Фильтрация мусора и Content Security Policy (CSP) отчеты
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с Caspr. Браузеры и другие пользовательские агенты гораздо более продуманны в отношении того, что и когда они сообщают. А новые дополнения к CSP, такие как "script-sample", сделали фильтрацию легкой.
Читать:
https://codeby.net/threads/filtracija-musora-i-content-security-policy-csp-otchety.73870/
#filter #csp #xss
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP) (на рус. "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с Caspr. Браузеры и другие пользовательские агенты гораздо более продуманны в отношении того, что и когда они сообщают. А новые дополнения к CSP, такие как "script-sample", сделали фильтрацию легкой.
Читать:
https://codeby.net/threads/filtracija-musora-i-content-security-policy-csp-otchety.73870/
#filter #csp #xss
Предотвращение межсайтового скриптинга (XSS)
Межсайтовый скриптинг является одной из наиболее распространенных и популярных веб-атак. Он позволяет злоумышленнику вводить код в веб-приложения на стороне клиента, которые затем просматриваются жертвами. Последствия и воздействие могут варьироваться в зависимости от типа атаки и контекста, в котором она была запущена.
📌 Читать: https://codeby.net/threads/predotvraschenie-mezhsajtovogo-skriptinga-xss.73545/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#web #xss
Межсайтовый скриптинг является одной из наиболее распространенных и популярных веб-атак. Он позволяет злоумышленнику вводить код в веб-приложения на стороне клиента, которые затем просматриваются жертвами. Последствия и воздействие могут варьироваться в зависимости от типа атаки и контекста, в котором она была запущена.
📌 Читать: https://codeby.net/threads/predotvraschenie-mezhsajtovogo-skriptinga-xss.73545/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#web #xss
Out-of-band атаки
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать: https://codeby.net/threads/out-of-band-ataki.72641/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#sql #injection #xss
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать: https://codeby.net/threads/out-of-band-ataki.72641/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#sql #injection #xss
Фильтрация мусора и Content Security Policy (CSP) отчеты
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с Caspr.
📌 Читать статью: https://codeby.net/threads/filtracija-musora-i-content-security-policy-csp-otchety.73870/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#csp #xss
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем шесть лет назад, когда я впервые начал идти по пути CSP с Caspr.
📌 Читать статью: https://codeby.net/threads/filtracija-musora-i-content-security-policy-csp-otchety.73870/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#csp #xss
👍5
Out-of-band атаки
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать статью
#sql #xss #pentest
В этой статье я расскажу о понятии и концепции "Out-of-band" (на рус. «вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать статью
#sql #xss #pentest
👍9
Предотвращение межсайтового скриптинга (XSS)
Межсайтовый скриптинг является одной из наиболее распространенных и популярных веб-атак. Он позволяет злоумышленнику вводить код в веб-приложения на стороне клиента, которые затем просматриваются жертвами. Последствия и воздействие могут варьироваться в зависимости от типа атаки и контекста, в котором она была запущена.
📌 Читать статью
#pentest #xss
Межсайтовый скриптинг является одной из наиболее распространенных и популярных веб-атак. Он позволяет злоумышленнику вводить код в веб-приложения на стороне клиента, которые затем просматриваются жертвами. Последствия и воздействие могут варьироваться в зависимости от типа атаки и контекста, в котором она была запущена.
📌 Читать статью
#pentest #xss
👍12
Хитрости Unicode и эксплуатация XSS при лимите ввода длиной в 20 символов
Межсайтовый скриптинг (XSS) - одна из самых распространенных уязвимостей, которую можно обнаружить чуть ли не на любом сайте в сети интернет (на некоторых, вроде Google и Amazon, придется хорошо поискать - в этих компаниях работают много разработчиков с большим опытом за плечами). Однако, иногда возникают проблемы - например, проблема в количестве символов, которое мы можем ввести, для эксплуатации данной уязвимости. В этом посте мы рассмотрим, как можно решить такую проблему, уложившись, например, лишь в 20 символов.
📌 Читать далее
#pentest #xss #unicode
Межсайтовый скриптинг (XSS) - одна из самых распространенных уязвимостей, которую можно обнаружить чуть ли не на любом сайте в сети интернет (на некоторых, вроде Google и Amazon, придется хорошо поискать - в этих компаниях работают много разработчиков с большим опытом за плечами). Однако, иногда возникают проблемы - например, проблема в количестве символов, которое мы можем ввести, для эксплуатации данной уязвимости. В этом посте мы рассмотрим, как можно решить такую проблему, уложившись, например, лишь в 20 символов.
📌 Читать далее
#pentest #xss #unicode
🔥4👍3
Фильтрация мусора и Content Security Policy (CSP) отчеты
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP - "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем тогда, когда я впервые начал идти по пути CSP с Caspr. Браузеры и другие пользовательские агенты гораздо более продуманны в отношении того, что и когда они сообщают. А новые дополнения к CSP, такие как "script-sample", сделали фильтрацию легкой.
📌 Читать далее
#csp #xss
Принято считать, что если вы принимаете отчеты о Content Security Policy (CSP - "Нарушения Политики Безопасности Контента"), вам придется фильтровать множество непонятных и недействительных отчетов. Но дела обстоят получше, чем тогда, когда я впервые начал идти по пути CSP с Caspr. Браузеры и другие пользовательские агенты гораздо более продуманны в отношении того, что и когда они сообщают. А новые дополнения к CSP, такие как "script-sample", сделали фильтрацию легкой.
📌 Читать далее
#csp #xss
👍10🔥3🤔1
2Fa bypass и account takeover в дикой природе
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#bypass #2fa #xss
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#bypass #2fa #xss
👍12🔥2🤩1
Немного о Bug Bounty, SSRF, CRLF и XSS
Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость. Нашел SSRF, на тот момент даже не зная, что это такое. Как это получилось и почему это заслуживает интереса.
📌 Читать далее
#pentest #bounty #xss
Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Выбрал цель и в первом же домене, который начал исследовать, нашел уязвимость. Нашел SSRF, на тот момент даже не зная, что это такое. Как это получилось и почему это заслуживает интереса.
📌 Читать далее
#pentest #bounty #xss
🔥9👍5
Клиент всегда прав
Здравствуйте, друзья! Я рад представить вам авторский врайтап, который поможет раскрыть тайны таска "Клиент всегда прав / Веб" с платформы Игры Кодебай. Мы рассмотрим уязвимость XSS и научимся использовать её, чтобы получить Cookies администратора. Давайте начнем!
📌 Читать статью
#ctf #writeup #xss
Здравствуйте, друзья! Я рад представить вам авторский врайтап, который поможет раскрыть тайны таска "Клиент всегда прав / Веб" с платформы Игры Кодебай. Мы рассмотрим уязвимость XSS и научимся использовать её, чтобы получить Cookies администратора. Давайте начнем!
📌 Читать статью
#ctf #writeup #xss
👍14🔥6❤4👎3
2Fa bypass и account takeover в дикой природе
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#bypass #2fa #xss
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#bypass #2fa #xss
🔥13👍3
Аудит веб-приложения. Уязвимость с CSRF
Вавилен был доволен своим рабочем местом в конторе. Он зарабатывал деньги себе и своему начальству, которое предоставляло для этого инфраструктуру. Но в один момент, начальство, очередной раз заработав на труде Вавилена, решает с ним не делиться. Они теряют ценного сотрудника и получают обманутого человека, который жаждет возмездия.
📌 Читать далее
#pentest #xss #csrf
Вавилен был доволен своим рабочем местом в конторе. Он зарабатывал деньги себе и своему начальству, которое предоставляло для этого инфраструктуру. Но в один момент, начальство, очередной раз заработав на труде Вавилена, решает с ним не делиться. Они теряют ценного сотрудника и получают обманутого человека, который жаждет возмездия.
📌 Читать далее
#pentest #xss #csrf
👍13🔥5
Инъекция XSS в скрытых полях ввода и мета-тегах
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript!
📌 Читать далее
#pentest #xss
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript!
📌 Читать далее
#pentest #xss
🔥9👍5
Out-of-band атаки
В этой статье я расскажу о понятии и концепции "Out-of-band" («вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать далее
#sql #xss #pentest
В этой статье я расскажу о понятии и концепции "Out-of-band" («вне-диапазона») , а также о использовании на некоторых примерах. Хоть на первый взгляд это может показаться бессмысленным, но на самом деле, out-of-band хорошо демонстрирует общую концепцию. Давайте рассмотрим это шаг за шагом.
📌 Читать далее
#sql #xss #pentest
🔥10👍4🤯2❤1
Инъекция XSS в скрытых полях ввода и мета-тегах
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript!
📌 Читать далее
#forum #pentest #xss
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript!
📌 Читать далее
#forum #pentest #xss
🔥11👍5❤2
2Fa bypass и account takeover в дикой природе
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#forum #2fa #xss
Различные приложения уже давно слились с нашей повседневностью. В них наши персональные,банковские,личные и другие данные, и их утечка может обойтись очень дорого. В этой статье я затрону насколько плохим может быть отношение к безопасности на примере довольно крупной компании в СНГ по доставке азиатской пищи. Пытаюсь зарепортить уязвимости. Описываю доказательство концепции. Надеюсь, статья будет интересна для вас.
📌 Читать далее
#forum #2fa #xss
🔥13❤3❤🔥2🥴2
Инъекция XSS в скрытых полях ввода и мета-тегах
Добрый вечер, друзья!
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript!
📌 Читать далее
#forum #pentest #xss
Добрый вечер, друзья!
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript!
📌 Читать далее
#forum #pentest #xss
👍15🔥6❤4💯2
Наиболее полный фильтр XSS для HTML
Добрый вечер, друзья!
Уже порядка 9 лет я занимаюсь web разработкой и не понаслышке знаю что такое XSS. Так сложилось что избавиться от него крайне сложно почти для любого сайта, где пользователи постят хоть какой-то контент и я собирал все возможные комбинации атак на клиентскую часть. Скрипт получился очень простой и производительный, он не только позволяет спокойно пропускать весь HTML от пользователя и выводить его безопасно, но и прекрасно обрабатывает такие неизвестные уязвимости как encoding mutations.
📌 Читать далее
#html #xss
Добрый вечер, друзья!
Уже порядка 9 лет я занимаюсь web разработкой и не понаслышке знаю что такое XSS. Так сложилось что избавиться от него крайне сложно почти для любого сайта, где пользователи постят хоть какой-то контент и я собирал все возможные комбинации атак на клиентскую часть. Скрипт получился очень простой и производительный, он не только позволяет спокойно пропускать весь HTML от пользователя и выводить его безопасно, но и прекрасно обрабатывает такие неизвестные уязвимости как encoding mutations.
📌 Читать далее
#html #xss
👍16🔥5❤2😁2