Sekurak Cyberstarter 2025 już 15 maja! 6 ścieżek, 40+ prelekcji
Meetup – można było przejmować konta organizatorów. Powód? Dość niewinna podatność w API…
W skrócie – można było w „zwykłym” komentarzu dodać JavaScript, który następnie odpalał się w zalogowanej sesji ofiary (tzw. persistent XSS). No dobra, komentarz najprawdopodobniej nie był taki „zwykły”, ale dodany z wykorzystaniem API: Oczywiście sam JavaScript musi być odpowiednio uzbrojony, więcej na filmiku: A jeszcze więcej odnośnie tego typu…
Czytaj dalej »