10 лучших методов веб-хакерства 2022 года

[Veil]

Лучшие методы взлома 2022 года с коментариями.
Если не туда тему прикрутил? Модератор перенесите куда считаете нужным.

Top 10 web hacking techniques of 2022

Welcome to the community vote for the Top 10 Web Hacking Techniques of 2022.

portswigger.net

 

[stepany4]

Вот этот Top 10 под спойлером кратко. Там и техники и технологии и формы и методы с способами совершения. Познавательно тем, кто ищет направления для знаний и навыков. Я не особенно в курсе новинок, кроме того, что комбайны всё универсальней, а багаж знаний уже не требуется для точки входа...

Спойлер: Тop 10

10 - Exploiting Web3's Hidden Attack Surface: Universal XSS on Netlify's Next.js Library
As we find ways to shovel ever more complexity into our software, even websites that look static can hide serious vulnerabilities. In Exploiting Web3's Hidden Attack Surface, Sam Curry tears apart numerous cryptocurrency sites with a blend of XSS, SSRF and cache poisoning originating from Netlify's Next.js library. We're eager to see if the methodology and cryptocurrency ecosystem insights fuel further discoveries in this field.
9 - Practical client-side path-traversal attacks
Sometimes a vulnerability class can be quite visible, but remain overlooked for years due to low apparent severity.
In Practical client-side path-traversal attacks, Medi explores a website behaviour that's very common - placing user input inside a request path - and demonstrates a clear pathway to real impact. This behaviour has surfaced in exploit chains a few times over the years but this post shows it's time to recognise it as a vulnerability in its own right. This cousin of client-side parameter pollution has already inspired a follow-up that uses it for CSRF, and we're sure more will come.
8 - Psychic Signatures in Java
The catchily-named Psychic Signatures in Java by Neil Madden shows a critical and really very simple attack using the number 0 to forge ECDSA signatures, undermining the cryptographic foundation of numerous core web technologies including JWT and SAML.
This use of an ancient crypto attack to topple modern web tech is a great reminder that you don't always need a complex attack to achieve massive impact - and as nice as abstractions are, sometimes it's worth looking further down the stack.
7 - Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes
Back in 2019, one of the nominations for the top 10 was an article theorising about the exploitation potential of HTTP hop-by-hop headers, and calling for further research on the topic. Three years later, Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes makes use of this concept for massive impact and a whole lot of bug bounties, establishing the technique as essential knowledge for web hackers and server implementers alike.
We also appreciate how Jacopo Tediosi throws some rare light into the world of pain people using advanced techniques can encounter when trying to get their bug bounty reports triaged.
6 - Making HTTP header injection critical via response queue poisoning
Ever wondered why people sometimes inject a HTTP response header, but then refer to it as 'Response Splitting' even though they never actually split the response? In Making HTTP header injection critical via response queue poisoning, I explore the long-forgotten response-splitting technique with a high-impact, high-payout case study.
As noted by filedescriptor, "It seems like there's an infinite amount of anomalies among proxies that bring you an infinite amount of Request Smuggling techniques"... more on that later.
5 - Bypassing .NET Serialization Binders
In 2020, the .NET SerializationBinder documentation changed the statement "SerializationBinder can also be used for security" to "SerializationBinder can not be used for security".
From this simple teaser, Bypassing .NET Serialization Binders by Markus Wulftange delves into why, ultimately building exploits for DevExpress and Microsoft Exchange as case-studies. This research cites an exceptional amount of documentation and related research, making it a great gateway into .NET serialization innards.
Quality research like this often inspires action, and it turns out Soroush has already built on it and integrated the results into YSoSerial.Net. You'll be left wondering what security-critical documentation has changed since you last read it.
4 - Hacking the Cloud with SAML
Just like OAuth, you can't discuss SSO without discussing SAML. While some SAML vulnerabilities are all too well-known, Hacking the Cloud with SAML by Felix Wilhelm shines in showing how terrifyingly expansive SAML's attack-surface is. This culminates with an XML document that uses an integer truncation bug to trigger arbitrary bytecode execution when Java attempts to verify its signature.
This is must-watch research. The presentation recording makes the topic exceptionally accessible and provides valuable context, but if you're already familiar with SAML exploitation you might get by with the slides or condensed writeup.
3 - Zimbra Email - Stealing Clear-Text Credentials via Memcache injection
Application-layer caching is widely used but only rarely exploited. In Zimbra Email - Stealing Clear-Text Credentials via Memcache injection, Simon Scannell takes this rare bug class to an unseen level by triggering the memcache equivalent of response queue poisoning, causing protocol-level chaos.
This innovative research is a superb demonstration of what can be achieved with deep knowledge of a target. We'll be keeping watch for both server-side cache injection and alternate-protocol desync attacks in future.
2 - Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
In Browser-Powered Desync Attacks, I explore new vectors for HTTP Request Smuggling, compromising targets ranging from Amazon to Apache and ultimately taking the attack client-side into victim's browsers.
I found this research seriously technically challenging, but thankfully the Web Security Academy team was able to provide labs to help readers practise, and we've seen people having success with the technique in the wild since. The panel had numerous nice things to say including "The creativity from desync worm (reminiscence of XSS worm) to client-side desync is off the chart" "New concepts, numerous use-cases, impressive as usual" "also gives the audience/reader things to explore".
Request smuggling has proved itself an unstoppable source of novel threats for several years running now, and with plenty of unexplored avenues this will likely continue until HTTP/1 has been fully stamped out, which I imagine will take a while.
1 - Account hijacking using dirty dancing in sign-in OAuth-flows

Жаль что не находится такого обзора системного, философии научно-технического анализа, а не этой суетливой беготней за трендами да топами.
Но, всё же попробую сказать о сложном и многообразном просто и обобщенно, с чем я сталкивался и что мне известно, а это очень немногие и узкие вещи, возможно здесь эффект что видел с чем сталкивался только о том и сказал. Но всё новое и наденное из старого, в коде и эксплуатации уязвимости в коде зачастую связаны с фреймворками и библиотеками из коробки, в которых не делалось анализа квалифицированного на вещи которые комбайн увы не может угадать за вас и предусмотреть. В итоге это сводится к простым вещам, которые известны тем, кто понял хотя бы регулярные выражения и у кого голова работает в направлении логики их применения. Поэтому не суть что это за язык, скрипты, технология. Суть проеба в этом, в возможностях, потому что регулярки могут больше языка, а точнее диалекта программокодифицирования. Многие кодеры особенно молодые вообще считают что regexp это ответвление языка perl из восьмидесятых, когда нужны были метаправила для программинга машин. Не знаю кто тиражирует эту чушь, но вводить эти принципы начали с работ ряда математиков еще в конце сороковых, на 10-20 лет позже идет уже применение в машинах, ЭВМ.
Вот что основное, не знания регулярок, а понимание что есть больше и меньше, что является вместилищем, а что песочницей, это и дает развитие, а не зубрилово низкоуровневых языков. Оно не развивает мышление, а лишь тренирует память и ее мышцы. ) А тренированным будет легче и быстрее и проще найти косяки, чем пацанам, которые тратят время на поиски трендов и чтения статей как стать лучшим в своем деле.

 

[Whisper]

Вот этот Top 10 под спойлером кратко. Там и техники и технологии и формы и методы с способами совершения. Познавательно тем, кто ищет направления для знаний и навыков. Я не особенно в курсе новинок, кроме того, что комбайны всё универсальней, а багаж знаний уже не требуется для точки входа...

Спойлер: Тop 10

10 - Exploiting Web3's Hidden Attack Surface: Universal XSS on Netlify's Next.js Library
As we find ways to shovel ever more complexity into our software, even websites that look static can hide serious vulnerabilities. In Exploiting Web3's Hidden Attack Surface, Sam Curry tears apart numerous cryptocurrency sites with a blend of XSS, SSRF and cache poisoning originating from Netlify's Next.js library. We're eager to see if the methodology and cryptocurrency ecosystem insights fuel further discoveries in this field.
9 - Practical client-side path-traversal attacks
Sometimes a vulnerability class can be quite visible, but remain overlooked for years due to low apparent severity.
In Practical client-side path-traversal attacks, Medi explores a website behaviour that's very common - placing user input inside a request path - and demonstrates a clear pathway to real impact. This behaviour has surfaced in exploit chains a few times over the years but this post shows it's time to recognise it as a vulnerability in its own right. This cousin of client-side parameter pollution has already inspired a follow-up that uses it for CSRF, and we're sure more will come.
8 - Psychic Signatures in Java
The catchily-named Psychic Signatures in Java by Neil Madden shows a critical and really very simple attack using the number 0 to forge ECDSA signatures, undermining the cryptographic foundation of numerous core web technologies including JWT and SAML.
This use of an ancient crypto attack to topple modern web tech is a great reminder that you don't always need a complex attack to achieve massive impact - and as nice as abstractions are, sometimes it's worth looking further down the stack.
7 - Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes
Back in 2019, one of the nominations for the top 10 was an article theorising about the exploitation potential of HTTP hop-by-hop headers, and calling for further research on the topic. Three years later, Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes makes use of this concept for massive impact and a whole lot of bug bounties, establishing the technique as essential knowledge for web hackers and server implementers alike.
We also appreciate how Jacopo Tediosi throws some rare light into the world of pain people using advanced techniques can encounter when trying to get their bug bounty reports triaged.
6 - Making HTTP header injection critical via response queue poisoning
Ever wondered why people sometimes inject a HTTP response header, but then refer to it as 'Response Splitting' even though they never actually split the response? In Making HTTP header injection critical via response queue poisoning, I explore the long-forgotten response-splitting technique with a high-impact, high-payout case study.
As noted by filedescriptor, "It seems like there's an infinite amount of anomalies among proxies that bring you an infinite amount of Request Smuggling techniques"... more on that later.
5 - Bypassing .NET Serialization Binders
In 2020, the .NET SerializationBinder documentation changed the statement "SerializationBinder can also be used for security" to "SerializationBinder can not be used for security".
From this simple teaser, Bypassing .NET Serialization Binders by Markus Wulftange delves into why, ultimately building exploits for DevExpress and Microsoft Exchange as case-studies. This research cites an exceptional amount of documentation and related research, making it a great gateway into .NET serialization innards.
Quality research like this often inspires action, and it turns out Soroush has already built on it and integrated the results into YSoSerial.Net. You'll be left wondering what security-critical documentation has changed since you last read it.
4 - Hacking the Cloud with SAML
Just like OAuth, you can't discuss SSO without discussing SAML. While some SAML vulnerabilities are all too well-known, Hacking the Cloud with SAML by Felix Wilhelm shines in showing how terrifyingly expansive SAML's attack-surface is. This culminates with an XML document that uses an integer truncation bug to trigger arbitrary bytecode execution when Java attempts to verify its signature.
This is must-watch research. The presentation recording makes the topic exceptionally accessible and provides valuable context, but if you're already familiar with SAML exploitation you might get by with the slides or condensed writeup.
3 - Zimbra Email - Stealing Clear-Text Credentials via Memcache injection
Application-layer caching is widely used but only rarely exploited. In Zimbra Email - Stealing Clear-Text Credentials via Memcache injection, Simon Scannell takes this rare bug class to an unseen level by triggering the memcache equivalent of response queue poisoning, causing protocol-level chaos.
This innovative research is a superb demonstration of what can be achieved with deep knowledge of a target. We'll be keeping watch for both server-side cache injection and alternate-protocol desync attacks in future.
2 - Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
In Browser-Powered Desync Attacks, I explore new vectors for HTTP Request Smuggling, compromising targets ranging from Amazon to Apache and ultimately taking the attack client-side into victim's browsers.
I found this research seriously technically challenging, but thankfully the Web Security Academy team was able to provide labs to help readers practise, and we've seen people having success with the technique in the wild since. The panel had numerous nice things to say including "The creativity from desync worm (reminiscence of XSS worm) to client-side desync is off the chart" "New concepts, numerous use-cases, impressive as usual" "also gives the audience/reader things to explore".
Request smuggling has proved itself an unstoppable source of novel threats for several years running now, and with plenty of unexplored avenues this will likely continue until HTTP/1 has been fully stamped out, which I imagine will take a while.
1 - Account hijacking using dirty dancing in sign-in OAuth-flows

Жаль что не находится такого обзора системного, философии научно-технического анализа, а не этой суетливой беготней за трендами да топами.
Но, всё же попробую сказать о сложном и многообразном просто и обобщенно, с чем я сталкивался и что мне известно, а это очень немногие и узкие вещи, возможно здесь эффект что видел с чем сталкивался только о том и сказал. Но всё новое и наденное из старого, в коде и эксплуатации уязвимости в коде зачастую связаны с фреймворками и библиотеками из коробки, в которых не делалось анализа квалифицированного на вещи которые комбайн увы не может угадать за вас и предусмотреть. В итоге это сводится к простым вещам, которые известны тем, кто понял хотя бы регулярные выражения и у кого голова работает в направлении логики их применения. Поэтому не суть что это за язык, скрипты, технология. Суть проеба в этом, в возможностях, потому что регулярки могут больше языка, а точнее диалекта программокодифицирования. Многие кодеры особенно молодые вообще считают что regexp это ответвление языка perl из восьмидесятых, когда нужны были метаправила для программинга машин. Не знаю кто тиражирует эту чушь, но вводить эти принципы начали с работ ряда математиков еще в конце сороковых, на 10-20 лет позже идет уже применение в машинах, ЭВМ.
Вот что основное, не знания регулярок, а понимание что есть больше и меньше, что является вместилищем, а что песочницей, это и дает развитие, а не зубрилово низкоуровневых языков. Оно не развивает мышление, а лишь тренирует память и ее мышцы. ) А тренированным будет легче и быстрее и проще найти косяки, чем пацанам, которые тратят время на поиски трендов и чтения статей как стать лучшим в своем деле.

Что бы разобраться нужно время, а время как известно требует денег. Новичок хакер часто вынужден искать пути заработка без необходимости вникать в тонкости процессов, у него тупо нет денег содержать себя пока идет обучение. То же самое касается и новичков кодеров которые вынуждены использовать решения из коробки. А что насчет новичков от бизнеса в роли заказчиков? будут ли они заказывать код у новичка кодера? Практика показывает что все эти ребята находят друг друга.

 

[stepany4]

Что бы разобраться нужно время, а время как известно требует денег. Новичок хакер часто вынужден искать пути заработка без необходимости вникать в тонкости процессов, у него тупо нет денег содержать себя пока идет обучение. То же самое касается и новичков кодеров которые вынуждены использовать решения из коробки. А что насчет новичков от бизнеса в роли заказчиков? будут ли они заказывать код у новичка кодера? Практика показывает что все эти ребята находят друг друга.

На счет кода и заказчиков я понятия не имею. Но, как мне кажется, многие переоценивают свои возможности, способности и затраченное время на обучение пропорционально желаемой зарплате, или оценке свое занятости за один час. Если учесть еще и как заказчик находится, кто и как принимает решение, на основании чего, может стать совсем грустно. Зачастую люди выбор делают не потому что знают, а потому что им нравится что и как говорит этот вот парень, они этому верят. Или он разбирается лучше, или стиль подходит. Но не потому что вот они знают или пришли к выводу что он лучший. Или по иным причинам. Если я бы искал неких работодателей на широком поле фриланса, посредников, я бы из этого прежде всего исходил.
Время не требует никаких денег. Всё это относительно спроса, предложения, того что человек придумал о себе, деньгах и времени. Зачастую, если посмотреть на какую поеботину такие деловые люди тратят это время, то станет предельно ясно, что ценят они только деньги, а о времени и ценностях что-то придумывают, себе и возможно другим. ))
Я думаю что дело в увлеченности и исследовании чего-либо, самое важное сопутствующее такой занятости в том, что она должна приносить удовольствие. Если его нет, в этом изначально сокрыт некий обман, подлог. Если есть и увлеченность и удовольствие, то такому человеку не потребуется компенсация за напряжение, унижение, или что либо, за что люди так хотят больше денег напоминая о времени. Как вам представляется, откуда эта тяга к аксессуарам чуть дороже, чем можешь позволить и т.п.? В редких случаях это реально помогает с контактами и продвижении в какой то там карьере. Но в большинстве, как я вижу, это банальная мат.компенсация за ошибку выбора занятости и вообще пути. Никакой длани моде в этом нет, жертве Тельцу и т.п.. Человек который развивается, которому в кайф знает одно - развивая свои навыки и совершенствуясь он пропорционально будет зарабатывать больше, или оцениваться больше, но так или иначе он этим занят а на все эти серебрянные запонки и костюмы по 6000 долларов ему плевать. Есть люди которые в топ-100 Форбс, они как бы обязаны тратить бюджет на сорочки не за 100 долларов а за несколько сотен, но они этого не делают, пока им не навязывают стилиста который просто сняв мерки потом находит способы впарить это белье. Это что касается бизнеса. Хотя не только. Джобс ходил в однотипной одежде, ему выдали запас его любимых вещей, потому что одно время он жил без жены один, у него не были распакованы даже вещи, огромный дом был пустым, Возник кажется тоже ни о каком сранном бизнесе не думал и одевается так же просто. Гейтс вроде бы носил деловые костюмы, но уже будучи миллионером он одевался в жизни достаточно скромно. Он запускал винду на старом железе, что бы лучше понять чего может не хватать пользователям, на его рабочем месте красовались мыши и клавиатуры не самые новые и чистые, ну так было до win 7 совершенно точно и майкрософту такой пиар не нужен был. Это простые люди достаточно, которые не учат бизнесу и ни о каком бизнесе они не думали, делали что нравится и развивались. Может иные времена настали. Я не призываю косить под каких-то фигур прошлого, просто учитывать их опыт и феномен.

 

[Whisper]

На счет кода и заказчиков я понятия не имею. Но, как мне кажется, многие переоценивают свои возможности, способности и затраченное время на обучение пропорционально желаемой зарплате, или оценке свое занятости за один час. Если учесть еще и как заказчик находится, кто и как принимает решение, на основании чего, может стать совсем грустно. Зачастую люди выбор делают не потому что знают, а потому что им нравится что и как говорит этот вот парень, они этому верят. Или он разбирается лучше, или стиль подходит. Но не потому что вот они знают или пришли к выводу что он лучший. Или по иным причинам. Если я бы искал неких работодателей на широком поле фриланса, посредников, я бы из этого прежде всего исходил.
Время не требует никаких денег. Всё это относительно спроса, предложения, того что человек придумал о себе, деньгах и времени. Зачастую, если посмотреть на какую поеботину такие деловые люди тратят это время, то станет предельно ясно, что ценят они только деньги, а о времени и ценностях что-то придумывают, себе и возможно другим. ))
Я думаю что дело в увлеченности и исследовании чего-либо, самое важное сопутствующее такой занятости в том, что она должна приносить удовольствие. Если его нет, в этом изначально сокрыт некий обман, подлог. Если есть и увлеченность и удовольствие, то такому человеку не потребуется компенсация за напряжение, унижение, или что либо, за что люди так хотят больше денег напоминая о времени. Как вам представляется, откуда эта тяга к аксессуарам чуть дороже, чем можешь позволить и т.п.? В редких случаях это реально помогает с контактами и продвижении в какой то там карьере. Но в большинстве, как я вижу, это банальная мат.компенсация за ошибку выбора занятости и вообще пути. Никакой длани моде в этом нет, жертве Тельцу и т.п.. Человек который развивается, которому в кайф знает одно - развивая свои навыки и совершенствуясь он пропорционально будет зарабатывать больше, или оцениваться больше, но так или иначе он этим занят а на все эти серебрянные запонки и костюмы по 6000 долларов ему плевать. Есть люди которые в топ-100 Форбс, они как бы обязаны тратить бюджет на сорочки не за 100 долларов а за несколько сотен, но они этого не делают, пока им не навязывают стилиста который просто сняв мерки потом находит способы впарить это белье. Это что касается бизнеса. Хотя не только. Джобс ходил в однотипной одежде, ему выдали запас его любимых вещей, потому что одно время он жил без жены один, у него не были распакованы даже вещи, огромный дом был пустым, Возник кажется тоже ни о каком сранном бизнесе не думал и одевается так же просто. Гейтс вроде бы носил деловые костюмы, но уже будучи миллионером он одевался в жизни достаточно скромно. Он запускал винду на старом железе, что бы лучше понять чего может не хватать пользователям, на его рабочем месте красовались мыши и клавиатуры не самые новые и чистые, ну так было до win 7 совершенно точно и майкрософту такой пиар не нужен был. Это простые люди достаточно, которые не учат бизнесу и ни о каком бизнесе они не думали, делали что нравится и развивались. Может иные времена настали. Я не призываю косить под каких-то фигур прошлого, просто учитывать их опыт и феномен.

Человеческое тело требует пищи, тепла и заботы, причем требует даже если оно вроде бы ничего не делает, таким образом оно за прожитое время должно расплачиватся, для простоты скажем что оно на еденицу времени оно требует еденицу энергии, энергию можно купить за деньги, а значит время человека это всегда энергия/деньги. Кроме поддержания жизни тела еще как правило нужно оплачивать жкх, и это просто самое базовое. Таким образом время потраченное все же стоит и денег. Обучающийся субъект, или пытающийся что то освоить\создать, должен очень четко это понимать. Не обладая запасами ресурсов что бы спокойно учится\разрабатывать продукт\и тп. 5+ лет ни на что другое не отвлекаясь, наш герой вынужден срезать углы и работать по схеме 20 на 80. Еще важный момент про расходование времени на пустое, длительные и непрерывные периоды концентрации да еще и на марафонских дистанциях мало кому доступны вообще, а при обучении новому зачастую просто не возможны, новые порции информации надо что называется переварить, периоды отвлечения на пустое это необходимость, потому что перевариванием занимается дефолт система мозга а она активна когда человек вроде как нихрена не делает. И хорошо если затраты - времени, денег и усилий окажутся в 2 раза выше ожидаемых, но хорошо бывает слиьно реже чем как всегда, а как всегда обычно грустно.
Вот теперь представьте неофита которому есть хотелось еще вчера, если он пойдет изучать основы он тупо сдохнет, если он начнет что то тыкать не особо понимая суть, по мануалам от тех кто понимает чуть больше может и выживет. Не редко успех связан не с глубиной познаний, а с насточивостью и множеством итераций. Так или иначе все закономерно и является следствием чего либо, если присмотрется к причинам то становится ясно что иначе и быть не могло.

 

[stepany4]

Человеческое тело требует пищи, тепла и заботы, причем требует даже если оно вроде бы ничего не делает, таким образом оно за прожитое время должно расплачиватся, для простоты скажем что оно на еденицу времени оно требует еденицу энергии, энергию можно купить за деньги, а значит время человека это всегда энергия/деньги.

Вот я лет 8 назад познакомился с талантливым тогда, начинающим разработчиком, который на встречу в офисе, купил себе Pringles и какое то дорогое немецкое пиво, супермаркет был центральный, в нем было много импортных продуктов, но и из них можно было выбрать что попроще, это не duty free был сектора миллионеров, зона для пассажиров частных авиарейсов. ))
И вот он говорил примерно то же что и вы, но что у него нет денег, ему не хватает. Возможно это ему помогло в жизни, но я думаю он просто сработался с такими же людьми, на планку выше. Он достиг успеха, стал богаче. Понимание ценностей и аппетит ему не помешали на пути. Но, есть разные представления о том что такое "нет денег". Я и некоторые мои знакомые не то что бы голодали, но сечка рисовой крупы, мелкий битый рис было вполне себе благородным выбором у нас, при чем бывали бедные дни - не в качестве гарнира. Ни о каких там чипсах никто не помышлял, картофель добавлялся просто в блюдо для разнообразия рациона. Это так же никому не мешало ни учиться, ни работать, ни достичь каких-то целей. Не это главное. Если для вас это важно, то не потому что вам чего-то не хватает, по другим причинам. Пара из знакомых тех лет достигли успеха, это достаточно известные в своих кругах люди. Вы бы ни за что не поверили что они в складчину снимали трешку без мебели в спальном неспокойном районе и стеснялись как то по военному передернуть, подрочить в туалете, потому что извините, ласки у нас не было, групповух так же, а в большом дорогом мегаполисе трудно студентам выжить, поэтому о тех временах как то не принято вспоминать, что мы скидывались и какое то время так вот жили.

Вот теперь представьте неофита которому есть хотелось еще вчера, если он пойдет изучать основы он тупо сдохнет, если он начнет что то тыкать не особо понимая суть, по мануалам от тех кто понимает чуть больше может и выживет. Не редко успех связан не с глубиной познаний, а с насточивостью и множеством итераций. Так или иначе все закономерно и является следствием чего либо, если присмотрется к причинам то становится ясно что иначе и быть не могло.

Я не знаю что вы для себя выбрали, что и как удается и чего не хватает. В своем опыте, я констатирую продвижение, некоторый рост исключительно пропорционально затраченному времени на развитие, только тогда качественно что либо меняется, что не связано с обстоятельствами, моей оценкой, просто благоприятными условиями.
Со временем, обычно это пять лет, иногда 6-8, станет очевидным, то ли направление вы выбрали и что смогли развить в этом. Наступает момент постепенного подведения итогов.
У разных людей различные способности, одни смогут средние достижения получить легко и естественно, другие на говно изойдут и так же достигнут средние, но вряд ли выше средних, но оно того просто не стоило, т.к. им нужно было выбирать что-то другое и пользы было бы больше и сил меньше затрачено и вообще достигнуто некое счастье, успех. Мы не можем знать чего бы мы достигли если бы выбрали другую занятость, другой путь в жизни.
Ну это если вы можете выбирать. Если вам изначально нужны условия и вы так все оцениваете, может я не понимаю вашу ситуацию, а возможно вы сами ее не понимаете и списываете на причину достижения успеха то, что даже не является вторичным сопутствующим на пути. Но я бы исходил все таки из способностей, редко таланта, что это такое науке уже довольно точно известно. И условно малых, средних и выше достижений, роста в выборе занятости. Если за 5 лет вам еще чего то не хватает для достижения чего то получше, вероятно вы совершили не лучший выбор. Но это вы для себя должны понять и оценить.

 

[Whisper]

Вот я лет 8 назад познакомился с талантливым тогда, начинающим разработчиком, который на встречу в офисе, купил себе Pringles и какое то дорогое немецкое пиво, супермаркет был центральный, в нем было много импортных продуктов, но и из них можно было выбрать что попроще, это не duty free был сектора миллионеров, зона для пассажиров частных авиарейсов. ))
И вот он говорил примерно то же что и вы, но что у него нет денег, ему не хватает. Возможно это ему помогло в жизни, но я думаю он просто сработался с такими же людьми, на планку выше. Он достиг успеха, стал богаче. Понимание ценностей и аппетит ему не помешали на пути. Но, есть разные представления о том что такое "нет денег". Я и некоторые мои знакомые не то что бы голодали, но сечка рисовой крупы, мелкий битый рис было вполне себе благородным выбором у нас, при чем бывали бедные дни - не в качестве гарнира. Ни о каких там чипсах никто не помышлял, картофель добавлялся просто в блюдо для разнообразия рациона. Это так же никому не мешало ни учиться, ни работать, ни достичь каких-то целей. Не это главное. Если для вас это важно, то не потому что вам чего-то не хватает, по другим причинам. Пара из знакомых тех лет достигли успеха, это достаточно известные в своих кругах люди. Вы бы ни за что не поверили что они в складчину снимали трешку без мебели в спальном неспокойном районе и стеснялись как то по военному передернуть, подрочить в туалете, потому что извините, ласки у нас не было, групповух так же, а в большом дорогом мегаполисе трудно студентам выжить, поэтому о тех временах как то не принято вспоминать, что мы скидывались и какое то время так вот жили.


Я не знаю что вы для себя выбрали, что и как удается и чего не хватает. В своем опыте, я констатирую продвижение, некоторый рост исключительно пропорционально затраченному времени на развитие, только тогда качественно что либо меняется, что не связано с обстоятельствами, моей оценкой, просто благоприятными условиями.
Со временем, обычно это пять лет, иногда 6-8, станет очевидным, то ли направление вы выбрали и что смогли развить в этом. Наступает момент постепенного подведения итогов.
У разных людей различные способности, одни смогут средние достижения получить легко и естественно, другие на говно изойдут и так же достигнут средние, но вряд ли выше средних, но оно того просто не стоило, т.к. им нужно было выбирать что-то другое и пользы было бы больше и сил меньше затрачено и вообще достигнуто некое счастье, успех. Мы не можем знать чего бы мы достигли если бы выбрали другую занятость, другой путь в жизни.
Ну это если вы можете выбирать. Если вам изначально нужны условия и вы так все оцениваете, может я не понимаю вашу ситуацию, а возможно вы сами ее не понимаете и списываете на причину достижения успеха то, что даже не является вторичным сопутствующим на пути. Но я бы исходил все таки из способностей, редко таланта, что это такое науке уже довольно точно известно. И условно малых, средних и выше достижений, роста в выборе занятости. Если за 5 лет вам еще чего то не хватает для достижения чего то получше, вероятно вы совершили не лучший выбор. Но это вы для себя должны понять и оценить.

А речь не обо мне, я не особенный, и случалось мне жить и в сильно худших условиях чем в трешке в троем, и сам всякого испытал и еще больше посмотрел. И понял что нельзя рассматривать что либо вне контекста подобно тем кто любит сказать - посмотрите какие дибилы, что творят. На этом форуме встречал парня который отказался от изучения ц++, хотя ему очень хотелось, но человек он был думающий и понял что в адекватные сроки не вывезет, он выучил что быстрее и проще, и как всякая белка - бежит, пищит. И без условно какой то выбор есть всегда, вопрос только между чем и чем. А кто не планирует и не расчитывает силы и средства заканчивают как правило совсем плохо. В любом случае все имеет свои причины, и не всегда это лень и глупость.