В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

894 membersпожаловаться на группу
2020 February 17

AS

Andrew Sparks in WebPwnChat
Ioann_V
но есть скрины, вообще говоря. Так ведь можно про любую шнягу сказать, мол привязка по ип, ты просто недочекал... И сразу ответ Алексею:

Не тестил с другого браузера, так как эти статьи они публичные, ресурс dtf, vc, tj и все такое вот. Запостил бы, это у всех воспроизвелось бы.
Ты на сайтах комитета нашел багу???
источник
14:24пожаловаться#1

AS

Andrew Sparks in WebPwnChat
Если что-то серьезное можно устроить баунти
источник
14:24пожаловаться#2

I

Ioann_V in WebPwnChat
Да, несколько штук и в том году и в этом. Просто в этом, уже не получится увести токены :(
источник
14:24пожаловаться#3

I

Ioann_V in WebPwnChat
Но данные Кредитки, вполне. Но я денег не беру, я не хакер, просто Sch00l m4n
источник
14:25пожаловаться#4

AS

Andrew Sparks in WebPwnChat
Ioann_V
Да, несколько штук и в том году и в этом. Просто в этом, уже не получится увести токены :(
Ты с Ильей общался или куда репортил?
источник
14:25пожаловаться#5

I

Ioann_V in WebPwnChat
Да с Ильей!
источник
14:26пожаловаться#6

I

Ioann_V in WebPwnChat
Вот это то, что в этом году нашел - две баги, да можно CC увести, а вот токены увести, как в том году, уже не выйдет :Я статьи о этом пишу - я не инфосек, это важно, но для меня это все, большой + в Резюме.
источник
14:27пожаловаться#7

I

Ivan in WebPwnChat
там где-то на страницах сайта номер карты отображается как есть в полном виде?
источник
14:28пожаловаться#8

I

Ioann_V in WebPwnChat
Ну там окошко заполнения CC вроде есть, его можно перерисовать же...
источник
14:29пожаловаться#9

I

Ivan in WebPwnChat
ну фишинг карт где угодно устроить можно
источник
14:29пожаловаться#10

B

Bo0oM in WebPwnChat
Так везде можно перерисовать
источник
14:29пожаловаться#11

I

Ivan in WebPwnChat
не то что бы я принижаю последствия XSS, но это не совсем корректное утверждение
источник
14:29пожаловаться#12

I

Ioann_V in WebPwnChat
Да, не в новом окне, а всплывающее, вот. Но разве тут это не будет критично? Ну то есть, как-то так. Еще раз, не мастер я - но говорю, что сделать можно. Мне кажется, что окно ввода данных Кредитки, должно быть новым окном, а не всплывающим.
источник
14:30пожаловаться#13

I

Ioann_V in WebPwnChat
Но я пытался, увести токены : не вышло(как пишет Илья, из за капчи по ip), зато вышло сделать account takover - но и тот, не всегда возможен...
источник
14:30пожаловаться#14

I

Ivan in WebPwnChat
а про какие токены ты говоришь?
источник
14:31пожаловаться#15

I

Ioann_V in WebPwnChat
api, есть там в настройках, с помощью них можно делать запросы от лица пользователя.
источник
14:32пожаловаться#16

I

Ivan in WebPwnChat
а, теперь понятно. А то просто могут быть сессионные токены (кука?), csrf токены, апи токены
источник
14:32пожаловаться#17

I

Ioann_V in WebPwnChat
чтобы открыть окно с API, надо капчу пройти - я хотел подменить ответ капчи, и все работало на моем ПеКа, даже с другого Аккаунта, но теперь стало ясно, что там привязка по ip...
источник
14:33пожаловаться#18

I

Ioann_V in WebPwnChat
Даже не думаю, что x-forwrwrd-ip тут поможет, вот это минус мораль, да!
источник
14:33пожаловаться#19

I

Ivan in WebPwnChat
Content-Security-Policy: default-src * data: blob: 'unsafe-eval' 'unsafe-inline'


вот CSP как бы есть, но как бы и нет
источник
14:35пожаловаться#20