Дума «за» административный арест

5 декабря Госдума утвердила наказания за нарушения закона о СМИ-иноагентах, передал "Коммерсант". 2 декабря президент

Яндекс.Шеф сменил бизнес модель:

Глава фудтех сегмента в Яндексе Максим Фирсов рассказал "Коммерсанту", что купленный год назад проект Яндекс.Шеф (тогда

Репутация.Москва: Работа с отзывами в

Как эффективно реагировать на мнения клиентов? Научим в статье.

Botcreators: Топ-3 типичных запроса на

Работая уже больше года над созданием ботов самой разной сложности и направления, мы с командой сделали несколько

Исследование Яндекса: во сколько

Аналитика и графики для каждого класса недвижимости. А бонусом — рекомендации Яндекса, как получать брендовый трафик по

Редакция Spark.ru: Когда бренд теряет

Почему у Burger King и Harley-Davidson не получилось с парфюмерией, а у Jeep получилось с детскими колясками.

Эксплуатация cookie-based XSS | $2300 Bug Bounty story

Все блоги / Про интернет 17 июля 2019 30   


⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уязвимость, которая и станет главной героиней этой статьи. Данный тип уязвимости возникает, когда значение параметра cookie рефлектится на страницу. По умолчанию они считаются self-XSS, если мы, в свою очередь, не докажем их опасность. Собственно, сегодня я расскажу, как эксплуатировать cookie-based XSS уязвимости, а также приведу пример из тестирования одной компании, от которой я получил $7300 в целом за исследование. Читать дальше →
  • Оцените публикацию
  • 0

Похожие публикации

@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Подчинённая предполагаемой дочери

Наталья Попова назначена на пост омбудсвумен по защите интересов высокотехнологичных компаний, объявил аппарат

Mail.ru Group выходит на рынок

Программный комплекс разворачивается в инфраструктуре заказчика, доступны версии для десктопа и мобильных устройств.

Опубликовано видео выступлений спикеров

Более ста российских и зарубежных профессионалов креативного бизнеса с мировым именем — Studio Dumbar, Demodern,

IT Brick: CRM для бизнеса: разработка

Пора автоматизировать процессы, но застряли на вопросе: какую CRM для бизнеса выбрать? Вроде есть готовые решения,

3. Анализ зловредов с помощью форензики

Добро пожаловать в третью статью нашего цикла по форезнике от Check Point. На этот раз мы рассмотрим SandBlast Mobile.

Реверсивная логика

Что такое User Agent User Agent браузера — это строка с данными, отправляемая браузером веб-сайту при подключении, в