Какой рейтинг вас больше интересует?
|
Главная / Главные темы / Тэг «qiece»
[Багхантинг] Blind XSS уязвимость на сайтах службы поддержки omnidesk 2017-02-21 13:03:29
Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, ...
+ развернуть текст сохранённая копия
Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, увидел посев (реклама в социальных сетях) групп с бесплатными ключами vk.com/ ******* и vk.com/ *****. Посевы эти дорогие, производились в группах от 250 000 до 5 000 000 подписчиков, например в группе Наука и Техника. Группы предлагали каждому бесплатный ключ за подписку. Примерно через полмесяца увидел, что первая группа выросла до 109 тысяч подписчиков. Тут любому понятно, что бесплатный ключ люди не получат, ведь бесплатных ключей на 100 к человек не «напасешься». Немного осмотрев группу, я понял что «реальные» отзывы о получении бесплатных ключей подделка, ведь скриншоты из отзывов все время кидают одинаковые и ссылки на людей поддельные.
Самое интересное то, что люди на всё это до сих пор ведутся, вступают в группу в надежде на бесплатный ключ, делают репост в надежде на то, что им повезет и они выиграют дорогой игровой PC( но мы то знаем, что никто PC не получит), когда они хотят получить что-то бесплатно, ими легко манипулировать для своих целей.
Вся суть постов в группе — это реклама реферальной ссылки на сайт ***random.ru и получение выгоды.
Посмотрим на него.
Читать дальше →
Тэги: blind, cookies, it-систем, omnidesk, omnidesk.ru, qiece, securityz, securityz.net, serpstat.com, steam, stored, support.omnidesk.ru, vulnerability, w9w, xss, безопасность, бесплатные, веб-сайтов, веб-сервисов, игр, игры, информационная, клиентов, ключи, кража, поддержки, подмена, пример, программирование, разработка, сервис, слепая, тестирование, уязвимость, хранимая, хсс
Как использовать SELF XSS в формах входа/восстановления пароля/регистрации 2017-01-11 16:15:15
Добрый день. В этой статье я расскажу, как правильно эксплуатировать SELF XSS, чтобы получить ...
+ развернуть текст сохранённая копия
Добрый день. В этой статье я расскажу, как правильно эксплуатировать SELF XSS, чтобы получить за неё деньги в баг баунти или взломать пользователя/админа.
Я писал эту статью полгода назад в своём блоге на wordpress для англоязычных пользователей, решил её написать на русском здесь. Уверен, что это тема актуальная сейчас с быстрым появлением различных bug bounty программ и будет многим интересна.
Итак, у нас есть хранимая или отраженная XSS в форме восстановления пароля.
Но мы не можем осуществить атаку на пользователя, так как это не XSS в учетной записи. И если мы не можем прислать юзабельный PoC, то эта уязвимость класифицируется как SELF XSS, она не опасная и не может претендовать на большую награду в Bug Bounty!
Читать дальше →
Тэги: account, bounty, bug, cookies, hacked, html, injection, it-систем, privatbank, qiece, securityz, self, vulnerability, xss, баг, баунти, безопасность, веб-сайтов, веб-сервисов, взлом, информационная, приватбанк, программирование, разработка, тестирование, уязвимость
[Из песочницы] Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RU 2017-01-11 15:02:23
Я независимый исследователь безопасности securityz.net, первое место в bug bounty ПриватБанка.
...
+ развернуть текст сохранённая копия
Я независимый исследователь безопасности securityz.net, первое место в bug bounty ПриватБанка.
Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/), обратил внимание на тех.поддержку.
Читать дальше →
Тэги: alexarank, bounty, bug, drugvokrug.ru, fl.ru, iframe, injection, ivi.ru, privatbank, qiece, securityz, userecho, xss, баг, баунти, безопасность, веб-сайтов, веб-сервисов, информационная, платежные, приватбанк, программирование, разработка, системы, тестирование, уязвимость
Главная / Главные темы / Тэг «qiece»
|
Взлеты Топ 5
Падения Топ 5
|
