Tag: bug bounty

Opis błędu XSS w domenie www.google.com. Historia omijania kolejnych przeszkód, by napisać kod wykorzystujący podatność, nie wymagający interakcji użytkownika.

Michał Bentkowski, który od czasu do czasu pisuje na sekuraku (a przy okazji na stałe pracuje jako pentester w Securitum) otrzymał niedawno potwierdzenie od Google’a, że znalazł się wśród „Top 10 bug reporters 2014”. Gratulacje!

W artykule opisano jak clickjacking, dopuszczanie niepoprawnych nazw domen i specyficzne zachowanie przeglądarki Chrome umożliwiło przeprowadzenie ataku skutkującego wyciekiem danych osobowych użytkowników Facebooka.

Na blogu jednego z bug hunterów pojawił się bardzo ciekawy wpis o błędzie znalezionym w Google w październiku zeszłego roku. Czy błąd w usłudze DNS może doprowadzić do XSS-a? Okazuje się, że tak.

Praktycznie wszystkie powszechnie używane dziś frameworki są zabezpieczone przed atakiem HTTP Response Splitting. „Prawie” robi czasem dużą różnicę – w tekście pokażemy realny przykład podatności HTTP Response Splitting w google.com

Pewien pentester z Australii postanowił ostatnio poświęcić dwie chwile na przetestowanie bezpieczeństwa systemów Prezi (dość popularne narzędzie do służące do tworzenia dynamicznych prezentacji).