Il dipartimento dell’educazione della città di Helsinki è stato bucato per una falla non patchata.
Mi rode molto il culo perché i dati sensibili miei e di mio figlio sono stati quasi sicuramente trafugati.
@SkyLinx tu che sei nel giro, sei a conoscenza di come hanno fatto o qualche altro dettaglio?
tappo due terre e mi gioco password spray e 2fa di topo gigio 
Non so se e’ strano ma mi piace molto la voce di questo tizio e il come parla, sarebbe ottimo per ASMR 
Ma perche’ dice sempre “VU”-pn invece di “VI-pn”?
Purtroppo avevano delle risorse esposte su Shodan e puoi indovinare il resto
Peccato che il forum non invia email notifications 
No updates soltanto quando ricordo di controllare
Non puoi bucare il forum e fare direttamente un trigger da database!? Son sicuro cirius apprezzerà!
Perché in italiano la V si chiama “vu” (anche “vi”, ma meno, dice wikipedia…)
Vi di Verona
Io dico vi
scopro così di essere nell’ignore di whitetiger 
a proposito di backup, oggi ho scoperto che sono tre mesi+ che i backup non backuppano buona parte delle robe chiave che dovrebbero backuppare
firulì, firulà
No? 
Ho postato un tweet che era una risposta al tuo
NoScript for the win.
2 Likes
2 Likes
azz brutta questa
le belle applicazioni DI MERDA.
un’applicazione che genera TOTP, perchè Authy quello fa… genera TOTP, perchè deve richiedere che gli utenti diano il loro cellulare per poterla usare.
poi succedono sti merdai qui. aziende del cazzo.
Twilio poi deve morire male, che è la sorgente di tutti i mali, utilizzata praticamente dal 90% degli scammer di tutto il mondo per fare telefonate di marketing e mandare SMS spoofati.
Wow, bella questa. Non finiro’ sui giornali come quello ma oggi per esempio ho fatto un altro $7K grazie a YouTube per un lavoro che mi ha impiegato alcune ore soltanto
Questo target ha una discreta sanitization per XSS, ma sono riuscito a bypassarla con un object tag che mi consente di aggiungere uno script tag indirettamente. Non proprio straightforward ma il payload functiona. Tutto il resto e’ bloccato, incluso lo stripping di attributi con event handlers attached.
Il “problema” e’ che il CSP e’ molto restrittivo e consente di caricare scripts soltanto dalla stessa origine oppure da YouTube perche’ devono fare embedding di video. Tutto il resto e’ bloccato. Quindi non posso nemmeno caricare uno script da un origine che controllo.
La maggior parte degli hunters si fermerebbe qui una volta visto un CSP cosi’, ma io sono testardo 
Il CSP authorizza script da YouTube, e dopo un po’ di investigazione ho trovato che YouTube accetta URLs nel formato
https://www.youtube.com/oembed?url=http://www.youtube.com/watch?v=dQw4w9WgXcQ&format=json&callback=alert(1)
Notare il callback param. Questo e’ usato per ritornare un response JSONP, che esegue la function il cui nome specifico nel parametro. Ma se invece di un function name passo una function call come alert(1) nell’esempio sopra, la syntax del JavaScript e’ ancora valida e funziona correttamente (aprite il link di sopra in un altro tab direttamente per vedere il JS).
Quindi grazie a YouTube e al XSS bypass sopra posso iniettare uno script tag che carica quello script da YouTube, ed esegue una fetch call che mi manda il cookie at un server che controllo. → Profit
Prendetela come una tip gratuita per bug bounties :D
2 Likes