h◔
Такого прикола я еще не видел, ето валидная url
Size: a a a
2020 February 19
I
o0, это как? sql?
B
https://bo0om.ru/<img src=x onerror=alert(1)>.pngh◔
https://bo0om.ru/<img src=x onerror=alert(1)>.png
h◔
o0, это как? sql?
Просто при создании сделали такой путь, я ничего не подставлял
I
куда уж там пентестерам из Positive Technologies, старались-старались, а все равно среднее время 5 дней.
То ли дело эксперты вебпвн чата !
То ли дело эксперты вебпвн чата !
q
куда уж там пентестерам из Positive Technologies, старались-старались, а все равно среднее время 5 дней.
То ли дело эксперты вебпвн чата !
То ли дело эксперты вебпвн чата !
позитивы просто про окуня-чудотворца не знают
M
У них x-spider есть
А
Зато 95% пробива
h◔
Ето както полезно ? :/
BF
Да
ES
это называется Full path disclosure.
некоторые могут за это заплатить bounty
некоторые могут за это заплатить bounty
h◔
Сомнительное мероприятие
импакта 0
импакта 0
BF
Это крутая штука
Тут видно какие у тебя права в приложении, что позволяет значение куки крутить и аутентификацию и авторизацию тестить более легко
И видно что сайт на C:\ находится, что позволяет сделать LFI, если такая уязвимость найдётся
Тут видно какие у тебя права в приложении, что позволяет значение куки крутить и аутентификацию и авторизацию тестить более легко
И видно что сайт на C:\ находится, что позволяет сделать LFI, если такая уязвимость найдётся
IS
Как минимум путь полный есть
h◔
Всеже ето просто акунетикс шалит
👾0
в чем может быть трабл? словил xsshunter'ом куки админа, отправляю со всеми заголовками и всеми куками (рабочими 100%), все равно страница логина. проверка по ip? либо я куки как то не так ставлю? просто в разных цмс по разному пути кукисов и прочее, может быть еще что то забыл?
I
по айпи вполне
I
ты попробуй под куками юзверя :) И вообще, true way это xss-кой менять почту, пароли и прочее. Вот это пробуй.
BF
Ну или бан параллелизма сессий