Ближайшая конференция: Heisenbug 2024 Spring — 16 апреля (online), 22–23 апреля (offline, Москва) Подробности и билеты: 🤍cutt.ly/uwFdSrS4 — Ближайшая конференция: Heisenbug 2023 Autumn — 10–11 октября (online), 15–16 октября (offline) Подробности и билеты: 🤍bit.ly/3qd3swV — — — . . .Cross-Site Scripting стабильно входит в top 10 самых опасных атак на web-приложения, и рассказ от эксперта одновременно и интересен, и полезен. XSS-уязвимости являются очень распространенными и опасными багами безопасности веб-приложений. 10 из 10 веб-приложений так или иначе подвержены риску быть атакованными через эксплуатацию XSS. Найти эти баги быстрее злоумышленников — в том числе задача тестировщика. В докладе Иван расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях. Доклад будет полезен тестировщикам, которые хотят начать тестировать безопасность, а также тем, кто уже занимается тестированием безопасности и хочет прокачаться.
Что делать если отправляемая нагрузка отображается НЕ в ответе сервера а на совершенно другой странице!? Как мне в этом случае слать пейлоады в интрудере(фазить) а затем атоматом каждый раз бегать на другую страницу чтобы проверить отработали они или нет...? Писать скрипт на .py под такой таск?
Отличная лекция, спасибо!
очень классно рассказал
Как раз пишу диплом по этой теме. (Пожелайте мне удачи)
Здорово!) Спасибо!)
На Мэддисона похож
Я АБОБУС
Интересно с чего он начинал где учился всему этому?
отличное видео, все стало много понятней)))
Видео супер, недавно начал искать уязвимости для bugbounty. Видос очень помог
Оооочень круто шик
EmJnUqFgaK8&t=2927 48:47 получается можно получить выполнять любые shell команды от рута на серве?
Где можно найти ссылку на презентацию этого доклада ?
Большое спасибо. Отлично.
Спасибо за видео!
а можно ссылку на открытые репорты Ивана, чтобы читать и обучаться?
Извиняюсь за глупый вопрос, можно узнать, вы в основном вручную находили баги или спомощью сканеров?