В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

1055 membersпожаловаться на группу
2020 July 13

JJ

John Johnson in WebPwnChat
Ivan
если просто разово посканить  ничего не будет

А если прям долбить популярными эксплотпаками , то могут и заметить
и что будет?
источник
16:39пожаловаться#1

JJ

John Johnson in WebPwnChat
Ivan
если просто разово посканить  ничего не будет

А если прям долбить популярными эксплотпаками , то могут и заметить
придут полицейские к нему домой изумут компы?
источник
16:39пожаловаться#2

VS

Valeriy Shevchenko in WebPwnChat
если состава преступления нет за что изымать?
источник
16:39пожаловаться#3

JJ

John Johnson in WebPwnChat
Valeriy Shevchenko
если состава преступления нет за что изымать?
и тем более если скнировать сша из китая например
источник
16:40пожаловаться#4

JJ

John Johnson in WebPwnChat
Valeriy Shevchenko
если состава преступления нет за что изымать?
главное чтобы холдер не заметил проблем с медленным интернетом можно ничего не бояться
источник
16:40пожаловаться#5

I

Ivan in WebPwnChat
Хостер может просто потушить сервер клиента
источник
16:41пожаловаться#6

I

Ivan in WebPwnChat
до разбирательств
источник
16:41пожаловаться#7

JJ

John Johnson in WebPwnChat
Ivan
Хостер может просто потушить сервер клиента
я знаю. а если доманий компьютер
источник
16:41пожаловаться#8

᠌᠌Sh1Yo in WebPwnChat
Ничего же нельзя сделать, если в access-control-allow-origin можно вписать свой домен, но в ответе access-control-allow-credentials нет?
источник
17:42пожаловаться#9

SB

Sergey Belov in WebPwnChat
если это в локальной сети или есть ACL по IP, то можно получить недо-ссрф в локалку
источник
18:04пожаловаться#10

᠌᠌Sh1Yo in WebPwnChat
Sergey Belov
если это в локальной сети или есть ACL по IP, то можно получить недо-ссрф в локалку
Интересно, спасибо, а можно ли где по подробнее почитать? Не гуглится что-то
источник
19:12пожаловаться#11

SB

Sergey Belov in WebPwnChat
А что именно читать?)
источник
19:28пожаловаться#12

SB

Sergey Belov in WebPwnChat
Это же обычный CORS * по факту получился у тебя
источник
19:29пожаловаться#13

SB

Sergey Belov in WebPwnChat
В общем это импакт высосанный из пальца, должно слишком много условий сойтись
источник
19:30пожаловаться#14

᠌᠌Sh1Yo in WebPwnChat
А, видимо не так понял про ссрф
источник
19:31пожаловаться#15

SB

Sergey Belov in WebPwnChat
Типа ты идёшь на этот домен со своего IP - тебе один контент, или куда-то не пускает
Теоретически так может быть что там какие-то админки или доступы которые закрыты для определённых IP
И если жертву заслать на свой ресурс то можно будет получить это или зайти в админку. IP жертвы должен быть в allowed list ACL IP получится байпас
источник
19:32пожаловаться#16

SB

Sergey Belov in WebPwnChat
Иногда ещё бывает что извне домен резолвится в обычный внешний IP - на который ты зашёл
А если пойти из офиса компании, чей сайт, будет локальный IP, например для сотрудников, и там будет показываться что-то ещё
Такая практика бывает в корп сетях
В этом случае, если жертву заманить к себе и она будет в офисе - можно будет получить контент с этого ресурса находясь будто бы в локалке, эдакая недоSSRF
источник
19:35пожаловаться#17

SB

Sergey Belov in WebPwnChat
᠌᠌Sh1Yo
А, видимо не так понял про ссрф
я чёт сложно описал, кажется
Но идея понятна?)
источник
19:36пожаловаться#18

᠌᠌Sh1Yo in WebPwnChat
Sergey Belov
я чёт сложно описал, кажется
Но идея понятна?)
Но разве получить контент можно не только при credentials: true? Или в этом и смысл внутреннего хоста/ на вайтлист айпи может прийти credentials:true, когда на обычный - нет
источник
19:38пожаловаться#19

SB

Sergey Belov in WebPwnChat
credentials влияет только на отправку кредов - кук, бейсик аутх, нтлм и т.д.
а так ты ходишь без них
источник
19:38пожаловаться#20