#межсайтовый_скриптинг — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #межсайтовый_скриптинг, aggregated by home.social.
-
Кликджекинг по двойному щелчку. Новый приём обманного UI
Кликджекинг (подделка UI) — известный приём обмана пользователей интернета, когда поверх видимой страницы располагается невидимый слой, куда загружается фальшивка. То есть пользователю кажется, что он вводит пароль на доверенной странице, но на самом деле вводит его в стороннюю форму, которая принадлежит злоумышленнику. В последние годы его риск значительно снизился, потому что все браузеры по умолчанию запретили межсайтовые куки, в то время как самые опасные варианты использования требуют авторизации жертвы на целевом сайте. Однако несколько месяцев назад в Сети впервые замечены случаи кликджекинга по двойному щелчку . Вредоносные действия выполняются в промежутке между первым и вторым кликами незаметно для жертвы. Более продвинутая версия атаки работает практически на всех сайтах и в любых браузерах.
https://habr.com/ru/companies/globalsign/articles/920760/
#DoubleClickjacking #JavaScript #кража_аккаунта #XFrameOptions #CSP #SameSite #межсайтовые_куки #межсайтовый_скриптинг #двойной_щелчок #double_click #двойное_нажатие
-
[Перевод] Взлом гиганта: как я нашел уязвимость в поддомене Google и попал в «зал славы» багхантеров
Будни багхантера — это непрерывная охота за уязвимостями, успех в которой зависит не только от опыта и навыков, но и от банального везения. Недавно мне попалась по-настоящему крупная добыча: я обнаружил XSS-уязвимость (межсайтовый скриптинг) в одном из поддоменов Google. В статье расскажу, как мне удалось заработать на этой находке и оставить свое имя в «зале славы» багхантеров Google.
https://habr.com/ru/companies/bastion/articles/889988/
#xssуязвимость #уязвимость_google #багхантинг #багхантер #советы_багхантерам #багрепорт #межсайтовый_скриптинг #взлом_google #карьера_багхантера #кибербезопасность
-
[Перевод] Ладья на XSS: как я хакнул chess.com детским эксплойтом
Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему! В этой статье я расскажу о том, как использовал свои знания по кибербезопасности для обнаружения XSS-уязвимости (Cross-Site Scripting, межсайтовый скриптинг) на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com . Но для начала небольшое вступление (в котором будет затронута немного менее серьёзная, но достаточно занятная, уязвимость OSRF (On-site Request Forgery, подделка запросов на сайте).
https://habr.com/ru/companies/ruvds/articles/790330/
#ruvds_перевод #шахматы #xss #информационная_безопасность #osrf #межсайтовый_скриптинг #tinymce