S
триажеры часто спрашивают чтобы вытянул имя базы или столбцы а просто sleep часто не достаточно
Size: a a a
2020 June 29
БК
Не пофиксили и не заплатили
красавчики! А когда им всю систему закриптуют и счет выставят, будут взывать к совести...
IS
Хотел бума наебать :)
Ну если девы кодят под него уже чтобы был в непонимании то это явно успех. А если серьезно то помнится раньше была джава цмс популярная у корпов винет вроде, так там мало того что жсешнид в куках был так ещё в каждой форме автоматом постом ещё один жсешнид предавался другой, и «покоцав» тот вылетала авторизация
BF
красавчики! А когда им всю систему закриптуют и счет выставят, будут взывать к совести...
Вот-вот)
IS
Вот-вот)
Пока гром не грянет...
БК
триажеры часто спрашивают чтобы вытянул имя базы или столбцы а просто sleep часто не достаточно
фишка в том, что конкретный баунтист не осилит, а более продвинутый хакер зарешает. 👌
IS
фишка в том, что конкретный баунтист не осилит, а более продвинутый хакер зарешает. 👌
Да фишка ещё в другом, инфо постоянно становится больше, кто сказал что обхода в публике через пару лет не будет такого описанного что и недалекий зальётся
M
Ну если девы кодят под него уже чтобы был в непонимании то это явно успех. А если серьезно то помнится раньше была джава цмс популярная у корпов винет вроде, так там мало того что жсешнид в куках был так ещё в каждой форме автоматом постом ещё один жсешнид предавался другой, и «покоцав» тот вылетала авторизация
Звучит как zkoss или типа того
ПП
Типа, jwt это оверинжениринг, если ты в итоге хранишь jti для отзыва, тогда почему бы тебе не воспользоваться сессионной кукой?
IS
Звучит как zkoss или типа того
Не не винет цмс или винета как-то так
S
фишка в том, что конкретный баунтист не осилит, а более продвинутый хакер зарешает. 👌
на х1 все проги которые х1 сперва триажат пишут
Please provide a working PoC that shows the ability to extract benign information from the DBMS. Such information includes the database name, the database server hostname, or the current user.
Please provide a working PoC that shows the ability to extract benign information from the DBMS. Such information includes the database name, the database server hostname, or the current user.
S
sleep часто не достаточно
B
Класс
᠌
Хер там, у меня один индус нашёл скулю за вафом Kona SiteSecurity, её не приняли без его обхода
Вообще, такое себе надеяться на ваф, в любой день он может дать сбой/ выйти новый обход/ открыться старый
S
Вообще, такое себе надеяться на ваф, в любой день он может дать сбой/ выйти новый обход/ открыться старый
или пропустить новые техники как request smuggling
BF
Вообще, такое себе надеяться на ваф, в любой день он может дать сбой/ выйти новый обход/ открыться старый
А потом удивляемся, почему это у нас сорок гигабайт базы утекло? А, точно. Это было вне скоупа.
᠌
))
IS
У меня было как-то что ваф зачем-то на пост отрубился на хттпс
S
крупным корпорациям на сливы пофиг - дешевле заплатить штраф за утечку и жить дальше
IS
Лечить болезнь надо а не симптомы