Архив рубрики: Web Application Security

Конкурс на поиск уязвимостей в Badoo, защита от CSRF

В марте Badoo анонсировала месяц поиска уязвимостей. Первые итоги можно посмотреть на хабре. Я не буду описывать все найденные уязвимости, т.к. ничего интересного там не было. Что бросается в глаза, если посмотреть список репортов, так это большой отрыв в количестве … Читать далее

Рубрика: bug bounty, Web Application Security | Метки: | 1 комментарий

Уязвимость к XSS на сайте mts.ru, YandexBogBounty

Вечер публикации уязвимостей. 2 штуки на 8к в рамках YandexBugBounty скинул в тему на RDot. Аккурат перед ZeroNights, выбирая себе тариф на интернет для смартфона на сайте МТС, с первой попытки нашел XSS. Складывается впечатление, что либо у них все … Читать далее

Рубрика: Web Application Security | Метки: , , | Оставить комментарий

Маловероятный, но возможный обход авторизации в Opera 12.02, Zyxel KEENETIC-V1.00[BFW.4.4]D0

По просьбе 090h на днях проверял, отключается ли WPS в Zyxel Keenetic. На прошивке из названия отключается. После выхода из админки устройства, решил посмотреть, смогу ли выполнить какое-нибудь действие. Сначала ожидаемо получил отлуп с ошибкой, потом все-таки получилось. Первое, что … Читать далее

Рубрика: Web Application Security, Браузеры | Метки: | Оставить комментарий

Разгребая RSS

Печаль с ПО в войсках. Интересная история о черном пиаре Топ комментариев Хабра MTS-FON — проверь, не делишься ли ты инетом с другими. В тему кибервойн — в США, в UK. Обзор бесплатных инструментов для пентеста web-ресурсов и не только … Читать далее

Рубрика: Web Application Security, Интересное из Rss | Метки: | Оставить комментарий

Простая деобфускация шелла на preg_replace eval

Решил почему-то зайти на блог, хотя писать не собирался, но повод нашелся  — 502 bad gateway от nginx при попытке войти в админку заставили призадуматься :D Первая мысль — после обновления движка блога в стиле «далее-далее-далее» что-то криво стало, разбираться … Читать далее

Рубрика: PHP, Web Application Security, обфускация | Метки: | 2 комментария

Впечатления о Zeronights

Начну с неприятной вещи, которая слегка испортила впечатление — место проведения было далеко от метро, поэтому было весьма неудобно добираться. Далее один позитив, кстати, народ из PT там тоже был ;) Понравились доклады о Clickjacking, развитии вредоносов для систем ДБО, … Читать далее

Рубрика: Web Application Security, Конференции | Метки: | Оставить комментарий

Chaos Constructions 2011

Посетил все семинары, которые хотел, кроме Lockpicking — на него не успел. Из 5 просмотренных семинаров понравились 3. «Мифы о жестких дисках. Взгляд изнутри» Алексей Мейев Очень доступно и интересно были рассмотреы мифы. Я, как человек, не очень хорошо разбирающийся … Читать далее

Рубрика: Web Application Security, Браузеры, Конференции | Метки: | Оставить комментарий