Хитроватый клиентсайд

Дисклеймер, ясное дело, утверждает, что весь нижележащий пост — сплошь подлог и мистификация. Ничего этого в реальности не было и нет.

Я не люблю атаки на клиентов веб-приложений. Ты запилил гениальный пейлод, а он работает только в устаревшей версии одного из непопулярных браузеров. И только у пользователей из определённой страны. И только по выходным. Короче, вот эти вот ограничения.

Этот пост хоть и про клиентсайд, но скорее про то как несколько не очень перспективных уязвимостей способны выстроиться в неплохой вектор.

Читать далее Хитроватый клиентсайд

Positive Hack Days VII, день первый — quiz hunting

Обычно я публикую свои впечатления от посещения PHD или ZN в одном посте, но то были мои одиночные приезды. PHD VII — моя первая конференция в качестве специалиста offensive security и, по-видимому, не зря.

Прогуливаясь по площадке со Славой и Даней, мы искали, чем бы заняться — PHD, как водится, богат на активности и развлечения, но наше внимание привлекла викторина от Информзащиты.

Читать далее Positive Hack Days VII, день первый — quiz hunting

Сезон распродаж

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Удивительно, сколько проблем может сгенерировать один и тот же элемент бизнес-логики веб-приложения. В прошлый раз форма ввода номера скидочной карты позволила в теории собрать данные о пользователях программы лояльности спортивной торговой сети. Сегодня же мы препарируем сайт интернет-ретейлера одежды (естественно, вымышленного), где решили просто — форма призвана давать клиенту скидку и она с этой задачей справляется. Посмотрим на это чуть пристальнее остальных.

Читать далее Сезон распродаж

Немного напряг киберкидал

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Такое бывает. Сидишь и коротаешь время до вылета в другой город, как вдруг на почту приходит фишинговое письмо, якобы от имени твоего друга. Очередная бесцеремонная наглость. В письме предлагают очень прибыльную работу и рекомендуют ознакомиться с деталями по ссылке. В общем-то, ничего нового, обычный спам, однако, в этот раз напрягло, что в теме письма стоит имя знакомого мне человека.

Читать далее Немного напряг киберкидал

Перепись спортсменов

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Всё началось с того, что на сайте одного крупного ретейлера товаров для активного отдыха моё внимание привлекла строка ввода номера накопительной карты на странице оформления заказа. Благодаря людям, которые пишут в интернете отзывы на накопительные карты (зачем?) с фотографиями самих накопительных карт (ну зачееем?) я разжился пятью-шестью номерами. Пришло время проверить, что же при помощи этого скудного набора входных данных можно извлечь из туманного бэкенда.

Читать далее Перепись спортсменов