Pull to refresh
29
0
Александр Свешников @alexglue

Руководитель оптимизации процессов в Кинопоиске

Летаем вместе с Yandex! или XSS для самых маленьких

Reading time 2 min
Views 2.6K
Information Security *
Небольшой пример использования уязвимостей на сайте Яндекса.

HOWTO:
1) Отправляем форму.
2) Играемся с GET-параметрами.
3) Находим тот, значение которого пишется в теле страницы.
4) Пробуем инжектировать js
5) ???
6) PROFIT!

Немного подробностей
Total votes 6: ↑3 and ↓3 0
Comments 1

Находим admin + shell на *******.alfabank.ru с помощью Google

Reading time 4 min
Views 9.3K
Information Security *
Sandbox
Я был обескуражен ответом техподдержки альфабанка, приведенным в посте «Находим SQL инъекцию...», а потому решил посмотреть как обстоят дела на других поддоменах.

Первое что я сделал — это нашел админку на b***.alfabank.ru с помощью того же гугла и незамысловатого «site:alfabank.ru inurl:/admin/»

И что я там увидел?
Total votes 198: ↑191 and ↓7 +184
Comments 195

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity