Info sec блог

«CSRF-уязвимости все еще актуальны» https://bit.ly/2JsFl6k

Очень увлекательная статья об lfi, sqli и получении доступа к админ панели https://bit.ly/2J3XSXy

1. Берём кредит на левого человека, страхуем его жизнь на овермного денег. 2. Подделываем его свидетельство о смерти, несём в страховую. 3. Делимся частью прибыли с этим человеком. 4. Профит http://www.zrpress.ru/incidents/dalnij-vostok_08.10.2012_56970_rossijane-poddelyvajut-svidetelstva-o-smerti-chtoby-pogasit-dolgi.html...

«Сбербанк заблокировал Мобильный банк из-за перевода 666 рублей» https://bit.ly/2GZ1IeE

Интересный open redirect whitelist bypass redirect_uri=https://notmail.com?a=.mail.ru https://hackerone.com/reports/341925

В связи с введеним санкций в Украине, был запрещён ввод и вывод украинской гривны в webmoney (тем не менее, для граждан Украины сервис продолжает работать).

lostfilm.com рекламирует фишинговый сайт myetherwallet.com. На самом деле эта реклама размещается с помощью Яндекс Директа, и многие сайты продвигают эту фишинговую копию, ставя под угрозу деньги пользователей (не знаю, каким образом этот сайт прошёл...

...

История баг баунти https://bit.ly/2GXJp9o

На Bitcoin Gold осуществлена «атака 51%». Злоумышленники захватил более 51% хешрейта сети Bitcoin Gold. Благодаря этому монеты были задвоены и отправлены на кошелек. Были украдены 388,200 BTG. https://bit.ly/2GIIeuB

25к$ Shopify RCE https://hackerone.com/reports/341876

Уже не первый раз замечаю, что на сайте, который предоставляет пользователям материалы по информационной безопасности https://kali.tools/ иногда на страницах появляется ошибка плагина wassup, в котором раскрывается полный путь к веб приложению. А это...

...

Эксперимент, который якобы доказывает, что Google прослушивает пользователей, даже когда браузер google chrome выключен. Это делается для того, чтобы показывать рекламу (не понятно, фэйк это или нет) https://www.youtube.com/watch?v=zBnDWSvaQ1I...

«Криптовалюта Verge опять подверглась атаке, украдено $1,7 млн» https://bit.ly/2LklAfo

Взламываем Трампа?😄 «Дональд Трамп плюет на безопасность своих смартфонов — слишком неудобно» https://bit.ly/2IZsvME

Google 36к RCE https://sites.google.com/site/testsitehacking/-36k-google-app-engine-rce

Свежий bypass xss фильтра Cloudflare %22}%3C%2500svg%26%23x09%3bx%2f%2500onload%3d%26%230000097%26%230000108%26%230000101%26%230000114%26%230000116%26%230000040%26%230000100%26%230000111%26%230000099%26%230000117%26%230000109%26%230000101%26%230000110%26%230000116%26%230000046%26%230000100%26%230000111%26%230000109%26%230000097%26%230000105%26%230000110%26%230000041%3E Источник:...

Stored XSS на yahoo.com, payload: alert();”>«script>alert();img src=x onerror=alert();> https://bit.ly/2wTZc9I

Решил немного отдохнуть от работы и посмотреть сериал на fanserials.info. В итоге случайно обнаружил Blind XSS уязвимость, которая позволяет взломать админ панель для управления сайтом (сайт очень популярен и трафика на нём много). Сообщил разработчикам...