xss

Всем привет, чекал сайты на уязвимости, попался один с xss в строке браузера такого формата: https://сайт.ком/bitrix/js/main/loadext/'"--></style></script><script>alert(123)</script>/ Как можно все это дело эксплуатировать?) (Чисто в ознакомительных целях, тренюсь)

CSRF на JSON API: от разведки до эксплуатации. Практический кейс Лирическое отступление Вавилен был доволен своим рабочем местом в конторе. Он приносил деньги себе и своему начальству, которое давало для этого всю инфраструктуру. Но в один прекрасный день боссы, в очередной раз срубив куш на...

Доброго времени суток! Задача из root-me на script-src:unsafe-inline Условие задачи такое - на странице с xss дырой текст вида "...{flag}..". Эту переменную видит бот, которому можно скормить страницу для перехода, якобы для проверки. На деле - можно скинуть боту адрес исходный-домен/страница...

Приветствую! Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину EarlyAccess (Linux - Web). Сегодня мы применим уязвимости такие как SQLi, XSS и RCE, а так же рассмотрим повышение привилегий через Docker! Начинаем) Данные: Задача: Скомпрометировать...

Привет, Codeby! Немного о том, как были найдены пара простых уязвимостей в ходе Bug Bounty. Я решил не соваться на HackerOne, а зарегистрировался на платформе попроще и поменьше, называется Intigriti, которая ориентирована на европейские компании. Выбрал цель и в первом же домене, который начал...

Приветствую, "ковычкатыкатели" , в первой части мы мельком прошлись по таким темам, как 1. Что такое xss? 2. Reflected XSS. В это статье поговорим про Stored XSS. Что такое Stored XSS? Stored XSS возникает, когда веб-приложение без проверки включает данные в свои последующие HTTP-ответы и...

Уже порядка 9 лет я занимаюсь web разработкой и не понаслышке знаю что такое XSS. Так сложилось что избавиться от него крайне сложно почти для любого сайта, где пользователи постят хоть какой-то контент и я собирал все возможные комбинации атак на клиентскую часть. Скрипт получился очень простой...

собсна сабж. вышла книга Release Release v4.2 · OWASP/wstg ( Скачать https://t.co/BSTLgoKpBV?amp=1 ) предлагаю cкинуться\попросить кого-то перевести..

На сайте Codeby.net xss уязвимость, хочу устранить.

пришло email со скриптом, пишут xss уязвимость на моём сайте скрипт: </title><script src="путь_к_скрипту.js"/> мой сайт - это платформа для написания статей

Проверка валидности email в форме ввода создания аккаунта Например validate/email?address= // payload - " ¼script¾alert(¢XSS¢)¼/script¾ " Проблема - мыло не проходит проверку на валидность Запрещенные символы : ; <> \ " () Вопрос есть ли способы обойти такую фильтрацию?

Как вы наверняка знаете XSS одна из самых распространённых атак на веб приложения. так вот, я хотел бы пообщаться с знающими людьми, щарящами так сказать. поделиться может быть каким то опытом и так далее. это дело интересное, но что-то информации по этой этой теме совсем мало. в основном люди...

Всем привет! хочу узнать как обойти санитизацию символов, которые пользователь вводит в поисковые инпуты или адресную строку в ответ на этот безобидный запрос я получаю =(

Есть уязвимый сайт на пыхе. На нем имеется форма, которая get запросом отправляет в обработчик url любого сервера и возвращает хедеры ответа. (по моим предположениям там используется что то вроде курла) и самое главное, при передаче в переменную %00 вылазит Warning: shell_exec(): NULL byte...

Здравствуйте. Набрел я на днях на XSS уязвимость такого рода: вводишь ссылку на ресурс с каким-то GET параметром- отображается новая страница, в коде которой несколько раз встречается очищенная от некоторых символов введенная ссылка. В общем в одном месте я обошел фильтры... где че надо...

Здравствуйте, возможна ли xss атака через домен 3 уровня? Например, если я могу вживлять свои скрипты в код на сайте hello.example.com, то могу ли я украсть куки пользователя с сайта bye.example.com, который посещает мой сайт и который зарегистрирован на bye.example.com?

Здравствуйте, можно ли каким-нибудь образом осуществить XSS-атаку, внедрив js-код в jpg или png? Знаю, что это можно сделать через exif-параметры изображения, но exif используется очень немногими сайтами, так что этот вариант сразу отпадает. Я не совсем понимаю, как сайт взаимодействует с...

после просмотра одного видео парня про поиск xss (в котором он говорит, что 95% уязвимы) пытался ручками через раздел поиска у разных сайтов выйти за пределы атрибутов методом qwe" но абсолютно на каждом сайте получал ...... value=" qwe" " .... санитизации нет, но и из атрибута я никак не могу...

Здравствуйте и прошу прощения за сию тему, но сильно меня в данный час она заботить начала. Итак, перейдём сразу к делу. Имеется сайт, использующий библиотеки jquery, которые входят в java. И вот вопрос: как внедрить свой(и по возможности какой) js-код в код самого сайта, либо его страницы...

Приветствую! Есть такой код, вроде как есть xss уязвимость с использованием referrer заголовка var script = document.createElement('script'); script.type = 'text/javascript'; script.async = true; script.src = '/client.js?q=' + encodeURIComponent(document.referrer) + '&a=qwerty'; Но пока не...