Сейчас почему-то очень активно обсуждается статья про уязвимости в мобильном приложении для генерации кодов 2FA.
Название громкое, в тексте упоминаются фразы 0-day, public disclosure и прочие страшные вещи. Но смотря на список найденных уязвимостей, остаётся ощущение, что ничего не нашли, но написать что-то нужно.. Такие «баги» у нас обычно попадают в категорию «для информации» (ну может авто-копирование в буфер можно выделить).
А вот другая статья про XSS в клиенте Outlook намного интереснее! Про то, как простая на первый взгляд функция для преобразования телефонного номера в ссылку позволяла выполнить любой JS код!
