A
сначала надо найти интересные заголовки, которые популярны, а потом уже искать на каких баунти доменах они есть
Size: a a a
2020 August 19
VP
сначала надо найти интересные заголовки, которые популярны, а потом уже искать на каких баунти доменах они есть
ээ, насколько популярны за пределами яндекса те что на скрине выше?
кастомные, про которые мы говорили, они на то и кастомные, что уникальны для компаний.
Поиск просто популярных хэдеров тоже может быть полезен, но он про другое
кастомные, про которые мы говорили, они на то и кастомные, что уникальны для компаний.
Поиск просто популярных хэдеров тоже может быть полезен, но он про другое
A
в любом случае заголовки запроса сложно искать, вытащить можно заголовки ответа только
A
из common crawl
VP
Три байта вообще изи)
кстати перечитал еще раз, и таки не понял, как ты предлагаешь им подобрать скажем такой кастомный хэдер?
x-yandex-music-client-now:
и почти все что я собирал по компаниям, по сложности примерно такие же.
Хэдеры типа X-ABC перебрать парам майнером можно, но таких ты почти не встретишь.
А потом, после брута хэдеров таким образом, останется еще более веселая задача подбора правильного значения хэдера.
x-yandex-music-client-now:
и почти все что я собирал по компаниям, по сложности примерно такие же.
Хэдеры типа X-ABC перебрать парам майнером можно, но таких ты почти не встретишь.
А потом, после брута хэдеров таким образом, останется еще более веселая задача подбора правильного значения хэдера.
᠌
Много раз встречал что nodejs порой странно реагирует на
__proto__ и constructor. Иногда просто добавляет в json объект, иногда дает 502, а сейчас вообще сервер просто не отвечает при поиске ?q=constructor:something. Почитал о prototype pollution, но похоже, что такое возможно только при условии доступа к source code. Что-то можно из этого сделать в black box проверке кроме denial of service?BF
Много раз встречал что nodejs порой странно реагирует на
__proto__ и constructor. Иногда просто добавляет в json объект, иногда дает 502, а сейчас вообще сервер просто не отвечает при поиске ?q=constructor:something. Почитал о prototype pollution, но похоже, что такое возможно только при условии доступа к source code. Что-то можно из этого сделать в black box проверке кроме denial of service?О, десериализация
SN
можете подсказать если знаете или на гибхабе или другие источники где указано максимальное количество всех возможных хередов которые есть, как пример, вот этот https://github.com/adamtlangley/gitscraper/blob/master/cleaned/header_vars.txt
BF
можете подсказать если знаете или на гибхабе или другие источники где указано максимальное количество всех возможных хередов которые есть, как пример, вот этот https://github.com/adamtlangley/gitscraper/blob/master/cleaned/header_vars.txt
В PayloadsAllTheThings был словарик с параметрами из параммайнера бёрповского
B
https://t.me/x_notes новые канальца подъехали
ps
https://t.me/x_notes новые канальца подъехали
каналец
2020 August 20
[O
Ребята, а в redash кто-нибудь сдавал что-нибудь?
Написал им через сапорт. Но вдруг есть куда напрямую отправить репорт
UPD: нашёл почту
Написал им через сапорт. Но вдруг есть куда напрямую отправить репорт
UPD: нашёл почту
[O
P.S. ну вот зачем надо писать "у меня не воспроизводится".
Конечно, не воспроизводится - там же CSP работает (блокирует onload и onerror). Но это же не говорит о том, что уязвимости нет. Сам продукт имеет активную XSS. Сделай escape, скажи спасибо и всё. зачем спорить... Даже ББ не прошу - прошу закрыть дырку)))
ЧТо за люди, а...
Конечно, не воспроизводится - там же CSP работает (блокирует onload и onerror). Но это же не говорит о том, что уязвимости нет. Сам продукт имеет активную XSS. Сделай escape, скажи спасибо и всё. зачем спорить... Даже ББ не прошу - прошу закрыть дырку)))
ЧТо за люди, а...
P-
это типа как логика "там валидация есть, но это не значит, что валидацию нельзя обойти"? :)
[O
это типа как логика "там валидация есть, но это не значит, что валидацию нельзя обойти"? :)
Повсеместно, причём, не только в redash. Уже не первый раз репорт отклоняют из-за CSP.
Если у меня есть рабочий пейлоад с обходом CSP - я его отправлю мозилле или в гугл.
Поэтому XSS репортить - неблагодарное дело)
Если у меня есть рабочий пейлоад с обходом CSP - я его отправлю мозилле или в гугл.
Поэтому XSS репортить - неблагодарное дело)
А
Повсеместно, причём, не только в redash. Уже не первый раз репорт отклоняют из-за CSP.
Если у меня есть рабочий пейлоад с обходом CSP - я его отправлю мозилле или в гугл.
Поэтому XSS репортить - неблагодарное дело)
Если у меня есть рабочий пейлоад с обходом CSP - я его отправлю мозилле или в гугл.
Поэтому XSS репортить - неблагодарное дело)
А посмотреть с другой стороны - смысл от баги если она не рабочая?
Зачем тратить человеко-часы на то, что и так работает и успешно работает, а бага мифическая?
Зачем тратить человеко-часы на то, что и так работает и успешно работает, а бага мифическая?
[O
А посмотреть с другой стороны - смысл от баги если она не рабочая?
Зачем тратить человеко-часы на то, что и так работает и успешно работает, а бага мифическая?
Зачем тратить человеко-часы на то, что и так работает и успешно работает, а бага мифическая?
Ну это как если ты (к примеру) - владелец тюрьмы и тебе сообщают о дырке в заборе. И ты такой (ну там колючей проволокой дырка замотана).
То есть, если кто-то реально захочет сбежать, он эту колючую проволоку не сможет перерезать?)
То есть, если кто-то реально захочет сбежать, он эту колючую проволоку не сможет перерезать?)
А
Ну это как если ты (к примеру) - владелец тюрьмы и тебе сообщают о дырке в заборе. И ты такой (ну там колючей проволокой дырка замотана).
То есть, если кто-то реально захочет сбежать, он эту колючую проволоку не сможет перерезать?)
То есть, если кто-то реально захочет сбежать, он эту колючую проволоку не сможет перерезать?)
Если ты владелец тюрьмы и кто-то сбежит - у тебя будут штрафы т.к. тюрьма не выполнила свою функцию
Тут же это атака на клиента - угрозе инфраструктуре нет (возможны репутационные - но тут помогает браузер)
В обычных условиях не воспроизводится - хвала браузерам
Компания не гугл, никто 0 дей на нее не будет тратить
Тут же это атака на клиента - угрозе инфраструктуре нет (возможны репутационные - но тут помогает браузер)
В обычных условиях не воспроизводится - хвала браузерам
Компания не гугл, никто 0 дей на нее не будет тратить
[O
продуктом пользуются крупные компании. Так что, имея рабочий 0day - можно получить доступ к БД многих компаний. (в случае с redash)
[O
+ 3 дня назад там CSRF закрыли.
CSRF + XSS вполне себе рабочая связка
P.S. я понял, что ты хочешь сказать, Алексей. Отчасти согласен, конечно.
Но сам сторонник того, что закрывать следует даже маловероятные уязвимости, уменьшая тем самым периметр возможных атак.
CSRF + XSS вполне себе рабочая связка
P.S. я понял, что ты хочешь сказать, Алексей. Отчасти согласен, конечно.
Но сам сторонник того, что закрывать следует даже маловероятные уязвимости, уменьшая тем самым периметр возможных атак.