h
@i_bo0om, как тебе такое, дмитрий бумов?
toString=alert;+thisSize: a a a
2020 July 14
h
и ещё короче, но сработает не везде:
h
и ещё короче:
toString=alert;+topVP
A
brother from another mother
2020 July 15
r
brother from another mother
саймон черный перец, ты ли это?
БК
Подскажите, чем можно сохранить траффик проходящий через прокси в JSON формат? Чтобы одна строчка - один JSON массив с GET или POST запросом, и ответом от сервера.
Можно ли через Burp Suite настроить такой дамп траффика? Может быть есть сторонние плагины под него? Траффик httpS сответственно.
Так-же пробовал mitmdump, этот тоже не в JSON формате сохраняет (
Можно ли через Burp Suite настроить такой дамп траффика? Может быть есть сторонние плагины под него? Траффик httpS сответственно.
Так-же пробовал mitmdump, этот тоже не в JSON формате сохраняет (
A
Подскажите, чем можно сохранить траффик проходящий через прокси в JSON формат? Чтобы одна строчка - один JSON массив с GET или POST запросом, и ответом от сервера.
Можно ли через Burp Suite настроить такой дамп траффика? Может быть есть сторонние плагины под него? Траффик httpS сответственно.
Так-же пробовал mitmdump, этот тоже не в JSON формате сохраняет (
Можно ли через Burp Suite настроить такой дамп траффика? Может быть есть сторонние плагины под него? Траффик httpS сответственно.
Так-же пробовал mitmdump, этот тоже не в JSON формате сохраняет (
прям так как ты хочешь вряд ли, при этом logger++ может экспортировать в json формате
БК
благодарю
БК
а, это только экспорт вручную ((( А чтобы постоянно логировал траффик и писал в файл в JSON так не получится? Чтобы раз настроил, и всё автоматом записывалось
A
а, это только экспорт вручную ((( А чтобы постоянно логировал траффик и писал в файл в JSON так не получится? Чтобы раз настроил, и всё автоматом записывалось
сам сейчас ищу такой способ) пока не нашёл подходящего способа для этого
A
мне бы даже не в json формате подошло
S
ну да, для этого в т.ч. пилят прокси в почте
кстати, нашел недавно обход проксирования изображений в одном крупном почтовом сервисе, в качестве аргументов приводил нечто подобное описанному выше, но все равно закрыли как информатив, у кого-нибудь есть идеи как еще можно отстоять что это валидный баг?
B
и ещё короче:
toString=alert;+topможно и так, ага
Топ наверное самое короткое, что может быть
Я сначала думал приведение типов типа +!+[], но нет
Топ наверное самое короткое, что может быть
Я сначала думал приведение типов типа +!+[], но нет
im
Есть ли работаеющее решение для Burp'а по десериализации AMF объектов?
S
кстати, нашел недавно обход проксирования изображений в одном крупном почтовом сервисе, в качестве аргументов приводил нечто подобное описанному выше, но все равно закрыли как информатив, у кого-нибудь есть идеи как еще можно отстоять что это валидный баг?
по логикие проксирование изображений - секьюрити фича, если они так не считают, то зачем они вообще пили это фукнционал, если же они согласны с этим, то почему обход этого фукнционала - не валидный баг?
CS
ну а что он несет в себе?
S
ну а что он несет в себе?
можно дисклозить ip, брутить валидные почтовые адреса, делать выборки какие фишинговые сообщения народ чаще открывает, облегчение эксплуатации теоретической csrf
CS
и ты показал это в репорте?