I
Ну я не с репорта брал, хех - просто сейчас, случайно нашел разные штуки, которых не видел ранее, например, просмотр history поста.
Size: a a a
2020 February 27
I
Это скрытый функционал, вообще говоря. Но фишка в том, что полазив там, нашел старые версии своего поста, в котором XSS еще была актуальна.
I
Если ее постить в пост - она заэнкодится, а вот если открыть старый пост из respone history, где воспроизводилась - воспроизведется :)
IS
Если ее постить в пост - она заэнкодится, а вот если открыть старый пост из respone history, где воспроизводилась - воспроизведется :)
а они что сказали? мол баста не чгео там нету?
I
они это кто? Я не баунтер, это раз, а во вторых - не репортил еще. Только что ж нашел.
I
Прикольная штука, тоже на логику скорее + если раньше не было у тебя XSS, то уже и не получишь никак в history!
GD
Что-то ещё похожее есть в asp.net. там в формочках могут быть элементы "спрятаные", но их из view state можно "достать". Хотя сам я такого не встречал
VP
I
Ну, тут JS, пусть и обфусцированный, а его можно и изучить.
IS
они это кто? Я не баунтер, это раз, а во вторых - не репортил еще. Только что ж нашел.
была тут история в чате что зарепортили хсс потом сказали что восрпоизветси не смогли или что-то таоке и мол там не чего нету, что-то такое
I
Или asp.net - тоже source-code можно глянуть? Если да, то сорян. Согласен, что +- тоже самое.
GD
в бурпе настройка есть “show hidden elements”, если ее врубить то на страничке иногда можно увидеть новое
Это разве не про hidden атрибут?
I
была тут история в чате что зарепортили хсс потом сказали что восрпоизветси не смогли или что-то таоке и мол там не чего нету, что-то такое
Да, из той же comp.
VP
Это разве не про hidden атрибут?
честно говорят не разбирался, но иногда видел занимательное
GD
А asp там элементы из хтмл убираются (берп тут не поможет получатеся), а из стейтов нет(насколько помню). Потому их оттуда можно вызнать
GD
Написал статейку. Про Яву и сериализацию https://www.acunetix.com/blog/web-security-zone/old-java-libraries/
IS
Написал статейку. Про Яву и сериализацию https://www.acunetix.com/blog/web-security-zone/old-java-libraries/
спасибо, полезный контент
TB
https://github.com/andresriancho/w3af
3 месяца назад последнее обновление. Ну и ишью с пул реквестами регулярные
3 месяца назад последнее обновление. Ну и ишью с пул реквестами регулярные
Не подскажите что под os commands понимается? Можете привести примеры ?
А
Подскажите как понимать то, что в in scope написан домен, следом critical и затем ineligible? Смотрю программы, в каждой третьей так написано
VP
подними глаза в правый верхний угол страницы, и прочитай что в нем написано