en
Feedback
Fsecurity | HH

Fsecurity | HH

Open in Telegram

Канал про ИБ Наш Discord: https://discord.gg/Eg8aDS7Hn7 Пожертвовать: > https://www.donationalerts.com/r/xackapb

Show more
2 009
Subscribers
No data24 hours
-27 days
-1230 days
Posts Archive
Repost from Zer0Day Lab
https://github.com/DosX-dev/obfus.h obfus.h is a macro-only library for compile-time obfuscating C applications, designed spe
https://github.com/DosX-dev/obfus.h obfus.h is a macro-only library for compile-time obfuscating C applications, designed specifically for the Tiny C (tcc). It is tailored for Windows x86 and x64 platforms and supports all versions of the compiler.
• Function Call Obfuscation: Confuse function calls to make code less readable to unauthorized eyes.
 • Anti-Debugging Techniques: Built-in mechanisms to prevent code analysis during runtime.
 • Control Flow Code Mutation: Turns code into spaghetti, making it difficult to parse conditions and loops

How we escalated a DOM XSS to a sophisticated 1-click Account Takeover for $8000 - Part 1 https://thefrogsec.github.io/2024/04/06/How-we-escalated-a-DOM-XSS-to-a-sophisticated-1-click-Account-Takeover-for-8000-Part-1/

💡 Найти IDOR иногда бывает проще, чем кажется #tips #bugbounty
💡 Найти IDOR иногда бывает проще, чем кажется #tips #bugbounty

Как TaipanByte Standoff13 решали Советую почитать 🍷👾 🔗Ссылка: https://blog.taipanbyte.ru/standoff/%D0%9A%D0%B0%D0%BA-TaipanByte-Standoff13-%D1%80%D0%B5%D1%88%D0%B0%D0%BB%D0%B8

Repost from Кавычка
В дискуссии спросили, ну чего опасного в том, что есть XSS на поддомене без юзеров. Допустим, есть у нас site.kek, а ты нашел уязвимость на subdomain.site.kek Что может дать XSS на поддомене, где обычный одностраничный лэндинг, нет никаких данных пользователя? Штош, импакт такой: - Не только лишь все знают, что поддомен может ставить куки, в том числе на главный сайт (а точнее на весь скоуп, включая другие поддомены), а это может помочь при эксплуатировании других атак, например фиксацию сессии. Или вспомнить про отказ в обслуживании aka cookie bomb - CORS на других сайтах компании, в том числе сам site.kek может принимать Origin: subdomain.site.kek, а это значит можно выполнять действия от лица пользователя. - В дополнение к предыдущему - обходится механизм SameSite - Старый добрый фишинг, если нет дизайна для регистрации или входа - ее можно нарисовать. Может что-то еще? >

Repost from Caster
Я опубликовал свою статью о технике пивотинга с использованием инструмента Nebula. В статье используется концепция "Living of
Я опубликовал свою статью о технике пивотинга с использованием инструмента Nebula. В статье используется концепция "Living off the Land", благодаря чему есть возможность избежать обнаружения системами защиты. Caster - Strider Genre: Offensive Label: exploit.org Release Date: 12 April 2024 https://blog.exploit.org/strider

Repost from Pentest HaT
🔄🔺 Dalfox 2.9.2 Мощный инструмент для поиска и обнаружения XSS уязвимостей. Написан на 🖼️ Go Установка: go install github.
🔄🔺 Dalfox 2.9.2 Мощный инструмент для поиска и обнаружения XSS уязвимостей. Написан на 🖼️ Go Установка: go install github.com/hahwul/dalfox/v2@latest Пример: dalfox url http://testphp.vulnweb.com/listproducts.php?cat=123&artist=123&asdf=ff -b https://your-callback-url 💻 Home 🔠 Wiki #soft #dalfox #golang ✈️ // Pentest HaT 🎩