Size: a a a

2020 June 01

А

Алексей in WebPwnChat
᠌᠌Sh1Yo
Burp collaborator?)
его на впске на запустишь)
источник

᠌᠌Sh1Yo in WebPwnChat
Алексей
его на впске на запустишь)
Почему нет? Только java нужна
источник

᠌᠌Sh1Yo in WebPwnChat
Посмотри в инете private collaborator server
источник

А

Алексей in WebPwnChat
хмм, я почему-то думал что он платный
источник

᠌᠌Sh1Yo in WebPwnChat
Вроде burp pro нужен, но это особо никакой разницы не несет ибо ключ не проверяет
источник

А

Алексей in WebPwnChat
гляну, спасибо
источник

V

Vlad in WebPwnChat
᠌᠌Sh1Yo
Вроде burp pro нужен, но это особо никакой разницы не несет ибо ключ не проверяет
Очень странно, я тоже думал что для него нужна подлинная лицензия
источник

自閉症のポイント... in WebPwnChat
при доступе к айфреймам из внешнего js, нет же никаких ограничений кроме same origin?
источник

ЭК

Элайджи Камски... in WebPwnChat
алгоритмы у х1 ебнутые, вчера сделал на CTF 2 инвайта в приватки, и того 5 инвайтов, в итоге смотрю Pending invites и пишет что у меня нет никаких инвайтов, лол.
источник

ЭК

Элайджи Камски... in WebPwnChat
А раньше я за 24часа получил 3 инвайта
источник

A

Aba in WebPwnChat
Чет у меня dirsearch прифигел. 80Гб с лишним выходного файла создал в котором уникальных строк всего на 3Мб
источник

FV

Flawless V in WebPwnChat
Aba
Чет у меня dirsearch прифигел. 80Гб с лишним выходного файла создал в котором уникальных строк всего на 3Мб
Держи в курсе
источник

ЭК

Элайджи Камски... in WebPwnChat
Наконец-то понял принцип CORS via XSS или XSS via CORS, алилуя.
источник

VS

Valeriy Shevchenko in WebPwnChat
Элайджи Камски
Наконец-то понял принцип CORS via XSS или XSS via CORS, алилуя.
Есть еще много всего интересного)
источник

ЭК

Элайджи Камски... in WebPwnChat
Ага, кроме кражи API можно сделать много другого, только я не понимаю зачем в var = req. делать функцию req.listener() и путь до логгера.
источник

ЭК

Элайджи Камски... in WebPwnChat
Жертва же может его спалить.
источник

A

Aba in WebPwnChat
Flawless V
Держи в курсе
Нет!
источник

ЭК

Элайджи Камски... in WebPwnChat
Может кто объяснить за эту атаку?
https://portswigger.net/web-security/cors/lab-internal-network-pivot-attack
источник

ЭК

Элайджи Камски... in WebPwnChat
Вообщем как я понял, сначала идёт сканирование сети до эндпоинта, затем идёт проба на xss внутри параметра name, потом узнают сурс админ панели и в конце удаляют юзера.
источник

ЭК

Элайджи Камски... in WebPwnChat
Ток я не понимаю как это реализуется в реальной ситуации.
источник