🅰
Ты хочешь шелл через базу данных?)
--sql-shell
Size: a a a
2020 April 14
🅰
Dba false
🅰
Так что никак
BF
Был где-то инструмент для проверки и аудита безопасности БД, называется NGSSquirrel
КР
Ребят, а кто-нибудь знает как работает https://wantresult.ru ?
Может выдать номер телефона и соцсети посетителя сайта.
Они используют какую-то CSRF или clickjacking?
Сам бы расковырял, но 500$ дороговато что-то.
Может выдать номер телефона и соцсети посетителя сайта.
Они используют какую-то CSRF или clickjacking?
Сам бы расковырял, но 500$ дороговато что-то.
BF
Ребят, а кто-нибудь знает как работает https://wantresult.ru ?
Может выдать номер телефона и соцсети посетителя сайта.
Они используют какую-то CSRF или clickjacking?
Сам бы расковырял, но 500$ дороговато что-то.
Может выдать номер телефона и соцсети посетителя сайта.
Они используют какую-то CSRF или clickjacking?
Сам бы расковырял, но 500$ дороговато что-то.
Давай поподробнее, мне интересно аж стало
КР
Давай поподробнее, мне интересно аж стало
да подробностей - то нет. как раз спросил, чтобы узнать. вдруг кто-то в курсе как оно работает
BF
Типа, ты заходишь на сайт, а их плагин админу даёт всю инфу о тебе?
BF
Похоже на то, что они скупают у маркетологов данные
BF
Это самое простое и очевидное объяснение
q
bigdata и фингерпринты
q
сморите видосы Артурчика
КР
Типа, ты заходишь на сайт, а их плагин админу даёт всю инфу о тебе?
там у одного из их клиентов JS, в котором вызывается API их CRMки с идентификатором клиента.
addphone/phone1.php?id(клиента)&phone=+data.settings.visitorPhone
вопрос откуда и где это дело формируется. Ищу)
addphone/phone1.php?id(клиента)&phone=+data.settings.visitorPhone
вопрос откуда и где это дело формируется. Ищу)
BF
там у одного из их клиентов JS, в котором вызывается API их CRMки с идентификатором клиента.
addphone/phone1.php?id(клиента)&phone=+data.settings.visitorPhone
вопрос откуда и где это дело формируется. Ищу)
addphone/phone1.php?id(клиента)&phone=+data.settings.visitorPhone
вопрос откуда и где это дело формируется. Ищу)
Знаешь что можно попробовать... накати чистую систему в виртуалке. И зайди с неё на сайт, где их плагин стоит
BF
Посмотри, как много они могут узнать о тебе с одного айпи-адреса
КР
Знаешь что можно попробовать... накати чистую систему в виртуалке. И зайди с неё на сайт, где их плагин стоит
чистым бурпом зашел :)
BF
Параллельно зайди в соцсеть какую-нибудь, Одноклассники там, ВК, Ютуб
BF
И кинь запрос ещё раз
BF
Пока не поймёшь, какие условия должны выполняться для этого
BF
Как вариант зайти с разных браузеров, зайти, будучи залогиненным в одном браузере, зайти через Тор