В этой статье я расскажу о blind XSS — это довольно простая, но зачастую очень эффективная атака на веб-приложения. Эксплуатация таких векторов атак приводит к захвату админ-панелей различных сервисов, в том числе софтверных гигантов.Читать полностью »
Рубрика «blind xss»
Слепая простота
2019-05-15 в 8:14, admin, рубрики: blind xss, OWASP, Блог компании Инфосистемы Джет, информационная безопасность, Тестирование веб-сервисов[Bug bounty | mail.ru] Доступ к админ панели партнерского сайта и раскрытие данных 2 млн пользователей
2018-10-11 в 14:28, admin, рубрики: account takeover, blind xss, bug bounty, hackerone, improper access, xss, информационная безопасность, Разработка веб-сайтов, Тестирование IT-систем, Тестирование веб-сервисовОтносительно недавно я перешёл от поиска уязвимостей на случайных сайтах к Bug Bounty площадкам, и для многих такой выбор кажется очевидным — в таких программах исследователь в 90% случаев получит не только хороший опыт, но и гарантированную награду за валидную уязвимость, в то время как на случайном сайте можно наткнуться на непонимание и угрозы. Собственно, для того, чтобы получить репутацию и «ускорение» на крупнейшей Bug Bounty — HackerOne, было принято решение сосредоточиться на поиске уязвимостей на одной из крупных bugbounty программ — mail.ru.
В этой статье будет идти речь о нескольких багах на самом mail.ru, а так же об уязвимости на одном из поддоменов mail.ru, которая позволяла получить доступ к админ панели, в связи с чем возможно было просматривать личные данные 2 миллионов пользователей (такие как email адреса, номера телефонов, домашний адрес и др) с более чем 10 популярных интернет магазинов СНГ, а так же входить в их аккаунты без пароля. Читать полностью »
Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
2017-12-21 в 15:24, admin, рубрики: bitcoin, blind xss, csrf, disclosure information, Ethereum, idor, okex, poloniex, xss, биткоин, доверительное управление, ефир, инвестирование, инвестиции, информационная безопасность, криптовалюта, Программирование, Тестирование IT-систем, Тестирование веб-сервисов, уязвимость, финансы в ITБиткоин и криптовалюты в целом сейчас у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum, курс на тот момент был по $1900 за btc и $89 за эфир. Для того, чтобы вы могли понять, какой профит я получил, скажу, что на момент написания статьи биткоин стоит $18 100, а эфир $830 и продолжает выходить на орбиту вместе с остальными криптовалютами. Подумал, что будет отлично посмотреть насколько безопасны сервисы, в которых я держу свои криптовалютные сбережения, торгую ими или отдаю в доверительное управление.
Читать полностью »