Size: a a a

2020 June 04

k

killinem in WebPwnChat
Жаба
источник

k

killinem in WebPwnChat
JBoss
источник

自閉症のポイント... in WebPwnChat
Вроде в бурпе есть экстешн для скана десериализации, можешь попробовать
источник

自閉症のポイント... in WebPwnChat
Так же ещё пелойад генератор там есть
источник

ES

Evgeniy Slezhuk in WebPwnChat
killinem
Ребят, есть кто в десериализации разбирается? Стер значение одного из параметров в теле запроса , в ответ прилетело такое. Можно как-то раскрутить?
попробуй не пустое значение, а случайною строку отправить. что будет в ошибке?
источник

k

killinem in WebPwnChat
Evgeniy Slezhuk
попробуй не пустое значение, а случайною строку отправить. что будет в ошибке?
Возвращает корректный ответ с json, просто пустой
источник

M

MortusKill in WebPwnChat
Тестирую на хсс, в ответе вместо < > / отображаются пробелы, WAF-a нет, как можно это обойти?
источник

᠌᠌Sh1Yo in WebPwnChat
MortusKill
Тестирую на хсс, в ответе вместо < > / отображаются пробелы, WAF-a нет, как можно это обойти?
<...< (очень много раз)
%253C
%25253C
&lt;
источник

M

MortusKill in WebPwnChat
᠌᠌Sh1Yo
<...< (очень много раз)
%253C
%25253C
&lt;
Спасибо попробую!
источник

S

Sviatoslav in WebPwnChat
Всем привет,
target.com/secret возвращает в ответ:
200 OK
...
"some_secret"
Можно ли как с другого домена ее украсть?
Что-то типо <script src="target.com/secret"></script> связано с https://portswigger.net/research/json-hijacking-for-the-modern-web
источник

AS

Andrew Sparks in WebPwnChat
Sviatoslav
Всем привет,
target.com/secret возвращает в ответ:
200 OK
...
"some_secret"
Можно ли как с другого домена ее украсть?
Что-то типо <script src="target.com/secret"></script> связано с https://portswigger.net/research/json-hijacking-for-the-modern-web
Cors посмотри как настроен
источник

AS

Andrew Sparks in WebPwnChat
И никтож не мешает проверить, там один клик буквально
источник

i

igorpyan in WebPwnChat
Ребят, угораздило багу найти в Яндексе. И теперь нужно заполнить небольшую анкетку для получения баунти. Кто сталкивался, подскажите, пожалуйста, что такое:
IFTS code
Federal Information Address System uid*
All-Russian Classifier of Addresses code*
источник

S

Sviatoslav in WebPwnChat
Andrew Sparks
Cors посмотри как настроен
Корс там настроен нормально. Поэтому конкретно про этот вектор и спросил
источник

Ⓜ️aks in WebPwnChat
igorpyan
Ребят, угораздило багу найти в Яндексе. И теперь нужно заполнить небольшую анкетку для получения баунти. Кто сталкивался, подскажите, пожалуйста, что такое:
IFTS code
Federal Information Address System uid*
All-Russian Classifier of Addresses code*
Больше года всё ещё жду выплату от яндекса😂
источник

S

Sviatoslav in WebPwnChat
Ⓜ️aks
Больше года всё ещё жду выплату от яндекса😂
Мне кстати прислали недавно) года полтора прошло)
источник

i

igorpyan in WebPwnChat
Ⓜ️aks
Больше года всё ещё жду выплату от яндекса😂
Серьезно? И при этом выплата подтверждена и форма с реквизитами заполнена?
источник

Ⓜ️aks in WebPwnChat
Угу.
источник

i

igorpyan in WebPwnChat
Тогда можно не торопиться с заполнением
источник

i

igorpyan in WebPwnChat
Наверное
источник