Инъекция XSS в скрытых полях ввода и мета-тегах
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript! О, радость. Это будет апокалипсис рассылок.
В любом случае, я заметил эту функциональность и задался вопросом, какие события JavaScript эти всплывающие окна вводят. Действительно, вы можете использовать события ontoggle и onbeforetoggle, и они применяются к цели всплывающего окна - это элемент, который имеет атрибут popover. Этот атрибут делает элемент невидимым до тех пор, пока вы не переключите элемент с помощью атрибута popovertarget с элементом, таким как кнопка.
Это полезно для обхода WAF, так как вы можете использовать событие onbeforetoggle, которое вряд ли будет заблокировано списком блокировки на основе атрибутов.
Читать статью тут!
#статья
Life-Hack [Жизнь-Взлом]/Хакинг
В этом посте автор покажет, как вы можете использовать новую функцию всплывающих окон HTML в Chrome для эксплуатации XSS в мета-тегах и скрытых полях ввода. Все началось, когда я заметил новое поведение всплывающих окон в Chrome на Twitter. Мы все знаем о надоедливых диалоговых окнах, которые уговаривают вас подписаться на рассылку - теперь вы можете создавать эти всплывающие окна без JavaScript! О, радость. Это будет апокалипсис рассылок.
В любом случае, я заметил эту функциональность и задался вопросом, какие события JavaScript эти всплывающие окна вводят. Действительно, вы можете использовать события ontoggle и onbeforetoggle, и они применяются к цели всплывающего окна - это элемент, который имеет атрибут popover. Этот атрибут делает элемент невидимым до тех пор, пока вы не переключите элемент с помощью атрибута popovertarget с элементом, таким как кнопка.
Это полезно для обхода WAF, так как вы можете использовать событие onbeforetoggle, которое вряд ли будет заблокировано списком блокировки на основе атрибутов.
Читать статью тут!
#статья
Life-Hack [Жизнь-Взлом]/Хакинг
Красная линия. Изучаем работу стиллера RedLine
Представь свой самый обычный день, когда ты сидишь на работе в тихой и спокойной обстановке. Никаких нагрузок или других неожиданных ситуаций быть не должно. Вдруг на компьютер приходит почтовое письмо от старого знакомого. В нем немного текста и очень подозрительный файл. Конечно, по всем правилам социальной инженерии ты поверил своему другу и запустил файл на устройстве. А в конце рабочего дня тебе приходит несколько push уведомлений на телефон о входе в аккаунт. Это самая обычная ситуация для современного мира и обычно за такими деяниями стоят стиллеры - быстрые и очень скрытые вирусы. Поэтому сегодня я хочу приоткрыть завесу неизведанного и рассказать тебе как они работают на примере известной малвари RedLine.
#статья
Читать тут!
Life-Hack [Жизнь-Взлом]/Хакинг
Представь свой самый обычный день, когда ты сидишь на работе в тихой и спокойной обстановке. Никаких нагрузок или других неожиданных ситуаций быть не должно. Вдруг на компьютер приходит почтовое письмо от старого знакомого. В нем немного текста и очень подозрительный файл. Конечно, по всем правилам социальной инженерии ты поверил своему другу и запустил файл на устройстве. А в конце рабочего дня тебе приходит несколько push уведомлений на телефон о входе в аккаунт. Это самая обычная ситуация для современного мира и обычно за такими деяниями стоят стиллеры - быстрые и очень скрытые вирусы. Поэтому сегодня я хочу приоткрыть завесу неизведанного и рассказать тебе как они работают на примере известной малвари RedLine.
#статья
Читать тут!
Life-Hack [Жизнь-Взлом]/Хакинг
Symbiote
Позволяет генерировать ссылку, при клике на которую вы получите не только IP адрес и дополнительную информацию о хосте, но и возможность получать скриншоты с основной и фронтальной камеры.
Ссылка на GitHub
#полезныйсофт
Life-Hack [Жизнь-Взлом]/Хакинг
Позволяет генерировать ссылку, при клике на которую вы получите не только IP адрес и дополнительную информацию о хосте, но и возможность получать скриншоты с основной и фронтальной камеры.
Ссылка на GitHub
#полезныйсофт
Life-Hack [Жизнь-Взлом]/Хакинг
This media is not supported in your browser
VIEW IN TELEGRAM
#дайджест
1. Читеры принудительно заражают компьютеры игроков Call of Duty вредоносным ПО
Подробней
2. Ученик превзошёл учителя: стоят ли за группой Akira бывшие участники Conti?
Подробней
3. Хакеры прочистили трубы: США усиливает киберзащиту важнейших трубопроводов страны
Подробней
4. 4 дня на ответ: SEC ужесточает правила раскрытия киберинцидентов
Подробней
1. Читеры принудительно заражают компьютеры игроков Call of Duty вредоносным ПО
Подробней
2. Ученик превзошёл учителя: стоят ли за группой Akira бывшие участники Conti?
Подробней
3. Хакеры прочистили трубы: США усиливает киберзащиту важнейших трубопроводов страны
Подробней
4. 4 дня на ответ: SEC ужесточает правила раскрытия киберинцидентов
Подробней
Топ популярных постов за прошедшую неделю:
1. Админим с комфортом. Разбираемся с веб-панелями управления Linux-сервером.
2. Использование Python для проведения тестирования на проникновение.
3. Простой инструмент для обнаружения уязвимостей повышения привилегий.
4. Спуфинг почтового адреса: как злоумышленники выдают себя за других.
5. Инъекция XSS в скрытых полях ввода и мета-тегах.
6. Файловые системы: сравнение, секреты и уникальные особенности.
7. Symbiote - полезный софт.
#подборка
Life-Hack [Жизнь-Взлом]/Хакинг
1. Админим с комфортом. Разбираемся с веб-панелями управления Linux-сервером.
2. Использование Python для проведения тестирования на проникновение.
3. Простой инструмент для обнаружения уязвимостей повышения привилегий.
4. Спуфинг почтового адреса: как злоумышленники выдают себя за других.
5. Инъекция XSS в скрытых полях ввода и мета-тегах.
6. Файловые системы: сравнение, секреты и уникальные особенности.
7. Symbiote - полезный софт.
#подборка
Life-Hack [Жизнь-Взлом]/Хакинг
Фишинг. Как компании ловят на крючок?
Думаю, все из вас знакомы с понятием фишинга. Каждый так или иначе видел его в разных проявлениях. Будь то криво сделанная фишинговая страница ВКонтакте для получения ваших паролей, будь то очередная новость про взлом крупной компании от так сильно нашумевших группировок-вымогателей.
Но суть фишинга остается одной и той же: письмо - действие - данные.
Данная статья будет разделена на две части:
- Составление и доставка письма злоумышленниками
- Полезная нагрузка в письме
ДИСКЛЕЙМЕР: автор статьи и ресурс, на котором статья размещена - не несут ответственности за противоправные действия читателей. Статья написана исключительно в образовательных целях.
#статья
Читать статью тут!
Life-Hack [Жизнь-Взлом]/Хакинг
Думаю, все из вас знакомы с понятием фишинга. Каждый так или иначе видел его в разных проявлениях. Будь то криво сделанная фишинговая страница ВКонтакте для получения ваших паролей, будь то очередная новость про взлом крупной компании от так сильно нашумевших группировок-вымогателей.
Но суть фишинга остается одной и той же: письмо - действие - данные.
Данная статья будет разделена на две части:
- Составление и доставка письма злоумышленниками
- Полезная нагрузка в письме
ДИСКЛЕЙМЕР: автор статьи и ресурс, на котором статья размещена - не несут ответственности за противоправные действия читателей. Статья написана исключительно в образовательных целях.
#статья
Читать статью тут!
Life-Hack [Жизнь-Взлом]/Хакинг
This media is not supported in your browser
VIEW IN TELEGRAM
#дайджест
1. Хакеры прочистили трубы: США усиливает киберзащиту важнейших трубопроводов страны
Подробней
2. Хакеры принимают анализы: взломана база данных лаборатории KDL
Подробней
3. Разработан новый метод визуализации в медицине без использования радиации
Подробней
4. Ответственность за свободу: Новые законы угрожают разработчикам программного обеспечения
Подробней
1. Хакеры прочистили трубы: США усиливает киберзащиту важнейших трубопроводов страны
Подробней
2. Хакеры принимают анализы: взломана база данных лаборатории KDL
Подробней
3. Разработан новый метод визуализации в медицине без использования радиации
Подробней
4. Ответственность за свободу: Новые законы угрожают разработчикам программного обеспечения
Подробней
This media is not supported in your browser
VIEW IN TELEGRAM
#дайджест
1. Фруктовый троян атакует русскоязычных пользователей
Подробней
2. ФБР утверждает, что иностранные хакеры эксплуатируют американский ИИ
Подробней
3. Когда хакеры страшнее криперов: в модах Minecraft обнаружили серьезную уязвимость
Подробней
4. Иранские хакеры взломали системы крупнейшего нефтеперерабатывающего завода Израиля
Подробней
1. Фруктовый троян атакует русскоязычных пользователей
Подробней
2. ФБР утверждает, что иностранные хакеры эксплуатируют американский ИИ
Подробней
3. Когда хакеры страшнее криперов: в модах Minecraft обнаружили серьезную уязвимость
Подробней
4. Иранские хакеры взломали системы крупнейшего нефтеперерабатывающего завода Израиля
Подробней