"между кликом мышки" ппц у них там терминология. Если я правильно понял, то кто-то просто в блок записал не вариант "да\нет", а "хутин пуй". И вполне возможно что сделали это тупо по F12.
Дистрибутив такое есть. Со всякими свистелками для инф безопасности и тестирования взломов.
Ставить его для "взлома" веб-приложения? Безумцы-онанисты
ставить? live USB уже не в моде, видимо
Действительно херь полная - если все делается в браузре , то можно просто "фидлером" отловить пост/гет запросы , и писать там хоть "войну и мир" уверен что система голосований была на коленке написанна .
Но зачем?
Это оправдано для некоторых случаев.
1. не нужно думать про то как там устроена авторизация (против построения запроса самому (forge request))
2. не нужно разбираться с фронт-ендом и пытаться понять как он работает
3. если страница редиректится куда-нибудь, с браузером ебаться трудно. А вот прокси в кали позволяет приостановить процесс и изменить нужные данные
Изменить значение на страничке конечно проще, но не факт что это сработает как надо. А смотреть что там за система мне че-та лень (с учетом того что я ни разу не гражданин этой страны). Но факт, что сделать это между кликом мышки и попадением записи на сервер можно, а иногда оправдано
1. не нужно думать про то как там устроена авторизация (против построения запроса самому (forge request))
2. не нужно разбираться с фронт-ендом и пытаться понять как он работает
3. если страница редиректится куда-нибудь, с браузером ебаться трудно. А вот прокси в кали позволяет приостановить процесс и изменить нужные данные
Изменить значение на страничке конечно проще, но не факт что это сработает как надо. А смотреть что там за система мне че-та лень (с учетом того что я ни разу не гражданин этой страны). Но факт, что сделать это между кликом мышки и попадением записи на сервер можно, а иногда оправдано
Ничего, что формирование "электронного бюллетеня" выполняется жабаскриптом внутри браузера?
буханка делает врврр
Fiddler
Burp Suite. А вообще кали предоставляет удобную площадку для так называемых атак по середине, которые нахуй не нужны когда у тебя есть прямой доступ к нужному компуктеру.
Не уверен, ведь скорее всего любой вариант должен обрабатываться как "Да".
А он как раз пытался "нет" отправить, поэтому и вышел "испорченный" бюллетень
как фальшивый крестик на рекламной баннере
как любой крестик с распятым мужиком
Он последовательно отправил разные запросы. Помнится в 00-е у меня была мышка, которая отправляла сразу несколько команд нажатия пулемётной очередью, и были сайты(Ubuntu Launchpad и ещё какие-то), где так можно было поставить + или - несколько раз. Думаю тут тот же принцип.
В их алгоритм блокчейна есть 10 дырок
Спрошу возможно глупый вопрос, но я не программист же:
А разве там защиты не должно быть от этого? Тип, визуально для себя поменять то можно, я и сама знаю как, но отправить эти данные должно быть запещено
А разве там защиты не должно быть от этого? Тип, визуально для себя поменять то можно, я и сама знаю как, но отправить эти данные должно быть запещено
Уже ниже писал -- т.к. проверяющий участник видит "голос" человека как просто зашифрованый блок данных с подписью и хешем. Проверить что внутри нельзя, и соответственно просто закидывают его в общую цепочку. По завершению у нас есть цепочка из 100500 зашифрованых записей, и просто их по очереди "распаковываем", и в одной из коробок находим сюрприз.
и вопрос мой все еще висит:
так, можно ли данный "абуз" заблочить?
так, можно ли данный "абуз" заблочить?
Без стороны, которая будет проверять что ты зашифровал в блоке -- нет.
теоретически, это же можно настроить на автоматическую проверку?
Мне так не хочется обсуждать коня в вакуме... Пока нарыл только это, и у самого куча вопросов (кидаю сразу комент, т.к. мои вопросы практически совпадают) https://habr.com/ru/article/480152/#comment_21017368
Если коротко: да, можно, но придется пожертвовать анонимностью. В целом электронное голосование либо сводится к тому что мы доверяем "черному ящику" который накодят программисты из гос-структур, либо явно палим как минимум тому же государству за кого отдали голос.
Если коротко: да, можно, но придется пожертвовать анонимностью. В целом электронное голосование либо сводится к тому что мы доверяем "черному ящику" который накодят программисты из гос-структур, либо явно палим как минимум тому же государству за кого отдали голос.
Угу, забили хуй делать валидацию входных параметров на беке и теперь "азаза, везде хакиры". Смешно читать такую дичь, шо пиздец.
Как обычно правительственные сервисы делают какие-то школьники-троечники. Записали в блокчейн без проверки на соответствие протоколу. Не хватает тега it-юмор.
Я очень смутно представляю себе принцип работы этой всей байды, но кажись причина в том что голос шифруется от стороних глаз (кроме ЦИК естественно) и по сути работаешь тупо с массивом байт.
Система электронного голосования разве не принимает только ответы "да" и "недействителен"?
я догадываюсь что она написал
Я сильно туплю, а откуда там блокчейн? Между кеми он распределён?
На флешке лежит.
блокчейн не обязательно распределён, он действительно может на флешке лежать.
И в чём тогда смысл? Или гит теперь тоже блокчейн?
дать кому-то флешку проверить что голос с условным номером 550e8400-e29b-41d4-a716-446655440000 не фальсифицирован (иначе - посыпятся все следующие голоса после него). банально - контроль целостности базы и отсутствие вмешательства в данные после создания каждой записи.
Что мешает перегенерить блокчейн на флешке?
да, две флешки нужно. одна у власти, другая у оппозиции.
Это и называется распределённая система)
Круг замкнулся.
Итак, зачем блокчейн?
Круг замкнулся.
Итак, зачем блокчейн?
Шутка про майнинг голосов уже была?
Чтобы написать коммент, необходимо залогиниться