Skip to main content
Category

Blog

Взрывной блог

Комикс о UXSS в Safari и Chrome

By Blog 8 комментариев
Привет! Помимо уязвимостей клиентской части веб-приложений опасность представляют и само клиентское ПО. Нет, речь даже не о java или flash, а о самих браузерах. Хочу показать тебе примеры двух браузеров-конкурентов...
Read More

Способы обхода проверки домена и IP адреса

By Blog 4 комментария
И снова здравствуй! Допустим, существует приложение, которое возвращает тело страницы, если ему отправить домен или IP адрес. Но наша цель - отправить пакет на адрес внутренней инфраструктуры и проэксплуатировать такую атаку, как...
Read More

Когда символ пробела — атака

By Blog 6 комментариев
Привет! Сервера могут по-разному воспринимать присланную пользователем информацию. Общепринято, что %20 или знак + в параметрах принимается за пробел. Запрос на директорию /folder/test/%2e%2e/page — нормализуется до /folder/page, ибо %2e — точка в urlencode. Например, знаменитый (в узких...
Read More

Приключения xss векторов в необычных местах

By Blog 3 комментария
Привет! Хочу рассказать о нескольких случаях, когда ресурсы сами собирали данные, но некорректно их обрабатывали. Причём в некоторых случаях, данные представлены в безопасном виде, но за счет парсинга и дальнейшей...
Read More

О том, почему я съехал с виртуального хостинга

By Blog 7 комментариев
Здарова! Долгое время мой блог находился в shared хостинге у одного из российских провайдеров. Из плюсов - низкая цена, а так как стоимость рубля оставляла желать лучшего, пользоваться чем-то типа digitalocean...
Read More