Life-Hack - Жизнь-Взлом
59K subscribers
1.19K photos
77 videos
18 files
7.71K links
Сообщество по информационной безопасности.
Статьи, гайды, обучения, рекомендации, обзоры, новости, подборки полезного софта!
#хакер #хакинг #Linux #OSINT
Наши каналы - @LifeHackmedia

По любым вопросам сюда - @Adm1nGmz
Download Telegram
Forwarded from SHADOW:Group
👍 Обход защиты от XSS

Статья по байпассу средств защиты от XSS для некоторых кейсов. Как итог, получаем несколько довольно универсальных пэйлодов, которые могут пригодится вам и в других случаях (мне пригодились):

Imperva & Incapsula:

<details/open/id="&quot;"ontoggle=[JS]>

Amazon Cloudfront

<details/open/id="&quot;"ontoggle=[JS]>

Akamai

<details open id="' &quot;'"ontoggle=[JS]>

Еще больше байпассов для XSS доступно в репозитории на GitHub.

#web #xss #waf #bypass
Please open Telegram to view this post
VIEW IN TELEGRAM
Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре

#статья #XSS #BugBounty

Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.

Материал будет интересен специалистам, которые уже сталкивались с DOM XSS и Prototype Pollution. Если вы еще не знакомы с этими уязвимостями, стоит обратить внимание на лабораторные PortSwigger и теорию и только потом приступать к изучению DOM Invader. А если знакомы, то быстро вспомним основные понятия и объясним, а в чем же, собственно, состоит опасность.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Toxssin

#XSS #pentest #web

Инструмент тестирования на проникновение с открытым исходным кодом, автоматизирующий процесс эксплуатации уязвимостей Cross-Site Scripting (XSS). Он состоит из сервера HTTPS, который работает как интерпретатор трафика, генерируемого вредоносной полезной нагрузкой JavaScript.

Ссылка на инструмент.

Видеопрезентация.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации

Onion Market — анонимный Р2Р-обменник для людей!
XSS в URL обратного вызова OAuth с обходом CSP, приводящий к захвату аккаунта без взаимодействия

#XSS #Oauth #bugbounty #web #статья

В одном из недавних проектов я столкнулся с серией на первый взгляд незначительных уязвимостей. Однако, когда эти проблемы были объединены, они создали серьезный риск безопасности — уязвимость, позволяющую захватить учетную запись без какого-либо взаимодействия со стороны пользователя. Основной виновник — URL обратного вызова OAuth, в котором при детальном рассмотрении обнаруживается несколько проблем.

В этой статье будет подробно рассмотрен URL обратного вызова OAuth, шаг за шагом мы разберем каждую проблему и объясним цепочку событий, которая позволила проэксплуатировать эти уязвимости.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
От нуля до вознаграждения в $750 за Blind XSS

#bugbounty #web #xss #перевод #статья

Статья про применение www.blindf.com для поиска Blind XSS. И про то, что упорство и труд - всегда к успеху приведут😄

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
xsshunter-express

#XSS #bugbounty #web #pentest

Легко настраиваемая версия XSS Hunter. Устанавливается за пять минут и не требует обслуживания!

Ссылка на GitHub.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
XSS + Ошибки конфигурации OAuth = Кража токенов и захват аккаунта

#xss #web #bugbounty #статья #перевод

В этой статье я расскажу о том, как мне удалось найти уязвимость для захвата аккаунта (Account Takeover, ATO) через ошибки конфигурации OAuth и украсть токены авторизации.

Ссылка на статью

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
Как я получил $5000 за Out-of-Scope XSS

#статья #bugbounty #xss #CORS #перевод

Мне удалось успешно связать неправильную настройку CORS с XSS, который считается Out-of-Scope, чтобы обойти проверку источника для cookie с флагом SameSite.

Ссылка на статью.

LH | Новости | Курсы | Мемы

#рекомендация
#рекомендации
XSS-Payloads

#xss #web #bugbounty #pentest

Список XSS-векторов/нагрузок, собираемых с 2015 года из различных источников, таких как сайты, твиты, книги... Вы можете использовать их для обхода WAF и нахождения уязвимостей XSS.

Ссылка на GitHub.

LH | Новости | OSINT | Курсы