M
Нет, ищу входную точку для тестирование уязвимостей которые сканеры не находят. Что-то вроде Backslash Powered Scanner
Size: a a a
2020 April 10
п@
Нет, ищу входную точку для тестирование уязвимостей которые сканеры не находят. Что-то вроде Backslash Powered Scanner
Понятно
D
И даже он уже ничего не находит
Зачем?
2020 April 11
..
Ребят, вопрос в глубокую древность - капча может быть причиной того, что друпалгедон нк отрабатывает? Я вроде ее паршу и руками ввожу, но чо-то это не помогает? И если да, то что еще на старые друпалы порекомендуете смотреть? FCEditor с тест аплоудом в наличии, но тоже не отрабатывает(
👾0
Ребят, вопрос в глубокую древность - капча может быть причиной того, что друпалгедон нк отрабатывает? Я вроде ее паршу и руками ввожу, но чо-то это не помогает? И если да, то что еще на старые друпалы порекомендуете смотреть? FCEditor с тест аплоудом в наличии, но тоже не отрабатывает(
Не отрабатывает в каком смысле ? Выхлоп есть какой то?
..
Не отрабатывает в каком смысле ? Выхлоп есть какой то?
У друпал гедона или у фкедитора? Если у гедона, то он просто говорит - версия подходит, пробую, неуспешно
👾0
У друпал гедона или у фкедитора? Если у гедона, то он просто говорит - версия подходит, пробую, неуспешно
Metasploit?
..
Не, сриптом. В метасплоитовском же капча не предусмотрна. Или я что-то не так понимаю?
TB
У друпал гедона или у фкедитора? Если у гедона, то он просто говорит - версия подходит, пробую, неуспешно
Может вариант поснифать что друпалгедон шлёт?
M
Вопрос к знатокам: ребята, кто-то знает интересные способы эксплуатирования race condition?
К примеру account takeover ( и как это можно сделать )
К примеру account takeover ( и как это можно сделать )
M
С OTP все понятно. А вот другие кейсы
M
Окей, а знает ли кто англоязычные чаты по security где можно спросить этот вопрос?)
M
Вопрос к знатокам: ребята, кто-то знает интересные способы эксплуатирования race condition?
К примеру account takeover ( и как это можно сделать )
К примеру account takeover ( и как это можно сделать )
Это можно загуглить
WC
Тот что вчера в 19:00 слили?
Где слили?
КР
сделать транзакций на сумму, которая больше той, которая имеется на счету.
персональные данные стащить.
Авторизация за другого пользователя.
зависит от того где проблемы
персональные данные стащить.
Авторизация за другого пользователя.
зависит от того где проблемы
M
Обычно сплойтится на любом каунтере- баллы, лайки и прочее. Хомаков на баллах со страбкаса , читал как чел купоны фришные накручивают. Порой даже с файл аплоадам может стрелять
M
А вот с ОТП такое себе , если там норм реализована защита от брута, то с рк не влезешь туда. Хотя мб я чего-то не знаю
M
Обычно сплойтится на любом каунтере- баллы, лайки и прочее. Хомаков на баллах со страбкаса , читал как чел купоны фришные накручивают. Порой даже с файл аплоадам может стрелять
Насчёт счетчиков я знаю эту уязвимость.
Мне больше интересно было что-то типо этого - https://hackerone.com/reports/300305
То есть не стандартные способы эксплуатации.
К примеру нашёл вчера в одной программе на h1 интересный баг. Могу создать состояние гонки для приложения при ресторации аккаунта. Создав 20 аккаунтов на одной почте с разными id. И получив при этом 20 сообщений о регистрации на емейл. Но в итоге работает один аккаунт только - интересно)
Мне больше интересно было что-то типо этого - https://hackerone.com/reports/300305
То есть не стандартные способы эксплуатации.
К примеру нашёл вчера в одной программе на h1 интересный баг. Могу создать состояние гонки для приложения при ресторации аккаунта. Создав 20 аккаунтов на одной почте с разными id. И получив при этом 20 сообщений о регистрации на емейл. Но в итоге работает один аккаунт только - интересно)
w
Эксперты специализирующейся на расследовании киберпреступлений компании Group-IB сообщают о фальшивых уведомлениях об уплате штрафа за нарушение самоизоляции, которые рассылаются через смс и мессенджеры.
По данным компании, сообщения о необходимости выплаты "штрафа" рассылалось 10 апреля через СМС или сообщения в мессенджерах, при этом в сообщениях указывалось ФИО получателя. При этом, специалисты отметили, в прошлом году, ссылаясь на подобное "постановление" ФСИН №168-322 пользователей "штрафовали" за посещение порносайтов.
По данным компании, сообщения о необходимости выплаты "штрафа" рассылалось 10 апреля через СМС или сообщения в мессенджерах, при этом в сообщениях указывалось ФИО получателя. При этом, специалисты отметили, в прошлом году, ссылаясь на подобное "постановление" ФСИН №168-322 пользователей "штрафовали" за посещение порносайтов.
᠌
Окей, а знает ли кто англоязычные чаты по security где можно спросить этот вопрос?)