🔁 Kool Tech Tricks
💉 На GitHub обнаружили CSS-инъекцию

Самые умные пользователи сайта получили возможность украсить свои профили почти как в Steam, и даже лучше. Эта уязвимость срабатывает при рендере текста Markdown, а на нём держится весь GitHub: страницы проектов и организаций, Issues, Pull Requests, Релизы, Вики.

На самом деле это довольно опасная уязвимость. Кое-кто уже догадался разместить большую мигающую Discord-ссылку на весь экран в комментариях к отчётам об ошибках. Ссылки на изображения не кэшируются, поэтому можно узнать IP-адрес пользователей. Даже можно написать скрипт, который приводит к выходу из аккаунта (https://x.com/vmfunc/status/1799246887284797650). Так как Markdown используется на сайте почти везде, заходить на любые страницы становится опасно.

Конечно же эту уязвимость быстро исправили. Но потом это исправление обошли. На текущий момент CSS-инъекция работает.

#github #vulnerability #уязвимость

WAKE UP BABE NEW CENTRALIZED ALT SOCIAL FOR GEN Z POWERED BY AI AND SPYWARE JUST DROPPED

https://techcrunch.com/2024/07/03/noplace-a-mashup-of-twitter-and-myspace-for-gen-z-hits-no-1-on-the-app-store/

full log https://files.catbox.moe/i0tkbp.txt

Лёха мы все просрали

Фонд борьбы с коррупцией (ФБК) оказался в центре коррупционного скандала. Руководство ФБК получало деньги от российского банкира Железняка, который украл деньги вкладчиков. Взамен ФБК свидетельствует в судах, утверждая, что дело о хищении средств имеет политическую подоплёку