а не за клики. При хорошем объявлении и грамотно отобранной целевой аудитории экономится огромное кол-во денег.
Как правило, новички лезут в оплату за клик, получают маленькую скорость открутки объявлений и крайней высокую стоимость.
От этих действий страдает только ВК, и я не испытывал никаких зазрений совести. Если ребята не могут нормально настроить основной механизм зарабатывания денег — это сугубо их проблемы
dennis777
А то, что они проигнорили и никак не поблагодарили топикстартера — еще раз доказывает, что я был прав, что молчал и спокойно юзал
dennis777
а по поводу репутации, после ухода Дурова, там её уже совсем не осталось. Все эти договоренности с Роскомнадзорами и деятельность, которой они занимаются на благо поддержания отечества — имхо, оставляет желать лучшего
Evgeny42
Ну как бы нам не хотелось, чтобы ВК отстаивал наши права на свободу слова и так далее, мы не можем их винить в том что они «прогнулись», все таки это бизнес. Но то что компания игнорирует сообщения об ошибках, а тем более ошибках в сфере денег это конечно очень печально с точки зрения технического благоразумия. Ибо не все в мире хакеров измеряется в деньгах, часто дело и в репутации.
dennis777
Тут дело скорее не в ВК, а в общих жизненных принципах Меил.ру. Хотя о репутации, я тоже согласен, хотя и очень огорчен (по причинам указанным в выше), что этот баг всплыл наружу. Автору жирный плюс в карму. Я так не смог.
kumbr_87
Репутация ВК в моих глазах значительно упала когда после посещения страницы девелопера мне в течении десятка секунд прилетело личное сообщение от этого самого девелопера, мол я посещал их страницу и могут ли они мне чем либо помочь. Само собой я и раньше понимал что посещение страниц не остается бесследным, но тайно я надеялся что эта информация остается на серверах ВК без отдачи ее третьим лицам, еще больше меня обнадеживало то что в разделе Помощи ВК явно написано что не было, нет и не будет общедоступных средств позволяющих отследить посетителей страниц и тут такое, явно противоречащее их обещанию.
AterCattus
Кликджекинг на лайк и получение списка последних лайкнувших через API? Или речь про заход в профиль кого-либо непосредственно в ВК?
kumbr_87
Был заход на сайт компании и, кажется заход в группу, но лайки не нажимал, никуда не вступал, по скорости реакции предполагаю что личное сообщение было отправлено роботом
AterCattus
Вот похоже именно на кликджекинг на сайте компании. Даже на Хабре, помнится, обсуждали подобное.
kumbr_87
Интерес снова пробудился, гарантировано посещал первый сайт из спойлера.
http://parusregata.ru/
Nord001
Где-то был даже сайт который продовал эту возможность — сам удивился когда увидел на Фрилансиме задачку типа сделать так же.
Ohar
Nedder
Больше вероятность, что его в суд потянут.
marc13
Опрос так сделан специально?)
ethoz
Это баг :)
Aiki
Забавно наблюдать такое в статье про баг:
Yggaz
Ах, какой я молодец, что читаю комментарии прежде, чем написать свой :) :) :).
У меня уже 81% да (860) и 29% нет (308). Проценты растут и растут :).
TimsTims
del
CrazyViper
Нормальная такая ошибка округления:
KotBehemoth
Это не ошибка округления — просто опрос сделан с возможностью мультивыбора. У меня, признаться, тоже первый импульс был выбрать оба, когда увидел чекбоксы вместо радиобаттонов.
kot9pko
Гром не грянет — мужик не перекрестится. Когда ВК потеряет кругленькую сумму, тогда и спохватятся…
Temirkhan
Потеря крупной суммы решается юристами. Кто вообще станет этим рисковать? Вероятно, именно поэтому они болт и задвинули
cyber-security
Решение очевидно: если администрации не нужны сообщения об уязвимостях, или она не хочет за них платить — то не стоит ломиться в закрытую дверь, а предложить информацию тем, кому она нужнее.
Мораль сей басни такова — не надо никуда обращаться, надо сразу статью на Хабре писать про уязвимость)
pyrk2142
Сам недавно столкнулся с похожей проблемой: сообщил об уязвимости в мобильном приложении, через некоторое получил ответ, что уязвимости нет, все хорошо. Я проверил еще раз с максимальными настройками безопасности, приложил скриншоты и пояснения. После этого наступило тотальное игнорирование сообщений.
ef_end_y
Вот у вас и почти готовая статья. Может УК, а может на хабр
Speakus
Что такое УК?
Stalker_RED
Уголовный Кодекс.
Ваш К.О.
pyrk2142
На самом деле, у меня уже набралось достаточно материала статей на пять минимум. Но недовольство ситуацией пока недостаточно большое, чтобы эти статьи писать и публиковать.
storoj
Что за настройки безопасности, если не секрет? Есть где-то переключатель «Опасно/Средне/Безопасно»?
pyrk2142
Я имел ввиду возможность включения HTTPS здесь: vk.com/settings?act=security Вообще забавно, что в 2015 году у конечного пользователя довольно серьезного сервиса спрашивают, хочет ли он использовать HTTPS.
grishkaa
В каком из мобильных приложений и что именно Вы нашли?
pyrk2142
Вся информация об этой уязвимости описана в этом сообщении: hackerone.com/reports/90242 Если вы занимаетесь безопасностью VK, то сможете посмотреть все детали.
grishkaa
Спасибо. Я занимаюсь не безопасностью, а как раз таки приложением для Android.
Да, действительно, приложение отправляет первый запрос по нешифрованному HTTP. Да, в запросе содержится токен. Только вот сам токен по отдельности вообще ничего не даёт. Вы упускаете тот момент, что в каждом запросе помимо токена есть ещё и подпись, которая является хэшем от секретной строки, названия метода и параметров. Секретная строка получается приложением от сервера в процессе авторизации, проходящей строго по HTTPS, и впоследствии никогда не покидает устройство в открытом виде. Таким образом, для аккаунта, у которого в настройках включен HTTPS-only, вы максимум что можете сделать — повторять этот запрос и получать ошибку «доступ без SSL запрещён». Полным доступом к аккаунту пользователя здесь даже не пахнет.Я прочитал ваш отчёт, и с полной уверенностью могу сказать, что это чуть менее, полный бред. Вы просто хотели как можно скорее отрепортить хоть что-нибудь хоть о чём-нибудь. Настолько торопились, что даже не удосужились не то что бы проверить свою «уязвимость» на работоспособность, но даже перечитать свой текст перед отправкой:
Losmana
Вот это вот публичное, и на самом деле очень позорное унижение, более чем заслужено. Кто работал с рекламным кабинетом ВК, сталкивался с их саппортом, думаю разделят мое мнение. Ну и отдельно конечно хочется поздравить топа(топов), которые отвечают за разработку этого продукта. Пыжится несколько лет, в условиях когда рынок просто готов зашвырять вас баблом, и на выходе предложить парочку убогих форматов и таргетинг всего лишь по анкетным данным!? И эта тарантайка технологически по прошествии нескольких лет остается в том же виде? Ах да, научились еще приложения рекламировать, потратив на это еще пару лет. В общем, я считаю, что все заслужено. И если у (а кто сейчас кстати ими рулит? :), в общем если у СЕО есть хоть какое-то понимание того что происходит — надо всю команду увольнять и делать современный продукт. Тот тарантас, который называется у вас «Рекламный кабинет» далеко не поедет и денег много не принесет.
dennis777
просто фейсбук недостаточно быстро вводит обновления, чтобы можно было быстренько копипастить. Хотя реклама в ленте — достижение. Оперативно работают.
А в плане саппорта — больше всего бесят неадекватные модераторы, которые одинаковые эпизоды трактуют совершенно по разному. Один разрешает желтую рамочку, другой отклоняет, а ты из-за их неопределенности должен ждать по 12+ часов. Как по мне очень просто создать свод правил, общий для всех, и тогда не у рекламодателей, ни у модераторов не будет проблем. Но им это все по боку. Как и баги.
Но с точки зрения денег — вы не правы. Есть то же Церебро, которое позволяет собирать базы ретаргетинга по разным активным участникам сообществ, комментатором, посетителям конкретных обсуждений. Так что в правильных руках, он все-таки может приносить ОЧЕНЬ много денег. Честное слово.
Чтобы не быть голословным. Это таргет на Москву.
Losmana
Насчет того, что Вк — «копипаста» Fb — это клише середины 2000-х, распространенное среди не сильно разбирающихся в вопросе продакшна народо-масс, так что завязывайте уже с этим :) Вк — вполне успешный самостоятельный продукт.
Далее, скопировать алгоритм открутки Fb, который очень сложно вплетен в граф пользователей, со всей сопутствующей аналитикой и годами их опыта тонкой настройки, просто нельзя. Нужно было о своем думать 5 лет назад. Но, никогда не поздно начать (уверен, что не начинали, ибо веруют, что таргетинг по анкете — предел мечтаний российского предпринимателя будущего).
Про саппорт рекламного кабинета ходят легенды. Думаю если капнуть глубже, то ответственных лиц можно будет привлекать за незаконное эксплуотирование детского труда, ибо у меня частенько была уверенность, что я с детьми общаюсь. По поводу общего свода правил — согласен полностью. А то, на вопрос — сколько вам надо отзывов в App Store или Google Play, чтобы вы поняли что приложение не шлак и мне можно вам денег отдать и порекламиться, мне отвечают — у нас это на прописано, так что на глазок… Хотя WTF? почему они вообще должны отзывы смотреть, чтобы разрешить мне рекламировать приложение? Ребята-школьники-модераторы, поверьте мне, экспертиза ревьюров из Apple мальца ценнее вашего «на глазок». В общем модерация конечно заслуживает отдельной статьи, но видимо все желающие излить душу, как и я, настолько обессилены этой непроходимой и обезоруживающей тупостью, что просто не хочется.
Про деньги. Я имел ввиду доходы самого Вконтакте. Ситуация такова, что выжимать с этого тарантаса положительный roi могут лишь немногие виды бизнеса. Свести между собой бизнес и клиента, таргетируясь по анкетным данным, даже при довольно низком CPM — дело накладное, все равно что из пушки по воробьям. Ну или наоборот, аудитория будет слишком мала и нечего откручивать. В общем, по моим представлениям и опыту, пользоваться этим продуктом могут «не только лишь все, а мало кто» даже при наличии головы на плечах. Пользуются счастливчики типа вас (и в свое время нас), умеющие на низком cpm делать положительный roi и рекламные агенства, сливающие бабло клиентов, потому что это модно и современно. Справедливости ради, у некоторых агенств тоже хорошо получается порой. А вот если бы условному владельцу вело-магазина в Норильске дали бы инструмент, который бы использовал мощнейшую аналитику графа пользователей, который бы анализировал их связи и предпочтения на основе их действий, и этот инструмент автоматически помогал бы ему как можно быстрее и точнее найти ему клиентов, беря за это разумную, справедливо и сложно считаемую ставку. Вот тогда это было бы выгодно многим. И денег Вк зарабатывал бы в разы больше. Хотя, конечно я понимаю что, это дико сложно. Ведь надо будет все менять, людей увольнять, нанимать, напрягаться :) А возможно они там думают, что мелкому и среднему бизнесу это и нафиг не надо — пусть в газеты по старинке объявления дают :)
dennis777
По поводу клона — я конкретно описал их процесс принятия рекламы в ленту. Просто очередной мини-штрих.
Что касается графов — вы правы, Фейсбук ушел вперед на года. Порой и рекламу не нужно делать, чтобы выйти на целевых клиентов.
Что касается приложений, сталкивался пару раз, это бред полнейший. Но меня гораздо больше выбивает из колеи требования к непосредственно тизерам (а они играют огромное значение). Вот, например, наверняка вы знаете о меме ничоси, прошлогодний первоапрельский мем. Изначально все его юзали активно (я до сих пор, кстати). Потом модераторы разделились и одни начали пропускать, а другие резко банить.
И вот тут — проблема у всех. У модеров, которые выслушивают массу критики, должны лишний раз с кем-то консультироваться, обрабатовать жалобы в саппорт, у рекламодателя — потому что я знаю, что ничоси дает высокую конверсию и я знаю, что его часть модеров пропускает. Поэтому я буду тратить час, два, двадцать, тридцать для того, чтобы найти норм модератора, который пропустит. Если бы я знал, что это нельзя, и ВСЕ модеры будут отклонять, то я бы не страдал фигней, а нашел другой тизер. Но нет — я бьюсь до последнего.
То же самое касательно величины и площади текста, пунктирных рамок, размещениях курсорах на изображениях. Половина модеров банит, половина пускает. Ну что за детский сад? Разьве сложно сделать отдельную памятку рекламодателю и модератору, где прописать эти несчастные 10 ситуаций?
Losmana
Смешно конечно. И грустно.
dennis777
а по поводу малого и среднего бизнеса, мне кажется, что они начали задумываться. И я думаю, что они косвенно помогают развитию Церебро, потому что тот привлекает новых рекламодателей именно из мало-среднего бизнеса. Хотя на самом деле, мне кажется, что написать нормальный парсер под вк — не такая уж и сложная задача. У нас вообще люди почему-то очень мало прогают под СММ, Сео, и прочие сервисы. Хотя, по-моему мнению, там крутятся огромные деньги и пользователи не слишком требовательны к интерфейсам
Caravus
Нет спроса, вот и «не прогают».
xskif
интересно даже, будет ли ста рублевый хабра эффект в кошелёк vk?))
dennis777
ста рублевый — не катит. Для нормальной работы нужно хотя бы 10 объявлений. И нанять 2 филлипинца, чтобы за тебя клацали 24 часа в сутки. Тогда смысл будет, честное слово ;)
А на 1м — больше возни, чем реально полученной прибыли
xskif
я про то что сейчас вся хабра побежит 100 рублевые компании создавать. Интересно, сколько это будет в сумме?
CSharpRU
Помню, можно было использовать
photos.search
для просмотра приватных фотографий у которых есть информация о геолокации. Писал в суппорт, говорили что не баг :Dlolipop
Прикольно, бага работает до сих пор, но нужно скриптовать периодический перезапуск кампании, что без знаний в веб-разработке достаточно нетривиально.
Sild
Да ладно вам, selenium осилить — дело пары дней. А там уже любая web- автоматизация в одном флаконе. Не оптимально, но работать будет.
atrolov
Подтверждаю, что ВК не особо шевелится по программе BugBounty, мягко говоря, мой тайминг:
9 июня — создан баг
9 июля — status to Triaged
29 Декабря — ответа так и нету.
Баг позволяет получить закрытые фото, видео, аудио пользователя или группы, после такого руки опустились для поиска новых багов, после НГ тоже статью опубликую на хабре, если ВК не ответит.
Lure_of_Chaos
Вот они и добились своего
Gorodnya
Аналогичная ситуация, только сроки другие:
Первый мой баг был закрыт на HackerOne, особе не церемонясь (17-го октября создан, 29-го закрыт, однако, на мой взгляд, закрыт некорректно), поэтому:
1 ноября — создаю копию
17-го ноября переспрашиваю
16 декабря снова переспрашиваю.
Этот баг до сих пор открыт.
Второй мой репорт закрыт аналогично, его уже не стал переоткрывать.
Но даже если баги кажутся некритическими, срок реагирования на сообщения о них следует уменьшить. Или хотя бы отвечать в стиле «Сейчас заняты более критическими ошибками, просим прощения за ожидание». Тогда я думал, что специалисты ВК были заняты CSRF-уязвимостью другого пользователя, однако сейчас, глядя на эту ситуацию и комментарии к обеим статьям, думаю про работу ВК с сообщениями про уязвимости, что Первый раз — случайность, второй — совпадение, третий — закономерность.
Terminal
Здравствуйте ethoz,
По поводу всех проблем с репортами на h1 можно писать на почту security@vk.com, там должны отвечать оперативно.
ErhoSen
Здравствуйте Terminal,
Вашему обращению присвоен статус «Triaged»
Terminal
ping
ethoz
pong
ethoz
Здравствуйте. Спасибо за совет! Но с меня достаточно, есть более привлекательный программы, в пекло ВК :/
stasmus
походу пофиксили
ethoz
Баг закрыли со статусом «Duplicate».
dennis777
Дайте, пожалуйста, знать, получили ли вы какой-то фидбек от ВК?
ethoz
Нет. Никаких фидбеков и объяснений не последовало. По всей видимости, не царское это дело на репорты отвечать.
dennis777
Это просто жесть. Ну вот правда…
DanDare
Полтора года назад репортил о кривой вёрстке, даже расписал причину и номер строки в которой неправильно установлен z-index.
До сих пор не пофиксили.
видео-пруф
Aingis
Небось по скраму разрабатывают, вот и не в один спринт баг не попал.
megaweber
Для того чтобы понять почему так произошло — нужно понимать то как работают большие компании. А работают они обычно очень плохо.
Мы чаще сталкиваемся с другой стороной: вы хотели показать как они могут потерять деньги, а мы обычно стараемся донести как они могут больше заработать, но суть одна.
Буквально недавно я пытался связаться с партнерским отделом kupivip (уже после того как менеджеры пытались это сделать), чтобы подключить контракт на установку их мобильного приложения напрямую (к этому моменту мы делали более 1000 установок в день). По почте на сайте никто не ответил, по телефону мне дали другой телефон, где уже молодой человек сказал что он этим не занимается и не знает кто этим занимается, а чем он занимается тоже не стал отвечать. Я сам управляю крупной компанией и понимаю, что менеджмент на низких уровнях может халявить, но не дай бог я такое замечу.