- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Мой фреймворк прогнали через ИИ
Каким образом? С онлайн моделью?
Мой фреймворк прогнали через ИИ (человек правда с ИИ на ты по роду деятельности) - ну и дали результат, как пример, оценку уязвимостей. (ну у меня есть именно видео как это происходило) т.е. даже уже в таком качестве уже есть польза.
Это тебе не стыдно.. какой-то "анализатор логов" называть LLM.
Своя llm это, что-то на богатом.
Как минимум один участник все же держит свое слово...
Каким образом? С онлайн моделью?
Если хочешь - сделаю тоже самое. Не пожалею даже токенов для claude 4.7/gpt-5.5. Причем тебе сразу будет ПР с исправлениями и подробный отчет по ФВ в виде маркдаун файла - как план улучшений. Только в след месяце - в этом сильно потратился на токены. Просто напомни в начале месяца.
Вот пример из сводки этого отчета
Со скрина непонятно где уязвимость раскрытия. Фрагмент кода бы увидеть.
Каким образом? С онлайн моделью?
Думаю приватный ключ и через гит репо. Такое может сделать бесплатная вебморда квена без всякой установки и настройки. Инструкции дать. Их тонна на гите есть - для Клода, квена дипсика и под разные вайб код плагины, по типу clime, roo, zoo
Да ничего богатого там нет. Немного знаний и Pytorch
И, что тебе даст? Своя в плане полная модель с обучением. Или в контексте своя - скачать ollama и установить модельку? Ну или через vllm, open code. Смысл просто в чем? Там если нормальные модельки локально запускать, то это 128гб врам, что бы комфортно работать. Можно на v100 запустить. Есть схема. Бюджет в 120т.р. Но я думал в контексте своей нейронки это не готовую установить, а обучить взяв за основу тот же квен или мистраль. Или с нуля запроектировать. Это реально на дорогом. Сейчас с нормальными спецами в машинном обучении дефицит.
Со скрина непонятно где уязвимость раскрытия. Фрагмент кода бы увидеть.
Ну тут надо уже искать. я тогда в другой ветке это делал и ее всю схлопнул в один киммит. ну вот маленький пример из отчета
2. Information Disclosure — ExceptionMiddleware отдаёт тексты исключений клиенту (CRITICAL) Файл: src/Middleware/ExceptionMiddleware.php return $this->buildResponse($exception->getMessage()) ->setStatus(ResponseStatus::INTERNAL_SERVER_ERROR); Текст любого исключения (включая \Throwable) напрямую возвращается в HTTP-ответ. Это раскрывает: - Пути файловой системы (Unable to open '/var/www/app/var/log/error.log') - Имена таблиц/колонок БД из будущих SQL-ошибок - Внутренние имена классов и структуру приложения - Потенциально — строки подключения и учётные данные из PDO-исключений Комментарий в коде говорит «фильтрация — ответственность разработчика», но это должно быть безопасным по умолчанию.
3. CSRF-токен в GET-параметрах (HIGH)
Файл: src/Middleware/CsrfMiddleware.php
$tokenFromRequest = trim(
$request->get->getString(self::CSRF_TOKEN_NAME, '') // ← GET параметр!
?: $request->post->getString(self::CSRF_TOKEN_NAME, '')
?: $request->headers->getString(self::CSRF_TOKEN_HEADER, ''),
);
CSRF-токен принимается через GET-параметры. Это означает:
- Токен попадёт в URL (?csrf_token=abc123...), а значит:
- В логи веб-сервера (access.log)
- В заголовок Referer при переходе по ссылкам
- В историю браузера
- В логи прокси-серверов
- Это фактически обнуляет CSRF-защиту, так как токен может быть легко перехвачен
8. Ротация логов — гонка и перезапись (MEDIUM) Файл: src/Logging/Handlers/StreamHandler.php if (file_exists($stream) && filesize($stream) > $maxFileSize) { rename($stream, $stream . '.old'); // ← хранится только 1 архив } - Race condition: между file_exists/filesize и rename другой процесс может записать в файл - Хранится только один архивный файл (.old), предыдущий архив удаляется без предупреждения — потеря логов в production - Нет блокировки файла при записи (fwrite без flock) — возможна перемешивание строк логов при конкурентных запросах
Кстати, целью того видео больше было демонстрация возможностей эмулятора терминала warp. Sly32 не пользуешься таким?
В чем прикол этого эмулятора? И в целом зачем здесь эмулятор? Я выше написал, для беглого просмотра, можно на веб морде квена выдать приватный ключ к репо и провести кодревью. Я в vscode через плагины нейронки юзаю и гит репо. На скрине у sly32 тоже вижу vscode на маке(странно видеть на маке мелкософтовую тулзу)), и плагин Клода.