-
- uid_17626 blogja
- A hozzászóláshoz be kell jelentkezni
- 589 megtekintés
Hozzászólások
Ilyet nekünk is küldtek, az egyik domainünkre, sikerült popup ablakban megjeleníteni szöveget. kapott egy új funkciót a functions.php, aztán megyünk tovább, én nem szóltam nekik, hogy javítva.
A levél amit küldtek valóban pofátlanság, juteszembe ezekre az xss huszárokra rá lehet keresni is a tárgyban említett címen, ügyesen listázzák mit találtak.
ps: az LG P880ak vagy 4 évig dolgoztak a vásárlást követően :)
Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)
- A hozzászóláshoz be kell jelentkezni
Már maga az is paraszt, hogy listáznak. Valamint messze nem etikus, kérés nélkül tesztelni, hanem bűncselekmény.
- A hozzászóláshoz be kell jelentkezni
buncselekmeny kitolteni egy formot random szoveggel?
buncselekmeny egy random url-t "megnezni"?
- A hozzászóláshoz be kell jelentkezni
Hallottál már arról a jogi fogalomról, hogy szándékosság?
Szándékosan követi el a bűncselekményt, aki magatartásának következményeit kívánja, vagy e következményekbe belenyugszik.
Véletlenül is lehet biztonsági hibát találni, de ebben az esetben könnyen bizonyítható ennek ellenkezője. Már önmagában a próbálkozások jellege és száma is elég, a levélváltás pedig teljesen egyértelművé teszi.
- A hozzászóláshoz be kell jelentkezni
Igen. Ahogy:
- lenyomni egy kilincset
- kinyitni egy zárat
- aludni az ágyadban
...
is az tud lenni.
- A hozzászóláshoz be kell jelentkezni
- enni a tanyerodbol
- inni a poharadbol
Aztan, ha nem akar sittre menni, hazicselednek all, mint Hofeherke.
- A hozzászóláshoz be kell jelentkezni
Az XSS jellemzően pont nem random szöveg.
1904.04.08.
RIP Jákub.
neut @
- A hozzászóláshoz be kell jelentkezni
minden szoveg random. es egy random szoveg lehet, hogy pont egy XSS lesz, de en azt nem tudhatom!
- A hozzászóláshoz be kell jelentkezni
Persze minden random, egészen addig, ameddig rá nem fut egy valami ami felismeri.
1904.04.08.
RIP Jákub.
neut @
- A hozzászóláshoz be kell jelentkezni
Ezt a pénzkéregetést ne csináljatok soha, de soha ha önkéntes penteszternek álltok és hibákat jelentgettek. Kb ez az a minősitő körülmény ami miatt már megbasznak a biróságon.
- A hozzászóláshoz be kell jelentkezni
Szerintem eleteben nem volt Magyarorszag teruleten a keregeto.
Majd buntetoeljarast inditasz ellene valamelyik azsiai autokracia/diktatura birosagan, ahol epp a lakhelye van?
- A hozzászóláshoz be kell jelentkezni
Open... izé open wallet.
- A hozzászóláshoz be kell jelentkezni
Egy keresőmezőbe tudtak injektálni kódot. Valóban nem szűrtem rá. Vicces dolgokon kívül el nem tudom képzelni mire használható az így bejuttatott kód. Ehhez minimum el kellene juttatni valamelyik useremnek egy linket, ami a kódot tartalmazza.
Igen, pontosan ez a reflected XSS attack lényege. Pl. bejelentkezett felhasználó nevében lehet tranzakciókat indítani, vagy akár átvenni a fiókja felett az irányítást.
- A hozzászóláshoz be kell jelentkezni
Ezen a ponton vérezne el a dolog, az adott rendszerben alig van felhasználó. Persze ettől még a kockázat létezik.
- A hozzászóláshoz be kell jelentkezni
"Kaptam tőlük egy levelet,"
Kitől?
"All Open Bug Bounty emails are sent only from openbugbounty.org domain being digitally signed. All others are fake."
- A hozzászóláshoz be kell jelentkezni
Onnan jott. Alairva.
- A hozzászóláshoz be kell jelentkezni
Azt hittem erről van szó:
https://www.openbugbounty.org/external-emails-alert/
Az álatakad enlített *****@gmail.com delikvens szeretne átvágni....
Gyakorlatilag az openbugbounty soha nem vizsgál semmilyen weboldalt, nem ír senkinek emailt.
Amennyiben kiírsz egy pénzdíjas bounty programot pl. a websoldalad ellenőrzésére, akkor sem ők foglalkoznak vele, ez csak egy közvetítő platform - amivel adott esetben jó kis pénzt lehet keresni, de azt sosem a kiírótól kapja a versenyző közvetlen....
- A hozzászóláshoz be kell jelentkezni
Nem egészen.
- A hozzászóláshoz be kell jelentkezni