Охота за ошибками, Blind-XSS и лисьи хитрости

Лисы знают толк в охоте :) Многие наверняка уже слышали о BugBounty, поиске уязвимостей с вознаграждениями и сопутствующих историях об этом. Я, как один из «охотников за ошибками», начал свой путь чуть больше года назад на площадке HackerOne. За это время мне удалось многое узнать о различных видах...

Все блоги / Про интернет

Эксплуатация cookie-based XSS | $2300 Bug Bounty story

⠀Уже на протяжении довольно длительного времени я охочусь за уязвимостями на платформе HackerOne, выделяю некоторое количество времени вне основной работы, чтобы проверить любимые и новые программы. Бесчисленное количество раз приходилось натыкаться на cookie-based XSS уязвимость, которая и станет...

Все блоги / Про интернет

Google Chrome перестанет защищать от XSS-атак?

Google удаляет XSS Auditor из браузера Chrome после серии уязвимостей, подвергших сомнению эффективность данной функции. Читать дальше →...

Все блоги / Про интернет

Даже web ресурсы известных организаций не защищены от детских ошибок

Disclaimer. Все события происходили в 2017 году. Обо всех указанных в статье уязвимостях было сообщено представителям компаний в кратчайшие сроки с момента их обнаружения. Некоторые ресурсы, на 2019 год, были полностью обновлены (frontend и backend). Статья носит сугубо...

Все блоги / Про интернет