IT
Size: a a a
2020 September 22
A
DP
Ну и дела
DP
Gitlab - достаточно популярный продукт для разработки, благодаря self-hosted решению его часто можно встретить на поддоменах компаний. Помимо того, что в нем также присутствует регистрация без подтверждения email’а (смотрим в предыдущие посты), это еще и отличная возможность собрать информацию о сотрудниках.
Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}
На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957:
Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.
По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys
Отдельного упоминания заслуживает avatar_url:
А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.
Без аутентификации доступен следующий API метод - gitlab.company.local/api/v4/users/{id}
На самом gitlab - эта ручка также доступна, например https://gitlab.com/api/v4/users/7154957:
{"id":7154957,"name":"Bo0oM","username":"webpwn","state":"active","avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon","web_url":"https://gitlab.com/webpwn","created_at":"2020-09-21T17:25:55.046Z","bio":"","bio_html":"","location":"","public_email":"","skype":"","linkedin":"","twitter":"@i_bo0om.ru","website_url":"https://t.me/webpwn","organization":"","job_title":"","work_information":null}Перебирая идентификаторы, можно за короткое время собрать список логинов (и другую информацию о сотрудниках компании.
По логину также можно узнать открытые ключи - https://gitlab.com/webpwn.keys
Отдельного упоминания заслуживает avatar_url:
”avatar_url":"https://secure.gravatar.com/avatar/4e99709ca6b52f78d02cb92a5bc65d85?s=80\u0026d=identicon”
Сервис gavatar содержит email в пути к изображению - 4e99709ca6b52f78d02cb92a5bc65d85. Это ни что иное, как md5 от email’а в нижнем регистре.echo -n "webpwn@bo0om.ru" | md5
4e99709ca6b52f78d02cb92a5bc65d85А так как у нас скорее всего корпоративный домен, узнать логины по остальным данным и собрать базу программистов компании будет достаточно просто.
rd
Ну и дела
Этим "фичам" 100 лет в обед жЫ =)
DP
Этим "фичам" 100 лет в обед жЫ =)
а, окей, не был в курсе 😀
Vk
Коллеги, вопрос: где кроме апворк можно поискать проекты либо удаленку на США?
Vk
Я смотрел индид, на angel.io но там пока не клюёт что-то толковое
O
Коллеги, вопрос: где кроме апворк можно поискать проекты либо удаленку на США?
toptal
Vk
Вспомнил про топтал: пахать за средний рейт очень много
Vk
Не вполне то, но спасибо за ссылку
AA
toptal
+1
A
NK
[Перевод] Дорогой Google Cloud, отказ от обратной совместимости тебя убивает
https://habr.com/ru/post/519086/
https://habr.com/ru/post/519086/
J🎩
там с ускорением есть, он лучше
J🎩
это про нас с @asm0dey: