There are many places to fuzz in an HTTP request, but there’s one often-overlooked spot that’s actually very promising. Check out this URL:
redacted[.]com/index.php?mode=show&q=meydi
Most people focus on fuzzing parameters and paths — and yes, that’s always necessary. But one smart approach is value fuzzing, especially when changing a single value can significantly alter the response.
For example, take this:
redacted[.]com/index.php?mode=FUZZ&q=meydi
Here, fuzzing the mode parameter can lead to interesting behavior. It’s a great spot to test for hidden functionalities
📱 Link
redacted[.]com/index.php?mode=show&q=meydi
Most people focus on fuzzing parameters and paths — and yes, that’s always necessary. But one smart approach is value fuzzing, especially when changing a single value can significantly alter the response.
For example, take this:
redacted[.]com/index.php?mode=FUZZ&q=meydi
Here, fuzzing the mode parameter can lead to interesting behavior. It’s a great spot to test for hidden functionalities
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤2
Forwarded from APPSeX
X (formerly Twitter)
Sky Desperados (@jusxing) on X
I found an interesting vulnerability and wanted to share a brief summary:
There’s an endpoint that uses a unique ID in the URL (/example/123) and binds that ID to the user's PHP session cookie
After the binding, the server responds with a 302 redirect and…
There’s an endpoint that uses a unique ID in the URL (/example/123) and binds that ID to the user's PHP session cookie
After the binding, the server responds with a 302 redirect and…
I was writing a "Security in JavaScript" book, that I explained how you can make an advance XSS payload like this one:
https://x.com/hoseinshurabi/status/1941905813041201247
[...{[Symbol.iterator]:\u0061lert.bind(null,'catfather')}]https://x.com/hoseinshurabi/status/1941905813041201247
❤1
Project-Zero
https://jorianwoltjer.com/blog/p/research/nonce-csp-bypass-using-disk-cache
اینو چند نفر تونستن متوجه بشن میخوام یه آمار بگیرم؟
Anonymous Poll
18%
کامل متوجه شدم🤯
15%
بیشترشو فهمیدم🧐
40%
سخت بود🧐
27%
علاقه ای به کلاینت ساید ندارم🤔
❤1
These vendors are making our job harder and harder
https://x.com/garethheyes/status/1943258793883648450?s=46
https://x.com/garethheyes/status/1943258793883648450?s=46
X (formerly Twitter)
Gareth Heyes \u2028 (@garethheyes) on X
These vendors are making our job harder and harder
Project-Zero
These vendors are making our job harder and harder https://x.com/garethheyes/status/1943258793883648450?s=46
توی نسخه جدید Firefox Nightly، یه تکنیک مخرب به اسم DOM Clobbering بگا رفت!
💡 قبل از این تغییر، اگه یه المنت HTML مثل 😬
اما حالا:
دیگه نمیتونی با name یا id، ویژگیهای داخلی document رو بازنویسی کنی (مثل document.currentScript, document.forms, document.location و غیره)
<img name="currentScript">توی صفحه میذاشتی، میتونست مقدار
document.currentScriptرو خراب کنی یعنی مرورگر به جای اینکه به <script> واقعی اشاره کنه، اون img رو نشون میداد
اما حالا:
دیگه نمیتونی با name یا id، ویژگیهای داخلی document رو بازنویسی کنی (مثل document.currentScript, document.forms, document.location و غیره)
<img src=a name=currentScript>
<script>
alert(document.currentScript)
</script>
Please open Telegram to view this post
VIEW IN TELEGRAM
Project-Zero
توی نسخه جدید Firefox Nightly، یه تکنیک مخرب به اسم DOM Clobbering بگا رفت! 💡 قبل از این تغییر، اگه یه المنت HTML مثل <img name="currentScript"> توی صفحه میذاشتی، میتونست مقدار document.currentScript رو خراب کنی یعنی مرورگر به جای اینکه به <script> واقعی…
Nightly نسخه آزمایشی مرورگر فایرفاکسه که هر شب آپدیت میشه.
این اپدیت هم برای این نسخه اومده هنوز وارد نسخه اصلی نشده
این اپدیت هم برای این نسخه اومده هنوز وارد نسخه اصلی نشده
Project-Zero
https://x.com/mehdiparandin/status/1943774358326985187?s=46
حل کردید یا مشکلی بود بهم بگید:
@meydi7
@meydi7
🔥3