Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!
Интересный info sec trick с твиттера:
"Можно отправлять XSS и другие пейлоады в email адресе с помощью круглых скобок (), которые предполагают использование символов '"{}. При помощи таких скобок фильтр посчитает email адрес валидным".
Blind XSS - моя...
28 Дек 2018
...
28 Дек 2018
https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/ - подборка из трёх интересных уязвимостей, найденных на google
11 Дек 2018
Blind XSS в angular js web приложениях
https://bit.ly/2E8ek5b
8 Дек 2018
Facebook увеличили награду за уязвимость account takeover до $40 000 и $25 000 в bug bounty https://www.facebook.com/BugBounty/posts/2338733869474159
22 Ноя 2018
Канал с мемчиками по теме:
@InfoSecPics
29 Окт 2018
"Расскажите нам, почему Вы отписываетесь?", - ещё одно место, куда можно внедрить свой blind xss payload и, вероятно, выполнить его в админ панели. Просто подпишитесь на обновления сайта в личном кабинете и ждите сообщения на почту, или же спровоцируйте...
28 Окт 2018
...
28 Окт 2018
Опубликовал новую статью "[Bug bounty mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей" https://habr.com/post/416835/
11 Окт 2018
Bug Bounty совет: Попытайтесь обойти защиту web-сайта с помощью мобильного приложения. Например, в мобильном приложении нет ограничения на количество попыток ввода кода 2fa или окно ввода 2fa пропускается, в то время, когда в web версии срабатывает защита....
8 Окт 2018
Дуров прокомментировал https://bit.ly/2Rco6rf баг, который раскрывал IP адрес пользователя telegram с помощью логов звонка.
«Дуров отметил, что десктопная версия приложения, которая считалась проблемной, использовалась для 0,01 % всех звонков через Telegram....
2 Окт 2018
...
2 Окт 2018
«Facebook взломан: до 90 млн аккаунтов пользователей подверглось атаке из-за ошибки в коде»
https://habr.com/post/424815/
29 Сен 2018
⭕️ Hackerone:
- Несколько дней назад достиг отметки в 1000 баллов репутации (https://hackerone.com/w2w) 🎉;
- Получил выплату в сумме $6300;
- Занял место в Hall of Fame PayPal (ещё когда PP был в приватной программе) за IDOR уязвимость, которая позволяет...
27 Сен 2018
Исходные коды веб приложения компании "Аэрофлот" в публичном доступе https://github.com/aeroflotsrc/webapp
27 Сен 2018
https://habr.com/post/423947/
24 Сен 2018
XSS на partners.uber.com с CSP bypass https://mkto.uber.com/index.php/form/getKnownLead?callback=alert(document.domain);
https://bit.ly/2Dlinwj
22 Сен 2018
Disclosure Information баг на shopify https://goo.gl/nas9fy .
Кратко: исследователь нашёл пустой поддомен с редиректом, отменил редирект, нашёл в исходном коде js файл, в котором был запрос на подгрузку тикетов спп без аутентификации и раскрыл тикеты....
20 Сен 2018
BugBounty совет: Попробуйте отправить Blind XSS скрипт на странице жалобы или «Отправить отзыв», он попадет в раздел отзывов в панели администратора, и, в отличии от тикетов службы поддержки или обратной связи, там может не оказаться фильтрации.
...
19 Сен 2018
«Hacking your own antivirus for fun and profit (Safe browsing gone wrong)»
https://bit.ly/2MGo9YA
17 Сен 2018