今儿收到份简历,里面有他的 GitHub 主页…

2018-07-27 18:45:54 +08:00
 ETiV
进去随便点点,发现除了不会用 .gitignore 之外,还有一个 repo 有个 cookie.txt 这个文件

看了下代码,这 cookie 居然是登录 GitHub.com 用的…

然后就顺利的登录到他 GitHub 账号了,发现:

GitHub 后台里的 Security 页面里,
Sessions 里面显示的「登录 IP 」,是跟「登录时的 IP 」绑定的。
所以并没有显示我自己当前的 IP~

然后我就退出登录了
4395 次点击
所在节点    分享发现
11 条回复
bequt
2018-07-27 19:02:01 +08:00
称职的 hr 点赞。可以加 is 了
leoojiang
2018-07-27 19:02:57 +08:00
所以是不是 pass 了 哈哈哈哈,本来想秀下,结果秀逗了……
jimliang
2018-07-27 19:04:21 +08:00
厉害了,这简历还能反过来考 hr
jimliang
2018-07-27 19:05:43 +08:00
@leoojiang 我觉得他是想向 hr 炫耀他发现 github 的一个 bug (应该不叫 bug 吧,叫安全隐患?)
greenskinmonster
2018-07-27 19:05:57 +08:00
喷了,这是犯罪了
laoyur
2018-07-27 19:18:30 +08:00
人家好歹会导出 cookies 到文件呢,不错了,我就不会
guog
2018-07-27 19:26:16 +08:00
之前收到一份简历,写了 GitHub 地址,打开一片绿油油,心想🐮🍺啊,一年工作经验还有满满一年的 commit,然后随便点开几个,全是自动提交,就一个 date 命令结果,commit message 也不写,不是 init 就是 add,搞不懂图个啥,后来问了 HR 才知道她看不懂,就是看到有绿油油的就给通过的…
ETiV
2018-07-27 19:42:08 +08:00
其实目的是告诫大家,安全无小事~

之前还弄了一个美国学生的,他们学校有自己的 GitHub Enterprise,也能登
还能登录他的学校邮箱、blahblah,这样子~

我估计现在去 GitHub 上搜 sftp config 还是能收获到不少
zhzer
2018-07-28 10:26:26 +08:00
@guog 居然还有这招,我还是太老实了
yacolinqi
2018-07-28 14:38:31 +08:00
@guog 这兄弟还是鸡贼啊!!! 看来网上没少看简历通过筛选套路啊!!!
enlau0912
2018-07-30 10:41:06 +08:00
然後他就拿著紀錄寫 mail 給你,不開合約就告你非法使用網路入侵他人帳戶。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/474764

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX