В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

997 membersпожаловаться на группу
2020 May 01

in WebPwnChat
Ivan
Подкиньте курсов по web security не для новичков.
krober.biz - тут для профессионалов
источник
10:43пожаловаться#1

‌‌‎ in WebPwnChat
krober.biz - тут для профессионалов
Ору
источник
11:17пожаловаться#2

NK

ID:0 in WebPwnChat
Bitrix - популярная CMS для стран СНГ. Там есть достаточно неплохая встроенная защита, которую всё-таки можно обойти.
Обойти XSS WAF можно через нульбайт, в блоге deteact есть описание, почему это происходит.
А еще там есть смешная обходка для Open Redirect - некорректный парсинг урла, который проверяет вхождение домена в начале строки, который можно откинуть в basic auth.
источник
11:28пожаловаться#3

B

Bo0oM in WebPwnChat
Чет давно не писали, исправляемся
источник
11:28пожаловаться#4

BF

Billy Fox in WebPwnChat
А есть вообще статьи адекватные про пентест битрикса?
источник
11:32пожаловаться#5

NK

ID:0 in WebPwnChat
В Gitlab недавно нашли способ чтения произвольных файлов, как следствие, это может привести к выполнению произвольного кода. Забавно, что репорт открыли достаточно быстро, еще не все успели обновиться.
Из привелегий - нужно иметь учетку (ну или открытую регистрацию), так что если у вас есть корпоративный gitlab, вы знаете, что делать.
источник
11:35пожаловаться#6

н

нелицеприятный... in WebPwnChat
сильно
источник
11:38пожаловаться#7

~

~$ python -c "i... in WebPwnChat
лол, только что узнал что оказывается нельзя управлять объектами внутри iframe если сорц фрейма находится на другом домене :D
интересно это ограничение javascript или браузеров?
источник
11:39пожаловаться#8

B

Bo0oM in WebPwnChat
https://ru.wikipedia.org/wiki/Правило_ограничения_домена
Wikipedia
Правило ограничения домена
Правило ограничения домена (Same Origin Policy, в переводе с англ. — «Принцип одинакового источника») — это важная концепция безопасности для некоторых языков программирования на стороне клиента, таких как JavaScript. Политика разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковые источники — это источники, у которых совпадают три признака:
источник
11:40пожаловаться#9

B

Bo0oM in WebPwnChat
Тип, основа вообще работы браузера
источник
11:40пожаловаться#10

~

~$ python -c "i... in WebPwnChat
Bo0oM
https://ru.wikipedia.org/wiki/Правило_ограничения_домена
Wikipedia
Правило ограничения домена
Правило ограничения домена (Same Origin Policy, в переводе с англ. — «Принцип одинакового источника») — это важная концепция безопасности для некоторых языков программирования на стороне клиента, таких как JavaScript. Политика разрешает сценариям, находящимся на страницах одного сайта, доступ к методам и свойствам друг друга без ограничений, но предотвращает доступ к большинству методов и свойств для страниц на разных сайтах. Одинаковые источники — это источники, у которых совпадают три признака:
я имею ввиду тот случай когда загрузить айфрейм получается, а управляешь ты кликами и движением курсора уже со своего сайта
источник
11:41пожаловаться#11

B

Bo0oM in WebPwnChat
Ты открыл кликжекинг?
источник
11:42пожаловаться#12

~

~$ python -c "i... in WebPwnChat
кликджекинг не всегда же про айфреймы
источник
11:42пожаловаться#13

B

Bo0oM in WebPwnChat
А про что?
источник
11:43пожаловаться#14

~

~$ python -c "i... in WebPwnChat
ну там в основном xss используется. а управлять объектами с чужого домена в айфрейме нельзя априори даже при кликджекинге
источник
11:44пожаловаться#15

B

Bo0oM in WebPwnChat
Поставь
источник
11:44пожаловаться#16

~

~$ python -c "i... in WebPwnChat
вот мне интересно это ограничение жабаскрипта или браузера
источник
11:44пожаловаться#17

B

Bo0oM in WebPwnChat
То что ты несешь
источник
11:44пожаловаться#18

B

Bo0oM in WebPwnChat
Причем тут xss? Какими объектами в фрейме?
источник
11:45пожаловаться#19

B

Bo0oM in WebPwnChat
Как управлять объектами?
источник
11:46пожаловаться#20