- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Приветствую.
Недавно почти случайно нашел уязвимость, активный xss на одном из закладочников. Если есть идеи как это можно хорошо использовать то с удовольствием поменяюсь инфой.
Инфа типа: Стырить кукисы, поставить редирект, большую картинку или написать defaced by guru - не интересна, сори.
Если есть идеи как это можно хорошо использовать
написать владельцам этого сервиса
Это само собой! А какие еще варианты?
firacet, лимончик скушайте, пивка выпейте и отпустит :D
А если серьезно - то написать владельцам ;) И не думать что владельцы слепые и уязвимость будет работать вечно, а вы заработаете хотя бы грамм на 50 :)
PS firacet, не стоило редактировать сообщения ;) У каждого свои слабости :))))))))))))))
PS firacet, не стоило редактировать сообщения ;) У каждого свои слабости :))))))))))))))
;))))) Спалил ;))))
А лимончик жрать не буду, фээээ.
А насчет хсс то лучше заинклюжу куда-то на незаметную страницу файлик с сервака в котором когда надо буду прописывать ссылки на доры, вот и получиться мега автопостер в закладки ;)
А насчет хсс то лучше заинклюжу куда-то на незаметную страницу файлик с сервака в котором когда надо буду прописывать ссылки на доры, вот и получиться мега автопостер в закладки
Тоже дело :D
Тоже дело :D
А я погляжу у тебя на аватарке тоже волосы ускоренные ;))) Прет их нормально, пот звуки диско :)
фрейм туда с троем) ☝ шучу)
а так, лучше напиши саппорту, думаю на мороженое хватит :)
1. Отправляй Куки на снифер (или всю страницу на снифер).
Т.к. пароль может храниться в открытом виде.
Если зашифрован (возможно md5), то попробуй сбрутить. Вот у тебя и логин-пароли реальных пользователей. Если постараться - то можно утянуть и куки админа или модератора.
...
2. От имени реальных пользователей пости у них свои ссылки.
...
А так - надо глазами смотреть что за закладочник (какие у него есть сервисы или функции) и уже от этого плясать.
Ага, тоже находил на зарубежном каком-то из крупных. Там ссылки через внутренний редирект, а xss-ом можно поставить прямую. Правда, ни в каких плохих целях использовать не стал, не надо оно мне.
Спереть кукисы (админские) - залить шелл-> если есть права на запись ->вставить код :)
залить шелл-> слиьт ДБ -> (продать или самому что-то поиметь с этого )
залить шелл->продать шелл
..... и тд. ит. п... :)