Старый 20.01.2015, 22:17   #51
BigBear
 
Регистрация: 26.07.2012
Сообщений: 134
Репутация: 51
По умолчанию

Цитата:
Сообщение от du3t Посмотреть сообщение
На правах рекламы, я начал пилить платформу для публикации обучающих упражнений, и, т.к. я безопасник, первые статьи как раз про инфобез. Если интересно, смотри http://shex.info
На правах рекламы представителей этого форума

BigBear вне форума   Ответить с цитированием
Старый 20.01.2015, 22:36   #52
du3t
 
Регистрация: 20.01.2015
Сообщений: 1
Репутация: 0
По умолчанию

О, неплохо, BigBear! Спасибо, сейчас исправлю =)
Это оплошность с моей стороны. Пиши, если еще что-то заметишь!
du3t вне форума   Ответить с цитированием
Старый 20.01.2015, 23:34   #53
du3t
 
Регистрация: 20.01.2015
Сообщений: 1
Репутация: 0
По умолчанию

Вобщем, убрал (спасибо еще раз BigBear) XSS в
/?show=
/?s=

XSS легко найти, и, я признаюсь, что не тестировал сайт ни сканером, ни в ручную, будучи уверенным, что всё сантизируется. Самоуверенность разбилась в пух и прах

Меня радует, покрайней мере, что я httponly заранее выставлял, поэтому сессию украсть нельзя было. Дополнительных привелегий по заливке файлов или редактирования исходников самого сайта админ и модер не имеют. В случае эксплуатации XSS, худшее, что можно было сделать, пожалуй, это удалить все курсы от имени модератора или админа, что, очевидно, было бы крайне неприятно =)

Сделаю-ка я бэкап. Еще раз. Было бы неплохо с моей стороны проверить file injection и sqli, но лень.

Иии еще раз thanks =)
du3t вне форума   Ответить с цитированием
Старый 20.01.2015, 23:37   #54
SuvSomat
 
Регистрация: 09.10.2012
Сообщений: 10
Репутация: 0
По умолчанию

что значит неплохо ?

это просто пиздец как хуево, заявляя о том, что безопасник.

зачем эта лажа ? школота на школоте,
я так понял, что школьный уровень здесь не гнобится, наоборот стараются помочь, в меру естественно, для самообучаемости.

на данный момент этот форум для меня, как капля пресной воды в океане.
всем добра.
SuvSomat вне форума   Ответить с цитированием
Старый 20.01.2015, 23:55   #55
du3t
 
Регистрация: 20.01.2015
Сообщений: 1
Репутация: 0
По умолчанию

Цитата:
Сообщение от SuvSomat Посмотреть сообщение
что значит неплохо ?
Неплохо, что поделился со мной, разве нет? Мог бы забить.

Цитата:
Сообщение от SuvSomat Посмотреть сообщение
это просто пиздец как хуево, заявляя о том, что безопасник.
Признаю, это хуёво, если я допустил такую лажу при этом заявляя, что я безопасник. Но это правда, что такого? Честно говоря, я не против, если кто-то найдет что-то серьезней и получит права apache или даже root на сервере. Это мой первый серьезный опыт создания сайта и мне кажется это веселым =)

Цитата:
Сообщение от SuvSomat Посмотреть сообщение
зачем эта лажа ? школота на школоте,
я так понял, что школьный уровень здесь не гнобится, наоборот стараются помочь, в меру естественно, для самообучаемости.
Не понял тебя. Формулируй свои мысли четче. Если ты про статьи или упражнения на сайте, то обоснуй.

Цитата:
Сообщение от SuvSomat Посмотреть сообщение
на данный момент этот форум для меня, как капля пресной воды в океане.
Этой фразы не понял. Этот форум?
du3t вне форума   Ответить с цитированием
Старый 21.01.2015, 00:02   #56
SuvSomat
 
Регистрация: 09.10.2012
Сообщений: 10
Репутация: 0
По умолчанию

ничего личного)

просто оформи это в отдельной ветки форума.
мой сайт, мои уроки итд.
SuvSomat вне форума   Ответить с цитированием
Старый 21.01.2015, 23:00   #57
m99
 
Аватар для m99
 
Регистрация: 25.09.2014
Сообщений: 27
Репутация: -2
По умолчанию

ого , расследования & интриги развели !

Привет, почтенная публика,

du3t
заочное спасибо, интересный ресурс

BigBear,
пассивная или активная xss?
m99 вне форума   Ответить с цитированием
Старый 22.01.2015, 02:57   #58
BigBear
 
Регистрация: 26.07.2012
Сообщений: 134
Репутация: 51
По умолчанию

Цитата:
Сообщение от m99 Посмотреть сообщение
BigBear,
пассивная или активная xss?
Раз в адресной строке, то, конечно же, активная. Что за вопросы ?
BigBear вне форума   Ответить с цитированием
Старый 22.01.2015, 12:36   #59
faza02
 
Аватар для faza02
 
Регистрация: 24.12.2010
Сообщений: 77
Репутация: 14
По умолчанию

m99, а может рефлектед?)
faza02 вне форума   Ответить с цитированием
Старый 22.01.2015, 12:59   #60
m99
 
Аватар для m99
 
Регистрация: 25.09.2014
Сообщений: 27
Репутация: -2
По умолчанию


BigBear


я не имею практического опыта по этому.

Кто обладает информацией про онлайн курсы о которых в теме не упоминалось или любая другая информация (статьи, книги, ролики, тестовые площадки), пишите пожалуйста.
m99 вне форума   Ответить с цитированием
Ответ

Метки
вардрайвинг, пентест

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot