В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

1006 membersпожаловаться на группу
2020 May 19

IS

I S in WebPwnChat
medalahonor
Почему пейлоады вроде <img src=1 onerror=&#097lert() /> вообще триггерят xss? Это часть стандарта HTML или приблуды браузеров? Потому что такие вещи не работают внутри тега script, так как,  согласно html, всё, что внутри этого тега, считается обычным текстом и просто передается как есть в парсер javascript.
Реализации обработки тегов в движках браузеров и жс двигах итд итп
источник
15:39пожаловаться#1

m

medalahonor in WebPwnChat
I S
Реализации обработки тегов в движках браузеров и жс двигах итд итп
Тогда надеюсь, что в скором будущем придумают очередной хидер, чтобы вместе с csrf и этого дерьма не было.
источник
15:41пожаловаться#2

P

PP in WebPwnChat
лучше чтоб было и побольше )))
источник
15:42пожаловаться#3

P

PP in WebPwnChat
пусть придумывают как можно больше бажных хидеров )
источник
15:42пожаловаться#4

IS

I S in WebPwnChat
PP
пусть придумывают как можно больше бажных хидеров )
Нам нужно больше хидеров 😂
источник
15:42пожаловаться#5

h

helix in WebPwnChat
классный у зеродиума слоган "we pay big bounties, not bug bounties"
источник
16:16пожаловаться#6

HD

H D in WebPwnChat
Ivan
в Logger++ есть еще прикольная фишка:

https://twitter.com/hackerscrolls/status/1255464051028738050
Как говорится, вопросов не имеется, но есть ряд доёбок
источник
16:23пожаловаться#7

HD

H D in WebPwnChat
Bad ux, на твит не перейти :/
источник
16:23пожаловаться#8

I

Ivan in WebPwnChat
Там защита в ссылке
источник
16:24пожаловаться#9

P

Polimer in WebPwnChat
H D
Bad ux, на твит не перейти :/
Кликни на ссылку
источник
16:24пожаловаться#10

P

Polimer in WebPwnChat
Если на мобиле. На пк только копировать
источник
16:25пожаловаться#11

HD

H D in WebPwnChat
Кликнул, куда дальше? Копировать текст, вставлять в редактор, выдирать ссылку и идти вставлять в браузер? :)
источник
16:26пожаловаться#12

IS

I S in WebPwnChat
H D
Кликнул, куда дальше? Копировать текст, вставлять в редактор, выдирать ссылку и идти вставлять в браузер? :)
Рабочая схема)
источник
16:26пожаловаться#13

P

Pulsar in WebPwnChat
medalahonor
Тогда надеюсь, что в скором будущем придумают очередной хидер, чтобы вместе с csrf и этого дерьма не было.
Типун тебе на язык. Скрытый враг
источник
16:31пожаловаться#14

V

Vlad in WebPwnChat
H D
Bad ux, на твит не перейти :/
Это все из-за того, что он написал ссылку таким шрифтом
Сравните:
https://example.com
https://example.com
источник
16:31пожаловаться#15

HD

H D in WebPwnChat
Да я понимаю, просто хотел обратить внимание на то, что можно повысить КОНВЕРСИЮ в такой полезный твитур
источник
16:33пожаловаться#16

ЭК

Элайджи Камски... in WebPwnChat
А в чем отличие Нессуса от Окуня? Они вроде оба сканеры уязвимостей.
источник
16:45пожаловаться#17

B

Bo🦠oM in WebPwnChat
несус - периметр, аку - веб
источник
16:46пожаловаться#18

ЭК

Элайджи Камски... in WebPwnChat
medalahonor
Почему пейлоады вроде <img src=1 onerror=&#097lert() /> вообще триггерят xss? Это часть стандарта HTML или приблуды браузеров? Потому что такие вещи не работают внутри тега script, так как,  согласно html, всё, что внутри этого тега, считается обычным текстом и просто передается как есть в парсер javascript.
Тут тэг обработки onerror который триггерится если не удается выполнить действие, в нашем случае img с источником 1.
источник
16:46пожаловаться#19

ЭК

Элайджи Камски... in WebPwnChat
Картинку не могут подгрузить из 1 и выдает ошибку.
источник
16:47пожаловаться#20