• [Бесплатная пицца] Взлом сайта доставки пиццы, взлом mobidel.ru

    Я часто заказываю пиццу в Одессе, больше всего люблю доставку pizza.od.ua , там не жалеют начинки и можно создать пиццу из своих ингредиентов, в других же службах доставки можно выбрать только ту пиццу, которую тебе предлагают, добавить еще ингредиентов или выбрать другие нельзя. Месяца два назад я подсел на суши в pizza.od.ua. С недавних пор […]

  • [Багхантинг] Blind XSS уязвимость на сайтах службы поддержки omnidesk

    Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, увидел посев (реклама в социальных сетях) групп с бесплатными ключами vk.com/******* и vk.com/*****. Посевы эти дорогие, производились в группах от 250 000 до 5 000 000 подписчиков, например в группе Наука и Техника. Группы предлагали каждому бесплатный ключ за подписку. Примерно […]

  • [BugBounty] Частичный обход аутентификации vk.com

    Поставил перед собой задачу — обойти аутентификацию Вконтакте. Когда ip адрес человека, который входит на аккаунт vk меняется, нужно ввести полный номер телефона. Если злоумышленник входил через телефон;пароль, то он сможет совершать действия на аккаунте. Но если он входил через email;пароль или через подмену cookies, то он не сможет совершать какие либо действия на аккаунте. […]

  • Iframe injection и self xss на более чем 20 000 сайтах alexarank UA/RU

    Я независимый исследователь безопасности securityz.net , первое место в bug bounty ПриватБанка. Решил пройтись по топу alexarank, начал искать уязвимости на gismeteo.ua (20 место). Произошел редирект на русскую версию (www.gismeteo.ru/soft/), обратил внимание на тех.поддержку. Техподдержка находилась по адресу gismeteo.userecho.com и загружалась на gismeteo в iframe: https://gismeteo.userecho.com/s/interframe.html?url=https://gismeteo.userecho.com/widget/forum/6-/?lang=ru&referer=https://www.gismeteo.ru/soft/&xdm_e=https://www.gismeteo.ru&xdm_c=default4178&xdm_p=1 Потом появлялась форма для создания тикета. Попытался загрузить свой сайт в iframe https://gismeteo.userecho.com/s/interframe.html?url=https://securityz.net, но […]

Share This: