Info sec блог

«7 хедеров, о которых должен знать каждый тестировщик безопасности» https://bit.ly/2K1dB5X

Во время выполнения очередного аудита обнаружил подобную IDOR уязвимость двухфакторной аутентификации. Если предположить, что в проверке 2fa кода есть баг, который мог бы позволить беспрепятственно перебрать коды- взломать все аккаунты и вывести деньги...

...

...

«Авторы ботнета Trik по ошибке слили базу из 43 миллионов email-адресов» (база лежала на сайте в txt файлах, 1.txt-201.txt) https://bit.ly/2MqZ5pG

«Это должно быть в общем доступе?» - статья об эксплуатации google дорков https://goo.gl/qWK6tL

https://bit.ly/2LLsmdP

⭕️ Hackerone. Сегодня получил награду $150 за потенциальную reflected xss в Internet Explorer. Показал, что символы >

...

...

XSS с помощью css: img{background-image:url('javascript:alert(1)')} Обход фаерволов: *{background-image:url('\6A\61\76\61\73\63\72\69\70\74\3A\61\6C\65\72\74\28\6C\6F\63\61\74\69\6F\6E\29')}

Второй раз обошёл защиту от open redirect 😏 В итоге — +21 балл репутации за одну уязвимость (последний репорт пока что triaged, но исправят и начислят репутацию быстро). Если бы компания платила за уязвимости, то пришлось бы платить за каждый bypass 💵💵...

...

Сегодня посетил Owasp Odessa cyber-security meetup, увидел первую часть презентации. С моей точки зрения, информация была подана несколько поверхностно и рассказы, в основном, рассчитаны на новичков(основы веб хакинга - clickjacking, xss,csrf). Ничего...

...

...

...

Только что получил письмо от фишеров :) Они использовали сервис Google формы и email [email protected] для того, чтобы обойти фильтры спама. Мошенники загрузили pdf документ из ссылкой фишингового сайта на гугл диск (пример такой ссылки...

...

...