Рубрика «xss» - 9

в 12:07, , рубрики: dle, php, ulogin, xss, информационная безопасность, ошибка, метки: , , , ,

Введение.

Месяц назад, когда работал с DLE и модулем uLogin заметил, что в модуле подозрительно простая проверка входящих данных и решил это проверить.

Мои подозрения подтвердились.
Читать полностью »

в 8:27, , рубрики: xss, информационная безопасность, Медиа, метки: ,

Независимый исследователь в области интернет-безопасности Нильс Джунеманн специализируется на поиске уязвимостей в сервисах Google, получая за это вознаграждение по программе Vulnerability Reward Program. За последнее время он нашёл множество уязвимостей во всех основных продуктах Google и неплохо заработал. 27 апреля Нильс опубликовал в своём блоге сообщение с описанием последней находки — XSS-уязвимости в Google+, вознаграждение за которую он пожертвовал на строительство школы в Эфиопии.

В статье Джунеманна был указан и конкретный код, который вызывает ошибку в Google+: нужно завести профиль под именем "><img src=x onerror=prompt(1);>.
Читать полностью »

в 22:07, , рубрики: xss, атака, информационная безопасность, метки: ,

В сети появилась информация о том, что старым доменом Конверсбанка http://conversbank.com завладели злоумышленники и разместили там информацию о якобы неплатежеспособности банка.

Сайт Конверсбанка подвергся атакеЧитать полностью »

в 6:29, , рубрики: xss, Песочница, метки:

Внимание

Ниже последует описание довольно простецкой XSS и большинству пользователей хабра описанные в статье вещи покажутся элементарными.

К делу

Просматривая сайты в сети я, зачастую, вставляю в каждый попавшийся инпут стандартную пару символов ' "> '. Зачем? Просто так.
На одном из сайтов поиск по этой паре выдал следующее:

Еще один пример типичного XSS

Значит спецсимволы html не преобразуются перед выводом, что есть уязвимость. Печально.
Читать полностью »

в 10:24, , рубрики: xss, вебвизор, информационная безопасность, метки: ,

Здравствуйте. В конце прошлой недели я обнаружил уязвимость, которая позволяла выполнить произвольный javascript-код во время просмотра вебвизора. Естественно, первым делом я написал в саппорт и сегодня, когда я про это впомнил и решил проверить, я обнаружил, что дыру прикрыли. Вся суть была в том, что вебвизор показывал какой текст на странице пользователь выделял и никак не фильтровал эти данные. Вполне вероятно, что я не первый кто обнаружил данный баг и, возможно, кто-то им даже когда-то пользовался. Так что, если вы активно мониторили свой сайт при помощи вебвизора, то будте внимательны — вдруг ваши данные есть уже у кого-то.
Под катом видео с процессом.
Читать полностью »

в 18:23, , рубрики: ebaytoday, sql-injection, xss, взлом, дыры в безопасности, метки: , , , ,

eBayToday
Никто никогда не может на все 100% гарантировать, что в его сервисе нету дыр или каких-либо лазеек. А если и могут — не нужно верить этим людям, они не компетентны в таких вопросах.Информационная безопасность / Полностью никто никогда не защищён. Уязвимости на eBayToday
Даже на таких крупных проектах, как Яндекс.Деньги и то бывали дыры. Так что чего уж говорить о небольшом сервисе для покупок за границей — eBayToday.

Дело это было вечером, делать, как говорится, мне было нечего… и решил я тогда чисто ради интереса посмотреть — а есть ли дыры на сайте, через который я сделал столько покупок? МожетЧитать полностью »

1...789
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js