P
да чё вы всё про xss да про xss
Size: a a a
2017 December 08
P
как будто кто-то чё-то с помощью неё ломает )
P
ну кроме популярных сервисов
B
как будто кто-то чё-то с помощью неё ломает )
ГГГ
P
я вк как-то xss находил, но не дораскурил до конца
B
ГГГ
P
щас походу закрыли уже
P
причём была она в самом прикольном месте
B
Потому что все думают, что xss - это воровать куки
P
вот тут в тестировании методов https://vk.com/dev/methods
P
еслиб удалось раскурить то можно-бы было стать великим тыжхакером и с гордостью отвечать ДА на вопрос "ты можешь взломать страничку вк?"
P
ну вот, RCE это то что надо )
P
раньше там тестирование некоторых методов отдавало тип text/html а сейчас везде text/plain
P
есть смысл автоматически пройтись по всем методам и посмотреть сохранилось-ли где-нибудь text/html
P
но даже если xss есть то всёравно нужен хеш
P
а ещё, недавно я обнаружил что хакерру сделан на WP и никак не защищён
P
вернее он защищён http-проксей. но если узнать айпишник за проксей то обнаружится что там голый сервер на linode у которого всё открыто.
2017 December 09
P
Все только заходят но никто ничего не говорит
P
А что говорить товарищу майору?