👾 Поиск Web - уязвимостей
В этой статье рассмотрим различные виды атак по веб уязвимостям. Затронем и межсайтовый скриптинг, инъекции и прочее.
➖https://telegra.ph/Poisk-Web---uyazvimostej-10-25
#less #XSS #SQL #Injection | 💀 Этичный хакер
В этой статье рассмотрим различные виды атак по веб уязвимостям. Затронем и межсайтовый скриптинг, инъекции и прочее.
➖https://telegra.ph/Poisk-Web---uyazvimostej-10-25
#less #XSS #SQL #Injection | 💀 Этичный хакер
👍23
В этой статье рассмотрим небольшую методологию поиска уязвимостей веб-кэша с советами и примерами из реальных находок.
➖ https://telegra.ph/Kak-testirovat-veb-kehsh-na-nalichie-uyazvimostej-12-10
#XSS |
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17👍9🤔3🫡2
В этой статье пойдет речь о межсайтовом скриптинге (XSS). Читатель узнает, как злоумышленник способен выполнять вредоносные JavaScript-коды для входных параметров и генерировать всплывающие окна, чтобы «испортить» веб-приложение или захватить сеанс активного пользователя.
➖ https://telegra.ph/Rukovodstvo-po-osushchestvleniyu-Cross-Site-Scripting-XSS-02-15
#guide #xss #web | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥28👍8
В этой статье пойдет речь о том, как уязвимая к XSS веб-страница может влиять на веб-приложения и способна нарушить конфиденциальность посетителя, поделившись со злоумышленником его учетными данными для входа или аутентифицированными файлами cookie без ведома пользователя.
➖ https://telegra.ph/Instrukciya-po-ehkspluatacii-Cross-Site-Scripting-XSS-02-15
#guide #xss #web | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21👍7❤1
Периодически разработчики забывают проводить проверку и санитизацию параметров внутри закодированных строк, что может приводить к ряду уязвимостей. Об одном из таких примеров читайте в данной статье.
#XSS #JSON
Please open Telegram to view this post
VIEW IN TELEGRAM
👍47❤2👀2
Статья о том, как объединение двух уязвимых конечных точек может помочь обойти Content Security Policy (CSP, политика защиты контента) и привести к выполнению XSS.
#Web #XSS #CSP
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36❤4
В этой статье рассмотрим небольшую методологию поиска уязвимостей веб-кэша с советами и примерами из реальных находок.
#XSS | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36❤2🔥1
В этой статье пойдет речь о межсайтовом скриптинге (XSS). Читатель узнает, как злоумышленник способен выполнять вредоносные JavaScript-коды для входных параметров и генерировать всплывающие окна, чтобы «испортить» веб-приложение или захватить сеанс активного пользователя.
➖ https://telegra.ph/Rukovodstvo-po-osushchestvleniyu-Cross-Site-Scripting-XSS-02-15
#XSS #Web | 💀 Этичный хакер
Please open Telegram to view this post
VIEW IN TELEGRAM
👍36❤4🤔2🌚1
В статье рассмотрим отличный пример того, как можно произвести XSS, разместив полезную нагрузку в файле, и к чему такая атака может привести.
#XSS #iOS
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29🔥8👏4😢1
🛡 Обход фильтрации в AngularJS
AngularJS - это JavaScript-фреймворк с открытым исходным кодом, предназначенный для разработки одностраничных приложений. Часто используется различными конструкторами сайтов.
Если вам требуется короткая полезная нагрузка для XSS в AngularJS 1.2.24 - 1.2.29, то можно воспользоваться той, что представлена ниже:
Фильтрацию самой последней версии AngularJS можно обойти с помощью Unicode и HTML кодирования:
#Web #XSS #WAF
AngularJS - это JavaScript-фреймворк с открытым исходным кодом, предназначенный для разработки одностраничных приложений. Часто используется различными конструкторами сайтов.
Если вам требуется короткая полезная нагрузка для XSS в AngularJS 1.2.24 - 1.2.29, то можно воспользоваться той, что представлена ниже:
{{[].%22-alert`1`-%22}}
По этой ссылке пример её выполнения для версии 1.2.26.Фильтрацию самой последней версии AngularJS можно обойти с помощью Unicode и HTML кодирования:
{{$on.constructor('%26bsol;%26bsol;u%26bsol;u007b61}lert`1`')()}}
По этой ссылке пример её выполнения для версии 1.8.2.#Web #XSS #WAF
👍24❤4❤🔥4🥰4👏1🤗1
🔗 Необычный случай обхода файрвола веб-приложения (WAF)
- WAF заблокировал тег <img>;
- Атрибут «src» также блокируется;
- Однако, найденный WAF не блокировал тег <image>;
- Используем нагрузку на скрине ниже и получаем XSS.
Данная нагрузка обходит Dotdefender, Comodo и еще несколько WAF.
#Web #XSS
- WAF заблокировал тег <img>;
- Атрибут «src» также блокируется;
- Однако, найденный WAF не блокировал тег <image>;
- Используем нагрузку на скрине ниже и получаем XSS.
Данная нагрузка обходит Dotdefender, Comodo и еще несколько WAF.
#Web #XSS
👍46❤7🔥5
Media is too big
VIEW IN TELEGRAM
В докладе Иван Румак расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.
#video #XSS
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21🔥7🤡2❤1