Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Meetup – można było przejmować konta organizatorów. Powód? Dość niewinna podatność w API…
W skrócie – można było w „zwykłym” komentarzu dodać JavaScript, który następnie odpalał się w zalogowanej sesji ofiary (tzw. persistent XSS). No dobra, komentarz najprawdopodobniej nie był taki „zwykły”, ale dodany z wykorzystaniem API: Oczywiście sam JavaScript musi być odpowiednio uzbrojony, więcej na filmiku: A jeszcze więcej odnośnie tego typu…
Czytaj dalej »