#csrf — Public Fediverse posts

Как я автоматизировал отправку постов в Threads* и X*, но споткнулся о невидимые лимиты Twitter*

Я хотел сделать простую штуку: написал пост один раз, а он сам улетел в Threads* и X*. С Threads всё оказалось почти скучно: официальный API, токен, два запроса, готово. С X* началась отдельная инженерная прогулка по тёмному лесу: официальный API стоит денег, сервер из России напрямую ходит нестабильно, а браузерный GraphQL-путь то публикует, то отвечает 200 без созданного поста, то присылает 226, 344 или внезапное Tweet needs to be a bit shorter. В этой статье разбираю, как я собрал кросспостинг через Cloudflare Worker, где достать auth_token и ct0, почему нельзя верить HTTP-статусу, какие лимиты и антибот-ошибки реально прилетают, и что показали две недели логов.

https://habr.com/ru/articles/1031926/

#Threads_API #X_API #Twitter_API #Cloudflare_Worker #GraphQL #автопостинг #кросспостинг #rate_limits #auth_token #CSRF

Как я автоматизировал отправку постов в Threads* и X*, но споткнулся о невидимые лимиты Twitter*

Я хотел сделать простую штуку: написал пост один раз, а он сам улетел в Threads* и X*. С Threads всё оказалось почти скучно: официальный API, токен, два запроса, готово. С X* началась отдельная инженерная прогулка по тёмному лесу: официальный API стоит денег, сервер из России напрямую ходит нестабильно, а браузерный GraphQL-путь то публикует, то отвечает 200 без созданного поста, то присылает 226, 344 или внезапное Tweet needs to be a bit shorter. В этой статье разбираю, как я собрал кросспостинг через Cloudflare Worker, где достать auth_token и ct0, почему нельзя верить HTTP-статусу, какие лимиты и антибот-ошибки реально прилетают, и что показали две недели логов.

https://habr.com/ru/articles/1031926/

#Threads_API #X_API #Twitter_API #Cloudflare_Worker #GraphQL #автопостинг #кросспостинг #rate_limits #auth_token #CSRF

Как я автоматизировал отправку постов в Threads* и X*, но споткнулся о невидимые лимиты Twitter*

Я хотел сделать простую штуку: написал пост один раз, а он сам улетел в Threads* и X*. С Threads всё оказалось почти скучно: официальный API, токен, два запроса, готово. С X* началась отдельная инженерная прогулка по тёмному лесу: официальный API стоит денег, сервер из России напрямую ходит нестабильно, а браузерный GraphQL-путь то публикует, то отвечает 200 без созданного поста, то присылает 226, 344 или внезапное Tweet needs to be a bit shorter. В этой статье разбираю, как я собрал кросспостинг через Cloudflare Worker, где достать auth_token и ct0, почему нельзя верить HTTP-статусу, какие лимиты и антибот-ошибки реально прилетают, и что показали две недели логов.

https://habr.com/ru/articles/1031926/

#Threads_API #X_API #Twitter_API #Cloudflare_Worker #GraphQL #автопостинг #кросспостинг #rate_limits #auth_token #CSRF

Как я автоматизировал отправку постов в Threads* и X*, но споткнулся о невидимые лимиты Twitter*

Я хотел сделать простую штуку: написал пост один раз, а он сам улетел в Threads* и X*. С Threads всё оказалось почти скучно: официальный API, токен, два запроса, готово. С X* началась отдельная инженерная прогулка по тёмному лесу: официальный API стоит денег, сервер из России напрямую ходит нестабильно, а браузерный GraphQL-путь то публикует, то отвечает 200 без созданного поста, то присылает 226, 344 или внезапное Tweet needs to be a bit shorter. В этой статье разбираю, как я собрал кросспостинг через Cloudflare Worker, где достать auth_token и ct0, почему нельзя верить HTTP-статусу, какие лимиты и антибот-ошибки реально прилетают, и что показали две недели логов.

https://habr.com/ru/articles/1031926/

#Threads_API #X_API #Twitter_API #Cloudflare_Worker #GraphQL #автопостинг #кросспостинг #rate_limits #auth_token #CSRF

Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей

Я часто замечаю, насколько некоторые разработчики халатно относятся к вопросам безопасности своих приложений . И начинают задумываться о методах защиты только тогда, когда уже приходится переписывать большую часть приложения. Сегодня мы пройдемся по классическим и не только методам атаки, посмотрим, где компилятор бессилен, и построим современную защиту, опираясь на лучшие практики и конкретные примеры кода. Погрузиться в мир уязвимостей

https://habr.com/ru/articles/1029598/

#разработка #уязвимости #typescript #обзор #защита #sql #csrf #injection #npm #атаки

Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей

Я часто замечаю, насколько некоторые разработчики халатно относятся к вопросам безопасности своих приложений . И начинают задумываться о методах защиты только тогда, когда уже приходится переписывать большую часть приложения. Сегодня мы пройдемся по классическим и не только методам атаки, посмотрим, где компилятор бессилен, и построим современную защиту, опираясь на лучшие практики и конкретные примеры кода. Погрузиться в мир уязвимостей

https://habr.com/ru/articles/1029598/

#разработка #уязвимости #typescript #обзор #защита #sql #csrf #injection #npm #атаки

Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей

Я часто замечаю, насколько некоторые разработчики халатно относятся к вопросам безопасности своих приложений . И начинают задумываться о методах защиты только тогда, когда уже приходится переписывать большую часть приложения. Сегодня мы пройдемся по классическим и не только методам атаки, посмотрим, где компилятор бессилен, и построим современную защиту, опираясь на лучшие практики и конкретные примеры кода. Погрузиться в мир уязвимостей

https://habr.com/ru/articles/1029598/

#разработка #уязвимости #typescript #обзор #защита #sql #csrf #injection #npm #атаки

Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей

Я часто замечаю, насколько некоторые разработчики халатно относятся к вопросам безопасности своих приложений . И начинают задумываться о методах защиты только тогда, когда уже приходится переписывать большую часть приложения. Сегодня мы пройдемся по классическим и не только методам атаки, посмотрим, где компилятор бессилен, и построим современную защиту, опираясь на лучшие практики и конкретные примеры кода. Погрузиться в мир уязвимостей

https://habr.com/ru/articles/1029598/

#разработка #уязвимости #typescript #обзор #защита #sql #csrf #injection #npm #атаки

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11264627.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

Day 5 — CSRF Token Bypass using GET Request
This article discusses a Cross-Site Request Forgery (CSRF) vulnerability where an attacker can bypass CSRF tokens by manipulating GET requests. The root cause is inconsistent validation of CSRF tokens across HTTP methods, particularly on GET requests. In this case, the application incorrectly validated CSRF tokens for GET requests but did so correctly for POST requests. By modifying a legitimate request to use the GET method and moving parameters into the URL, the researcher discovered that the server did not validate the CSRF token. The attack involves creating an HTML PoC (proof-of-concept) with JavaScript to automatically submit the modified request, exploiting the victim without their interaction. This vulnerability emphasizes the importance of consistent validation for CSRF tokens across all HTTP methods. Key lesson: Validate CSRF tokens consistently regardless of HTTP method to maintain security. #BugBounty #WebSecurity #CSRF #VulnerabilityResearch

https://smartpicks4u.medium.com/day-5-csrf-token-bypass-using-get-request-791cba29812d?source=rss

Day 5 — CSRF Token Bypass using GET Request
This article discusses a Cross-Site Request Forgery (CSRF) vulnerability where an attacker can bypass CSRF tokens by manipulating GET requests. The root cause is inconsistent validation of CSRF tokens across HTTP methods, particularly on GET requests. In this case, the application incorrectly validated CSRF tokens for GET requests but did so correctly for POST requests. By modifying a legitimate request to use the GET method and moving parameters into the URL, the researcher discovered that the server did not validate the CSRF token. The attack involves creating an HTML PoC (proof-of-concept) with JavaScript to automatically submit the modified request, exploiting the victim without their interaction. This vulnerability emphasizes the importance of consistent validation for CSRF tokens across all HTTP methods. Key lesson: Validate CSRF tokens consistently regardless of HTTP method to maintain security. #BugBounty #WebSecurity #CSRF #VulnerabilityResearch

https://smartpicks4u.medium.com/day-5-csrf-token-bypass-using-get-request-791cba29812d?source=rss

🛡️ CSRF-like request token handling in TYPO3

A CSRF-like request token handling is available to mitigate potential cross-site requests on actions with side effects. This approach does not require an existing server-side user session, but uses a nonce as a "pre-session".

➡️ https://docs.typo3.org/m/typo3/reference-coreapi/13.4/en-us/ApiOverview/Authentication/AuthenticationService/CSRFlikeRequestTokenHandling.html

#TYPO3 #security #csrf

🛡️ CSRF-like request token handling in TYPO3

A CSRF-like request token handling is available to mitigate potential cross-site requests on actions with side effects. This approach does not require an existing server-side user session, but uses a nonce as a "pre-session".

➡️ https://docs.typo3.org/m/typo3/reference-coreapi/13.4/en-us/ApiOverview/Authentication/AuthenticationService/CSRFlikeRequestTokenHandling.html

#TYPO3 #security #csrf

🛡️ CSRF-like request token handling in TYPO3

A CSRF-like request token handling is available to mitigate potential cross-site requests on actions with side effects. This approach does not require an existing server-side user session, but uses a nonce as a "pre-session".

➡️ https://docs.typo3.org/m/typo3/reference-coreapi/13.4/en-us/ApiOverview/Authentication/AuthenticationService/CSRFlikeRequestTokenHandling.html

#TYPO3 #security #csrf

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11229186.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11229186.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11229186.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11229186.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11229186.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

If you're handling PHP sessions, don't ignore this:

`lifetime` → how long the session lives
`domain` → who can use it
`path` → where it applies
`secure` → HTTPS only
`httponly` → out of JS reach
`samesite` → CSRF defense

small details, big differences.

#php #session #csrf #https

If you're handling PHP sessions, don't ignore this:

`lifetime` → how long the session lives
`domain` → who can use it
`path` → where it applies
`secure` → HTTPS only
`httponly` → out of JS reach
`samesite` → CSRF defense

small details, big differences.

#php #session #csrf #https

If you're handling PHP sessions, don't ignore this:

`lifetime` → how long the session lives
`domain` → who can use it
`path` → where it applies
`secure` → HTTPS only
`httponly` → out of JS reach
`samesite` → CSRF defense

small details, big differences.

#php #session #csrf #https

If you're handling PHP sessions, don't ignore this:

`lifetime` → how long the session lives
`domain` → who can use it
`path` → where it applies
`secure` → HTTPS only
`httponly` → out of JS reach
`samesite` → CSRF defense

small details, big differences.

#php #session #csrf #https

If you're handling PHP sessions, don't ignore this:

`lifetime` → how long the session lives
`domain` → who can use it
`path` → where it applies
`secure` → HTTPS only
`httponly` → out of JS reach
`samesite` → CSRF defense

small details, big differences.

#php #session #csrf #https

How I Found a CSRF Vulnerability That Could Take Over Student Accounts on an Educational Platform
This vulnerability was a Cross-Site Request Forgery (CSRF) attack, allowing malicious users to hijack student accounts on an educational platform by manipulating a sensitive account management action (changing passwords) through an unsuspecting victim's browser session. The application failed to verify that the origin of the request was the legitimate user, instead relying on session cookies for authentication without additional CSRF protection. By using a crafted payload within a link, the researcher exploited the flawed security mechanism by forcing the victim's browser to make a password change request on behalf of the attacker. The impact was significant as unauthorized individuals could gain access to sensitive student accounts. The researcher received $500 as part of the bug bounty program, and the platform responded by implementing CSRF tokens for account management actions to prevent future attacks. Key lesson: Always implement CSRF tokens to protect sensitive user actions. #BugBounty #Cybersecurity #WebSecurity #CSRF

https://medium.com/@s3clipt0r/how-i-found-a-csrf-vulnerability-that-could-take-over-student-accounts-on-an-educational-platform-6e65bc70816f?source=rss------bug_bounty-5

How I Found a CSRF Vulnerability That Could Take Over Student Accounts on an Educational Platform
This vulnerability was a Cross-Site Request Forgery (CSRF) attack, allowing malicious users to hijack student accounts on an educational platform by manipulating a sensitive account management action (changing passwords) through an unsuspecting victim's browser session. The application failed to verify that the origin of the request was the legitimate user, instead relying on session cookies for authentication without additional CSRF protection. By using a crafted payload within a link, the researcher exploited the flawed security mechanism by forcing the victim's browser to make a password change request on behalf of the attacker. The impact was significant as unauthorized individuals could gain access to sensitive student accounts. The researcher received $500 as part of the bug bounty program, and the platform responded by implementing CSRF tokens for account management actions to prevent future attacks. Key lesson: Always implement CSRF tokens to protect sensitive user actions. #BugBounty #Cybersecurity #WebSecurity #CSRF

https://medium.com/@s3clipt0r/how-i-found-a-csrf-vulnerability-that-could-take-over-student-accounts-on-an-educational-platform-6e65bc70816f?source=rss------bug_bounty-5

How I Found a CSRF Vulnerability That Could Take Over Student Accounts on an Educational Platform
This vulnerability was a Cross-Site Request Forgery (CSRF) attack, allowing malicious users to hijack student accounts on an educational platform by manipulating a sensitive account management action (changing passwords) through an unsuspecting victim's browser session. The application failed to verify that the origin of the request was the legitimate user, instead relying on session cookies for authentication without additional CSRF protection. By using a crafted payload within a link, the researcher exploited the flawed security mechanism by forcing the victim's browser to make a password change request on behalf of the attacker. The impact was significant as unauthorized individuals could gain access to sensitive student accounts. The researcher received $500 as part of the bug bounty program, and the platform responded by implementing CSRF tokens for account management actions to prevent future attacks. Key lesson: Always implement CSRF tokens to protect sensitive user actions. #BugBounty #Cybersecurity #WebSecurity #CSRF

https://medium.com/@s3clipt0r/how-i-found-a-csrf-vulnerability-that-could-take-over-student-accounts-on-an-educational-platform-6e65bc70816f?source=rss------bug_bounty-5

How I Found a CSRF Vulnerability That Could Take Over Student Accounts on an Educational Platform
This vulnerability was a Cross-Site Request Forgery (CSRF) attack, allowing malicious users to hijack student accounts on an educational platform by manipulating a sensitive account management action (changing passwords) through an unsuspecting victim's browser session. The application failed to verify that the origin of the request was the legitimate user, instead relying on session cookies for authentication without additional CSRF protection. By using a crafted payload within a link, the researcher exploited the flawed security mechanism by forcing the victim's browser to make a password change request on behalf of the attacker. The impact was significant as unauthorized individuals could gain access to sensitive student accounts. The researcher received $500 as part of the bug bounty program, and the platform responded by implementing CSRF tokens for account management actions to prevent future attacks. Key lesson: Always implement CSRF tokens to protect sensitive user actions. #BugBounty #Cybersecurity #WebSecurity #CSRF

https://medium.com/@s3clipt0r/how-i-found-a-csrf-vulnerability-that-could-take-over-student-accounts-on-an-educational-platform-6e65bc70816f?source=rss------bug_bounty-5

How I Found a CSRF Vulnerability That Could Take Over Student Accounts on an Educational Platform
This vulnerability was a Cross-Site Request Forgery (CSRF) attack, allowing malicious users to hijack student accounts on an educational platform by manipulating a sensitive account management action (changing passwords) through an unsuspecting victim's browser session. The application failed to verify that the origin of the request was the legitimate user, instead relying on session cookies for authentication without additional CSRF protection. By using a crafted payload within a link, the researcher exploited the flawed security mechanism by forcing the victim's browser to make a password change request on behalf of the attacker. The impact was significant as unauthorized individuals could gain access to sensitive student accounts. The researcher received $500 as part of the bug bounty program, and the platform responded by implementing CSRF tokens for account management actions to prevent future attacks. Key lesson: Always implement CSRF tokens to protect sensitive user actions. #BugBounty #Cybersecurity #WebSecurity #CSRF

https://medium.com/@s3clipt0r/how-i-found-a-csrf-vulnerability-that-could-take-over-student-accounts-on-an-educational-platform-6e65bc70816f?source=rss------bug_bounty-5

Sequence [TryHackMe] [Writeup]

https://aredopseagle.wordpress.com/2026/03/15/sequence-tryhackme-writeup/

🔒 CVE-2026-1508 (HIGH): Court Reservation WordPress plugin <1.10.9 has a CSRF flaw — admins can be tricked into deleting events via crafted requests. No live exploits yet. Update ASAP or add nonce checks! https://radar.offseq.com/threat/cve-2026-1508-cwe-352-cross-site-request-forgery-c-cd03c8c6 #OffSeq #WordPress #CSRF #Infosec

🔒 CVE-2026-1508 (HIGH): Court Reservation WordPress plugin <1.10.9 has a CSRF flaw — admins can be tricked into deleting events via crafted requests. No live exploits yet. Update ASAP or add nonce checks! https://radar.offseq.com/threat/cve-2026-1508-cwe-352-cross-site-request-forgery-c-cd03c8c6 #OffSeq #WordPress #CSRF #Infosec

🔒 CVE-2026-1508 (HIGH): Court Reservation WordPress plugin <1.10.9 has a CSRF flaw — admins can be tricked into deleting events via crafted requests. No live exploits yet. Update ASAP or add nonce checks! https://radar.offseq.com/threat/cve-2026-1508-cwe-352-cross-site-request-forgery-c-cd03c8c6 #OffSeq #WordPress #CSRF #Infosec

🔒 CVE-2026-1508 (HIGH): Court Reservation WordPress plugin <1.10.9 has a CSRF flaw — admins can be tricked into deleting events via crafted requests. No live exploits yet. Update ASAP or add nonce checks! https://radar.offseq.com/threat/cve-2026-1508-cwe-352-cross-site-request-forgery-c-cd03c8c6 #OffSeq #WordPress #CSRF #Infosec

Protection anti CSRF à l'aide du header `Sec-Fetch-Site`.

🔗 https://blog.miguelgrinberg.com/post/csrf-protection-without-tokens-or-hidden-form-fields

#csrf #HTTP #sécurité

Protection anti CSRF à l'aide du header `Sec-Fetch-Site`.

🔗 https://blog.miguelgrinberg.com/post/csrf-protection-without-tokens-or-hidden-form-fields

#csrf #HTTP #sécurité

Protection anti CSRF à l'aide du header `Sec-Fetch-Site`.

🔗 https://blog.miguelgrinberg.com/post/csrf-protection-without-tokens-or-hidden-form-fields

#csrf #HTTP #sécurité

🚨 CVE-2026-3589: CRITICAL CSRF in WooCommerce (5.4.0 – 10.5.2) lets unauth users create admin accounts via REST API batch requests. Patch ASAP! Restrict API access & monitor for abuse. More: https://radar.offseq.com/threat/cve-2026-3589-cwe-352-cross-site-request-forgery-c-929d5a57 #OffSeq #WooCommerce #WordPress #CSRF

🚨 CVE-2026-3589: CRITICAL CSRF in WooCommerce (5.4.0 – 10.5.2) lets unauth users create admin accounts via REST API batch requests. Patch ASAP! Restrict API access & monitor for abuse. More: https://radar.offseq.com/threat/cve-2026-3589-cwe-352-cross-site-request-forgery-c-929d5a57 #OffSeq #WooCommerce #WordPress #CSRF

🚨 CVE-2026-3589: CRITICAL CSRF in WooCommerce (5.4.0 – 10.5.2) lets unauth users create admin accounts via REST API batch requests. Patch ASAP! Restrict API access & monitor for abuse. More: https://radar.offseq.com/threat/cve-2026-3589-cwe-352-cross-site-request-forgery-c-929d5a57 #OffSeq #WooCommerce #WordPress #CSRF

🚨 CVE-2026-3589: CRITICAL CSRF in WooCommerce (5.4.0 – 10.5.2) lets unauth users create admin accounts via REST API batch requests. Patch ASAP! Restrict API access & monitor for abuse. More: https://radar.offseq.com/threat/cve-2026-3589-cwe-352-cross-site-request-forgery-c-929d5a57 #OffSeq #WooCommerce #WordPress #CSRF

AI Red Teaming: спор с Grok — Часть 2. За пределами sandbox: CSRF, WAF bypass и privilege escalation

Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI.

https://habr.com/ru/articles/1005302/

#нформационная_безопасность #CSRF #gRPC #WAF #Cloudflare #privilege_escalation #xAI #Grok

AI Red Teaming: спор с Grok — Часть 2. За пределами sandbox: CSRF, WAF bypass и privilege escalation

Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI.

https://habr.com/ru/articles/1005302/

#нформационная_безопасность #CSRF #gRPC #WAF #Cloudflare #privilege_escalation #xAI #Grok

AI Red Teaming: спор с Grok — Часть 2. За пределами sandbox: CSRF, WAF bypass и privilege escalation

Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI.

https://habr.com/ru/articles/1005302/

#нформационная_безопасность #CSRF #gRPC #WAF #Cloudflare #privilege_escalation #xAI #Grok

AI Red Teaming: спор с Grok — Часть 2. За пределами sandbox: CSRF, WAF bypass и privilege escalation

Sandbox - эфемерный, умирает после сессии. Мне нужны были уязвимости на продакшн-инфраструктуре. Нашёл: zero-click CSRF на все 11 методов billing API через gRPC + text/plain, обход Cloudflare WAF одним заголовком, и создал management key с 50 привилегиями. Всё до сих пор на серверах xAI.

https://habr.com/ru/articles/1005302/

#нформационная_безопасность #CSRF #gRPC #WAF #Cloudflare #privilege_escalation #xAI #Grok

Une vulnérabilité Chromium en pure CSS qui permet de récupérer des données sensibles comme le token CSRF (CVE-2026-2441)
https://www.sitepoint.com/zero-day-css-cve-2026-2441-security-vulnerability/

Zero-Day CSS: Deconstructing CVE-2026-2441

#Chrome #Chromium #CSS #CSRF #CVE