Info sec блог

Info sec блог

3435
Блоги

Канал блога по информационной безопасности securityz.net и околотематике. Чат канала - @chatinfosec По поводу аудита, или других волнующих вопросов, обращаться сюда - @srch4bugs Реклама не продаётся!

Интересный info sec trick с твиттера: "Можно отправлять XSS и другие пейлоады в email адресе с помощью круглых скобок (), которые предполагают использование символов '"{}. При помощи таких скобок фильтр посчитает email адрес валидным". Blind XSS - моя...
28 Дек 2018
...
28 Дек 2018
https://blog.avatao.com/How-I-could-steal-your-photos-from-Google/ - подборка из трёх интересных уязвимостей, найденных на google
11 Дек 2018
Blind XSS в angular js web приложениях https://bit.ly/2E8ek5b
8 Дек 2018
Facebook увеличили награду за уязвимость account takeover до $40 000 и $25 000 в bug bounty https://www.facebook.com/BugBounty/posts/2338733869474159
22 Ноя 2018
Канал с мемчиками по теме: @InfoSecPics
29 Окт 2018
"Расскажите нам, почему Вы отписываетесь?", - ещё одно место, куда можно внедрить свой blind xss payload и, вероятно, выполнить его в админ панели. Просто подпишитесь на обновления сайта в личном кабинете и ждите сообщения на почту, или же спровоцируйте...
28 Окт 2018
...
28 Окт 2018
Опубликовал новую статью "[Bug bounty mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей" https://habr.com/post/416835/
11 Окт 2018
Bug Bounty совет: Попытайтесь обойти защиту web-сайта с помощью мобильного приложения. Например, в мобильном приложении нет ограничения на количество попыток ввода кода 2fa или окно ввода 2fa пропускается, в то время, когда в web версии срабатывает защита....
8 Окт 2018
Дуров прокомментировал https://bit.ly/2Rco6rf баг, который раскрывал IP адрес пользователя telegram с помощью логов звонка. «Дуров отметил, что десктопная версия приложения, которая считалась проблемной, использовалась для 0,01 % всех звонков через Telegram....
2 Окт 2018
...
2 Окт 2018
«Facebook взломан: до 90 млн аккаунтов пользователей подверглось атаке из-за ошибки в коде» https://habr.com/post/424815/
29 Сен 2018
⭕️ Hackerone: - Несколько дней назад достиг отметки в 1000 баллов репутации (https://hackerone.com/w2w) 🎉; - Получил выплату в сумме $6300; - Занял место в Hall of Fame PayPal (ещё когда PP был в приватной программе) за IDOR уязвимость, которая позволяет...
27 Сен 2018
Исходные коды веб приложения компании "Аэрофлот" в публичном доступе https://github.com/aeroflotsrc/webapp
27 Сен 2018
https://habr.com/post/423947/
24 Сен 2018
XSS на partners.uber.com с CSP bypass https://mkto.uber.com/index.php/form/getKnownLead?callback=alert(document.domain); https://bit.ly/2Dlinwj
22 Сен 2018
Disclosure Information баг на shopify https://goo.gl/nas9fy . Кратко: исследователь нашёл пустой поддомен с редиректом, отменил редирект, нашёл в исходном коде js файл, в котором был запрос на подгрузку тикетов спп без аутентификации и раскрыл тикеты....
20 Сен 2018
BugBounty совет: Попробуйте отправить Blind XSS скрипт на странице жалобы или «Отправить отзыв», он попадет в раздел отзывов в панели администратора, и, в отличии от тикетов службы поддержки или обратной связи, там может не оказаться фильтрации. ⁠...
19 Сен 2018
«Hacking your own antivirus for fun and profit (Safe browsing gone wrong)» https://bit.ly/2MGo9YA
17 Сен 2018