Data receiver 2015

Иногда требуется получить какие-то с веб страницы, когда с ней взаимодействует человек. Например, если это XSS. А еще удобнее получить эти данные на почту.

Для решения этой задачи несколько лет назад я написал утилитку, которую захостил на Google App Engine. Пришло время делится. Утилитка немножко приведена в порядок перед подачей на стол =)

Как пользоваться:

1) Тянем себе репозиторий https://github.com/frydaykg/data-receiver;

2) Создаем себе application на https://appengine.google.com/ или развертываем подходящую среду, где нибудь еще;

3) Меняем файл app.yaml и settings.py под себя;

4) Аплоадим приложение;

5) Используем приложение;

6) PROFIT!!!

Что делать если приложение не устраивает!? Вариантов несколько:

1) Клонируем репозиторий, коммитим нужный функционал, кидаем пулл реквесты;

2) Пишем свое приложение, разочаровываемся, возвращаемся к пункту 1;

3) Выпиваем яду и не возвращаемся =)

Что по хорошему можно добавить:

1) Возможность расширения количества почт с которых идет отправка;

2) Возможность персистить данные в базе и  потом просматривать в своем личном кабинете.

А как пользоваться? Читаем все в src\default.html или README!

Запилил первую статью на habrahabr

Прошел песочницу
http://habrahabr.ru/post/268305/

Почему надо делиться знаниями

В школе мне не нравилось делиться знаниями. Казалось, что обладая локально-уникальными знаниями, ты становишься этаким Гарри Поттером или Нео, которому все можно.

Отчасти это так и иногда это даже хорошо, но обычно до определенного этапа, на котором ты замораживаешься и все. Все, что ты дальше делаешь, так это торгуешь своей кучкой знаний. никакого творческого роста, зато мы звёзды!

Благо мое мировоззрение изменилось, и теперь передавая свои знания, я могу быстрее находить себе подмогу, замену для повышения своей позиции, получать новый опыт во время дележки и удовлетворение от того, что делаешь мир чуточку лучше %) Правда все это не учитывает случаев вселенской несправедливости, но куда без нее.

Поэтому держите, хороший обобщенный материал по масштабируемым и распределенным системам:
http://www.aosabook.org/en/distsys.html

По крайней мере дальше понятно куда копать и что использовать :) Приятного прочтения

В чем ошибка на фото?

Одна ошибка стопроцентна, остальные можно обсудить. Жду ответов в комментах :)

XSS challenge

Прикольная браузерная игра от Google. Держите https://xss-game.appspot.com/
Прохождение занимает минут 40, в последнем самое сложное было:

Понять, что gist возвращает raw файл как plain text. И что то там по MIME политике не работает.

Хоть квест и простенький, но все равно пройти стоит :)

Как будет время, напишу о кризисе кыргызской веб разработки и о том как они множат баги и соорудили себе хрень с кучей хранимых XSS.

Баунти: райское наслаждение или баг хантинг

Сейчас развелось очень много программ по поощрению поиска уязвимостей за которые выплачиваются компенсации. Но для получения профита не обязательно находить уязвимость и не обязательно профит будет деньгами. Например, как то я отписал в Beeline, что неплохо было бы позволять использовать платежные гейты банков при нулевом балансе, а то выходила странная фигня, вроде можешь пользоваться сайтом билайна, начинаешь оплату картой и встаешь на этапе выбора способа верификации оплаты. Через какое-то время предложенную фичу ввели, я получил возможность поплнять свой счет в любом месте с GPRS. А кто то  в билайне может получил премия за увеличение количества платежей %)) 

Это был пример нормального отношения. А бывают ребята, которым пишешь о уязвимостях на их ресурсах, а в ответ -- тишина. Возможно дело в том, что письмо приходит к низкоквалифицированным разгребателям почты и оно уходит с пометкой "какая-то фигня".  Наверное надо в таких случаях стоит писать не только в info@company.com, а еще и в cto@company.com, и может будет результат =) И высшим наслаждением в таких случаях было бы исправление уязвимости, а не 300 звездочек, новый уровень в Candy Rush или 100$ на счет.

Ищите, пишите и получайте удовольствие!

Google summer of code

Есть такая штука -- Google summer of code. Проект от гугл в рамках, которого студенты пишут функционал опен-сурс проектов под надзором менторов за деньги(5000$ за 3 месяца).

Проекты попадаются очень интересные. Правда я за свою студенческую жизнь ни разу не прошел со своим proposal туда, а  подавал я в следующие проекты SimpleCV и OpenCV , видимо зацепило меня в свое время компьютерное зрение. Опыт был для меня уникальный, писать какое-то предложение, на английском, обсуждать его с кем-то...интересно, но судя по результатам -- я не справился. Забавно, что одного из менторов, я потом нашел в ретвите кого-то из друзей. Фолловьте, попадаются интересные вещи у нее.

А кто то из читателей участвовал? Кто проходил? Как все прошло?