Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

Wayback Machine как архив IDOR: как временные ссылки перестали быть временными

18.05.2026 04:00:11 | Хабр

Хабы: Информационная безопасность, Bug hunters, Веб-разработка, Проектирование API, Тестирование IT-систем

В марте 2026 многие обсуждали ситуацию с доступом к изображениям из ЛС мессенджера MAX по ссылкам, сохранённым через WebArchive. Тогда же многих не устроил ответ компании.

К сожалению, ситуация хуже, чем кажется. Т.к. проблемы не видят не только в MAX, но и в других компаниях (столкнулся с этим, оповещая компании о похожих проблемах). В статье я расскажу, почему считаю ситуацию - проблемой для всех: пользователей, компании, багхантеров. И как связка "WebArchive + IDOR" может стать бомбы замедленного действия для компании.
Более того, эта ситуация - наглядный пример, как отлаженный механизм повышения безопасной разработки (что не найдут внутренние безопасники компании - отловят багхантеры) иногда даёт сбой.

Читать далее

Подробнее

Читайте также

Как связывание эмбеддингов душит трансформеры и уничтожает градиенты
18.05.2026 03:44:49 | Хабр

Qwen3.6 27B MTP весит на +0.3 Гб больше, а даёт ускорение в ~2 раза. С 60 t/s до 130 t/s без потерь. Что такое MTP
18.05.2026 02:28:45 | Хабр

Qwen3.6 MTP весит на +0.3 Гб больше, а даёт ускорение в ~2 раза. С 60 t/s до 130 t/s для Qwen3.6 27B без искажений
18.05.2026 02:28:45 | Хабр

15 вещей, которые вы бы не хотели знать о мессенджере MAX: тайная запись звука с микрофона в звонках и много чего еще
18.05.2026 02:12:41 | Хабр

Последовательное иерархическое распределение сумм между получателями. Постановка задачи. Выбор технологий
17.05.2026 22:12:26 | Хабр

Непослушный using
17.05.2026 21:55:13 | Хабр

С заботой о своих: канадская Heinz разрезала форму американской хоккейной команды «на салфетки» и раздала болельщикам на матче
17.05.2026 21:08:44 | vc.ru

Как я загрузил компактную открытую LLM в робота и сказал ему ходить (и хватать)
17.05.2026 21:00:15 | Хабр

Как я загрузил компактную открытую LLM в робота и сказал ему ходить (пока только в симуляции)
17.05.2026 21:00:15 | Хабр

В России предложили создать механизм обмена технологиями с Китаем
17.05.2026 20:55:42 | ferra.ru

Память дала AI-агенту прошлое. Solo Kanban даёт ему настоящее
17.05.2026 20:08:30 | Хабр

Шифрование прикладных данных в .NET — от основ к key chain, ротации и компромиссам поиска
17.05.2026 20:00:42 | Хабр

Мессенджер «Макс» подключат к дистанционному обучению
17.05.2026 19:55:44 | ferra.ru

Производители моторных масел предупредили о возможном дефиците и росте цен на фоне конфликта на Ближнем Востоке — Axios
17.05.2026 19:05:38 | vc.ru

Российские ученые нашли лучшие способы получения косметики из водорослей и грязи
17.05.2026 18:55:45 | ferra.ru

Тихий убийца Трансформеров: как Weight Decay уничтожает эмбеддинги и нормализацию
17.05.2026 18:31:08 | Хабр

Российские ученые испытали новые материалы для формы металлургов
17.05.2026 17:55:46 | ferra.ru

Трудности перевода
17.05.2026 17:52:36 | Хабр

AI-агент действительно ловит баги? Пусть докажет на бенчмарке
17.05.2026 17:52:02 | Хабр

IT-Weekly: волна контрафактных комплектующих; Astra Cloud на российских процессорах
17.05.2026 17:33:40 | it-world

Google ужесточил правила против манипуляций в ИИ-поиске
17.05.2026 17:32:52 | ferra.ru

Создаем клиентскую библиотеку ROS2. Элементы ноды
17.05.2026 17:32:38 | Хабр

День 1544: в Подмосковье временно закрыли ТРЦ «Мега Химки» на фоне сообщений об атаках БПЛА
17.05.2026 17:08:47 | vc.ru

Telegram замедляют, а мы запустили мессенджер с Asana внутри. Без шуток
17.05.2026 17:06:58 | Хабр

AI-агенты в разработке: как Cursor, Claude Code и агентный подход меняют работу программиста
17.05.2026 16:57:23 | Хабр

Ростех покажет на ЦИПР более 30 цифровых решений для промышленности
17.05.2026 16:55:48 | ferra.ru

Резюме как Root Cause Analysis
17.05.2026 16:43:15 | Хабр

Геометрия Attention: почему QK Norm это не просто костыль для стабильности, а способ заставить сеть понимать смысл
17.05.2026 16:37:59 | Хабр

GLM-5.1 придумал для меня новый алгоритм
17.05.2026 16:31:52 | Хабр

Обход блокировок на OpenWRT с помощью HomeProxy-hiddify (hiddify-core) и баз GeoIP, Geosite Re:filter
17.05.2026 16:13:53 | Хабр

На ЦИПР покажут криптобиокабину «Портал Родина»
17.05.2026 15:55:49 | ferra.ru

ИИ в строительстве: с чего начать внедрение
17.05.2026 15:19:01 | Хабр

В отместку за увольнение сотрудники Opexus удалили 96 правительственных баз данных США — но забыли закрыть звонок в Teams
17.05.2026 14:56:59 | vc.ru

В Общественной палате предложили привлекать детей к разработке обучающих игр
17.05.2026 14:56:01 | ferra.ru

Немного извращений из мира прокси и VPN
17.05.2026 14:27:36 | Хабр

Смотреть все

НОВОСТИ

Тревел-блогерша описала жизнь в Мексике фразой «для приезжих из России выглядит как чудо»
10.06.2026 03:39:43 | Lenta.ru

Ульянов назвал потерю США вертолета Apache сигналом, что войну пора заканчивать
10.06.2026 03:36:00 | Российская Газета

В Запорожской области частично отключился свет из-за атаки БПЛА
10.06.2026 03:35:48 | Коммерсантъ

Минпромторг: РФ и Белоруссия подготовят меры по поддержке продвижения товаров СГ
10.06.2026 03:33:57 | ТАСС

В ГД сообщили, что вахтовикам при досрочном увольнении компенсируют переработки
10.06.2026 03:33:07 | ТАСС

В США призвали перестать считать Россию врагом
10.06.2026 03:32:00 | Lenta.ru

Японская компания будет запускать ракеты в космос с воздушных шаров в стратосфере
10.06.2026 03:30:45 | ТАСС

Американские военные начали вторую волну ударов по Ирану
10.06.2026 03:27:25 | Life.ru

Эксперт Рыжко: в курском Суджанском районе от действий ВСУ повреждено 30 ОКН
10.06.2026 03:25:30 | ТАСС

Пятерых жителей Филиппин арестовали за домогательства в отношении туристки
10.06.2026 03:25:17 | Life.ru

Врач объяснила неожиданную опасность чашки кофе натощак
10.06.2026 03:24:00 | Lenta.ru

Россия наладит прямое авиасообщение со страной за океаном
10.06.2026 03:23:07 | Lenta.ru

Собянин: силы ПВО сбили еще три летевших на Москву БПЛА
10.06.2026 03:21:39 | ТАСС

Собянин: средства ПВО сбили еще три беспилотника
10.06.2026 03:21:39 | ТАСС

Мигрант из Судана пытался обезглавить британца в центре Белфаста
10.06.2026 03:20:35 | Life.ru

Журналист Зайпель: в ФРГ совершили огромную ошибку, выгнав российских студентов
10.06.2026 03:18:48 | ТАСС

Иран сбил вертолет Apache над Ормузским проливом. США в ответ ударили по Исламской Республике. Какие цели атаковал Вашингтон?
10.06.2026 03:18:47 | Lenta.ru

В Петербурге задержали вора в законе Юсифа Алиева, которого искали с 2008 года
10.06.2026 03:15:53 | Life.ru

В Госдуме рассказали, как можно увеличить отпускные
10.06.2026 03:15:27 | ТАСС

Минздрав утвердил стандарт медпомощи при "синдроме оборотня"
10.06.2026 03:11:49 | ТАСС

Трамп назвал удары США по Ирану мощным ответом на сбитый вертолёт
10.06.2026 03:10:30 | Life.ru

Axios: США начали третью волну ударов по Ирану
10.06.2026 03:09:40 | ТАСС

Мерц заявил о потере терпения к социал-демократам
10.06.2026 03:07:18 | Life.ru

В Бишкеке обсудили роль русского языка в Евразии
10.06.2026 03:07:00 | Российская Газета

Прилепин: практику создания органов защиты от БПЛА надо распространить на всю РФ
10.06.2026 03:05:48 | ТАСС

Законопроект об антироссийских санкциях поступил в американский Сенат
10.06.2026 03:03:47 | ТАСС

В Госдуме призвали дать бизнесу стимулы для развития корпоративного спорта
10.06.2026 03:03:18 | ТАСС

Прилепин назвал киевский режим "коллективной старухой Шапокляк"
10.06.2026 03:01:40 | ТАСС

Аракчи пригрозил ответом на удары со стороны США и призвал их покинуть регион
10.06.2026 03:01:20 | Life.ru

Премьер Малайзии заявил о готовности страны сотрудничать и с США, и с Китаем
10.06.2026 03:00:44 | ТАСС

Премьер Малайзии заявил о готовности сотрудничать и с США, и с Китаем
10.06.2026 03:00:44 | ТАСС

Просыпающимся в три часа ночи людям подсказали способ снова уснуть
10.06.2026 03:00:26 | Lenta.ru

Зеленский заявил о необходимости участия Европы в переговорах с Россией
10.06.2026 02:58:19 | Life.ru

Зеленский предложил Прибалтике сделку, чтобы к ним не залетали беспилотники ВСУ
10.06.2026 02:56:16 | Life.ru

В Дагестане опровергли сообщения о подрыве магистрального газопровода
10.06.2026 02:52:54 | Lenta.ru

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro